picasso

FRST pomyślnie skasował robaka ze startu. Natomiast pendrive jest obecnie pusty (tylko ukryty System Volume Information od Przywracania systemu wykryty), więc nie ma na nim co sprzątać. Ale potwierdź, że skróty się już nie tworzą. 1. Odinstaluj USBFix. Następnie zastosuj DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. To wszystko.

W raportach nie widać żadnych bezpośrednich oznak infekcji. Ale mocne podejrzenia budzi to rozszerzenie: CHR Extension: (Video Downloader All) - C:\Users\Flow\AppData\Local\Google\Chrome\User Data\Default\Extensions\jpaglkhbmbmhlnpnehlffkgaaapoicnk [2017-06-23] Rozszerzenie to zostało usunięte z Chrome Web Store i jest prawdopodobne, że ze względu na integrację jakiegoś szkodliwego skryptu. Zacznij od deinstalacji tego rozszerzenia i restartu przeglądarki. Podaj wyniki czy są zmiany.

Czy router przed zabezpieczeniem wykazywał niepożądane modyfikacje DNS? Obecnie wg FRST z routera są pobierane poprawne adresy (bieżący to 192.168.1.1): Tcpip\Parameters: [DhcpNameServer] 192.168.1.1 Tcpip\..\Interfaces\{94672797-d6f6-41bd-8580-6199d5594c1f}: [DhcpNameServer] 10.21.24.11 10.21.24.12 Tcpip\..\Interfaces\{a680aae4-444c-4b24-9670-a47381003d71}: [DhcpNameServer] 192.168.1.1 Jeśli router był wcześniej zainfekowany, ale go wyczyszczono, a przekierowania nadal mają miejsce, problem może stanowić bufor DNS i/lub cache przeglądarki. Tym się zajmie skrypt FRST. Czyli: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CMD: ipconfig /flushdns S4 mccspsvc; "C:\Program Files\Common Files\McAfee\CSP\2.3.290.0\\McCSPServiceHost.exe" [X] HKLM\...\StartupApproved\Run32: => "WebStorage" DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go i wypowiedz się czy przekierowania nadal mają miejsce. Nowe skany FRST nie są potrzebne. 2. W Google Chrome: Ustawienia > karta Ustawienia > sekcja Wyszukiwarka > z rozwijanego menu ustaw jako domyślną Google > klik w Zarządzaj wyszukiwarkami i skasuj z listy Yahoo dodane przez McAfee.

Kurde, nie chodziło mi o masowe usuwanie rozszerzeń i reset przeglądarki (to krok który zawsze można było wykonać na szarym końcu w przypadku braku rezultatów), tylko o precyzyjne dane które z rozszerzeń stanowiło problem, gdyż te dane mogłyby być przydatne pod kątem innych tematów z tym samym problem oraz ewentualnej nowej detekcji w FRST. Swoją drogą, to nie wiem skąd tu nagle "Office Online", takie rozszerzenie nie figurowało w katalogu profilu (co odpowiadało raportowi z FRST). Więc albo takie było ale nie ładowane z profilu tylko z zewnętrznej ścieżki (w teorii FRST powinien to jednak "złapać"), albo to nowy obiekt wstawiony w późniejszym czasie niż dostarczenie mi danych (w konsekwencji obiekt nie był problemem). Na wszelki wypadek dostarcz nowy log FRST.txt (bez Addition i Shortcut) obrazujący zmiany w profilu po Twoich deinstalacjach.

Ciężko zgadnąć z samej listy rozszerzeń które może być problemem. Teoretycznie wszystko wygląda OK, tzn. rozszerzenia listowane w Chrome Web Store i w komentarzach do tych rozszerzeń nikt nie raportuje przekierowań. Wspominam o tym, bo w Chrome Web Store jest masa śmieci, rozszerzeń które mają zintegrowane adware / ukryte sztuczki i czasem po komentarzach można się zorientować że coś jest nie tak. Skopiuj na Pulpit poniższy folder (zakładam, że bieżący profil Comodo to Default): C:\Users\Sasha\AppData\Roaming\Comodo\Dragon\User Data\Default\Extensions Spakuj do Zip, shostuj gdzieś i podaj link do paczki. Analiza ręczna kodu rozszerzeń jest pracochłonna i nie obiecuję szybkiej reakcji.

Wszystko zostało poprawnie usunięte. 1. Zastosuj DelFix, by usunąć kwarantanny narzędzi. Usuń także pobrany FRST i jego logi. 2. Na wszelki wypadek zrób skan za pomocą Hitman Pro i przedstaw log wynikowy (jeśli coś zostanie wykryte). Tematy skleiłam i usunęłam zbędne logi (zostały już dostarczone). W Twoim przypadku to nie jest infekcja. Na temat "COM Surrogate": KLIK. Użytkownicy mylą szkodliwe instancje dllhost.exe z poprawnymi.

Ręczna analiza katalogów Google jest bardzo pracochłonna (sprawdzenie WSZYSTKICH skryptów rozszerzeń i zasobów przeglądarki). Wykonałam już tę pracę jakiś czas temu, ale jakoś nic podejrzanego nie widzę. Globalny plik zasobów resources.pak nie wykazuje modyfikacji i nic nie rzuca się w oczy w elementach profilu (teoretycznie tylko poprawne rozszerzenia w stanie niezmodyfikowanym). Ale podejrzewam, że jest jakaś modyfikacja właśnie w profilu Chrome (przypuszczalnie któreś rozszerzenie ma coś "dostawione"), tylko zrobiona w mało oczywisty sposób. W związku z tym zrób test: Wklep w Chrome w pasku adresów Chrome://extensions, wyłącz pierwsze z rozszerzeń i restart przeglądarki, by sprawdzić czy przekierowania nadal występują. I tak po kolei z każdym rozszerzeniem, aż wyłuskasz które może być przyczyną. Podaj mi wyniki.

Wyraźnie w instrukcji było napisane by nie wyciągać raportów z katalogu C:\FRST\Logs. To jest archiwum. Bieżące logi są zawsze tam skąd uruchamiasz FRST, czyli w tym przypadku d:\D-A-N-E\Downloads, i nie mają dat w nazwach. W systemie rezydują komponenty trojana Miuref. Działania do przeprowadzenia: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2774888342-626457473-3219876655-1001\...\Run: [AQTworks] => C:\Users\PIOTREK\AppData\Local\AQTworks\qatuvdz.exe [273920 2017-05-22] () HKU\S-1-5-21-2774888342-626457473-3219876655-1001\...\Run: [YhkrPack] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\PIOTREK\AppData\Local\AQTworks\Quickbox.dll HKU\S-1-5-21-2774888342-626457473-3219876655-1001\...\Run: [ubbjmedia] => regsvr32.exe C:\Users\PIOTREK\AppData\Local\Ubbjmedia\i18MainSched54.dll DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run C:\Users\PIOTREK\AppData\Local\AQTworks C:\Users\PIOTREK\AppData\Local\Ubbjmedia ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku CustomCLSID: HKU\S-1-5-21-2774888342-626457473-3219876655-1001_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\PIOTREK\AppData\Local\Microsoft\OneDrive\17.3.6917.0607\amd64\FileSyncShell64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2774888342-626457473-3219876655-1001_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\PIOTREK\AppData\Local\Microsoft\OneDrive\17.3.6917.0607\amd64\FileSyncShell64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2774888342-626457473-3219876655-1001_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\PIOTREK\AppData\Local\Microsoft\OneDrive\17.3.6917.0607\amd64\FileSyncShell64.dll => Brak pliku CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

W raportach FRST nie widać żadnej infekcji. Problem występuje tylko w jednej przeglądarce i to tej właśnie nie skanowanej przez FRST (FRST skanuje wszystkie klony Mozilla, ale nie klony Chromium). Nie wiadomo co jest w Comodo Dragon, a prawdopodobnie problemem jest jedno z zainstalowanych rozszerzeń. Dostarcz zrzut ekranu z planszy zainstalowanych rozszerzeń. Czynności dodatkowe: 1. Przez Panel sterowania odinstaluj Adobe Flash Player 10 ActiveX (potwornie stara wersja naruszająca bezpieczeństwo) oraz PrivDog (kontrowersyjny program instalowany przez starsze wersje CIS). PrivDog został usunięty i zastąpiony przez Comodo AdBlocker Desktop. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = SearchScopes: HKU\S-1-5-21-1006344373-1389957350-5058681-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1006344373-1389957350-5058681-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku] C:\Program Files (x86)\Temp C:\ProgramData\SWCUTemp C:\ProgramData\Temp C:\Users\Sasha\Downloads\*.crdownload EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Owszem, komunikat generuje obiekt infekcji. Proszę dostosuj się do zasad działu i dostarcz raporty z FRST.

Problem naprawiony, nie są potrzebne nowe logi FRST. Usuń FRST i jego raporty, katalog C:\FRST oraz plik profilelist.reg z Pulpitu (to była asekuracyjna kopia zapasowa).

Tylko Addition był mi potrzebny, resztę logów FRST usuwam (FRST.txt zresztą uszkodzony). 1. Załaduj skrypt do FRST o zawartości: Reg: reg export "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList" C:\Users\Asus\Desktop\profilelist.reg DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-3268135465-591020038-312475966-1004 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-3268135465-591020038-312475966-1007 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-3268135465-591020038-312475966-1008 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-3268135465-591020038-312475966-1010 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-3268135465-591020038-312475966-1011 Przedstaw wynikowy Fixlog.txt. 2. Zresetuj komputer i sprawdź co widać na ekranie logowania. Wg odczytu obecnie konto Szymon ma nowy SID, ale nie ma powiązanego folderu na dysku i nie jest zarejestrowane w kluczu ProfileList (wygląda na konto nigdy niezainicjowane/niezalogowane).

Problemem jest robak skryptowy uruchamiany z dwóch miejsc startowych. Przy okazji zostaną usunięte szczątki po oddinstalowanych programach. Działania do przeprowadzenia: 1. Odinstaluj Adobe Flash Player 26 NPAPI. To wersja pod Firefox i pochodne, a Ty używasz tylko Chrome. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-1669294235-3204265449-2381065717-1001\...\Run: [smycWTeXSeDFCWU] => wscript.exe //B "C:\Users\Jakub\AppData\Local\Temp\smycWTeXSeDFCWU.wSf" Startup: C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\smycWTeXSeDFCWU.wSf [2016-03-29] () GroupPolicy: Ograniczenia R3 cpuz140; C:\Users\Jakub\AppData\Local\Temp\cpuz140\cpuz140_x64.sys [45888 2017-06-28] (CPUID) R1 ZAM; C:\Windows\System32\drivers\zam64.sys [203680 2017-05-09] (Zemana Ltd.) R1 ZAM_Guard; C:\Windows\System32\drivers\zamguard64.sys [203680 2017-05-09] (Zemana Ltd.) S2 MBAMChameleon; \SystemRoot\system32\drivers\MBAMChameleon.sys [X] S4 NVHDA; \SystemRoot\system32\drivers\nvhda64v.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service" DeleteKey: HKCU\Software\Mozilla DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Mozilla Maintenance Service C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mr DJ C:\Users\Jakub\AppData\Local\Mozilla C:\Users\Jakub\AppData\LocalLow\Mozilla C:\Users\Jakub\AppData\Roaming\Mozilla C:\Windows\System32\drivers\zam64.sys C:\Windows\System32\drivers\zamguard64.sys cmd: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut, oraz USBFix z opcji Listing przy podpiętym pendrive. Dołącz też plik fixlog.txt.

Przyjrzałam się na szybko wynikom. SpecialAccounts nie powinno mieć tu nic do rzeczy (klucz był pusty). Natomiast odczyt z ProfileList wykazuje kupę kluczy nie powiązanych z istniejącymi kontami (i to jeden z powodów dla "Innego użytkownika"): W FRST były wykryte następujące konta: Administrator (S-1-5-21-3268135465-591020038-312475966-500 - Administrator - Disabled) => C:\Users\Administrator Asus (S-1-5-21-3268135465-591020038-312475966-1000 - Administrator - Enabled) => C:\Users\Asus Gość (S-1-5-21-3268135465-591020038-312475966-501 - Limited - Disabled) Szymon (S-1-5-21-3268135465-591020038-312475966-1015 - Limited - Enabled) => C:\Users\Szymon Odczyt z klucza pokazał jakieś dodatkowe fantomy punktujące nieistniejące SID: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-3268135465-591020038-312475966-1004 Flags REG_DWORD 0x0 State REG_DWORD 0x304 Sid REG_BINARY 01050000000000051500000029CACBC206403A233E01A012EC030000 ProfileLoadTimeLow REG_DWORD 0x0 ProfileLoadTimeHigh REG_DWORD 0x0 RefCount REG_DWORD 0x0 RunLogonScriptSync REG_DWORD 0x0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-3268135465-591020038-312475966-1007 Flags REG_DWORD 0x0 State REG_DWORD 0x100 Sid REG_BINARY 01050000000000051500000029CACBC206403A233E01A012EF030000 ProfileLoadTimeLow REG_DWORD 0x0 ProfileLoadTimeHigh REG_DWORD 0x0 RefCount REG_DWORD 0x0 RunLogonScriptSync REG_DWORD 0x0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-3268135465-591020038-312475966-1008 Flags REG_DWORD 0x0 State REG_DWORD 0x0 Sid REG_BINARY 01050000000000051500000029CACBC206403A233E01A012F0030000 ProfileLoadTimeLow REG_DWORD 0x0 ProfileLoadTimeHigh REG_DWORD 0x0 RefCount REG_DWORD 0x0 RunLogonScriptSync REG_DWORD 0x0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-3268135465-591020038-312475966-1010 Flags REG_DWORD 0x0 State REG_DWORD 0x204 Sid REG_BINARY 01050000000000051500000029CACBC206403A233E01A012F2030000 ProfileLoadTimeLow REG_DWORD 0x0 ProfileLoadTimeHigh REG_DWORD 0x0 RefCount REG_DWORD 0x0 RunLogonScriptSync REG_DWORD 0x0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-3268135465-591020038-312475966-1011 ProfileImagePath REG_EXPAND_SZ C:\Users\Asus-Komputer.Asus-Komputer Flags REG_DWORD 0x0 State REG_DWORD 0x204 Sid REG_BINARY 01050000000000051500000029CACBC206403A233E01A012F3030000 ProfileLoadTimeLow REG_DWORD 0x0 ProfileLoadTimeHigh REG_DWORD 0x0 RefCount REG_DWORD 0x0 RunLogonScriptSync REG_DWORD 0x0 Mówisz, że manipulowałeś z kontami (usunięty Szymon i próba zakładania nowych kont), więc układ widziany wyżej jest nieaktualny. Poproszę o świeży log FRST Addition pokazujący aktualnie wykryte konta oraz wyniki skryptu FRST zawierającego tę komendę: Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList" /s

Zgłoszony problem z Fiksem FRST na PW, więc komentuję (nie sprawdzałam reszty tematu): FRST wisiał na nieskończoności przy tym: cmd: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts" ... bo nie został dodany przełącznik cichy i cmd/reg czekało na potwierdzenie akcji. W FRST powinno być użyte: cmd: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts" /f W takiej sytuacji należało zabić proces FRST via Menedżer zadań i uruchomić poprawiony skrypt ponownie.

Miszel03 W tym przypadku widać z raportu dokładnie co to za wariant. Istotnie, to BTCWare Master. Flagi infekcji, zaszyfrowane pliki z suffiksem *.master: 2017-06-29 19:49 - 2017-06-29 20:18 - 0001316 _____ () C:\Users\SPAR\AppData\Roaming\!#_RESTORE_FILES_#!.inf 2017-06-29 19:50 - 2017-06-29 19:50 - 3895077 _____ () C:\Users\SPAR\AppData\Roaming\1.bmp 2017-06-29 19:50 - 2017-06-29 20:18 - 0001316 _____ () C:\Users\SPAR\AppData\Local\!#_RESTORE_FILES_#!.inf 2017-06-29 19:50 - 2017-06-29 20:18 - 0001316 _____ () C:\ProgramData\!#_RESTORE_FILES_#!.inf 2017-06-13 13:02 - 2017-06-29 19:50 - 0000368 _____ () C:\ProgramData\hpzinstall.log.[darkwaiderr@cock.li].master mlik Odkodowanie plików awykonalne, dekoder BTCWareDecrypter do tej serii ransomware nie obsługuje wariantu *.master: KLIK. Podstawowy to aktualizacje oprogramowania i izolowana kopia zapasowa danych na dysku niedostępnym spod aktywnego Windows. Dodatkowo lista pomocniczych programów: KLIK.

Co widać w konfiguracji DHCP (jakie adresy DNS) po zalogowaniu się do interfejsu D-Link? Ile czekałeś? Takie wyszukiwanie może trwać bardzo długo (do kilku godzin), należy zostawić komputer w spokoju. Ale jeśli wyszukiwanie rzeczywiście jest zablokowane i mieli nieprawdopodobnie długo, a proces svchost jest bardzo obciążony podczas tej operacji, to należy się zaopatrzyć w tę oto kombinację linkowaną w przyklejonym temacie: Być może te poprawki już u Ciebie są, skoro ostatnia sprawdzanie wystąpiło w sierpniu 2016...

1. Komunikat o zainfekowanym routerze - czy D-link był podłączony podczas skanu systemu? W raporcie FRST nie widać żadnych szkodliwych serwerów DNS pobranych z routera, tylko adres wewnętrzny: Tcpip\Parameters: [DhcpNameServer] 192.168.1.1 0.0.0.0 Tcpip\..\Interfaces\{05912885-6891-43D3-B03E-0C3556A88A30}: [DhcpNameServer] 192.168.1.1 0.0.0.0 2. Komunikat o podatności na WannaCry i aspekt aktualizacji Windows: Widzę w raporcie, że podejmowałeś próbę instalacji łaty KB4012212, ale skoro jakoby ostatnie sprawdzanie wystąpiło w zeszłym roku, to łat prawdopodobnie brakuje więcej - wystarczy porównać z listą: KLIK. Czy wyszukiwanie Windows Update znajduje jakieś łaty?

Nie prosiłam o nowe raporty. To wszystko. Temat zamykam.

AdwCleaner wykrył drobne odpadki adware w rejestrze. Uruchom program ponownie, tym razem zastosuj sekwencję Skanuj + Oczyść i dostarcz log wynikowy z czyszczenia.

Zrzuty ekranu to za mało. Poproszę o obowiązkowe raporty z FRST (które m.in. pokazują IP pobrane z routera). One są nieuknione przy analizie tego rodzaju.

Hmmm, tylko jeden z załączonych katalogów się skopiował do ZIP. Ręcznie przekopiuj na Pulpit ten folder: C:\Users\jarek\AppData\Local\Google\Chrome\User Data\Default Spakuj do ZIP, shostuj gdzieś i podaj link.

Nic nowego nie widać. W związku z tym dostarcz katalogi Chrome do ręcznej analizy: Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: Zip: C:\Program Files (x86)\Google\Chrome\Application;C:\Users\jarek\AppData\Local\Google\Chrome\User Data\Default Z klawiatury CTRL+S, by zapisać zmiany. W oknie FRST klik w Napraw (Fix). Na Pulpicie powstanie plik data_czas.zip. Shostuj gdzieś ten plik i podaj link do paczki.

Pobierz najnowszą wersję FRST (ostatnio dodane nowe detekcje) i zrób ponownie skan, dostarcz raporty FRST.txt + Addition.txt. Jeśli skan nic nie wykaże, poproszę o dodatkowe dane do analizy ręcznej. Ale to potem.

Nie zostały usunięte dwa elementy w usługach / sterownikach. Poprawki: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: R2 mptpmdxm; C:\Windows\system32\mptpmdxm.dll [479528 2017-06-22] () <==== UWAGA R2 UefGdstor; C:\Windows\system32\drivers\UefGdstor.sys [195104 2016-08-23] () <==== UWAGA C:\Users\Public\Documents\XMUpdate C:\Windows\system32\mptpmdxm.dll C:\Windows\system32\drivers\UefGdstor.sys Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Przejdź w tryb awaryjny Windows. Uruchom FRST i klik w Napraw (Fix). Gdy Fix ukończy pracę, nastąpi restart systemu, opuść tryb awaryjny. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.