VIRY.CZ

Dobrý deň.
Chcel by som požiadať o pomoc. Eset smart security my hlási že našiel Trojan: MBR sektor 0. fyzického disku - Win32/KillMBR.NBQ trójsky kôň - nemožno liečiť. Cez nabootovanú inštalačku Win 10 a recovery console som sa pokúsil obnoviť mbr sektor (bootrec /fixMbr), ale eset stále aj tak hlási Trojan. Skúšal som ešte aj program aswMBR.

Log z FRST prikladám v prílohe, lebo text prekračuje maximálny počet znakov.
Ďakujem za pomoc

Zdravím!
Zkuste na to pustit MBAR:

Stáhněte Malwarebytes Anti-Rootkit http://www.malwarebytes.org/products/mbar/

Uložte nejlépe na Plochu a rozbalte
Spusťte kliknutím na mbar
Nyní postupně klikněte na Next a Update
Po dokončení update (aktualizace) databáze klikněte opět na Next
Nechte zaškrtnute všechny tři možnosti a kliněte na Scan čímž spustíte prohledavani PC
Po dokončeni skenu (cca 5 minutek) zkontrolujte, zda-li je u všech nalezů (samozrejme pokud budou) zatržítko
Tež zkontrolujte, jestli je zatržitko u Create Restore point
Nyní klikněte na CleanUp čímž nalezenou infekci odstraníme
PC bude restartován
Složka mbar by měla obsahovat log (a zřejmě se i sám otevře) mbar-log-rok-měsíc-den (hodina-minuta-sekunda).txt, ten mi sem dejte.

Posielam log, pravdepodobne je to tento:
Malwarebytes Anti-Rootkit BETA 1.9.3.1001
www.malwarebytes.org

Database version:
main: v2016.11.24.10
rootkit: v2016.11.20.01

Windows 10 x64 NTFS
Internet Explorer 11.447.14393.0
MIO :: MIO [administrator]

24.11.2016 21:29:04
mbar-log-2016-11-24 (21-29-04).txt

Scan type: Quick scan
Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken
Scan options disabled:
Objects scanned: 341444
Time elapsed: 7 minute(s), 5 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

Physical Sectors Detected: 0
(No malicious items detected)

(end)

Podle tohoto tam nic není a byl zapnut sken MBR. Divné. Takže ještě zkuste GMER: http://www.gmer.net/ a dejte log.

Posielam log z GMER:
GMER 2.2.19882 - http://www.gmer.net
Rootkit scan 2016-11-24 21:54:48
Windows 6.2.9200 x64 \Device\Harddisk1\DR1 -> \Device\00000038 Samsung_SSD_840_PRO_Series rev.DXM06B0Q 238,47GB
Running: eexvetsp.exe; Driver: R:\TEMP\pxldypob.sys


---- User code sections - GMER 2.2 ----

? C:\WINDOWS\SYSTEM32\dbgcore.DLL [2240] entry point in ".rdata" section 00000000714bc940
? C:\WINDOWS\system32\apphelp.dll [2240] entry point in ".rdata" section 000000006fc0f7c0
? C:\WINDOWS\SYSTEM32\iertutil.dll [2240] entry point in ".rdata" section 000000006f861590
? C:\WINDOWS\system32\wbem\wbemsvc.dll [2496] entry point in ".rdata" section 00000000714d8fc0
? C:\WINDOWS\SYSTEM32\NTASN1.dll [4048] entry point in ".rdata" section 000000006f3fa020
? C:\WINDOWS\system32\ncryptsslp.dll [4048] entry point in ".rdata" section 000000006f3d04f0
? C:\WINDOWS\SYSTEM32\iertutil.dll [6420] entry point in ".rdata" section 000000006f861590
? C:\WINDOWS\system32\apphelp.dll [6420] entry point in ".rdata" section 000000006fc0f7c0
? C:\WINDOWS\SYSTEM32\iertutil.dll [6432] entry point in ".rdata" section 000000006f861590
? C:\WINDOWS\system32\apphelp.dll [7144] entry point in ".rdata" section 000000006fc0f7c0
? C:\WINDOWS\SYSTEM32\iertutil.dll [6624] entry point in ".rdata" section 000000006f861590
? C:\WINDOWS\system32\apphelp.dll [5636] entry point in ".rdata" section 000000006fc0f7c0
? C:\WINDOWS\SYSTEM32\iertutil.dll [5636] entry point in ".rdata" section 000000006f861590
? C:\WINDOWS\SYSTEM32\atlthunk.dll [5636] entry point in ".data" section 0000000066c74290
? C:\Windows\System32\ActXPrxy.dll [5636] entry point in ".rdata" section 0000000061f39b80
? C:\WINDOWS\system32\apphelp.dll [6560] entry point in ".rdata" section 000000006fc0f7c0
? C:\WINDOWS\SYSTEM32\iertutil.dll [6560] entry point in ".rdata" section 000000006f861590
? C:\WINDOWS\system32\apphelp.dll [7124] entry point in ".rdata" section 000000006fc0f7c0
? C:\WINDOWS\SYSTEM32\iertutil.dll [7124] entry point in ".rdata" section 000000006f861590
? C:\WINDOWS\system32\apphelp.dll [6364] entry point in ".rdata" section 000000006fc0f7c0
? C:\WINDOWS\SYSTEM32\iertutil.dll [6364] entry point in ".rdata" section 000000006f861590
? C:\WINDOWS\system32\apphelp.dll [6492] entry point in ".rdata" section 000000006fc0f7c0
? C:\WINDOWS\SYSTEM32\iertutil.dll [6492] entry point in ".rdata" section 000000006f861590
? C:\WINDOWS\system32\apphelp.dll [6868] entry point in ".rdata" section 000000006fc0f7c0
? C:\WINDOWS\SYSTEM32\iertutil.dll [6868] entry point in ".rdata" section 000000006f861590
? C:\WINDOWS\SYSTEM32\d3d10.dll [8992] entry point in ".rdata" section 0000000063dc7910
? C:\WINDOWS\system32\wbem\wbemsvc.dll [8736] entry point in ".rdata" section 00000000714d8fc0
? C:\WINDOWS\SYSTEM32\iertutil.dll [8736] entry point in ".rdata" section 000000006f861590
? C:\WINDOWS\system32\apphelp.dll [6960] entry point in ".rdata" section 000000006fc0f7c0

---- User IAT/EAT - GMER 2.2 ----

IAT C:\WINDOWS\Explorer.EXE[4236] @ C:\WINDOWS\Explorer.EXE[USER32.dll!SetWindowCompositionAttribute] [5750080]
IAT C:\WINDOWS\Explorer.EXE[4236] @ C:\WINDOWS\Explorer.EXE[GDI32.dll!StretchDIBits] [5750020]
IAT C:\WINDOWS\Explorer.EXE[4236] @ C:\WINDOWS\Explorer.EXE[UxTheme.dll!DrawThemeTextEx] [5750040]
IAT C:\Program Files\Windows Sidebar\sidebar.exe[7564] @ C:\Program Files\Windows Sidebar\sidebar.exe[KERNEL32.dll!RegSetValueExW] [7ffd05d1c620] C:\Program Files\Windows Sidebar\dwmapi.dll
IAT C:\Program Files\Windows Sidebar\sidebar.exe[7564] @ C:\Program Files\Windows Sidebar\sidebar.exe[USER32.dll!TrackPopupMenu] [7ffd05d1c490] C:\Program Files\Windows Sidebar\dwmapi.dll
IAT C:\Program Files\Windows Sidebar\sidebar.exe[7564] @ C:\Program Files\Windows Sidebar\sidebar.exe[dwmapi.dll!DwmUpdateThumbnailProperties] [7ffd05d14410] C:\Program Files\Windows Sidebar\dwmapi.dll
IAT C:\Program Files\Windows Sidebar\sidebar.exe[7564] @ C:\Program Files\Windows Sidebar\sidebar.exe[dwmapi.dll!DwmSetWindowAttribute] [7ffd05d14380] C:\Program Files\Windows Sidebar\dwmapi.dll

---- Threads - GMER 2.2 ----

Thread C:\WINDOWS\system32\csrss.exe [680:804] fffffd5b807a6c20
Thread C:\WINDOWS\Explorer.EXE [4236:6604] 00007ffd157220e0

---- Registry - GMER 2.2 ----

Reg HKLM\SYSTEM\CurrentControlSet\Control\CMF\SqmData@SystemStartTime 0x68 0xF1 0xE1 0x20 ...
Reg HKLM\SYSTEM\CurrentControlSet\Control\CMF\SqmData@SystemLastStartTime 0x47 0xE6 0x7B 0x6D ...
Reg HKLM\SYSTEM\CurrentControlSet\Control\CMF\SqmData@CMFStartTime 0x68 0xF1 0xE1 0x20 ...
Reg HKLM\SYSTEM\CurrentControlSet\Control\CMF\SqmData@CMFLastStartTime 0x47 0xE6 0x7B 0x6D ...
Reg HKLM\SYSTEM\CurrentControlSet\Control\CMF\SqmData\BootLanguages@sk-SK 342
Reg HKLM\SYSTEM\CurrentControlSet\Control\GraphicsDrivers\Configuration\ENC238479325053_16_07DD_7E^E7C69F889AD2FD511B457512923E66F3@Timestamp 0x70 0x5E 0xC3 0x21 ...
Reg HKLM\SYSTEM\CurrentControlSet\Control\Lsa@LsaPid 756
Reg HKLM\SYSTEM\CurrentControlSet\Control\Session Manager@PendingFileRenameOperations \??\R:\TEMP\_iu14D2N.tmp??\??\R:\TEMP\~nsuA.tmp\Au_.exe??\??\R:\TEMP\~nsuA.tmp??
Reg HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Executive@UuidSequenceNumber 3902241
Reg HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\kernel\RNG@RNGAuxiliarySeed -635731222
Reg HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters@BootId 346
Reg HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters@BaseTime 489953148
Reg HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Power@POSTTime 13051
Reg HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Power@FwPOSTTime 12285
Reg HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server@InstanceID 72ec0cf4-050f-4c50-a97c-f2ce158
Reg HKLM\SYSTEM\CurrentControlSet\Control\WMI\Autologger\WdiContextLog@FileCounter 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters\Probe\{e183c78c-c234-4173-bc0b-82ee9fa09460}@LastProbeTime 1480022831
Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch@Epoch 5674
Reg HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch2@Epoch 708
Reg HKLM\SYSTEM\CurrentControlSet\Services\srvnet\Parameters@MajorSequence 341
Reg HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{57daafbb-e168-4a55-91b6-8e0e1a839053}@LeaseObtainedTime 1480019230
Reg HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{57daafbb-e168-4a55-91b6-8e0e1a839053}@T1 -667464419
Reg HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{57daafbb-e168-4a55-91b6-8e0e1a839053}@T2 2016890141
Reg HKLM\SYSTEM\CurrentControlSet\Services\W32Time\SecureTimeLimits@SecureTimeEstimated 0x71 0x4C 0x5E 0x88 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\W32Time\SecureTimeLimits@SecureTimeHigh 0x71 0xB4 0x22 0xEA ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\W32Time\SecureTimeLimits@SecureTimeLow 0x71 0xE4 0x99 0x26 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\Winmgmt\Parameters@ServiceDllUnloadOnStop 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\WmiApRpl\Performance@Object List 55300 55306 55316 55326 55346 55390 55400 55438 55444 55460
Reg HKLM\SYSTEM\CurrentControlSet\Services\WmiApRpl\Performance@Last Counter 55466
Reg HKLM\SYSTEM\CurrentControlSet\Services\WmiApRpl\Performance@Last Help 55467
Reg HKLM\SYSTEM\CurrentControlSet\Services\WmiApRpl\Performance@First Counter 55300
Reg HKLM\SYSTEM\CurrentControlSet\Services\WmiApRpl\Performance@First Help 55301
Reg HKLM\SYSTEM\Setup\Upgrade\NsiMigrationRoot\60\0@Rw 0x64 0x62 0x03 0x00 ...
Reg HKLM\SYSTEM\Setup\Upgrade\NsiMigrationRoot\60\0@RwMask 0x64 0x62 0x03 0x00 ...
Reg HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shutdown@CleanShutdown 1
Reg HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Search\RecentApps\{2AA0B3EE-143E-4EE9-9DD8-3C8BBC475495}@LastAccessedTime 0x50 0xE4 0x70 0x31 ...
Reg HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Search\RecentApps\{2AA0B3EE-143E-4EE9-9DD8-3C8BBC475495}@LaunchCount 3
Reg HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Search\RecentApps\{E3EDD374-7E19-4339-931A-D399ADEB7DD9}@LastAccessedTime 0xC0 0xE1 0x0E 0x49 ...
Reg HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Search\RecentApps\{E3EDD374-7E19-4339-931A-D399ADEB7DD9}@LaunchCount 4

---- EOF - GMER 2.2 ----

Tak tomu moc nechápu. Ani GMER (jako druhý soft) nic nehlásí. Tak ještě do třetice. Udělejte sken AVPTool: http://www.viry.cz/forum/viewtopic.php?f=29&t=58179 a smažte, co najde.

V AVPTool som zaškrtol všetky možnosti a výsledok je že nič nenašiel. Neviem sem dať log z tej novej verzie tak posielam ako prílohu printscreen. Ešte posielam aj printscreen z hlásením esetu.

Halt budeme experimentovat. Vyzkoušejte tuto jednoúčelovou utilitu: https://translate.google.cz/translate?h ... rev=search .

Nebude treba posielať preložené stránky cez translátor. Takéto podobné stránky ako táto som na internete našiel, ale radšej som tie nástroje nesťahoval. Aby som do počítača nezavliekol niečo ďalšie.

Není jiná možnost, standardní utility pro tento účel nezabírají. Nepředpokládám, že by utilita od Nortona, byla něčím "cinknutá".

Nainštaloval som SpyHunter4 z tej stránky a dal prehľadať počítač a našlo niečo, sú to tieto kľúče v registroch a ich pod podpriečinky:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\sgrunt.biz
HKEY_USERS\S-1-5-21-3167054919-4069758600-730885039-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\sgrunt.biz
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\otherchance.com
HKEY_USERS\S-1-5-21-3167054919-4069758600-730885039-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\otherchance.com
HKEY_CLASSES_ROOT\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\windows_ie_ac_001\Software\TotalPlus01-3.1V25.09

Opraviť sa záznamy bez registrácie a zaplatenia automaticky nedajú, tak som uvedené veci ručne zmazal a dal znova prehľadať počítač. Teraz už nič nenájde spyhunter, ale problém pretrváva.

SpyHunter není na odstraňování trojáků. Ten je na spyware a to je úplně jiná kategorie šmejdů.

Pozeral som ešte raz tú stránku, ale ja tam žiaden iný program nevidím a tam kde sa aj spomína slovíčko Norton tak je to aj tak odkaz na aplikáciu SpyHunter. Aplikáciu som radšej odinštaloval. Preto som sa radšej pýtal pred tím než som z tej stránky niečo stiahol, ale aj tak nepomohlo

Ještě zkuste StopZillu: http://www.stahuj.centrum.cz/utility_a_ ... D=6.1.90.7 . Spusťte ji v nouz. režimu.

Skúsil som tú Stopzillu a je to tiež pekne blbý program. Spustil som kontrolu v núdzovom režime a našlo len nejaké falošné veci a aj tak nič neopraví pokým si nekúpim licenciu.
V PC mám 3 disky, systémový SSD a dva normálne. Pomocou revosleep som vo windowse zastavil tie dva hdd okrem systémového a vtedy prestal Eset hlásiť trojan. Zistil som na ktorom sa trojan v sektoroch MBR nachádza a potom cez MiniTool Partition Wizard som dal rebuild MBR. Vyzerá že som tím problém odstránil. Keď som ešte na začiatku skúšal /fixMbr cez windows recovery consol tak sa síce prepísali mbr sektory ale len na systémovom disku a preto mi to problém s trojanom neodstránilo.