Miszel03

Dostarcz zestaw raportów FRST w celu wykluczenie infekcji systemu.

Wszystko pomyślnie wykonane. Teraz tylko poprawki. Okazało się, że ta instalacja to tylko resztka. 1. Zagrożenia wykryte przez Malwarebytes daj do kasacji, to tylko resztki po wcześniejszych infekcjach adware. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: HKU\S-1-5-21-606747145-789336058-842925246-1003\...\ChromeHTML: -> HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt 3. Podsumuj obecny stan systemu, potwierdź, że na pewno problem ustąpił.

Głównym winowajcą jest zainstalowane w przeglądarce Google Chrome rozszerzenie adware Salad Garden. Ponad to adware prefabrykuje prawidłowy skrót uruchamiający przeglądarkę dodając atrybut Ukryj rozszerzenia i inne. Dodatek avast! Online Security również został zmodyfikowany przez infekcje. Skróty zostaną naprawione / skasowane w skrypcie, oprócz tego umieszczam w nim sprzątanie systemu z resztek po wcześniej odinstalowanym oprogramowaniu. 1. Przez Panel Sterowania odinstaluj oflagowaną przez FRST instalację: PathEngine. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: C:\Documents and Settings\Justyna\Menu Start\Programy\Google Chrome\Program uruchamiający aplikacje Chrome.lnk C:\Documents and Settings\Justyna\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Program uruchamiający aplikacje Chrome.lnk ShortcutWithArgument: C:\Documents and Settings\All Users\Pulpit\Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> --remote-debugging-port=9223 HKLM\...\Run: [NPSStartup] => [X] GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "about:newtab" SearchScopes: HKLM -> {9CB96984-43C3-4D44-90EF-01466EFCF7BB} URL = hxxp://pl.yhs4.search.yahoo.com/yhs/search?hspart=avast&hsimp=yhs-001&type=odc414&p={searchTerms} SearchScopes: HKU\S-1-5-21-606747145-789336058-842925246-1003 -> {9CB96984-43C3-4D44-90EF-01466EFCF7BB} URL = hxxp://pl.yhs4.search.yahoo.com/yhs/search?hspart=avast&hsimp=yhs-001&type=odc414&p={searchTerms} SearchScopes: HKU\S-1-5-21-606747145-789336058-842925246-1003 -> {4E312991-ABCF-4E95-8C5E-D9E0C3988932} URL = hxxps://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=888596&p={searchTerms} Toolbar: HKU\S-1-5-21-606747145-789336058-842925246-1003 -> Brak nazwy - {01E04581-4EEE-11D0-BFE9-00AA005B4383} - Brak pliku Toolbar: HKU\S-1-5-21-606747145-789336058-842925246-1003 -> Brak nazwy - {0E5CBF21-D15F-11D0-8301-00AA005B4383} - Brak pliku Toolbar: HKU\S-1-5-21-606747145-789336058-842925246-1003 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku CHR HKLM\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx S4 IntelIde; Brak ImagePath S3 sshohofk; Brak ImagePath U1 WS2IFSL; Brak ImagePath S3 pccsmcfd; system32\DRIVERS\pccsmcfd.sys [X] S3 WinRing0_1_2_0; \??\C:\Program Files\Razer\Razer Game Booster\Driver\WinRing0.sys [X] C:\Documents and Settings\All Users\Menu Start\Programy\Smart PC\Help.lnk C:\Documents and Settings\All Users\Menu Start\Programy\Smart PC\Smart Parental Control on the Web.lnk C:\Documents and Settings\All Users\Menu Start\Programy\Smart PC\Smart Parental Control.lnk C:\Documents and Settings\All Users\Menu Start\Programy\Smart PC\Uninstall Smart Parental Control.lnk C:\Documents and Settings\All Users\Menu Start\Programy\Smart PC\Check other products\Magic Speed.lnk C:\Documents and Settings\All Users\Menu Start\Programy\Smart PC\Check other products\Reach-a-Mail.lnk C:\Documents and Settings\All Users\Menu Start\Programy\Smart PC\Check other products\My Privacy.lnk C:\Documents and Settings\All Users\Menu Start\Programy\Smart PC\Check other products\Smart Data Recovery.lnk C:\Documents and Settings\All Users\Menu Start\Programy\Smart PC\Check other products\Smart PC.lnk C:\Documents and Settings\All Users\Menu Start\Programy\Media Player - Codec Pack\Helpful Resources\How to play unusual files.lnk C:\Documents and Settings\Justyna\Pulpit\PRACA\PRZEPISY\PRZEPISY GL\English.lnk C:\Documents and Settings\Justyna\Menu Start\Programy\Mobogenie\Uninstall.lnk C:\Documents and Settings\Justyna\Menu Start\Programy\Mobogenie\Website.lnk C:\Documents and Settings\Justyna\Moje dokumenty\Downloads\backups\backup-20141212-181228-242-TorpedoCopy.lnk C:\Documents and Settings\Justyna\Moje dokumenty\Downloads\backups\backup-20141212-181228-297-TorpedoCopy.lnk C:\Documents and Settings\Justyna\Moje dokumenty\Downloads\backups\backup-20141212-181228-565-TorpedoCopy.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt2. Wyczyść przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj adware oraz rozszerzenie zmodyfikowane: Salad Garden, avast! Online Security oraz wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Rozszerzenie avast! Online Security będziesz mógł zainstalować ponowanie po wyczyszczeniu systemu. 3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Nazwy są losowe, generowane w trakcie infekcji, ale w tym przypadku wygląda to na główne lokalizacje infekcji. Odpowiadając zaś, na PW to CERT już dawno wykonał kompleksową analizę, podlinkowałem ją już w pierwszym poście. Sposoby infekcji są różne, a jeśli masz rzeczywiście chęć to analizować to proszę bardzo mogę ewentualnie w czymś pomóc (np. leczenie zainfekowanych systemów).

W raportach brak oznak infekcji. O jakie serwisy logowania konkretne chodzi? Skontaktuj się z supportem tych portali w celu wykluczenia problemu z ich strony. System CloudFlare prawdopodobnie wykrył problematyczną aktywność związaną z Twoim adresem IP. Sugeruję go zmienić. W celu uzyskania nowego adresu IP spróbuj zresetować router lub poprosić o to swojego dostawcę internetowego. Teraz wdrążymy kompleksowy skan antywirusowy, posprzątam również system z resztek (będzie czyszczony plik Hosts) po wcześniej odinstalowanym oprogramowaniu (z pominięciem martwych skrótów LNK, bo jest ich strasznie dużo). 1. Przez Panel Sterowania odinstaluj stare wersje: Java 7 Update 71. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2283158449-1922248649-2688728961-1000\...\Run: [AdobeBridge] => [X] HKU\S-1-5-21-2283158449-1922248649-2688728961-1000\...\Policies\Explorer: [] HKU\S-1-5-21-2283158449-1922248649-2688728961-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-12232017164016653\...\Run: [AdobeBridge] => [X] HKU\S-1-5-21-2283158449-1922248649-2688728961-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-12232017164016653\...\Policies\Explorer: [] SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> DefaultScope - brak wartości Toolbar: HKU\S-1-5-21-2283158449-1922248649-2688728961-1000 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku Toolbar: HKU\S-1-5-21-2283158449-1922248649-2688728961-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-12232017164016653 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\SILOS ARCHITEKCI\AppData\Local\Mozilla C:\Users\SILOS ARCHITEKCI\AppData\Roaming\Mozilla C:\Users\SILOS ARCHITEKCI\AppData\Roaming\Profiles Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Dostarcz plik Fixlog.

W systemie widoczna jest czynna prawdopodobnie infekcja Trojna.Nymaim, to twardy zawodnik, mogą być problemy z jego usunięciem, ale dołożę wszelkich starań by wszystko poszło jak najszybciej. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers-x32-x32: [iB24SynchronizationPending] -> {08ad9864-e486-4cdb-8781-d507026cf5d6} => C:\Program Files (x86)\iBard24\\3.4.0.25713\IB24VirtualDrive.dll -> Brak pliku ShellIconOverlayIdentifiers-x32-x32-x32: [iB24Synchronized] -> {08ad9864-e486-4cdb-8781-d507026cf5d7} => C:\Program Files (x86)\iBard24\\3.4.0.25713\IB24VirtualDrive.dll -> Brak pliku ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku HKU\S-1-5-21-1196788396-3662627137-1388974550-1000\...\Run: [jitter-03] => C:\Users\admin\AppData\Local\jitter-67\jitter-2.exe [759808 2017-09-04] () HKU\S-1-5-21-1196788396-3662627137-1388974550-1000\...\Winlogon: [shell] C:\ProgramData\smbus-0\smbus-9.exe -4k,explorer.exe Startup: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ycbcr-9.lnk [2017-09-13] ShortcutTarget: ycbcr-9.lnk -> C:\Users\admin\AppData\Roaming\ycbcr-17\ycbcr-99.exe () C:\Users\admin\AppData\Local\jitter-67 C:\ProgramData\smbus-0 C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ycbcr-9.lnk C:\Users\admin\AppData\Roaming\ycbcr-17\ycbcr-99.exe FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku] S2 InstallerService; "C:\Program Files\TrueKey\Mcafee.TrueKey.InstallerService.exe" [X] S3 gdrv; \??\C:\Windows\gdrv.sys [X] C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Command Prompt.lnk C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Command Prompt.lnk CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\admin\AppData\Local CMD: dir /a C:\Users\admin\AppData\LocalLow CMD: dir /a C:\Users\admin\AppData\Roaming Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Error: (12/21/2017 06:56:48 PM) (Source: Disk) (EventID: 11) (User: ) Description: Sterownik wykrył błąd kontrolera na \Device\Harddisk2\DR2. Błąd "Sterownik wykrył błąd kontrolera na \Device\HarddiskX\DRX" i jego interpretacja

Wszystkiego dobrego w nadchodzącym roku i rodzinnych świąt!

Raport nie wykazują oznak infekcji, w spoilerze zadaję działania poboczne (czyszczenie systemu z martwych wpisów / skrótów LNK). Mam jednak pytanie dot. ustawionych brytyjskich i amerykańskich adresów DNS. Czy to celowe ustawienie? Temat przenoszę do działu Software, gdzie będzie prowadzona dalsza pomoc.

Detekcja Trojan.Hacktool.Sup jest związana z crackiem AutoKMS aktywującym lewy pakiet Microsoft Office. Widzę, że F-Secure mocno nabałaganił w Dzienniku zdarzeń, więc wyczyszczę jego całą gałąź. 1. Przejdź do lokalizacji C:\Windows\AutoKMS, odnajdź w niej plik deinstalacyjny cracka (nazwa zbliżona do uninstall.exe) i uruchom go. Jeśli deinstalacja zawiedzie, skrypt FRST usunie widoczne obiekty. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: C:\Users\pszen\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\920d2757409c8a7a\ASUS GIFTBOX.lnk ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku CustomCLSID: HKU\S-1-5-21-4099042752-900424334-1160265230-1001_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\pszen\AppData\Local\Microsoft\OneDrive\17.3.7076.1026_1\amd64\FileSyncShell64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-4099042752-900424334-1160265230-1001_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\pszen\AppData\Local\Microsoft\OneDrive\17.3.7076.1026_1\amd64\FileSyncShell64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-4099042752-900424334-1160265230-1001_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\pszen\AppData\Local\Microsoft\OneDrive\17.3.7076.1026_1\amd64\FileSyncShell64.dll => Brak pliku Task: {805450E8-3DA3-499D-A766-9CF3A247AFBF} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku Task: {E8C8C979-E369-4D3D-9D66-9E1B42325ECD} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe [2017-11-03] () C:\Windows\AutoKMS Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Dostarcz plik Fixlog oraz napisz czy problem ustąpił.

W raportach brak oznak infekcji, więc poszerzymy diagnostykę. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: Winlogon\Notify\igfxcui: igfxdev.dll [X] S3 SWDUMon; \SystemRoot\system32\DRIVERS\SWDUMon.sys [X] ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PhotoFiltre 7\PhotoFiltre 7 information.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PhotoFiltre 7\PhotoFiltre 7.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PhotoFiltre 7\PhotoMasque information.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PhotoFiltre 7\Uninstall PhotoFiltre 7.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Free Registry Cleaner\Eusing Free Registry Cleaner on the Web.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Free Registry Cleaner\Help.lnk C:\Users\Dawid123\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Calendar.lnk C:\Users\Dawid123\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Mail.lnk C:\Users\Dawid123\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.People.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Dostarcz go. 2. Dostarcz przefiltrowany raport SFC z opcji sfc /scannow w celu sprawdzenia integralności Windows. 3. Wykonaj diagnostykę dysku za pomocą CrystalDiskInfo i dostarcz wynikowy log. 4. Wykonaj raport Windows Performance Recorder z opcji: First level triage oraz Loging mode: File. Powstały log wynikowy spakuj do archiwum, a następnie wyślij go na jakiś hosting, np. MediaFire. Postaraj się, aby w trakcie wykonywania raportu było uruchomionych jak najmniej programów firm trzecich, wyłącz oprogramowanie antywirusowe.

Na systemy Linux złośliwego oprogramowania jest w ogóle bardzo mało (jest to mało opłacalne dla cyberprzestępców, ze względu na niską popularność). Istnieje możliwość zainfekowania, ale mniejsza. Raporty nie wykazują infekcji. Strona, o której mówisz posiada ważny certyfikat SSL, nie jest również notowana jako podejrzana w bazach programów antywirusowych. Wdrążę skanowanie Integralności systemu Windows na wykluczenie modyfikacji Windows (oprócz tego kasacja szczątek po programach, martwych wpisów + kompleksowe czyszczenie lokalizacji tymczasowych), obowiązkowo dostarcz raporty ze wcześniejszych skanów. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll => Brak pliku FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku] S2 NVIDIA Wireless Controller Service; "C:\Program Files\NVIDIA Corporation\GeForce Experience Service\nvwirelesscontroller.exe" [X] S3 PcdrNdisuio; syswow64\drivers\pcdrndisuio.sys [X] ContextMenuHandlers1: [AlcoholShellEx] -> {32020A01-506E-484D-A2A8-BE3CF17601C3} => -> Brak pliku AlternateDataStreams: C:\Users\Public\.DS_Store:AFP_AfpInfo [122] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service" C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Application Compatibility Toolkit\Demo Application\Mitigating Application Issues Using Shims - Lab Guide.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Angielski dla dzieci 7 Diamentów wersja 3.0\Katalog produktów.lnk C:\ProgramData\Dell\Dell Stage\deleted_shortcuts\Zinio Reader 4.lnk C:\Users\Public\Desktop\Update NOD32 license.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Dostarcz przefiltrowany raport SFC z opcji sfc /scannow w celu sprawdzenia integralności Windows. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Infekcji nie masz (co już omawialiśmy w poprzednim temacie), na problem tytułowy odpowiem niebawem

Robisz niepotrzebne zamieszanie. Tematy: KLIK / KLIK. Porównałem adresy IP, z których logujesz się na tych dwóch kontach i raporty (pomimo, że je skasowałeś!)...są bardzo podobne! Podwójnych kont i podwójnych tematów nie będę tolerował. Zamiast normalnie przypomnieć się w temacie Zgłaszanie tematów bez odpowiedzi to Ty wolisz post pod postem spamować i zakładać nowe konta / tematy - ja takich postów często po prostu nie widzę, bo zajmuję się sprawy, które normalnie się przypomniały lub bieżącymi. Gdybyś od razu czytałem regulamin zakładanie tematów może otrzymałbyś pomoc szybciej.

Plik sprawdzany na VirusTotal wygląda na nieszkodliwy. Właściwie to możesz go skasować: C:\Windows\System32\.exe.

OK, wykonaj finalizację tematu. Zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

Raporty nie wykazują oznak infekcji. Czy sprawdzanie raportów ma cel profilaktyczny czy jednak coś dzieję się z systemem?

Funkcja skanowania Integralności Windows znalazła uszkodzenia, ale zdołała je naprawić. Malwarebytes nic nie znalazł. Na analizę raportu Windows Performance Recorder musisz troszkę poczekać, bo to długi proces.

W raportach brak oznak infekcji. Dysk wygląda w porządku. Wdrążmy kosmetykę systemową oraz skan antywirusowy - od razu wdrążam również dalszą diagnostykę. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-79725096-4219704438-663359182-1002\...\Run: [GalaxyClient] => [X] HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - Brak pliku S1 MpKsl2351f841; \??\C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{7444B5AE-C1D7-41AB-83CE-38DEC5983789}\MpKsl2351f841.sys [X] S3 X6va062; \??\C:\WINDOWS\SysWOW64\Drivers\X6va062 [X] S1 ZAM; \??\C:\WINDOWS\System32\drivers\zam64.sys [X] S1 ZAM_Guard; \??\C:\WINDOWS\System32\drivers\zamguard64.sys [X] ContextMenuHandlers1: [ArcabitShell] -> {D7824897-C8DC-49b4-B790-30F7ED16A5FD} => C:\Program Files\Arcabit\bin\arcashl.dll -> Brak pliku C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Asystent uaktualnienia do systemu Windows 10.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OBS Studio\OBS Studio (32bit).lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OBS Studio\OBS Studio (64bit).lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OBS Studio\Uninstall.lnk C:\Users\OEM\Desktop\Ikony\MOHA — skrót.lnk C:\Users\OEM\Desktop\Ikony\My.com Game Center.lnk C:\Users\OEM\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\81f60f1222210b45\League of Legends.lnk C:\Users\OEM\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Calendar.lnk C:\Users\OEM\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Mail.lnk C:\Users\OEM\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.People.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Dostarcz go. 3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Dostarcz przefiltrowany raport SFC z opcji sfc /scannow w celu sprawdzenia integralności Windows. 5. Wykonaj raport Windows Performance Recorder z opcji: First level triage oraz Loging mode: File. Powstały log wynikowy spakuj do archiwum, a następnie wyślij go na jakiś hosting, np. MediaFire. Postaraj się, aby w trakcie wykonywania raportu było uruchomionych jak najmniej programów firm trzecich, wyłącz oprogramowanie antywirusowe.

Produkty ZoneAlarm są wyposażone w autorską zaporę sieciową. Wyłączenie zapory Windows ma na celu uniknięcie konfliktów między dwoma zaporami.

Miło mi to słyszeć. Polecamy się na przyszłość Zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows. Malwarebytes możesz odinstalować.

Czyli na razie uznaję, że możemy temat sfinalizować. Zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows. Malwarebytes możesz odinstalować.

Malwarebytes już niczego nie wykrył? Z mojego punktu widzenia powinno być już wszystko w porządku - czy tak jest? Możesz skasować poniższe dokumenty tekstowe, o ile nie są Twoje (losowy ciąg znaków charakterystyczny jest na adware, ale to może być również Twoja nazwa): C:\Users\Mati\Downloads\uwpyluzmsginyr.txt C:\Users\Mati\Downloads\zvzriwyjskpbbltyc.txt

Skonsultuje się z moderatorem działu Hardware, w celu ustalenia alternatywny lub poprawy działania tej aplikacji.

Tak, zgadza się, zależy od wielkości okna.

Ramka pojawia się tylko jeśli używasz suwaka, a nie scrolla myszy.