VIRY.CZ

Zdravím,
před nějakou dobou se mi podařilo snad už úspěšně odstranit z počítače nežádaný mail.ru malware.
Nicméně před pár dny začal během běžné činnosti na PC vyskakovat cmd s následujícím obsahem:

DISPLAY: 'NOKaWqM' TYPE: DOWNLOAD STATE: TRANSFERING
PRIORITY: HIGH FILES: 0 / 1 BYTES: 17616 / 388408 (4%)
TRANSFER RATE: 8.72 KB/S TIME REMAINING: 42 Seconds

Místo 'NOKaWqM' někdy bývá i 'eyucyAYZ'. Když vyprší čas a nastane 100 %, tak vyskočí hláška TRANSFER COMPLETE a cmd se vypne.

Okno má stejný název jako cmd (C:\Windows\system32\cmd.exe)

Zkoušel jsem už více věcí - pokaždé si myslím, že už je to pryč a zase se to objeví.
Nevím, jestli to má společného něco s mail.ru, ale podle mě to je dost pravděpodobné.
Nevím, jestli je to fake nebo se opravdu něco odesílá - je pravda, že se to ještě nikdy nespustilo při režimu letadla nebo bez internetového připojení.

Screen:

Zdravím!
Dejte log FRST: https://forum.viry.cz/viewtopic.php?f=13&t=152707 .

Logy v přiloze - má to moc znaků.

Teď spusťte tuto utilitu:

Stáhněte AdwCleaner https://toolslib.net/downloads/viewdown ... dwcleaner/
Uložte na plochu
Ukončete všechny programy
Klikněte nejprve na >Scan<(hledání) a pak na >Clean< (mazání).
Proběhne skenováni a pak se objeví log, který sem vložte.

# AdwCleaner 7.0.6.0 - Logfile created on Tue Jan 09 21:14:14 2018
# Updated on 2017/21/12 by Malwarebytes
# Database: 01-08-2018.1
# Running on Windows 10 Pro (X64)
# Mode: scan
# Support: https://www.malwarebytes.com/support

***** [ Services ] *****

No malicious services found.

***** [ Folders ] *****

No malicious folders found.

***** [ Files ] *****

No malicious files found.

***** [ DLL ] *****

No malicious DLLs found.

***** [ WMI ] *****

No malicious WMI found.

***** [ Shortcuts ] *****

No malicious shortcuts found.

***** [ Tasks ] *****

No malicious tasks found.

***** [ Registry ] *****

PUP.Optional.Legacy, [Key] - HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{10ECCE17-29B5-4880-A8F5-EAD298611484}
PUP.Optional.Legacy, [Key] - HKLM\SOFTWARE\Classes\Interface\{9BB31AD8-5DB2-459E-A901-DEA536F23BA4}
PUP.Optional.Legacy, [Key] - HKLM\SOFTWARE\Classes\Interface\{BD51A48E-EB5F-4454-8774-EF962DF64546}
PUP.Optional.Reimage, [Key] - HKU\S-1-5-21-3112688569-585586772-3143591606-1001\Software\Local AppWizard-Generated Applications\Reimage - Windows Problem Relief.
PUP.Optional.Reimage, [Key] - HKCU\Software\Local AppWizard-Generated Applications\Reimage - Windows Problem Relief.
PUP.Optional.Reimage, [Key] - HKU\S-1-5-21-3112688569-585586772-3143591606-1001\Software\Reimage
PUP.Optional.Reimage, [Key] - HKCU\Software\Reimage
PUP.Optional.Mail.Ru, [Key] - HKU\S-1-5-21-3112688569-585586772-3143591606-1001\Software\AppDataLow\Software\Mail.Ru
PUP.Optional.Mail.Ru, [Key] - HKCU\Software\AppDataLow\Software\Mail.Ru
PUP.Optional.Mail.Ru, [Key] - HKCU\Software\Google\Chrome\NativeMessagingHosts\ru.mail.go.ext_info_host
PUP.Optional.DriverAgentPlus, [Value] - HKU\S-1-5-21-3112688569-585586772-3143591606-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run | DriverAgent Plus


***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries.

*************************

C:/AdwCleaner/AdwCleaner[C0].txt - [3259 B] - [2018/1/9 21:6:40]
C:/AdwCleaner/AdwCleaner[S0].txt - [3618 B] - [2018/1/9 21:4:51]


########## EOF - C:\AdwCleaner\AdwCleaner[S1].txt ##########

V ADW ještě klikněte na mazání, restartujte a pak dejte nový log FRST.