VIRY.CZ

Dobrý den,

Domnívám se že moje pc je možná v ohrožení.

Včera jsem dostal emailem nějakou poštu spolu s přílohou souboru.

Takže jsem ho ze zvědavosti otevřel což jsem asi neměl dělat. A teď mě po startu PC hlásí Zone Alarm firewall o otevření nějakých D:\Windows\Microsoft.NET\Framework\v2.0.50727 což jsem vůbec před tím nikdy nic takového se mi nezobrazovalo.

Možná že ten soubor obsahoval nějakou škodlivinu.
Zone Alarm Antivirus tento soubor neoznačil za škodlivý tak jsem myslel že je to bezpečné, ale asi nebylo

Jinak výpis z logu zasílám jako soubor



Děkuji předem za pomoc

Zdravim

Odinstalujte vse od IOBit - jsou to cinske smejdy a spise jen skodi nez jsou uzitkem. Hledaji nesmyslne a neexistujici problemy, databazi haveti ukradli jine renomovane spolecnosti

Stahnete Junkware Removal Tool http://thisisudax.org/downloads/JRT.exe

• Ulozte nejlepe na plochu
• Po spusteni se zobrazi licencni podminky, stisknete libovolnou klavesu
• Probehne vytvoreni zalohy a nasledne prohledavani
• Probehne skenovani a pak se objevi log, pripadne bude ulozen v c:\JRT jako JRT.txt, ten sem vlozte

Stahnete AdwCleaner http://general-changelog-team.fr/fr/dow ... adwcleaner

• Ulozte nejlepe na plochu
• Ukoncete vsechny programy
• Kliknete na Prohledat
• Probehne skenovani a pak se objevi log, pripadne bude ulozen na systemovem disku jako AdwCleaner[R?].txt, ten sem vlozte

Dobrý večer,

Tak je to tady:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 5.3.8 (08.07.2013:4)
OS: Windows 7 Home Premium x64
Ran by TMEU on źt 08.08.2013 at 20:56:08,06
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Registry Values



~~~ Registry Keys

Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\AppDataLow\software\search settings



~~~ Files



~~~ Folders

Successfully deleted: [Folder] "D:\ProgramData\ytd video downloader"
Successfully deleted: [Folder] "D:\ProgramData\Microsoft\Windows\Start Menu\Programs\ytd video downloader"



~~~ FireFox

Successfully deleted the following from D:\Users\TMEU\AppData\Roaming\mozilla\firefox\profiles\qr8rjbku.default\prefs.js

user_pref("extensions.foxcub.config.encodedConfig", "{\"speedDial\":{\"rss.name\":[\"Tip Slune\rnice.cz\",\"Novinky.cz\"],\"rss.url\":[\"hxxp://export.iinfo.cz/seznam/listicka



~~~ Event Viewer Logs were cleared





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on źt 08.08.2013 at 21:01:34,21
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~





# AdwCleaner v2.306 - Log vytvooen 08/08/2013 v 21:03:54
# Aktualizováno 19/07/2013 Xplode
# Operaení systém : Windows 7 Home Premium Service Pack 1 (64 bits)
# Uživatel : TMEU - TMEU-PC
# Spuštin systém : Normální
# Spuštino z : D:\Users\TMEU\Desktop\adwcleaner.exe
# Volba [Prohledat]


***** [Služby] *****


***** [Soubory / Složky] *****

Složka Nalezeno : D:\Users\TMEU\AppData\Roaming\CheckPoint\ZoneAlarm LTD Toolbar
Soubor Nalezeno : D:\Users\TMEU\AppData\Local\Temp\Uninstall.exe

***** [Registry] *****

Klíe Nalezeno : HKCU\Software\APN PIP
Klíe Nalezeno : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{03EB0E9C-7A91-4381-A220-9B52B641CDB1}
Klíe Nalezeno : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{03EB0E9C-7A91-4381-A220-9B52B641CDB1}
Klíe Nalezeno : HKLM\SOFTWARE\MozillaPlugins\@checkpoint.com/FFApi
Klíe Nalezeno : HKLM\Software\PIP
Klíe Nalezeno : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{FFB96CC1-7EB3-449D-B827-DB661701C6BB}
Klíe Nalezeno : HKLM\SOFTWARE\Classes\Interface\{FFB96CC1-7EB3-449D-B827-DB661701C6BB}
Klíe Nalezeno : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZoneAlarm LTD Toolbar

***** [Internetové prohlížeee] *****

-\\ Internet Explorer v10.0.9200.16635

[OK] Registry jsou eisté.

-\\ Mozilla Firefox v23.0 (cs)

Soubor : D:\Users\TMEU\AppData\Roaming\Mozilla\Firefox\Profiles\qr8rjbku.default\prefs.js

[OK] Soubor je eistý.

*************************

AdwCleaner[R1].txt - [1487 octets] - [08/08/2013 21:03:54]

########## EOF - D:\AdwCleaner[R1].txt - [1547 octets] ##########

Spustte znovu AdwCleaner

• Pokud pouzivate Win Vista ci W7, kliknete na AdwCleaner pravym a dejte Run As Administrator ci Spustit jako spravce
• Kliknete na Smazat
• PC provede opravu, restartuje se a da Vam log (C:\AdwCleaner [S1].txt) , jeho obsah vlozte sem

# AdwCleaner v2.306 - Log vytvooen 08/08/2013 v 21:25:01
# Aktualizováno 19/07/2013 Xplode
# Operaení systém : Windows 7 Home Premium Service Pack 1 (64 bits)
# Uživatel : TMEU - TMEU-PC
# Spuštin systém : Normální
# Spuštino z : D:\Users\TMEU\Desktop\adwcleaner.exe
# Volba [Vymazat]


***** [Služby] *****


***** [Soubory / Složky] *****

Složka Vymazáno : D:\Users\TMEU\AppData\Roaming\CheckPoint\ZoneAlarm LTD Toolbar
Soubor Vymazáno : D:\Users\TMEU\AppData\Local\Temp\Uninstall.exe

***** [Registry] *****

Klíe Vymazáno : HKCU\Software\APN PIP
Klíe Vymazáno : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{03EB0E9C-7A91-4381-A220-9B52B641CDB1}
Klíe Vymazáno : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{03EB0E9C-7A91-4381-A220-9B52B641CDB1}
Klíe Vymazáno : HKLM\SOFTWARE\MozillaPlugins\@checkpoint.com/FFApi
Klíe Vymazáno : HKLM\Software\PIP
Klíe Vymazáno : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{FFB96CC1-7EB3-449D-B827-DB661701C6BB}
Klíe Vymazáno : HKLM\SOFTWARE\Classes\Interface\{FFB96CC1-7EB3-449D-B827-DB661701C6BB}
Klíe Vymazáno : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZoneAlarm LTD Toolbar

***** [Internetové prohlížeee] *****

-\\ Internet Explorer v10.0.9200.16635

[OK] Registry jsou eisté.

-\\ Mozilla Firefox v23.0 (cs)

Soubor : D:\Users\TMEU\AppData\Roaming\Mozilla\Firefox\Profiles\qr8rjbku.default\prefs.js

[OK] Soubor je eistý.

*************************

AdwCleaner[R1].txt - [1612 octets] - [08/08/2013 21:03:54]
AdwCleaner[S1].txt - [1545 octets] - [08/08/2013 21:25:01]

########## EOF - D:\AdwCleaner[S1].txt - [1605 octets] ##########

Poprosim o spusteni nasledujiciho. A jestli log date zase do code, kdyz byl uz 2x odstranen z nej, tak to nehodlam resit

Aplikace ke stažení:

• http://tharifas.sweb.cz/FRSTLauncher.exe
• http://vyosek.ic.cz/pro_usery/FRSTLauncher.exe

Po stažení FRSTLauncher spustte, objevi se mozna varovani od antiviru, ignorujte a nechte FRSTL spustit

Následně dojde ke stažení FRST a inicializaci

• Po spuštění FRST odsouhlasíme licenční podmínky kliknutím na Ano.
• Dooznačíme položku Addition.txt - viz obrázek.
  
• Klikneme na tlačítko Scan čímž spustíme skenování.
• Počkáme na dokončení skenování FRST a vytvoření doplňkových informací naší nástavbou.
• Otevře se nám textový soubor FRST.txt, což je požadovaný log a jehož obsah vložíme do svého tématu na fóru.
• Po uzavření logu se FRSTLauncher.exe ukončí a na ploše nám zbyde utilta FRST a dva logy FRST.txt a Addition.txt - nic z toho zatím nemažeme.

Vytvořený log se sem nevejde tak ho posílám jako přílohu

Nasledujici soubory otestujte na VirusTotalu https://www.virustotal.com/cs/

• D:\Users\TMEU\AppData\Roaming\Windows Firewall\Firewall.exe
• Kliknete na Choose file
• Soubor nehledejte, jen vlozte cestu souboru, ktery chci otestovat
• Kliknete na Scan It
• Pokud na Vas vyskoci obrazovka jako je nize, tak kliknete na ReAnalyse
  
• Vysledek analyzy sem vlozte (jako odkaz)

Tvorba fixlistu pro FRST

• Spustte poznamkovy blok (Start-spustit-notepad)
• Zkopirujte skript nize

• Kód: Vybrat vše

  HKCU\...\Run: [Spybot-S&D Cleaning] - C:\_Spybot - Search & Destroy 2 Portable\SDCleaner.exe [3713032 2012-11-13] (Safer-Networking Ltd.)
  MountPoints2: {91f6341e-da6a-11e2-a1e0-806e6f6e6963} - F:\BlueBirds.exe
  HKLM-x32\...\Run: [seznam-listicka-distribuce] - D:\Program Files (x86)\Seznam.cz\distribution\szninstall.exe [1062472 2013-05-16] ()
  URLSearchHook: ATTENTION ==> Default URLSearchHook is missing.
  SearchScopes: HKLM - DefaultScope value is missing.
  SearchScopes: HKCU - DefaultScope {83FE5D98-94C9-47A4-9A7C-D7ED668E8284} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=902615&p={searchTerms}
  SearchScopes: HKCU - {83FE5D98-94C9-47A4-9A7C-D7ED668E8284} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=902615&p={searchTerms}
  FF SelectedSearchEngine: Yahoo
  FF Keyword.URL: hxxp://search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&ilc=12&type=902615&p=
  S3 WinRing0_1_2_0; \??\D:\Program Files (x86)\IObit\Game Booster 3\Driver\WinRing0x64.sys [x]
  S3 xhunter1; \??\D:\Windows\xhunter1.sys [x]
  2013-08-08 12:18 - 2013-08-08 11:50 - 00000000 ____D D:\ProgramData\Spybot - Search & Destroy
  2013-07-21 21:31 - 2013-07-21 21:17 - 00000000 ____D D:\Users\TMEU\AppData\Roaming\IObit
  2013-07-21 21:31 - 2013-07-21 21:14 - 00000000 ____D D:\Program Files (x86)\IObit
  2013-07-21 21:17 - 2013-07-21 21:14 - 00000000 ____D D:\ProgramData\IObit
  Task: {1870FD2E-9A90-4C3E-816C-485215FC621F} - System32\Tasks\CreateChoiceProcessTask => D:\Windows\System32\browserchoice.exe [2010-02-23] (Microsoft Corporation)
  Task: {C16EBAEB-EF26-4598-B08F-4B4FCE4F9418} - System32\Tasks\Game_Booster_AutoUpdate => D:\Program Files (x86)\IObit\Game Booster 3\AutoUpdate.exe No File
  D:\Program Files (x86)\Common Files\Spigot
  D:\Program Files (x86)\IObit
  D:\Users\TMEU\AppData\Roaming\Windows Firewall
  REG: reg delete "HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cz.seznam.software.autoupdate" /f
  REG: reg delete "HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cz.seznam.software.szndesktop" /f
  REG: reg delete "HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SearchSettings" /f
  REG: reg delete "HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent" /f
  REG: reg delete "HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Firewall" /f
  CMD: shutdown /r /f /t 2
  

• Ulozte vytvoreny TXT jako fixlist.txt
• Presunte vytvoreny fixlist vedle FRST

Spustte znovu FRST.exe

• Kliknete na Fix
• Probehne oprava a vytvori log Fixlog.txt

Restart PC a dejte mi sem fixlog.txt

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 08-08-2013
Ran by TMEU at 2013-08-08 22:15:48 Run:1
Running from D:\Users\TMEU\Desktop
Boot Mode: Normal
==============================================

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\\Spybot-S&D Cleaning => Value deleted successfully.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{91f6341e-da6a-11e2-a1e0-806e6f6e6963} => Key deleted successfully.
HKCR\CLSID\{91f6341e-da6a-11e2-a1e0-806e6f6e6963} => Key not found.
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\seznam-listicka-distribuce => Value deleted successfully.
Default URLSearchHook was restored successfully .
HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => Value was restored successfully.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => Value deleted successfully.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{83FE5D98-94C9-47A4-9A7C-D7ED668E8284} => Key deleted successfully.
HKCR\CLSID\{83FE5D98-94C9-47A4-9A7C-D7ED668E8284} => Key not found.
Firefox SelectedSearchEngine deleted successfully.
Firefox Keyword.URL deleted successfully.
WinRing0_1_2_0 => Service deleted successfully.
xhunter1 => Service deleted successfully.
D:\ProgramData\Spybot - Search & Destroy => Moved successfully.
D:\Users\TMEU\AppData\Roaming\IObit => Moved successfully.
D:\Program Files (x86)\IObit => Moved successfully.
D:\ProgramData\IObit => Moved successfully.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{1870FD2E-9A90-4C3E-816C-485215FC621F} => Key deleted successfully.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1870FD2E-9A90-4C3E-816C-485215FC621F} => Key not found.
D:\Windows\System32\Tasks\CreateChoiceProcessTask => Moved successfully.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\CreateChoiceProcessTask => Key not found.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{C16EBAEB-EF26-4598-B08F-4B4FCE4F9418} => Key not found.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C16EBAEB-EF26-4598-B08F-4B4FCE4F9418} => Key deleted successfully.
D:\Windows\System32\Tasks\Game_Booster_AutoUpdate => Moved successfully.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Game_Booster_AutoUpdate => Key deleted successfully.
"D:\Program Files (x86)\Common Files\Spigot" => File/Directory not found.
"D:\Program Files (x86)\IObit" => File/Directory not found.
D:\Users\TMEU\AppData\Roaming\Windows Firewall => Moved successfully.

========= reg delete "HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cz.seznam.software.autoupdate" /f =========

Operace byla dokonźena ŁspŘçnŘ.



========= End of Reg: =========


========= reg delete "HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cz.seznam.software.szndesktop" /f =========

Operace byla dokonźena ŁspŘçnŘ.



========= End of Reg: =========


========= reg delete "HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SearchSettings" /f =========

Operace byla dokonźena ŁspŘçnŘ.



========= End of Reg: =========


========= reg delete "HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent" /f =========

Operace byla dokonźena ŁspŘçnŘ.



========= End of Reg: =========


========= reg delete "HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Firewall" /f =========

Operace byla dokonźena ŁspŘçnŘ.



========= End of Reg: =========


========= shutdown /r /f /t 2 =========


========= End of CMD: =========


==== End of Fixlog ====

Jen se zeptam, probehl po aplikovani skriptu restart PC, pripadne za jak dlouho?

vyosek píše:Jen se zeptam, probehl po aplikovani skriptu restart PC, pripadne za jak dlouho?

PC se restartovalo samo. Restart byl během chvíle

Supr, tak to melo byt Tak jeste uklidime

T-Cleaner http://vyosek.ic.cz/pro_usery/T-Cleaner.exe

• Stahnete a spustte
• Pro potvrzeni volby mackejte A, Enter
• Po pouziti utilitu smazte
• Antiviry touhou utilitu chybne oznacit jako vir - jedna se o falesny poplach - takze v pohode stahnete (pripadne vypnete pri stahovani antivir)

OTC http://oldtimer.geekstogo.com/OTC.exe

• Stahnete a spustte
• Kliknete na CleanUp a potvrdte YES
• Program uklidi a restartuje PC

TFC http://oldtimer.geekstogo.com/TFC.exe

• Stahnete a spustte
• Kliknete na Start a potvrdte OK
• Program uklidi a restartuje pc
• Po pouziti utilitu smazte

Stahnete Ccleaner http://forum.viry.cz/viewtopic.php?t=7478
Panel čistič

• Vse nechte jak je, jen dejte Analyzovat a pote Spustit CCleaner

Panel registry

• dejte Hledej problémy
• nasledne Opravit problémy - zalohu registru doporucuji udelat, opravte vsechny problemy
• postup opakujte dokud nebude bez problemu - vetsinou cca 3x

Panel nástroje

• Zde muzete odinstalovat nepotrebne programy

CCleaner doporucuji pouzivat cca jednou za tyden

A pokud nejsou problemy ci dotazy, je to z me strany vse

Čištění jsem podle posledních pokynů provedl a PC mě nyní startuje rychleji než před tím

Ještě bych měl dvě otázky: co se týče činškých produktů Obit takže jsou všechny naprosto zbytečné a kničemu a to i včetně: Smart Defrag?

Dále by mě zajímalo co bylo toto: D:\Users\TMEU\AppData\Roaming\Windows Firewall\Firewall.exe

Mělo se jednát o firewall od microsoftu?

Nyní ho tam už nevidím