VIRY.CZ

Pomáháme v boji s počítačovou havěti!
https://forum.viry.cz:443/

windefender.exe

https://forum.viry.cz:443/viewtopic.php?t=152797

Stránka 1 z 2

windefender.exe

Napsal: 04 zář 2017 13:48
od Petr32
Dobrý den, dnes při preventivní kontrole my AdwCleaner našel trojana ale když ho dám vyčistit, tak to po restartu napíše že byl vyčištěn ovšem když dám znovu sken tak tam zas je... To samé když jsem ho chtěl smazat ručně (Ctrl+Shift+Del) tak se hned zase vytvoří nový. Pomoc prosím

AdwCleaner Log: https://pastebin.com/xZ6qeFT4

FRST Log: https://pastebin.com/LmBY63xe

RSIT Log: https://pastebin.com/cfXxv7wf

Předem děkuji

Re: windefender.exe

Napsal: 04 zář 2017 14:19
od Rudy
Zdravím!
Otevřte poznámkový blok a zkopírujte do něj:
Start
HKLM-x32\...\Run: [SunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [587288 2017-03-15] (Oracle Corporation)
AppInit_DLLs: C:\Windows\system32\nvinitx.dll => No File
Startup: C:\Users\Petr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\windefender.exe [2017-09-04] (Microsoft)
GroupPolicy: Restriction <==== ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page =
FF Plugin HKU\S-1-5-21-1342017476-176686534-2564918354-1001: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll [No File]
C:\WINDOWS\system32\mszypher.exe
C:\WINDOWS\LastGood.Tmp
C:\Users\Petr\AppData\Local\Temp

EmptyTemp:
End
Uložte na plochu jako fixlist.txt. Spusťte znovu FRST a klikněte na >Fix<. Po skončení akce se objeví log, který sem zkopírujte.

Re: windefender.exe

Napsal: 04 zář 2017 14:34
od Petr32
Fix result of Farbar Recovery Scan Tool (x64) Version: 20-08-2017
Ran by Petr (04-09-2017 15:31:07) Run:1
Running from C:\Users\Petr\Desktop
Loaded Profiles: Petr (Available Profiles: Petr & Administrator)
Boot Mode: Normal
==============================================

fixlist content:
*****************
Start
HKLM-x32\...\Run: [SunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [587288 2017-03-15] (Oracle Corporation)
AppInit_DLLs: C:\Windows\system32\nvinitx.dll => No File
Startup: C:\Users\Petr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\windefender.exe [2017-09-04] (Microsoft)
GroupPolicy: Restriction <==== ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page =
FF Plugin HKU\S-1-5-21-1342017476-176686534-2564918354-1001: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll [No File]
C:\WINDOWS\system32\mszypher.exe
C:\WINDOWS\LastGood.Tmp
C:\Users\Petr\AppData\Local\Temp

EmptyTemp:
End
*****************

HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\SunJavaUpdateSched => value removed successfully
"C:\Windows\system32\nvinitx.dll" => Value data removed successfully.
C:\Users\Petr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\windefender.exe => moved successfully
C:\WINDOWS\system32\GroupPolicy\Machine => moved successfully
C:\WINDOWS\system32\GroupPolicy\GPT.ini => moved successfully
C:\WINDOWS\SysWOW64\GroupPolicy\GPT.ini => moved successfully
HKLM\Software\\Microsoft\Internet Explorer\Main\\Search Page => value restored successfully
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main\\Search Page => value restored successfully
HKLM\Software\\Microsoft\Internet Explorer\Main\\Default_Page_URL => value restored successfully
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main\\Default_Page_URL => value restored successfully
HKLM\Software\\Microsoft\Internet Explorer\Main\\Default_Search_URL => value restored successfully
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main\\Default_Search_URL => value restored successfully
HKLM\Software\\Microsoft\Internet Explorer\Main\\Local Page => value restored successfully
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main\\Local Page => value restored successfully
HKU\S-1-5-21-1342017476-176686534-2564918354-1001\Software\MozillaPlugins\ubisoft.com/uplaypc => key removed successfully
C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll => not found.
C:\WINDOWS\system32\mszypher.exe => moved successfully
C:\WINDOWS\LastGood.Tmp => moved successfully

"C:\Users\Petr\AppData\Local\Temp" folder move:

Could not move "C:\Users\Petr\AppData\Local\Temp" => Scheduled to move on reboot.


=========== EmptyTemp: ==========

BITS transfer queue => 7888896 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 132631996 B
Java, Flash, Steam htmlcache => 363724878 B
Windows/system/drivers => 14280359 B
Edge => 0 B
Chrome => 789492117 B
Firefox => 21683036 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 128 B
systemprofile32 => 0 B
LocalService => 47330 B
NetworkService => 0 B
Petr => 2230802791 B
Administrator => 340 B

RecycleBin => 0 B
EmptyTemp: => 3.3 GB temporary data Removed.

================================

Result of scheduled files to move (Boot Mode: Normal) (Date&Time: 04-09-2017 15:33:13)

"C:\Users\Petr\AppData\Local\Temp" => Could not move

==== End of Fixlog 15:33:15 ====

Re: windefender.exe

Napsal: 04 zář 2017 17:32
od Rudy
Smazáno. Nastala nějaká změna?

Re: windefender.exe

Napsal: 04 zář 2017 18:47
od Petr32
Bohužel ne :(

AdwCleaner stále hlásí:

Trojan.Agent, C:\Users\Petr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\windefender.exe

Re: windefender.exe

Napsal: 04 zář 2017 19:09
od Rudy
Udělejte sken MBAM: http://www.malwarebytes.org/mbam.php a dejte log. Předem nic nemažte.

Re: windefender.exe

Napsal: 04 zář 2017 21:32
od Petr32
(Nenalezeny žádné škodlivé položky)

Klíče registru: 4
Adware.Elex.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{55A8D601-548D-4EEB-AAD9-949ED5011F02}, , [7debd0e0bfeaa294819eaacefe02b64a],
Adware.Elex.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{ADE90F9A-8E6F-40AC-848E-264AD37EF9F2}, , [db8d3e723079fc3ab46bb3c5ea169f61],
Adware.Elex.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\Windows Cryptological Solution Provider, , [f672d9d7bfeaf54147e5532614ecc13f],
Adware.Elex.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\Windows Cryptological Task Provider, , [0f59614f1f8a86b0c06c8aeff80844bc],

Hodnoty registru: 2
Adware.Elex.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{55A8D601-548D-4EEB-AAD9-949ED5011F02}|Path, \Windows Cryptological Solution Provider, , [7debd0e0bfeaa294819eaacefe02b64a]
Adware.Elex.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{ADE90F9A-8E6F-40AC-848E-264AD37EF9F2}|Path, \Windows Cryptological Task Provider, , [db8d3e723079fc3ab46bb3c5ea169f61]

Data registru: 0
(Nenalezeny žádné škodlivé položky)

Složky: 0
(Nenalezeny žádné škodlivé položky)

Soubory: 3
PUP.Optional.GameHack, D:\Programy\Cheat Engine 6.5.1\standalonephase1.dat, , [b1b7842c55544aec55d6c946d8296898],
Adware.Elex.Generic, C:\Windows\System32\Tasks\Windows Cryptological Solution Provider, , [2b3dded20f9a1d19ab5daacf7a8612ee],
Adware.Elex.Generic, C:\Windows\System32\Tasks\Windows Cryptological Task Provider, , [a0c89c143277b18523e557224ab60cf4],

Fyzické sektory: 0
(Nenalezeny žádné škodlivé položky)


(end)

Re: windefender.exe

Napsal: 04 zář 2017 21:38
od Petr32
Aha tak tady to začíná být zajímavé... Jak jste říkal tak jsem to tam nechal a MBAM jsem ukončil. Snad se toho půjde zbavit

Re: windefender.exe

Napsal: 05 zář 2017 08:22
od Rudy
Petr32 píše:Aha tak tady to začíná být zajímavé... Jak jste říkal tak jsem to tam nechal a MBAM jsem ukončil. Snad se toho půjde zbavit
Nějak nechápu. Log se dává vč. hlavičky. Smažte vše, co MBAM nalezl.

Re: windefender.exe

Napsal: 05 zář 2017 16:19
od Petr32
No včera se mi ohlásil ESET že dokončil nějaké léčení (sám od sebe). Dnes jsem tedy znovu udělal sken MBAM a nalezené "věci" jsem odstranil. Ten log co jsem včera posílal tak jsem omylem nezkopíroval celí ale ten z dneška už celí je.

Malwarebytes Anti-Malware
www.malwarebytes.org

Datum skenování: 5. 9. 2017
Čas skenování: 14:12
Protokol: fsef.txt
Správce: Ano

Verze: 2.2.1.1043
Databáze malwaru: v2017.09.05.03
Databáze rootkitů: v2017.08.02.01
Licence: Bezplatná verze
Ochrana proti malwaru: Vypnuto
Ochrana proti škodlivým webovým stránkám: Vypnuto
Ochrana programu: Vypnuto

OS: Windows 10
CPU: x64
Souborový systém: NTFS
Uživatel: Petr

Typ skenu: Vlastní sken
Výsledek: Dokončeno
Prohledaných objektů: 1118832
Uplynulý čas: 2 hod, 52 min, 34 sek

Paměť: Zapnuto
Po spuštění: Zapnuto
Souborový systém: Zapnuto
Archivy: Zapnuto
Rootkity: Zapnuto
Heuristika: Zapnuto
PUP: Zapnuto
PUM: Zapnuto

Procesy: 0
(Nenalezeny žádné škodlivé položky)

Moduly: 0
(Nenalezeny žádné škodlivé položky)

Klíče registru: 2
Adware.Elex.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{55A8D601-548D-4EEB-AAD9-949ED5011F02}, , [d6f102aeeabf3501d9467dfb57a9d927],
Adware.Elex.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\Windows Cryptological Solution Provider, , [b6110da36346072f8ba197e2619f768a],

Hodnoty registru: 1
Adware.Elex.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{55A8D601-548D-4EEB-AAD9-949ED5011F02}|Path, \Windows Cryptological Solution Provider, , [d6f102aeeabf3501d9467dfb57a9d927]

Data registru: 0
(Nenalezeny žádné škodlivé položky)

Složky: 0
(Nenalezeny žádné škodlivé položky)

Soubory: 3
RiskWare.BitCoinMiner, C:\Users\Petr\AppData\Local\Temp\nvd\zed.exe, , [8443c8e8cfdaae880650e3b5a160d12f],
PUP.Optional.GameHack, D:\Programy\Cheat Engine 6.5.1\standalonephase1.dat, , [33942987793091a56cbb23ec0ff2fc04],
Adware.Elex.Generic, C:\Windows\System32\Tasks\Windows Cryptological Solution Provider, , [3196a40cc7e2e94d52b65e1ba15f9a66],

Fyzické sektory: 0
(Nenalezeny žádné škodlivé položky)


(end)

Re: windefender.exe

Napsal: 05 zář 2017 16:31
od Petr32
Vida AdwClener už nic nenašel :) Myslíte tedy že PC už mám čistý? Doporučíte raději třeba ještě nějaký jiný sken? Zítra to projedu raději ještě 1 MBAM jestli se to náhodou nevrátí. Poté bych se chtěl případně zeptat jak kompletně odstranit FRST a RSIT. Předem děkuji :)

Re: windefender.exe

Napsal: 05 zář 2017 16:58
od Rudy
Problém byl zřejmě v tom, že ho tam držel jiný šmejd, který jsme odstranili skenem MBAM a tím zmizely oba. Můžete udělat sken systémovým antivirem. Myslím ale, že je opravdu čisto.

Re: windefender.exe

Napsal: 05 zář 2017 17:12
od Petr32
Dobře tak vám moc děkuji :) Je super že jsou takový lidé jako vy. Mohu se teda zeptat na odstranění toho RSIT a FRST? Stačí to naházet do koše a odstranit? Mám na mysli třeba složky C:\FRST a C:\FRST.zaloha a také se chci zeptat když jsou teď ty "viry" co našel MBAM v karanténě, jestli je mohu smazat.

Re: windefender.exe

Napsal: 05 zář 2017 17:54
od Rudy
Vše můžete normálně smazat a vysypat koš. Nemáte zač! :)

Re: windefender.exe

Napsal: 06 zář 2017 12:16
od Petr32
Tak dnes jsem udělal znovu sken MBAM a bohužel jeden červík to přežil :(

Malwarebytes Anti-Malware
www.malwarebytes.org

Datum skenování: 6. 9. 2017
Čas skenování: 8:05
Protokol: grdgrgdr.txt
Správce: Ano

Verze: 2.2.1.1043
Databáze malwaru: v2017.09.06.01
Databáze rootkitů: v2017.08.02.01
Licence: Bezplatná verze
Ochrana proti malwaru: Vypnuto
Ochrana proti škodlivým webovým stránkám: Vypnuto
Ochrana programu: Vypnuto

OS: Windows 10
CPU: x64
Souborový systém: NTFS
Uživatel: Petr

Typ skenu: Vlastní sken
Výsledek: Dokončeno
Prohledaných objektů: 1119079
Uplynulý čas: 3 hod, 17 min, 56 sek

Paměť: Zapnuto
Po spuštění: Zapnuto
Souborový systém: Zapnuto
Archivy: Zapnuto
Rootkity: Zapnuto
Heuristika: Zapnuto
PUP: Zapnuto
PUM: Zapnuto

Procesy: 0
(Nenalezeny žádné škodlivé položky)

Moduly: 0
(Nenalezeny žádné škodlivé položky)

Klíče registru: 0
(Nenalezeny žádné škodlivé položky)

Hodnoty registru: 0
(Nenalezeny žádné škodlivé položky)

Data registru: 0
(Nenalezeny žádné škodlivé položky)

Složky: 0
(Nenalezeny žádné škodlivé položky)

Soubory: 1
RiskWare.BitCoinMiner, C:\Users\Petr\AppData\Local\Temp\nvd\zed.exe, , [75b4476aa50477bf96bbe8b0f70a08f8],

Fyzické sektory: 0
(Nenalezeny žádné škodlivé položky)


(end)
Všechny časy jsou v UTC+01:00
Stránka 1 z 2

Založeno na phpBB® Forum Software © phpBB Limited

Český překlad – phpBB.cz