Podezření na keylogger

[matesasd]

tak ta oprava Systémové komponenty to nevyřešila

sfc /scannow ani DISM /Online /Cleanup-Image /RestoreHealth to nevyřešil

nastavení firewall resetováno

aktualizace windows je k dispozici jedna "Aktualizace bezpečnostních informací pro Microsoft Defender Antivirus – KB2267602 (verze 1.435.503.0) – Aktuální kanál (široká distribuce)", ale nainstalovat nejde, píše to Chyba instalace – 0x8007042b

ručně znovu nainstalovat defender jsem zkoušel několika způsoby a nepovedlo se mi (buď powershell příkaz nic nedělá, píše access denied nebo cannot find path)

[Reklama]

[jaro3]

Zadej si nové téma do sekce windows11 , s viry to nesouvisí. Instalace jiných programů jde?

[matesasd]

nainstaloval jsem jiný antivirus a asi už to nebudu řešit, aspoň že ten keylogger je (snad) pryč, tak díky :)

[jaro3]

Dobře.. Ta vzdálená plocha ConnectWise ScreenConnect není nikde v programech? Možná ještě zkusit RevoUninstallet a pokusit se najít některé části, ale v logu z frst nic není. Takto asi nech.

Stáhni si zde DelFix
https://www.bleepingcomputer.com/download/delfix/

ulož si soubor na plochu.
Poklepáním na ikonu spusť nástroj Delfix.exe
( Ve Windows Vista, Windows 7, 8 a10 musíš spustit soubor pravým tlačítkem myši -> Spustit jako správce .
V hlavním menu, zkontroluj tyto možnosti - Odstranění dezinfekce nástrojů (Remove desinfection tools) – Vyčistit body obnovy (Purge System Restore)
Poté klikněte na tlačítko Spustit (Run) a nech nástroj dělat svoji práci

Poté se zpráva se otevře (DelFix.txt). Vlož celý obsah zprávy sem.Jinak je zpráva zde:
v C: \ DelFix.txt

Pokud nejsou problémy , je to vše a můžeš dát vyřešeno , zelenou fajfku.

[matesasd]

# DelFix v1.010 - Logfile created 02/09/2025 at 15:28:04
# Updated 26/04/2015 by Xplode
# Username : matej - MB
# Operating System : Windows 10 Enterprise (64 bits)

~ Removing disinfection tools ...

Deleted : C:\Users\matej\Downloads\adwcleaner_8.6.0.exe
Deleted : C:\Users\matej\Downloads\JRT.exe
Deleted : C:\Users\matej\Downloads\HijackThis.exe
Deleted : C:\Users\matej\Downloads\hijackthis.log
Deleted : C:\Users\matej\Downloads\TFC.exe
Deleted : HKLM\SOFTWARE\OldTimer Tools
Deleted : HKLM\SOFTWARE\TrendMicro\Hijackthis

~ Cleaning system restore ...

Deleted : RP #126 [JRT Pre-Junkware Removal | 08/29/2025 21:11:12]
Deleted : RP #131 [Installed Windows Manager | 08/31/2025 13:56:02]
Deleted : RP #132 [Windows Manager v2.1.7 (31.08.2025 15:56:27) | 08/31/2025 13:56:28]

New restore point created !

########## - EOF - ##########

v instalovaných programech ten ConnectWise nevidím, jsou tam ale nějaké 2 apky které neznám - "2.23" od vydavatele "pop_0098" a "quick utility" od vydavatele "Advanced Systems", obě bez ikonky

a ještě jsem si všiml, že ten malware a nebo ty procesy čištění způsobily, že nevidím složku Appdata v C:/Users/jméno a pokusy o zobrazení skrytých složek nic nedělají a nastavení zobrazení se po uložení vrátí na skrýt

[jaro3]

Ty apky zkus odinstalovat. Advanced Systems se značně pořád roztahuje, taky čistím.

Co se týká té složky tak by tam po nastavení možností složky být měla. Asi máš nabouraný systém, který nevím jak opravit.

[matesasd]

aha tak ten novej antivir co teď používám Bitdefender mi po zapnutí PC řekl toto "The app C:\Windows\System32\wscript.exe was passed a malicious command line and has been blocked. Your device is now safe. Command line: "C:\Windows\System32\wscript.exe" "C:\Users\matej\Documents\ConnectWiseControl\Temp\lb 60m.vbs" - složku ConnectWiseControl v dokumentech jsem teď radši smazal

ten program 2.23 odinstalovat šel, ale Quick Utility ne, píše to "There is a problem with this Windows Installer package. A program required for this install to complete could not be run."

složka Appdata tam je - když prostě jen zkopíruju cestu k ní do řádku, tak se tam můžu podívat, jenom nejde odkrýt

[jaro3]

Zkus to přes RevoUninstaller odinstalovat, pokud to nepůjde dej hledat.

Pokud je problém s installer, tak přes windows manager to zkusit opravit. Měl sis zadat nové téma do sekce windows. Třeba by někdo poradil jiný postup.

V možnostech složky si povol zobrazování skrytých souborů a složek+ odškrtni zatržítko skrýt chráněné soubory operačního systému

Toto otestuj na https://www.virustotal.com/#/home/uploadVirustotal
C:\Windows\System32\wscript.exe
C:\Users\matej\Documents\ConnectWiseControl\Temp\lb 60m.vbs

Klikni vpravo od okénka na Vybrat a v Exploreru najdi požadovaný soubor v Tvém PC. Označ ho myší a klikni na Otevřít , poté klikni na Send File. Pokud už byl soubor testován , objeví se okno ve kterém klikni na Reanalyze. Soubor se začne postupně testovat více antivirovými programy. Až skončí test posledního antiviru , objeví se nahoře result a červeně počet nákaz , např. 0/43 , nebo 1/43. Pak zkopíruj myší odkaz na tuto stránku a vlož ji do svého příspěvku.

Nebo na:
http://www.virscan.org/

[matesasd]

wscript.exe je tady
https://www.virustotal.com/gui/file/4e3 ... 0fe2a26dc4
ten soubor z dokumentů jsem předtím smazal a zatím se tam neobjevil znovu

Quick Utility odinstalováno

skryté složky se mi podařilo odkrýt v safe režimu a nastavení se promítlo trvale i do běžného režimu, takže dobrý

pokud se objeví nějaké další problémy tak založím téma v sekci Windows

[jaro3]

OK.

Pokud nejsou problémy , je to vše a můžeš dát vyřešeno , zelenou fajfku.