Zavirovaný pc s pomocí viru yundooo Vyřešeno

Místo pro vaše HiJackThis logy a logy z dalších programů…

Moderátoři: Mods_senior, Security team

Uživatelský avatar
AngelikaB
Level 6
Level 6
Příspěvky: 3135
Registrován: červen 13
Pohlaví: Žena
Stav:
Offline

Zavirovaný pc s pomocí viru yundooo

Příspěvekod AngelikaB » 22 úno 2017 14:39

Zdrravím. Rodiče chtěli si stáhnout nelegálni hru u mně. Stáhli si ji u mně na počítači. A hned sem tu hru smazala. Ačkoliv když si tu nelegálni hru stáhli tak jsem chytila vir. Jménem Yundooo. A také jsem to chytla z Deamonu... Zkoušela jsem to odstranit antiviry a nelze tady logy:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 14:33:11, on 22. 2. 2017
Platform: Unknown Windows (WinNT 6.02.1008)
MSIE: Internet Explorer v11.0 (11.00.9600.18123)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\NVIDIA Corporation\NvContainer\nvcontainer.exe
C:\Program Files (x86)\NVIDIA Corporation\NvNode\NVIDIA Web Helper.exe
C:\Program Files\Malwarebytes\Anti-Malware\mbamtray.exe
C:\Program Files (x86)\Skype\Phone\Skype.exe
C:\Program Files (x86)\Steam\Steam.exe
C:\Program Files (x86)\Bluestacks\HD-Agent.exe
C:\Program Files (x86)\Origin\Origin.exe
C:\WINDOWS\SysWOW64\RunDll32.exe
C:\Program Files\WIDCOMM\Bluetooth Software\Bluetooth Headset Helper.exe
C:\Program Files (x86)\Origin\QtWebEngineProcess.exe
C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe
C:\Users\ASUS\Desktop\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/p/?LinkId=255141
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/p/?LinkId=255141
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/p/?LinkId=255141
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll
O4 - HKLM\..\Run: [WebStorage] C:\Program Files (x86)\ASUS\WebStorage\2.2.12.577\ASUSWSLoader.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKCU\..\Run: [Skype] "C:\Program Files (x86)\Skype\Phone\Skype.exe" /minimized /regrun
O4 - HKCU\..\Run: [Steam] "C:\Program Files (x86)\Steam\steam.exe" -silent
O4 - HKCU\..\Run: [BlueStacks Agent] C:\Program Files (x86)\Bluestacks\HD-Agent.exe
O4 - HKCU\..\Run: [EADM] "C:\Program Files (x86)\Origin\Origin.exe" -AutoStart
O4 - HKCU\..\Run: [DAEMON Tools Lite Automount] "C:\Program Files\DAEMON Tools Lite\DTAgent.exe" -autorun
O4 - HKCU\..\Run: [SysProc] C:\Users\Public\Public\run.vbs
O4 - Global Startup: AsusVibeLauncher.lnk = C:\Program Files (x86)\Asus\AsusVibe\AsusVibeLauncher.exe
O4 - Global Startup: Bluetooth.lnk = ?
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Odeslat do aplikace OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: Od&eslat do aplikace OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O15 - Trusted Zone: http://help.eset.com (HKLM)
O15 - ESC Trusted Zone: http://help.eset.com (HKLM)
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\WINDOWS\System32\alg.exe (file missing)
O23 - Service: @oem15.inf,%BcmBtRSupport.SVCNAME%;Bluetooth Radio Control Service (BcmBtRSupport) - Unknown owner - C:\WINDOWS\system32\BtwRSupportService.exe (file missing)
O23 - Service: BlueStacks Android Service (BstHdAndroidSvc) - BlueStack Systems, Inc. - C:\Program Files (x86)\Bluestacks\HD-Service.exe
O23 - Service: BlueStacks Log Rotator Service (BstHdLogRotatorSvc) - BlueStack Systems, Inc. - C:\Program Files (x86)\Bluestacks\HD-LogRotatorService.exe
O23 - Service: BlueStacks Plus Android Service (BstHdPlusAndroidSvc) - BlueStack Systems, Inc. - C:\Program Files (x86)\Bluestacks\HD-Plus-Service.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\btwdins.exe
O23 - Service: Disc Soft Lite Bus Service - Disc Soft Ltd - C:\Program Files\DAEMON Tools Lite\DiscSoftBusServiceLite.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\WINDOWS\System32\lsass.exe (file missing)
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\WINDOWS\system32\fxssvc.exe (file missing)
O23 - Service: Služba Aktualizace Google (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Služba Aktualizace Google (gupdatem) (gupdatem) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: @%SystemRoot%\system32\ieetwcollectorres.dll,-1000 (IEEtwCollectorService) - Unknown owner - C:\WINDOWS\system32\IEEtwCollector.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: Malwarebytes Service (MBAMService) - Malwarebytes - C:\Program Files\Malwarebytes\Anti-Malware\mbamservice.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\WINDOWS\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: NVIDIA LocalSystem Container (NvContainerLocalSystem) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NvContainer\nvcontainer.exe
O23 - Service: NVIDIA NetworkService Container (NvContainerNetworkService) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NvContainer\nvcontainer.exe
O23 - Service: NVIDIA Display Container LS (NVDisplay.ContainerLocalSystem) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\Display.NvContainer\NVDisplay.Container.exe
O23 - Service: NVIDIA Wireless Controller Service - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\GeForce Experience Service\nvwirelesscontroller.exe
O23 - Service: Origin Client Service - Electronic Arts - C:\Program Files (x86)\Origin\OriginClientService.exe
O23 - Service: Origin Web Helper Service - Electronic Arts - C:\Program Files (x86)\Origin\OriginWebHelperService.exe
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\WINDOWS\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Program Files (x86)\Skype\Updater\Updater.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\WINDOWS\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\WINDOWS\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\WINDOWS\system32\sppsvc.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: TeamViewer 12 (TeamViewer) - TeamViewer GmbH - C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\WINDOWS\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\WINDOWS\System32\vds.exe (file missing)
O23 - Service: @oem22.inf,%ViaKaraokeSrv.SvcDesc%;VIA Karaoke digital mixer Service (VIAKaraokeService) - Unknown owner - C:\WINDOWS\system32\viakaraokesrv.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\WINDOWS\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\WINDOWS\system32\wbengine.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Defender\MpAsDesc.dll,-320 (WdNisSvc) - Unknown owner - C:\Program Files (x86)\Windows Defender\NisSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Defender\MpAsDesc.dll,-310 (WinDefend) - Unknown owner - C:\Program Files (x86)\Windows Defender\MsMpEng.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 9379 bytes

Z malwerebytesu

Malwarebytes
http://www.malwarebytes.com

-Podrobnosti logovacího souboru-
Datum skenování: 22.02.17
Čas skenování: 10:51
Logovací soubor: cc.txt
Správce: Ano

-Informace o softwaru-
Verze: 3.0.6.1469
Verze komponentů: 1.0.50
Aktualizovat verzi balíku komponent: 1.0.1322
Licence: Zkušební

-Systémová informace-
OS: Windows 8.1
CPU: x64
Systém souborů: NTFS
Uživatel: ASUS-PC\ASUS

-Shrnutí skenování-
Typ skenování: Skenování hrozeb (Threat Scan)
Výsledek: Dokončeno
Skenované objekty: 366641
Uplynulý čas: 4 min, 0 sek

-Možnosti skenování-
Paměť: Povoleno
Start: Povoleno
Systém souborů: Povoleno
Archivy: Povoleno
Rootkity: Zakázáno
Heuristika: Povoleno
Potenciálně nežádoucí program: Povoleno
Potenciálně nežádoucí modifikace: Povoleno

-Podrobnosti skenování-
Proces: 1
PUP.Optional.BikaQRssReader, C:\PROGRAM FILES (X86)\BIKAQRSSREADER\BIKAQ.EXE, V karanténě, [4842], [373187],1.0.1322

Modul: 1
PUP.Optional.BikaQRssReader, C:\PROGRAM FILES (X86)\BIKAQRSSREADER\BIKAQ.EXE, V karanténě, [4842], [373187],1.0.1322

Klíč registru: 3
PUP.Optional.ProxyHijacker.BCM, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\NLASVC\PARAMETERS\INTERNET\MANUALPROXIES, V karanténě, [4507], [-1],0.0.0
PUP.Optional.BikaQRssReader, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\BikaQ_FetchAndUpgrade_CanBeDel, V karanténě, [4842], [373194],1.0.1322
PUP.Optional.BikaQRssReader, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{F6C45C4B-893A-4F3E-AB05-EA3DA9FAE155}, V karanténě, [4842], [373193],1.0.1322

Hodnota v registru: 4
PUP.Optional.ProxyHijacker.BCM, HKU\S-1-5-18\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|PROXYENABLE, V karanténě, [4507], [-1],0.0.0
PUP.Optional.ProxyHijacker.BCM, HKU\S-1-5-21-2685584803-2520720662-1230236981-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|PROXYENABLE, Odstranění se nezdařilo, [4507], [-1],0.0.0
PUP.Optional.ProxyHijacker.BCM, HKU\.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|PROXYENABLE, V karanténě, [4507], [-1],0.0.0
PUP.Optional.BikaQRssReader, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{F6C45C4B-893A-4F3E-AB05-EA3DA9FAE155}|PATH, V karanténě, [4842], [373193],1.0.1322

Data registrů: 0
(Nebyly zjištěny žádné škodlivé položky)

Datové proudy: 0
(Nebyly zjištěny žádné škodlivé položky)

Adresář: 2
PUP.Optional.BikaQRssReader, C:\PROGRAM FILES (X86)\BikaQRssReader, V karanténě, [4842], [373187],1.0.1322
PUP.Optional.BikaQRssReader, C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\BIKAQ, V karanténě, [4842], [373188],1.0.1322

Soubor: 10
PUP.Optional.BikaQRssReader, C:\PROGRAM FILES (X86)\BIKAQRSSREADER\BIKAQ.EXE, V karanténě, [4842], [373187],1.0.1322
PUP.Optional.BikaQRssReader, C:\Program Files (x86)\BikaQRssReader\app.bikaQ.config, V karanténě, [4842], [373187],1.0.1322
PUP.Optional.BikaQRssReader, C:\Program Files (x86)\BikaQRssReader\BikaQ.exe.config, V karanténě, [4842], [373187],1.0.1322
PUP.Optional.BikaQRssReader, C:\Program Files (x86)\BikaQRssReader\bikaqhlp.dll, V karanténě, [4842], [373187],1.0.1322
PUP.Optional.BikaQRssReader, C:\Program Files (x86)\BikaQRssReader\Icon.ico, V karanténě, [4842], [373187],1.0.1322
PUP.Optional.BikaQRssReader, C:\Program Files (x86)\BikaQRssReader\Interop.Microsoft.Feeds.Interop.DLL, V karanténě, [4842], [373187],1.0.1322
PUP.Optional.BikaQRssReader, C:\Program Files (x86)\BikaQRssReader\MagicLibrary.DLL, V karanténě, [4842], [373187],1.0.1322
PUP.Optional.BikaQRssReader, C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BikaQ\BikaQ Rss Reader.lnk, V karanténě, [4842], [373188],1.0.1322
Adware.Elex, C:\PROGRAM FILES (X86)\GRAWITION\MGLOBAL.DLL, V karanténě, [305], [372847],1.0.1322
PUP.Optional.BikaQRssReader, C:\WINDOWS\SYSTEM32\TASKS\BIKAQ_FETCHANDUPGRADE_CANBEDEL, V karanténě, [4842], [373195],1.0.1322

Fyzický sektor: 0
(Nebyly zjištěny žádné škodlivé položky)


(end)

A pak z adware jsem mazala taky

# AdwCleaner v6.043 - Log vytvořen 22/02/2017 v 11:06:11
# Aktualizováno dne 27/01/2017 z Malwarebytes
# Databáze : 2017-02-20.3 [Server]
# Operační systém : Windows 8.1 (X64)
# Uživatelské jméno : ASUS - ASUS-PC
# Spuštěno z : C:\Users\ASUS\Desktop\adwcleaner_6.043.exe
# Mod: Čištění
# Podpora : https://www.malwarebytes.com/support



***** [ Služby ] *****



***** [ Složky ] *****



***** [ Soubory ] *****



***** [ DLL ] *****



***** [ WMI ] *****



***** [ Zástupci ] *****



***** [ Naplánované úlohy ] *****



***** [ Registry ] *****

[-] Klíč smazán: HKU\.DEFAULT\Software\ecb`nl
[#] Klíč smazán po restartu: HKU\S-1-5-18\Software\ecb`nl
[-] Klíč smazán: HKLM\SOFTWARE\ecb`nl
[-] Klíč smazán: [x64] HKLM\SOFTWARE\ecb`nl


***** [ Prohlížeče ] *****

[-] [C:\Users\ASUS\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Web data] [Search Provider] Smazáno: youndoo


*************************

:: "Tracing" klíče smazány
:: Winsock nastavení vyčištěno

*************************

C:\AdwCleaner\AdwCleaner[C0].txt - [1941 Bajty] - [19/02/2017 00:30:33]
C:\AdwCleaner\AdwCleaner[C2].txt - [1482 Bajty] - [19/02/2017 12:26:39]
C:\AdwCleaner\AdwCleaner[C3].txt - [1628 Bajty] - [19/02/2017 12:51:19]
C:\AdwCleaner\AdwCleaner[C4].txt - [1324 Bajty] - [22/02/2017 11:06:11]
C:\AdwCleaner\AdwCleaner[S0].txt - [2123 Bajty] - [19/02/2017 00:30:00]
C:\AdwCleaner\AdwCleaner[S1].txt - [1674 Bajty] - [19/02/2017 12:11:35]
C:\AdwCleaner\AdwCleaner[S2].txt - [1820 Bajty] - [19/02/2017 12:50:47]
C:\AdwCleaner\AdwCleaner[S3].txt - [1964 Bajty] - [22/02/2017 11:03:26]

########## EOF - C:\AdwCleaner\AdwCleaner[C4].txt - [1689 Bajty] ##########

+ eset
Čas;Skener;Typ objektu;Objekt;Hrozba;Akce;Uživatel;Informace;Hash;První výskyt
22. 2. 2017 14:29:30;Rezidentní ochrana souborového systému;soubor;C:\Program Files (x86)\w8i3w1l6\{52706E7B-CFBE-42A8-81B6-F36D99DD3A56}\w9c0qzdw.ysv;Win32/Adware.ELEX.FI aplikace;vyléčen smazáním;NT AUTHORITY\SYSTEM;Tato událost nastala na nově vytvořeném souboru aplikace: C:\Program Files (x86)\Grawition\qderch.exe (9235AB9D04E5ED1BD499AA86C4AEA8426E6E8385).;116A240E8B66E7601B89DEC393190828A3B26148;22. 2. 2017 14:29:28

Čas;Skener;Typ objektu;Objekt;Hrozba;Akce;Uživatel;Informace;Hash;První výskyt
22. 2. 2017 8:27:14;Pokročilá kontrola paměti;soubor;Operační paměť » qderch.exe(4548);varianta infiltrace Win32/Obfuscated.NGT trojský kůň;vyléčen - obsahoval infikované soubory;;;5ED8A0E25708CCA1CE994CA7259FF53C2F9C3A6C;

Čas;Skener;Typ objektu;Objekt;Hrozba;Akce;Uživatel;Informace;Hash;První výskyt
22. 2. 2017 8:25:41;Pokročilá kontrola paměti;soubor;Operační paměť » qderch.exe(3080);varianta infiltrace Win32/Obfuscated.NGT trojský kůň;vyléčen - obsahoval infikované soubory;;;0866285913B4AB41CA9415C32B32D180603D4041;

Čas;Skener;Typ objektu;Objekt;Hrozba;Akce;Uživatel;Informace;Hash;První výskyt
21. 2. 2017 20:27:16;Pokročilá kontrola paměti;soubor;Operační paměť » qderch.exe(5920);varianta infiltrace Win32/Obfuscated.NGT trojský kůň;vyléčen - obsahoval infikované soubory;;;5E24CD7087DA94D7C02B66B3586DDF8F197C22FA;

Čas;Skener;Typ objektu;Objekt;Hrozba;Akce;Uživatel;Informace;Hash;První výskyt
21. 2. 2017 16:27:18;Pokročilá kontrola paměti;soubor;Operační paměť » qderch.exe(6152);varianta infiltrace Win32/Obfuscated.NGT trojský kůň;vyléčen - obsahoval infikované soubory;;;CC232B3DBEFD6ADF42D2787438477C04E8981AF4;

Čas;Skener;Typ objektu;Objekt;Hrozba;Akce;Uživatel;Informace;Hash;První výskyt
21. 2. 2017 10:03:59;Rezidentní ochrana souborového systému;soubor;C:\Program Files (x86)\Grawition\_ALLOWDEL_8d825c3\Lancer.dll;varianta infiltrace Win32/Adware.ELEX.DT aplikace;vyléčen smazáním;NT AUTHORITY\SYSTEM;Tato událost nastala na souboru, který byl modifikován aplikací: C:\Program Files (x86)\Grawition\qderch.exe (9235AB9D04E5ED1BD499AA86C4AEA8426E6E8385).;95A2F9D788111AB5D12DCC988E6F062A652957EB;21. 2. 2017 10:03:56

Čas;Skener;Typ objektu;Objekt;Hrozba;Akce;Uživatel;Informace;Hash;První výskyt
21. 2. 2017 10:03:41;Kontrola při startu;soubor;Operační paměť » qderch.exe(3328);varianta infiltrace Win32/Obfuscated.NGT trojský kůň;vyléčen smazáním;;;84A6C49122AABC7E0AB9F40BE3412E1B5B03979B;

Čas;Skener;Typ objektu;Objekt;Hrozba;Akce;Uživatel;Informace;Hash;První výskyt
21. 2. 2017 10:03:40;Kontrola při startu;soubor;Operační paměť » qderch.exe(3328);varianta infiltrace Win32/Obfuscated.NGT trojský kůň;vyléčen smazáním;;;4986D9CCC003ED62CAD1CEF603653178B68138A9;

Čas;Skener;Typ objektu;Objekt;Hrozba;Akce;Uživatel;Informace;Hash;První výskyt
19. 2. 2017 10:50:59;Kontrola při startu;soubor;Operační paměť » C:\Program Files (x86)\Dokeingplertaght Center\local64spl.dll;varianta infiltrace Win64/Adware.ELEX.O aplikace;vyléčen smazáním (po nejbližším restartu);;;0DD7224321190824524711AD634874A5037C4670;19. 2. 2017 0:27:14

Čas;Skener;Typ objektu;Objekt;Hrozba;Akce;Uživatel;Informace;Hash;První výskyt
19. 2. 2017 9:53:10;Kontrola při startu;soubor;Operační paměť » C:\Program Files (x86)\Dokeingplertaght Center\local64spl.dll;varianta infiltrace Win64/Adware.ELEX.O aplikace;vyléčen smazáním (po nejbližším restartu);;;0DD7224321190824524711AD634874A5037C4670;19. 2. 2017 0:27:14

Čas;Skener;Typ objektu;Objekt;Hrozba;Akce;Uživatel;Informace;Hash;První výskyt
19. 2. 2017 1:05:15;Kontrola při startu;soubor;Operační paměť » C:\Program Files (x86)\Dokeingplertaght Center\local64spl.dll;varianta infiltrace Win64/Adware.ELEX.O aplikace;vyléčen smazáním (po nejbližším restartu);;;0DD7224321190824524711AD634874A5037C4670;19. 2. 2017 0:27:14

Čas;Skener;Typ objektu;Objekt;Hrozba;Akce;Uživatel;Informace;Hash;První výskyt
19. 2. 2017 1:05:14;Kontrola při startu;soubor;C:\Program Files (x86)\Grawition\Gergickatiusy.dll;varianta infiltrace Win64/Adware.ELEX.J aplikace;vyléčen smazáním;;;DCDD3840F2DB12BCEBE4BFCD367BEC207E4A8571;19. 2. 2017 0:27:06

Čas;Skener;Typ objektu;Objekt;Hrozba;Akce;Uživatel;Informace;Hash;První výskyt
19. 2. 2017 1:05:09;Rezidentní ochrana souborového systému;soubor;C:\Program Files (x86)\Dokeingplertaght Center\local64spl.dll;varianta infiltrace Win64/Adware.ELEX.O aplikace;vyléčen smazáním (po nejbližším restartu);NT AUTHORITY\SYSTEM;Tato událost nastala při pokusu o spuštění souboru aplikace: C:\Windows\System32\spoolsv.exe (E7AC2C6383E8FD247F3D86CCA139FCDD33901E35).;0DD7224321190824524711AD634874A5037C4670;19. 2. 2017 0:27:14

Čas;Skener;Typ objektu;Objekt;Hrozba;Akce;Uživatel;Informace;Hash;První výskyt
19. 2. 2017 1:05:09;Kontrola při startu;soubor;Operační paměť » C:\Program Files (x86)\Dokeingplertaght Center\local64spl.dll;varianta infiltrace Win64/Adware.ELEX.O aplikace;vyléčen smazáním (po nejbližším restartu);;;0DD7224321190824524711AD634874A5037C4670;19. 2. 2017 0:27:14

Reklama
Uživatelský avatar
jerabina
člen Security týmu
Level 6
Level 6
Příspěvky: 3647
Registrován: březen 13
Bydliště: Litoměřice
Pohlaví: Muž
Stav:
Offline

Re: Zavirovaný pc s pomocí viru yundooo

Příspěvekod jerabina » 22 úno 2017 18:02

Zdravím, podíváme se na to.

Sophos Virus Removal Tool je praktický softwarový nástroj, který by mohl odstranit infekce, které antivirový program nedetekuje .
Stáhněte si ho zde z některého odkazu:
http://www.majorgeeks.com/mg/get/sophos ... ool,1.html
http://www.majorgeeks.com/mg/getmirror/ ... ool,1.html
http://www.majorgeeks.com/mg/getmirror/ ... ool,2.html

Viry mohou zpomalit počítač, nebo se snaží ukrást vaše data, a ani nevíte , že je máte. Co potřebujete, je rychlý a snadný způsob, jak je najít a zbavit se jich, pokud již máte antivirový program v počítači nainstalován , můžete nainstalovat i nástroj Sophos Virus Removal , který identifikuje a vyčistí zbylé infekce, které mohl Váš antivirový program přehlédnout.
K použití Sophos Virus Removal Tool na něj poklepejte a stiskněte tlačítko „Start scanning“ . Pak bude Sophos Virus Removal Tool vyhledávat a odstraňovat viry, které najde. Může být vyžadován restart.

Stáhni si Junkware Removal Tool by Thisisu
http://www.bleepingcomputer.com/downloa ... oval-tool/
na svojí plochu.

Deaktivuj si svůj antivirový program. Pravým tl. myši klikni na JRT.exe a vyber „spustit jako správce“. Pro pokračování budeš vyzván ke stisknutí jakékoliv klávesy. Na nějakou klikni.
Začne skenování programu. Skenování může trvat dloho , podle množství nákaz. Po ukončení skenu se objeví log (JRT.txt) , který se uloží na ploše.
Zkopíruj sem prosím celý jeho obsah.

Stáhni si RogueKiller by Adlice Software
32bit.:
http://www.adlice.com/download/roguekil ... HlwZT14ODY

64bit.:
http://www.adlice.com/download/roguekil ... HlwZT14NjQ
na svojí plochu.
- Zavři všechny ostatní programy a prohlížeče.
- Pro OS Vista a win7,8,10 spusť program RogueKiller.exe jako správce , u XP poklepáním.
- klikni na „Start Scan“. V novém okně nic neměň a klikni dole na „Start Scan“
- Program skenuje procesy PC. Po proskenování klikni na „Open Report “ , v okně pak na „Open TXT“ a celý obsah logu sem zkopíruj.
Pokud je program blokován , zkus ho spustit několikrát. Pokud dále program nepůjde spustit a pracovat, přejmenuj ho na winlogon.exe.
-pokud bude mít log více než 60.000 znaků , rozděl ho a vlož do více příspěvků
Když nevíš jak dál, přichází na řadu prostudovat manuál!
HJT návod

Pokud neodpovídám do vašich témat v sekci HJT když jsem online, tak je to jen proto, že jsem na mobilu kde je studování logů a psaní skriptů nemožné. Neberte to tedy prosím jako ignoraci.

Uživatelský avatar
AngelikaB
Level 6
Level 6
Příspěvky: 3135
Registrován: červen 13
Pohlaví: Žena
Stav:
Offline

Re: Zavirovaný pc s pomocí viru yundooo

Příspěvekod AngelikaB » 23 úno 2017 13:57

Ahoj. Začla jsem kontrolovat ten počítač. Teď to teprv projíždím Sophosem. Akorát mi furt eset ukazuje toto: Dookola
Přílohy
Bez názvu.png

Uživatelský avatar
AngelikaB
Level 6
Level 6
Příspěvky: 3135
Registrován: červen 13
Pohlaví: Žena
Stav:
Offline

Re: Zavirovaný pc s pomocí viru yundooo

Příspěvekod AngelikaB » 23 úno 2017 16:09

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Malwarebytes
Version: 8.1.0 (12.05.2016)
Operating System: Windows 8.1 x64
Ran by ASUS (Administrator) on źt 23. 02. 2017 at 15:31:17,01
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




File System: 0




Registry: 0





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on źt 23. 02. 2017 at 15:33:35,30
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Uživatelský avatar
AngelikaB
Level 6
Level 6
Příspěvky: 3135
Registrován: červen 13
Pohlaví: Žena
Stav:
Offline

Re: Zavirovaný pc s pomocí viru yundooo

Příspěvekod AngelikaB » 23 úno 2017 16:09

RogueKiller V12.9.7.0 (x64) [Feb 6 2017] (Free) by Adlice Software
mail : http://www.adlice.com/contact/
Feedback : http://forum.adlice.com
Webová stránka : http://www.adlice.com/download/roguekiller/
Blog : http://www.adlice.com

Operační systém : Windows 8.1 (6.3.9600) 64 bits version
Spuštěno : Normální režim
Uživatel : ASUS [Práva správce]
Started from : C:\Users\ASUS\Desktop\RogueKillerX64.exe
Mód : Prohledat -- Datum : 02/23/2017 15:35:52 (Duration : 00:31:01)

¤¤¤ Procesy : 0 ¤¤¤

¤¤¤ Registry : 0 ¤¤¤

¤¤¤ Úlohy : 0 ¤¤¤

¤¤¤ Soubory : 0 ¤¤¤

¤¤¤ WMI : 0 ¤¤¤

¤¤¤ Soubor HOSTS : 0 ¤¤¤

¤¤¤ Antirootkit : 0 (Driver: Nahrán) ¤¤¤

¤¤¤ Webové prohlížeče : 0 ¤¤¤

¤¤¤ Kontrola MBR : ¤¤¤
+++++ PhysicalDrive0: WDC WD5000AAKS-00WWPA0 ATA Device +++++
--- User ---
[MBR] 4ead84c4d0027626fa6caf643eb9f5e0
[BSP] 6eff256dcfd612979d12f3d77a729d44 : Windows Vista/7/8 MBR Code
Partition table:
0 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 476936 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
User = LL1 ... OK
User = LL2 ... OK

+++++ PhysicalDrive1: WDC WD7500BPKX-75HPJT0 ATA Device +++++
--- User ---
[MBR] 0e0868176e423cb0c15b2ea1241a553c
[BSP] 43355f39f94e80ea28f5776a76340893 : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 350 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 718848 | Size: 414602 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
2 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 849823744 | Size: 450 MB
3 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 850747392 | Size: 299999 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
User = LL1 ... OK
User = LL2 ... OK

+++++ PhysicalDrive2: Hitachi HTS725050A9A364 ATA Device +++++
--- User ---
[MBR] f95bce627129f31c4ca42ef074eab8a9
[BSP] 2eed584c596f6a8dafcabc6911de0709 : Linux MBR Code
Partition table:
0 - | Offset (sectors): 34 | Size: 0 MB
1 - Basic data partition | Offset (sectors): 2048 | Size: 476938 MB
User = LL1 ... OK
User = LL2 ... OK

Uživatelský avatar
Orcus
člen Security týmu
Elite Level 10.5
Elite Level 10.5
Příspěvky: 10645
Registrován: duben 10
Bydliště: Okolo rostou 3 růže =o)
Pohlaví: Muž
Stav:
Offline

Re: Zavirovaný pc s pomocí viru yundooo

Příspěvekod Orcus » 23 úno 2017 17:15

Eset - deaktivuj a spusť znova Sophos.
Láska hřeje, ale uhlí je uhlí. :fire:



Log z HJT vkládejte do HJT sekce. Je-li moc dlouhý, rozděl jej do více zpráv.

Pár rad k bezpečnosti PC.

Po dobu mé nepřítomnosti mě zastupuje memphisto, jaro3 a Diallix

Pokud budete spokojeni , můžete podpořit naše fórum.

Uživatelský avatar
AngelikaB
Level 6
Level 6
Příspěvky: 3135
Registrován: červen 13
Pohlaví: Žena
Stav:
Offline

Re: Zavirovaný pc s pomocí viru yundooo

Příspěvekod AngelikaB » 23 úno 2017 17:25

Eset jsem deaktivovala. Sophos dojel nenašel nic.

Uživatelský avatar
jaro3
člen Security týmu
Guru Level 15
Guru Level 15
Příspěvky: 43054
Registrován: červen 07
Bydliště: Jižní Čechy
Pohlaví: Muž
Stav:
Offline

Re: Zavirovaný pc s pomocí viru yundooo

Příspěvekod jaro3 » 23 úno 2017 18:51

Stáhni si Zemana AntiMalware Free z tohoto odkazu:
https://www.zemana.com/Download/AntiMal ... .Setup.exe
a ulož si ho na plochu.
Poklepej na tento soubor na ploše a postupuj podle pokynů k instalaci programu.
Přijmi licenci k používání programu EULA , pokud se nabídne.
Pokud je k dispozici aktualizace programu , klepni na tlačítko „Update now“ ( aktualizovat nyní).
Na konci klepni na tlačítko Nastavení (ozubené kolo v rohu)> Advanced> ""
- "Přečetl jsem si upozornění a chci pokračovat stejně .....
Zaškrtnutí Auto Launch
Nezaškrtnutí Auto upload
Zaškrtnutí All Browser Extensions (Všechna rozšíření prohlížeče)
Inteligentní nastavení skenování jako náhrada za hloubkové prověření
Zavři všechny otevřené soubory, složky a prohlížeče
Klepni na tlačítko Scan now (Skenovat) a začne sken hrozeb.
Když je skenování dokončeno, objeví se tisková zpráva , zkopíruj sem celý obsah té zprávy.

Vypni antivir i firewall.
Stáhni
Zoek.exe
http://download.bleepingcomputer.com/smeenk/
a uloz si ho na plochu.
Zavři všechny ostatní programy , okna i prohlížeče.
Spusť Zoek.exe ( u win vista , win7, 8 klikni na něj pravým a vyber : „Spustit jako správce“
-pozor , náběh programu může trvat déle.

Do okna programu vlož skript níže:

Kód: Vybrat vše

autoclean;
emptyclsid;
iedefaults;
FFdefaults;
CHRdefaults;
emptyalltemp;
resethosts;


klikni na Run Script
Program provede sken , opravu, sken i oprava může trvat i více minut ,je třeba posečkat do konce. Do okna neklikej!
Program nabídne restart , potvrď .

Po restartu se může nějaký čas ukázat pouze černá plocha , to je normální. Je třeba počkat až se vytvoří log. Ten si můžeš uložit třeba do dokumentů , jinak se sám ukládá do:
C:\zoek-results.log
Zkopíruj sem celý obsah toho logu.

Vlož nový log z HJT + informuj o problémech
Při práci s programy HJT, ComboFix,MbAM, SDFix aj. zavřete všechny ostatní aplikace a prohlížeče!
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra

Uživatelský avatar
AngelikaB
Level 6
Level 6
Příspěvky: 3135
Registrován: červen 13
Pohlaví: Žena
Stav:
Offline

Re: Zavirovaný pc s pomocí viru yundooo

Příspěvekod AngelikaB » 23 úno 2017 20:09

Soubor hosts
Status : Skenováno
Object : %systemroot%\system32\drivers\etc\hosts
MD5 : B6570DD700B98A1EEDDF48A7EFC232F1
Publisher : -
Size : 913
Version : -
Detection : Změna v hosts souboru
Cleaning Action : Opravit
Related Objects :
Soubor hosts - 127.0.0.1 - ft.com
Soubor - %systemroot%\system32\drivers\etc\hosts


Chrome Shortcut
Status : Skenováno
Object : --profile-directory=ChromeDefaultData
MD5 : -
Publisher : -
Size : -
Version : -
Detection : Podezřelé nastavení prohlížeče
Cleaning Action : Opravit
Related Objects :
Nastavení prohlížeče - Chrome Shortcut

Uživatelský avatar
AngelikaB
Level 6
Level 6
Příspěvky: 3135
Registrován: červen 13
Pohlaví: Žena
Stav:
Offline

Re: Zavirovaný pc s pomocí viru yundooo

Příspěvekod AngelikaB » 23 úno 2017 20:44

Zoek.exe v5.0.0.1 Updated 27-09-2015
Tool run by ASUS on źt 23. 02. 2017 at 20:12:55,35.
Microsoft Windows 8.1 6.3.9600 x64
Running in: Normal Mode No Internet Access Detected
Launched: C:\Users\ASUS\Desktop\zoek.exe [Scan all users] [Script inserted]

==== System Restore Info ======================

23. 2. 2017 20:13:51 Zoek.exe System Restore Point Created Successfully.

==== Reset Hosts File ======================

# Copyright (c) 1993-2006 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost

==== Empty Folders Check ======================

C:\PROGRA~3\ALM deleted successfully
C:\PROGRA~3\BlueStacksSetup deleted successfully
C:\Users\ASUS\AppData\Roaming\Mozilla deleted successfully
C:\Users\ASUS\AppData\Roaming\Publish Providers deleted successfully
C:\Users\ASUS\AppData\Roaming\Qvalygritether deleted successfully
C:\Users\ASUS\AppData\Local\EmieSiteList deleted successfully
C:\Users\ASUS\AppData\Local\EmieUserList deleted successfully
C:\Users\ASUS\AppData\Local\Troubleshooter deleted successfully

==== Deleting CLSID Registry Keys ======================

HKEY_USERS\S-1-5-21-2685584803-2520720662-1230236981-1001\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{5B17DABE-986D-4E2E-9173-9A7B3F99BBF9} deleted successfully
HKEY_USERS\S-1-5-21-2685584803-2520720662-1230236981-1001\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{92B194B7-121F-4A58-B858-769A0180FDEC} deleted successfully

==== Deleting CLSID Registry Values ======================


==== Deleting Services ======================


==== Deleting Files \ Folders ======================

C:\PROGRA~2\VstPlugins deleted
C:\Users\ASUS\.android deleted
C:\PROGRA~3\Package Cache deleted
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Search.lnk deleted
C:\WINDOWS\SysNative\config\systemprofile\Searches deleted
C:\windows\SysNative\GroupPolicy\Machine deleted
C:\windows\SysNative\GroupPolicy\User deleted
C:\Users\ASUS\Desktop\4K Video Downloader.lnk deleted

==== Chromium Look ======================


==== Set IE to Default ======================

Old Values:
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://go.microsoft.com/fwlink/p/?LinkId=255141"

New Values:
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="http://go.microsoft.com/fwlink/p/?LinkId=255141"

==== All HKCU SearchScopes ======================

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
{012E1000-F331-11DB-8314-0800200C9A66} Google Url="http://www.google.com/search?q={searchTerms}"
{0633EE93-D776-472f-A0FF-E1416B8B2E3A} Bing Url="http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IESR02"

==== Reset Google Chrome ======================

Nothing found to reset

==== Deleting Registry Keys ======================

HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Electronic Arts Game Updater deleted successfully

==== Empty IE Cache ======================

C:\WINDOWS\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5 emptied successfully
C:\Users\ASUS\AppData\Local\Microsoft\Windows\INetCache\Content.IE5 emptied successfully
C:\Users\ASUS\AppData\Local\Microsoft\Windows\INetCache\Low\Content.IE5 emptied successfully
C:\WINDOWS\SysNative\config\systemprofile\AppData\Local\Microsoft\Windows\INetCache\Content.IE5 emptied successfully
C:\WINDOWS\sysWoW64\config\systemprofile\AppData\Local\Microsoft\Windows\INetCache\Content.IE5 emptied successfully
C:\WINDOWS\sysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\INetCache\Content.IE5 emptied successfully
C:\Users\ASUS\AppData\Local\Microsoft\Windows\INetCache\Low\IE emptied successfully
C:\WINDOWS\SysNative\config\systemprofile\AppData\Local\Microsoft\Windows\INetCache\IE emptied successfully
C:\WINDOWS\sysWoW64\config\systemprofile\AppData\Local\Microsoft\Windows\INetCache\IE emptied successfully
C:\Users\ASUS\AppData\Local\Microsoft\Windows\INetCache\IE\7S1ION8M will be deleted at reboot
C:\Users\ASUS\AppData\Local\Microsoft\Windows\INetCache\IE\LS3WVZNT will be deleted at reboot
C:\Users\ASUS\AppData\Local\Microsoft\Windows\INetCache\IE\SSM3M246 will be deleted at reboot

==== Empty FireFox Cache ======================

No FireFox Profiles found

==== Empty Chrome Cache ======================

No Chrome User Data found

==== Empty All Flash Cache ======================

Flash Cache Emptied Successfully

==== Empty All Java Cache ======================

No Java Cache Found

==== C:\zoek_backup content ======================

C:\zoek_backup (files=39 folders=45 41742325 bytes)

==== Empty Temp Folders ======================

C:\Users\ASUS\AppData\Local\Temp will be emptied at reboot
C:\Users\Default\AppData\Local\Temp emptied successfully
C:\Users\Default User\AppData\Local\Temp emptied successfully
C:\WINDOWS\serviceprofiles\networkservice\AppData\Local\Temp emptied successfully
C:\WINDOWS\serviceprofiles\Localservice\AppData\Local\Temp emptied successfully
C:\WINDOWS\Temp will be emptied at reboot

==== After Reboot ======================

==== Empty Temp Folders ======================

C:\WINDOWS\Temp successfully emptied
C:\Users\ASUS\AppData\Local\Temp successfully emptied

==== Empty Recycle Bin ======================

C:\$RECYCLE.BIN successfully emptied

==== Deleting Files / Folders ======================

"C:\Users\ASUS\AppData\Local\Microsoft\Windows\INetCache\IE\7S1ION8M" not found
"C:\Users\ASUS\AppData\Local\Microsoft\Windows\INetCache\IE\LS3WVZNT" not found
"C:\Users\ASUS\AppData\Local\Microsoft\Windows\INetCache\IE\SSM3M246" not found

==== EOF on źt 23. 02. 2017 at 20:41:36,58 ======================

Uživatelský avatar
AngelikaB
Level 6
Level 6
Příspěvky: 3135
Registrován: červen 13
Pohlaví: Žena
Stav:
Offline

Re: Zavirovaný pc s pomocí viru yundooo

Příspěvekod AngelikaB » 23 úno 2017 20:46

Při spuštění zase mi vypsal eset problém. Pošlu vám co mi napsal

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 20:45:17, on 23. 2. 2017
Platform: Unknown Windows (WinNT 6.02.1008)
MSIE: Internet Explorer v11.0 (11.00.9600.18123)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\NVIDIA Corporation\NvContainer\nvcontainer.exe
C:\Program Files (x86)\NVIDIA Corporation\NvNode\NVIDIA Web Helper.exe
C:\Program Files\Malwarebytes\Anti-Malware\mbamtray.exe
C:\Program Files (x86)\Zemana AntiMalware\ZAM.exe
C:\Program Files (x86)\Skype\Phone\Skype.exe
C:\Program Files (x86)\Bluestacks\HD-Agent.exe
C:\Program Files (x86)\Origin\Origin.exe
C:\Program Files (x86)\Asus\WebStorage\2.2.12.577\ASUSWSLoader.exe
C:\WINDOWS\SysWOW64\RunDll32.exe
C:\Program Files\WIDCOMM\Bluetooth Software\Bluetooth Headset Helper.exe
C:\Program Files (x86)\Origin\QtWebEngineProcess.exe
C:\Users\ASUS\Desktop\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/p/?LinkId=255141
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/p/?LinkId=255141
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/p/?LinkId=255141
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll
O4 - HKLM\..\Run: [WebStorage] C:\Program Files (x86)\ASUS\WebStorage\2.2.12.577\ASUSWSLoader.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKCU\..\Run: [Skype] "C:\Program Files (x86)\Skype\Phone\Skype.exe" /minimized /regrun
O4 - HKCU\..\Run: [Steam] "C:\Program Files (x86)\Steam\steam.exe" -silent
O4 - HKCU\..\Run: [BlueStacks Agent] C:\Program Files (x86)\Bluestacks\HD-Agent.exe
O4 - HKCU\..\Run: [EADM] "C:\Program Files (x86)\Origin\Origin.exe" -AutoStart
O4 - HKCU\..\Run: [DAEMON Tools Lite Automount] "C:\Program Files\DAEMON Tools Lite\DTAgent.exe" -autorun
O4 - HKCU\..\Run: [SysProc] C:\Users\Public\Public\run.vbs
O4 - Global Startup: AsusVibeLauncher.lnk = C:\Program Files (x86)\Asus\AsusVibe\AsusVibeLauncher.exe
O4 - Global Startup: Bluetooth.lnk = ?
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Odeslat do aplikace OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: Od&eslat do aplikace OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O15 - Trusted Zone: http://help.eset.com (HKLM)
O15 - ESC Trusted Zone: http://help.eset.com (HKLM)
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\WINDOWS\System32\alg.exe (file missing)
O23 - Service: @oem15.inf,%BcmBtRSupport.SVCNAME%;Bluetooth Radio Control Service (BcmBtRSupport) - Unknown owner - C:\WINDOWS\system32\BtwRSupportService.exe (file missing)
O23 - Service: BlueStacks Android Service (BstHdAndroidSvc) - BlueStack Systems, Inc. - C:\Program Files (x86)\Bluestacks\HD-Service.exe
O23 - Service: BlueStacks Log Rotator Service (BstHdLogRotatorSvc) - BlueStack Systems, Inc. - C:\Program Files (x86)\Bluestacks\HD-LogRotatorService.exe
O23 - Service: BlueStacks Plus Android Service (BstHdPlusAndroidSvc) - BlueStack Systems, Inc. - C:\Program Files (x86)\Bluestacks\HD-Plus-Service.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\btwdins.exe
O23 - Service: Disc Soft Lite Bus Service - Disc Soft Ltd - C:\Program Files\DAEMON Tools Lite\DiscSoftBusServiceLite.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\WINDOWS\System32\lsass.exe (file missing)
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\WINDOWS\system32\fxssvc.exe (file missing)
O23 - Service: Služba Aktualizace Google (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Služba Aktualizace Google (gupdatem) (gupdatem) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: @%SystemRoot%\system32\ieetwcollectorres.dll,-1000 (IEEtwCollectorService) - Unknown owner - C:\WINDOWS\system32\IEEtwCollector.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: Malwarebytes Service (MBAMService) - Malwarebytes - C:\Program Files\Malwarebytes\Anti-Malware\mbamservice.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\WINDOWS\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: NVIDIA LocalSystem Container (NvContainerLocalSystem) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NvContainer\nvcontainer.exe
O23 - Service: NVIDIA NetworkService Container (NvContainerNetworkService) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NvContainer\nvcontainer.exe
O23 - Service: NVIDIA Display Container LS (NVDisplay.ContainerLocalSystem) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\Display.NvContainer\NVDisplay.Container.exe
O23 - Service: NVIDIA Wireless Controller Service - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\GeForce Experience Service\nvwirelesscontroller.exe
O23 - Service: Origin Client Service - Electronic Arts - C:\Program Files (x86)\Origin\OriginClientService.exe
O23 - Service: Origin Web Helper Service - Electronic Arts - C:\Program Files (x86)\Origin\OriginWebHelperService.exe
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\WINDOWS\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Program Files (x86)\Skype\Updater\Updater.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\WINDOWS\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\WINDOWS\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\WINDOWS\system32\sppsvc.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: TeamViewer 12 (TeamViewer) - TeamViewer GmbH - C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\WINDOWS\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\WINDOWS\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\WINDOWS\System32\vds.exe (file missing)
O23 - Service: @oem22.inf,%ViaKaraokeSrv.SvcDesc%;VIA Karaoke digital mixer Service (VIAKaraokeService) - Unknown owner - C:\WINDOWS\system32\viakaraokesrv.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\WINDOWS\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\WINDOWS\system32\wbengine.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Defender\MpAsDesc.dll,-320 (WdNisSvc) - Unknown owner - C:\Program Files (x86)\Windows Defender\NisSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Defender\MpAsDesc.dll,-310 (WinDefend) - Unknown owner - C:\Program Files (x86)\Windows Defender\MsMpEng.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)
O23 - Service: ZAM Controller Service (ZAMSvc) - Copyright 2017. - C:\Program Files (x86)\Zemana AntiMalware\ZAM.exe

--
End of file - 9510 bytes

Uživatelský avatar
AngelikaB
Level 6
Level 6
Příspěvky: 3135
Registrován: červen 13
Pohlaví: Žena
Stav:
Offline

Re: Zavirovaný pc s pomocí viru yundooo

Příspěvekod AngelikaB » 23 úno 2017 20:46

Čas;Skener;Typ objektu;Objekt;Hrozba;Akce;Uživatel;Informace;Hash;První výskyt
23. 2. 2017 20:27:19;Rezidentní ochrana souborového systému;soubor;C:\Program Files (x86)\w8i3w1l6\{81A763DE-981D-4067-93F1-D2D41EEA1CC9}\w9c0qzdw.ysv;varianta infiltrace Win32/Adware.ELEX.FI aplikace;vyléčen smazáním;NT AUTHORITY\SYSTEM;Tato událost nastala na nově vytvořeném souboru aplikace: C:\Program Files (x86)\Grawition\qderch.exe (9235AB9D04E5ED1BD499AA86C4AEA8426E6E8385).;E96BE52A2B421136D52BA0C539FAA4913250C2CD;23. 2. 2017 20:27:17

Čas;Skener;Typ objektu;Objekt;Hrozba;Akce;Uživatel;Informace;Hash;První výskyt
23. 2. 2017 16:27:20;Rezidentní ochrana souborového systému;soubor;C:\Program Files (x86)\w8i3w1l6\{CE3E1F86-5FFB-46B3-99EE-6FEB90991064}\w9c0qzdw.ysv;varianta infiltrace Win32/Adware.ELEX.FI aplikace;vyléčen smazáním;NT AUTHORITY\SYSTEM;Tato událost nastala na nově vytvořeném souboru aplikace: C:\Program Files (x86)\Grawition\qderch.exe (9235AB9D04E5ED1BD499AA86C4AEA8426E6E8385).;E96BE52A2B421136D52BA0C539FAA4913250C2CD;23. 2. 2017 20:30:10


Zpět na “HiJackThis”

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 11 hostů