Pravděpodobná infiltrace Vyřešeno

Sekce věnovaná virům a jiným škodlivým kódům, rovněž ale nástrojům, kterým se lze proti nim bránit…

Moderátoři: Mods_senior, Security team

Uživatelský avatar
Hastalda
Level 2.5
Level 2.5
Příspěvky: 286
Registrován: květen 12
Bydliště: Český Šternberk
Pohlaví: Žena
Stav:
Offline

Re: Pravděpodobná infiltrace

Příspěvekod Hastalda » 15 úno 2019 19:29

Tak snad jsem provedla správně - vkládám výsledný log z FRST:

==============================================

fixlist content:
*****************
Start
CreateRestorePoint:
CloseProcesses:
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-758666899-2211297156-3181642844-1002 -> DefaultScope {6537C524-DDDB-4964-B1C7-A9C977A0B269} URL = hxxp://www.bing.com/search?q={searchTerms}&form=CMNTDF&pc=CMNTDF&src=IE-SearchBox
SearchScopes: HKU\S-1-5-21-758666899-2211297156-3181642844-1002 -> {012E1000-F331-11DB-8314-0800200C9A66} URL = hxxp://www.google.com/search?q={searchTerms}
SearchScopes: HKU\S-1-5-21-758666899-2211297156-3181642844-1002 -> {6537C524-DDDB-4964-B1C7-A9C977A0B269} URL = hxxp://www.bing.com/search?q={searchTerms}&form=CMNTDF&pc=CMNTDF&src=IE-SearchBox
SearchScopes: HKU\S-1-5-21-758666899-2211297156-3181642844-1002 -> {D6E2E2A4-33B1-417A-9FC6-B24993BE4800} URL = hxxp://tv.seznam.cz/hledej?w={searchTerms}&sourceid=QuickSearch_37180
Handler: WSKVAllmytubechrome - No CLSID Value �
CHR HKU\S-1-5-21-758666899-2211297156-3181642844-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx
U5 AppMgmt; C:\windows\system32\svchost.exe [20992 2009-07-14] (Microsoft Windows -> Microsoft Corporation) <==== ATTENTION (no ServiceDLL)

EmptyTemp:
End
*****************

Restore point was successfully created.
Processes closed successfully.
HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A} => removed successfully.
HKLM\Software\Classes\CLSID\{0633EE93-D776-472f-A0FF-E1416B8B2E3A} => not found
"HKU\S-1-5-21-758666899-2211297156-3181642844-1002\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope" => removed successfully.
HKU\S-1-5-21-758666899-2211297156-3181642844-1002\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{012E1000-F331-11DB-8314-0800200C9A66} => removed successfully.
HKLM\Software\Classes\CLSID\{012E1000-F331-11DB-8314-0800200C9A66} => not found
HKU\S-1-5-21-758666899-2211297156-3181642844-1002\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{6537C524-DDDB-4964-B1C7-A9C977A0B269} => removed successfully.
HKLM\Software\Classes\CLSID\{6537C524-DDDB-4964-B1C7-A9C977A0B269} => not found
HKU\S-1-5-21-758666899-2211297156-3181642844-1002\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{D6E2E2A4-33B1-417A-9FC6-B24993BE4800} => removed successfully.
HKLM\Software\Classes\CLSID\{D6E2E2A4-33B1-417A-9FC6-B24993BE4800} => not found
HKLM\Software\Classes\PROTOCOLS\Handler\WSKVAllmytubechrome => removed successfully.
HKU\S-1-5-21-758666899-2211297156-3181642844-1002\SOFTWARE\Google\Chrome\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo => removed successfully.
HKLM\System\CurrentControlSet\Services\AppMgmt => removed successfully.
AppMgmt => service removed successfully.

=========== EmptyTemp: ==========

BITS transfer queue => 8388608 B
DOMStoree, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 4135251 B
Java, Flash, Steam htmlcache => 1155 B
Windows/system/drivers => 0 B
Edge => 0 B
Chrome => 0 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Users => 0 B
Default => 0 B
Public => 0 B
ProgramData => 0 B
systemprofile => 0 B
LocalService => 0 B
NetworkService => 0 B
Žeryk => 5323580 B

RecycleBin => 0 B
EmptyTemp: => 17 MB temporary data Removed.

================================


The system needed a reboot.

==== End of Fixlog 19:16:38 ====

Reklama
Uživatelský avatar
Hastalda
Level 2.5
Level 2.5
Příspěvky: 286
Registrován: květen 12
Bydliště: Český Šternberk
Pohlaví: Žena
Stav:
Offline

Re: Pravděpodobná infiltrace

Příspěvekod Hastalda » 15 úno 2019 19:31

Co se týče SafeBoot, jak uvádíš v citaci, tak vůbec netuším k čemu se váže a zda tedy funguje. Můžeš mi prosím říct, jak se má projevit, jak má fungovat, k čemu se váže??

Jinak ohledně AVG PC TuneUp mě překvapují zbytkové soubory. Dříve mi kolega v práci doporučil nainstalovat, že mi pomůže vyčistit PC a defragmentovat pevný disk, jenže nakonec bylo více problémů než užitku, tak jsem nechala plně odinstalovat. Měla jsem tak za to, že AVG PCC TuneUp je už jen historií... Je tedy potřeba pomocí Revo uninstalleru ještě "něco" zlikvidovat?

Uživatelský avatar
jaro3
člen Security týmu
Guru Level 15
Guru Level 15
Příspěvky: 43054
Registrován: červen 07
Bydliště: Jižní Čechy
Pohlaví: Muž
Stav:
Offline

Re: Pravděpodobná infiltrace

Příspěvekod jaro3 » 15 úno 2019 20:49

SafeBoot = navolení nouz. režimu a normálního režimu.

ne nic jiné snad se nemusí odinstalovat.
co problémy?
Při práci s programy HJT, ComboFix,MbAM, SDFix aj. zavřete všechny ostatní aplikace a prohlížeče!
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra

Uživatelský avatar
Hastalda
Level 2.5
Level 2.5
Příspěvky: 286
Registrován: květen 12
Bydliště: Český Šternberk
Pohlaví: Žena
Stav:
Offline

Re: Pravděpodobná infiltrace

Příspěvekod Hastalda » 17 úno 2019 18:54

Tak jsem se snažila během dneška odzkoušet a zatím se jeví, že by už konečně mohlo být OK. Zkusila jsem taky provést restart, tentokrát se poprvé bez problému provedl. Hláška o běžících programech na pozadí se nezobrazila, stejně tak nemožnost PC zrestartovat. Ikony v liště po tomto postupu a po restartu jsou zpět v normálu. Nevyběhla už ani hláška ESETu spojená s hrozbou pod adresou x.acme.com. Co se týče několika procesů spojených se Seznamem už ve správci úloh nenabíhají. PC má i znatelně rychlejší odezvy.
Tak nevím, snad vážně už vypadá, že by mohlo být všechno v pořádku.

Btw, mám nějak odkontrolovat ten safeboot?? Je problémové?

Uživatelský avatar
jaro3
člen Security týmu
Guru Level 15
Guru Level 15
Příspěvky: 43054
Registrován: červen 07
Bydliště: Jižní Čechy
Pohlaví: Muž
Stav:
Offline

Re: Pravděpodobná infiltrace

Příspěvekod jaro3 » 17 úno 2019 19:50

Není.

Stáhni si zde DelFix
https://toolslib.net/downloads/viewdownload/2-delfix/

ulož si soubor na plochu.
Poklepáním na ikonu spusť nástroj Delfix.exe
( Ve Windows Vista, Windows 7 a 8, musíš spustit soubor pravým tlačítkem myši -> Spustit jako správce .
V hlavním menu, zkontroluj tyto možnosti - Odstranění dezinfekce nástrojů (Remove desinfection tools) – Vyčistit body obnovy (Purge System Restore)
Poté klikněte na tlačítko Spustit (Run) a nech nástroj dělat svoji práci

Poté se zpráva se otevře (DelFix.txt). Vlož celý obsah zprávy sem.Jinak je zpráva zde:
v C: \ DelFix.txt
Další odkazy:
http://ccm.net/download/download-24087-delfix
https://www.bleepingcomputer.com/download/delfix/

Pokud nejsou problémy , je to vše a můžeš dát vyřešeno , zelenou fajfku.
Při práci s programy HJT, ComboFix,MbAM, SDFix aj. zavřete všechny ostatní aplikace a prohlížeče!
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra

Uživatelský avatar
Hastalda
Level 2.5
Level 2.5
Příspěvky: 286
Registrován: květen 12
Bydliště: Český Šternberk
Pohlaví: Žena
Stav:
Offline

Re: Pravděpodobná infiltrace

Příspěvekod Hastalda » 17 úno 2019 20:59

Ano, tak vkládám výsledný log z DelFix:

# DelFix v1.013 - Logfile created 17/02/2019 at 20:56:27
# Updated 17/04/2016 by Xplode
# Username : Žeryk - ŽERYK-NB
# Operating System : Windows 7 Home Premium Service Pack 1 (32 bits)

~ Removing disinfection tools ...

Deleted : C:\FRST
Deleted : C:\Users\Žeryk\Desktop\Addition Log.txt
Deleted : C:\Users\Žeryk\Desktop\Fixlog.txt
Deleted : C:\Users\Žeryk\Desktop\FRST Log.txt
Deleted : C:\Users\Žeryk\Desktop\FRST.exe

~ Cleaning system restore ...

Deleted : RP #809 [End of disinfection | 02/13/2019 21:23:54]
Deleted : RP #811 [Restore Point Created by FRST | 02/15/2019 18:15:41]

New restore point created !

########## - EOF - ##########

Uživatelský avatar
Hastalda
Level 2.5
Level 2.5
Příspěvky: 286
Registrován: květen 12
Bydliště: Český Šternberk
Pohlaví: Žena
Stav:
Offline

Re: Pravděpodobná infiltrace  Vyřešeno

Příspěvekod Hastalda » 17 úno 2019 21:02

Dávám tedy vyřešeno a opravdu ti moc děkuju za pomoc! :thumbup:

kačka


Zpět na “Viry, antiviry, firewally…”

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 6 hostů