Prosim o kontrolu logu

[jkim]

Fix result of Farbar Recovery Scan Tool (x64) Version: 20.06.2018
Ran by JitKae (03-07-2018 22:19:35) Run:1
Running from C:\Users\JitKae\Desktop
Loaded Profiles: JitKae (Available Profiles: JitKae)
Boot Mode: Normal
==============================================

fixlist content:
*****************
Start
CloseProcesses:
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = %11%\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=
O1 - Hosts: ::1 localhost
O4 - HKUS\S-1-5-19\..\RunOnce: [WAB Migrate] %ProgramFiles%\Windows Mail\wab.exe /Upgrade (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [WAB Migrate] %ProgramFiles%\Windows Mail\wab.exe /Upgrade (User 'NETWORK SERVICE')
SearchScopes: HKU\S-1-5-21-1169072027-563865220-1595250771-1001 -> {012E1000-F331-11DB-8314-0800200C9A66} URL = hxxp://www.google.com/search?q={searchTerms}
C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job
Task: C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job => C:\WINDOWS\explorer.exe

EmptyTemp:
End
*****************

Processes closed successfully.
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = => Error: No automatic fix found for this entry.
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = => Error: No automatic fix found for this entry.
HKLM\Software\\Microsoft\Internet Explorer\Main\\Local Page => value restored successfully
HKLM\Software\\Microsoft\Internet Explorer\Main\\Local Page => value restored successfully
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local => Error: No automatic fix found for this entry.
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = => Error: No automatic fix found for this entry.
F2 - REG:system.ini: UserInit= => Error: No automatic fix found for this entry.
O1 - Hosts: ::1 localhost => Error: No automatic fix found for this entry.
O4 - HKUS\S-1-5-19\..\RunOnce: [WAB Migrate] %ProgramFiles%\Windows Mail\wab.exe /Upgrade (User 'LOCAL SERVICE') => Error: No automatic fix found for this entry.
O4 - HKUS\S-1-5-20\..\RunOnce: [WAB Migrate] %ProgramFiles%\Windows Mail\wab.exe /Upgrade (User 'NETWORK SERVICE') => Error: No automatic fix found for this entry.
"HKU\S-1-5-21-1169072027-563865220-1595250771-1001\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{012E1000-F331-11DB-8314-0800200C9A66}" => removed successfully
HKLM\Software\Classes\CLSID\{012E1000-F331-11DB-8314-0800200C9A66} => not found
C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job => moved successfully
"C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job" => not found

=========== EmptyTemp: ==========

BITS transfer queue => 7364608 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 55726506 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 1206 B
Edge => 1072640 B
Chrome => 0 B
Firefox => 0 B
Opera => 35429948 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 1832 B
LocalService => 0 B
NetworkService => 1954 B
NetworkService => 0 B
JitKae => 5956786 B

RecycleBin => 0 B
EmptyTemp: => 100.7 MB temporary data Removed.

================================


The system needed a reboot.

==== End of Fixlog 22:19:43 ====




Jaro, děkuji za ochotu a tvoji snahu toto řešit...
Ano, předpokládám, že nákaza není v pc. Problém je ten, že mám k routeru připojený externí disk, ve kterém se v intervalu cca 10-14ti dní stále dokola objevují soubory Photo.scr a info.zip. Objeví se v každém adresáři, složce i všech podsložkách, objeví se jich tam stovky o několika GB. Nevím kde a jak se tam berou, nemohu najít zdroj jejich šíření do disku. Vždy je jen vymažu, ale po několika dnech jsou tam zpět. Buď žádný anebo všechny.

[Reklama]

[jaro3]

Stáhni si zde DelFix
https://toolslib.net/downloads/viewdownload/2-delfix/

ulož si soubor na plochu.
Poklepáním na ikonu spusť nástroj Delfix.exe
( Ve Windows Vista, Windows 7 a 8, musíš spustit soubor pravým tlačítkem myši -> Spustit jako správce .
V hlavním menu, zkontroluj tyto možnosti - Odstranění dezinfekce nástrojů (Remove desinfection tools) – Vyčistit body obnovy (Purge System Restore)
Poté klikněte na tlačítko Spustit (Run) a nech nástroj dělat svoji práci

Poté se zpráva se otevře (DelFix.txt). Vlož celý obsah zprávy sem.Jinak je zpráva zde:
v C: \ DelFix.txt
Další odkazy:
http://ccm.net/download/download-24087-delfix
https://www.bleepingcomputer.com/download/delfix/



Disk je připojen přes LAN? Lze ho připojit přes USB k PC? Pak by šel odvirovat. Nebo zkusit důležité data zazálohovat a disk zformátovat.
Taky zkusit i reset routeru či jiný FW..

[jkim]

# DelFix v1.013 - Logfile created 03/07/2018 at 22:47:29
# Updated 17/04/2016 by Xplode
# Username : JitKae - HOME-PC
# Operating System : Windows 10 Enterprise (64 bits)

~ Removing disinfection tools ...

Deleted : HKLM\SOFTWARE\OldTimer Tools
Deleted : HKLM\SOFTWARE\TrendMicro\Hijackthis

~ Cleaning system restore ...

Deleted : RP #1 [01 | 07/03/2018 06:54:17]

New restore point created !

########## - EOF - ##########


Ano, disk je připojen přes Lan. Připojit k pc samozřejmě jde, s formátováním budu mít problém, nemám kam uložit ty data. Reset routeru jsem dělala i se změnou přístupových údajů, to nepomohlo. Firmware hlásí nejnovější.

[jaro3]

Připoj tedy k PC ten disk.

Stáhni Kaspersky VRT
na svojí plochu.
Spusť program Kaspersky VRT, .Program se nainstaluje.
Potvrď licenci a klikni na „Start“ . Pokud program nabídne aktualizaci , klikni dole na na „Download Now“.
- Klikni na ozubené kolečko v pravém horním rohu. V okně vyber kromě již zatržených , svojí jednotku disku , pokud jich máš víc , můžeš zatrhnout všechny.
- zvol „Automatic Scan“ nahoře vlevo. a stiskni tlačítko „Start Scanning“
- Program začne skenovat zatržené jednotky

Zaškrtnuté :
Hidden startup objects
System Memory
Disk boot sectors
Počítač
Místní disk C

Nezašrkrtnuté:
Dokumenty
My email
Místní disk D
Jednotka DVD-Rom (E)
Jednotka BD-ROM (G)
Disketová jednotka
A jiné , např. Flash disky , které máš připojeny.

- povol programu Virus Removal Tool odstranit všechny nalezené infekce
- jakmile sken skončí ,zvol záložku „Report“ , vpravo nahoře (vedle ozubeného kolečka)
- klikni na „Detected Threads“ a klikni na obrázek diskety („Save“)
- ulož do počítače zprávu a vložit ji sem do příspěvku

Jinak něco zde:
https://forum.eset.com/topic/13882-phot ... nas-drive/

[jkim]

Ext. disk připojen do pc, z KVRT mi sem nejde zkopírovat ani jinak vložit log, lze ho jen uvnitř programu prohlížet, nicméně nic nenašel. Nákaza se zobrazuje jen když se na disku objeví ty soubory photo.scr a info.zip - pak ji i AV hned detekuje.
A v takovém případě já je ihned mažu. Na netu je o těchto souborech více diskuzí, např.: http://forums.dlink.com/index.php?topic=66510.0

Může se jednat o ransomware, kdy útočník jen čeká, až ten soubor spustím a pak mi zašifruje na ext. disku nebo jinde data? Kdo, co a jak na disk ty soubory posílá, když zdroj šíření není v mém počítači? A jak tomu mám zabránit?

[jaro3]

Tak to je divné.. O ransomware se ale nejedná , je to v tom odkazu od esetu , jedná se asi o červa.
https://forum.eset.com/topic/13882-phot ... nas-drive/
a tady:
https://security.stackexchange.com/ques ... e-internet

[jkim]

A nevíš prosím, jak mám zabránit tomu, aby se mi tam ten červ nedostával? V té angličtině tomu moc nerozumím.
Odpojit disk z routeru není moc dobré řešení, když k tomuto účelu má sloužit. Volala jsem na podporu a tam též žádná pomoc. Nějaký ‘expert’ mi řekl, že jsou to systémové soubory, které si vytváří OS sám takže tam jsem to vzdala.

[jaro3]

Připoj disk k PC přímo.
Zkus ty soubory z toho disku dát na :
V možnostech složky si povol zobrazování skrytých souborů a složek+ odškrtni zatržítko skrýt chráněné soubory operačního systému

otestuj na Virustotal

Klikni vpravo od okénka na Vybrat a v Exploreru najdi požadovaný soubor v Tvém PC. Označ ho myší a klikni na Otevřít , poté klikni na Send File. Pokud už byl soubor testován , objeví se okno ve kterém klikni na Reanalyze. Soubor se začne postupně testovat více antivirovými programy. Až skončí test posledního antiviru , objeví se nahoře result a červeně počet nákaz , např. 0/43 , nebo 1/43. Pak zkopíruj myší odkaz na tuto stránku a vlož ji do svého příspěvku.

Nebo na:
http://www.virscan.org/


Nikdo jiný nemá přístup na ten disk připojený přes LAN? Co další zařízení , které připojuješ přes LAN?

[jkim]

Dobře, zatím moc děkuji. Soubory se objevují v intervalu cca 14ti dní, udělám pak co píšeš.
Asi ti vypadla z příspěvku první adresa, kam mám ty soubory zkusit dát, prosím o doplnění.
Na disk mám přístup pouze já a připojuji se ještě notebookem, na kterém jsem však dělala stejné kroky, cos psal výše, byl čistý, navíc po přeinstalování. Dále mobilem s iOs, na němž jsem udělala restore a nastavila jako nové zařízení, čímž by měl být čistý také a pak televizí, ve které sice systém přeinstalovaný není (nevím jak) ale na internet se z ní vůbec nechodí, funguje jen jako přehrávač toho disku.

[jaro3]

https://www.virustotal.com/

TV = existují "čistidla" , SW který vymaže vše , kromě FW , Tak pak dát znovu nový firmware.Možná je i možnost se do TV podívat přes LAN rozhraní ..
Z netu tedy není možnost se napojit , třeba si údaje někomu dala ..

[jkim]

Zdravím Jaro, tak jsem zase tady a soubory Photo.scr mám na disku zpět.
Zatím jsem je nesmazala, zkusím udělat co píšeš výše, ale vypadla ti (asi) adresa, kam je mám odeslat, prosím o doplnění.
(Zkus ty soubory z toho disku dát na : )
Přístupy jsem na stopro nikomu nedala, navíc jsem pro jistotu udělala i Restore routeru a celý ho nastavila znovu, vč. všech údajů. Abych to dobře chápala - soubory nechám na disku, disk připojím k pc a otestuji?

[jaro3]

Tak tak..

ještě zopakuji:
V možnostech složky si povol zobrazování skrytých souborů a složek+ odškrtni zatržítko skrýt chráněné soubory operačního systému

otestuj ty soubory z disku na Virustotal

Klikni vpravo od okénka na Vybrat a v Exploreru najdi požadovaný soubor v Tvém PC. Označ ho myší a klikni na Otevřít , poté klikni na Send File. Pokud už byl soubor testován , objeví se okno ve kterém klikni na Reanalyze. Soubor se začne postupně testovat více antivirovými programy. Až skončí test posledního antiviru , objeví se nahoře result a červeně počet nákaz , např. 0/43 , nebo 1/43. Pak zkopíruj myší odkaz na tuto stránku a vlož ji do svého příspěvku.

Nebo na:
http://www.virscan.org/