picasso

Wyraźnie w instrukcji było napisane by nie wyciągać raportów z katalogu C:\FRST\Logs. To jest archiwum. Bieżące logi są zawsze tam skąd uruchamiasz FRST, czyli w tym przypadku d:\D-A-N-E\Downloads, i nie mają dat w nazwach. W systemie rezydują komponenty trojana Miuref. Działania do przeprowadzenia: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2774888342-626457473-3219876655-1001\...\Run: [AQTworks] => C:\Users\PIOTREK\AppData\Local\AQTworks\qatuvdz.exe [273920 2017-05-22] () HKU\S-1-5-21-2774888342-626457473-3219876655-1001\...\Run: [YhkrPack] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\PIOTREK\AppData\Local\AQTworks\Quickbox.dll HKU\S-1-5-21-2774888342-626457473-3219876655-1001\...\Run: [ubbjmedia] => regsvr32.exe C:\Users\PIOTREK\AppData\Local\Ubbjmedia\i18MainSched54.dll DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run C:\Users\PIOTREK\AppData\Local\AQTworks C:\Users\PIOTREK\AppData\Local\Ubbjmedia ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku CustomCLSID: HKU\S-1-5-21-2774888342-626457473-3219876655-1001_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\PIOTREK\AppData\Local\Microsoft\OneDrive\17.3.6917.0607\amd64\FileSyncShell64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2774888342-626457473-3219876655-1001_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\PIOTREK\AppData\Local\Microsoft\OneDrive\17.3.6917.0607\amd64\FileSyncShell64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2774888342-626457473-3219876655-1001_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\PIOTREK\AppData\Local\Microsoft\OneDrive\17.3.6917.0607\amd64\FileSyncShell64.dll => Brak pliku CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

W raportach FRST nie widać żadnej infekcji. Problem występuje tylko w jednej przeglądarce i to tej właśnie nie skanowanej przez FRST (FRST skanuje wszystkie klony Mozilla, ale nie klony Chromium). Nie wiadomo co jest w Comodo Dragon, a prawdopodobnie problemem jest jedno z zainstalowanych rozszerzeń. Dostarcz zrzut ekranu z planszy zainstalowanych rozszerzeń. Czynności dodatkowe: 1. Przez Panel sterowania odinstaluj Adobe Flash Player 10 ActiveX (potwornie stara wersja naruszająca bezpieczeństwo) oraz PrivDog (kontrowersyjny program instalowany przez starsze wersje CIS). PrivDog został usunięty i zastąpiony przez Comodo AdBlocker Desktop. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = SearchScopes: HKU\S-1-5-21-1006344373-1389957350-5058681-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1006344373-1389957350-5058681-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku] C:\Program Files (x86)\Temp C:\ProgramData\SWCUTemp C:\ProgramData\Temp C:\Users\Sasha\Downloads\*.crdownload EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Owszem, komunikat generuje obiekt infekcji. Proszę dostosuj się do zasad działu i dostarcz raporty z FRST.

Problem naprawiony, nie są potrzebne nowe logi FRST. Usuń FRST i jego raporty, katalog C:\FRST oraz plik profilelist.reg z Pulpitu (to była asekuracyjna kopia zapasowa).

Tylko Addition był mi potrzebny, resztę logów FRST usuwam (FRST.txt zresztą uszkodzony). 1. Załaduj skrypt do FRST o zawartości: Reg: reg export "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList" C:\Users\Asus\Desktop\profilelist.reg DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-3268135465-591020038-312475966-1004 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-3268135465-591020038-312475966-1007 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-3268135465-591020038-312475966-1008 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-3268135465-591020038-312475966-1010 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-3268135465-591020038-312475966-1011 Przedstaw wynikowy Fixlog.txt. 2. Zresetuj komputer i sprawdź co widać na ekranie logowania. Wg odczytu obecnie konto Szymon ma nowy SID, ale nie ma powiązanego folderu na dysku i nie jest zarejestrowane w kluczu ProfileList (wygląda na konto nigdy niezainicjowane/niezalogowane).

Problemem jest robak skryptowy uruchamiany z dwóch miejsc startowych. Przy okazji zostaną usunięte szczątki po oddinstalowanych programach. Działania do przeprowadzenia: 1. Odinstaluj Adobe Flash Player 26 NPAPI. To wersja pod Firefox i pochodne, a Ty używasz tylko Chrome. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-1669294235-3204265449-2381065717-1001\...\Run: [smycWTeXSeDFCWU] => wscript.exe //B "C:\Users\Jakub\AppData\Local\Temp\smycWTeXSeDFCWU.wSf" Startup: C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\smycWTeXSeDFCWU.wSf [2016-03-29] () GroupPolicy: Ograniczenia R3 cpuz140; C:\Users\Jakub\AppData\Local\Temp\cpuz140\cpuz140_x64.sys [45888 2017-06-28] (CPUID) R1 ZAM; C:\Windows\System32\drivers\zam64.sys [203680 2017-05-09] (Zemana Ltd.) R1 ZAM_Guard; C:\Windows\System32\drivers\zamguard64.sys [203680 2017-05-09] (Zemana Ltd.) S2 MBAMChameleon; \SystemRoot\system32\drivers\MBAMChameleon.sys [X] S4 NVHDA; \SystemRoot\system32\drivers\nvhda64v.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service" DeleteKey: HKCU\Software\Mozilla DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Mozilla Maintenance Service C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mr DJ C:\Users\Jakub\AppData\Local\Mozilla C:\Users\Jakub\AppData\LocalLow\Mozilla C:\Users\Jakub\AppData\Roaming\Mozilla C:\Windows\System32\drivers\zam64.sys C:\Windows\System32\drivers\zamguard64.sys cmd: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut, oraz USBFix z opcji Listing przy podpiętym pendrive. Dołącz też plik fixlog.txt.

Przyjrzałam się na szybko wynikom. SpecialAccounts nie powinno mieć tu nic do rzeczy (klucz był pusty). Natomiast odczyt z ProfileList wykazuje kupę kluczy nie powiązanych z istniejącymi kontami (i to jeden z powodów dla "Innego użytkownika"): W FRST były wykryte następujące konta: Administrator (S-1-5-21-3268135465-591020038-312475966-500 - Administrator - Disabled) => C:\Users\Administrator Asus (S-1-5-21-3268135465-591020038-312475966-1000 - Administrator - Enabled) => C:\Users\Asus Gość (S-1-5-21-3268135465-591020038-312475966-501 - Limited - Disabled) Szymon (S-1-5-21-3268135465-591020038-312475966-1015 - Limited - Enabled) => C:\Users\Szymon Odczyt z klucza pokazał jakieś dodatkowe fantomy punktujące nieistniejące SID: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-3268135465-591020038-312475966-1004 Flags REG_DWORD 0x0 State REG_DWORD 0x304 Sid REG_BINARY 01050000000000051500000029CACBC206403A233E01A012EC030000 ProfileLoadTimeLow REG_DWORD 0x0 ProfileLoadTimeHigh REG_DWORD 0x0 RefCount REG_DWORD 0x0 RunLogonScriptSync REG_DWORD 0x0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-3268135465-591020038-312475966-1007 Flags REG_DWORD 0x0 State REG_DWORD 0x100 Sid REG_BINARY 01050000000000051500000029CACBC206403A233E01A012EF030000 ProfileLoadTimeLow REG_DWORD 0x0 ProfileLoadTimeHigh REG_DWORD 0x0 RefCount REG_DWORD 0x0 RunLogonScriptSync REG_DWORD 0x0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-3268135465-591020038-312475966-1008 Flags REG_DWORD 0x0 State REG_DWORD 0x0 Sid REG_BINARY 01050000000000051500000029CACBC206403A233E01A012F0030000 ProfileLoadTimeLow REG_DWORD 0x0 ProfileLoadTimeHigh REG_DWORD 0x0 RefCount REG_DWORD 0x0 RunLogonScriptSync REG_DWORD 0x0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-3268135465-591020038-312475966-1010 Flags REG_DWORD 0x0 State REG_DWORD 0x204 Sid REG_BINARY 01050000000000051500000029CACBC206403A233E01A012F2030000 ProfileLoadTimeLow REG_DWORD 0x0 ProfileLoadTimeHigh REG_DWORD 0x0 RefCount REG_DWORD 0x0 RunLogonScriptSync REG_DWORD 0x0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-3268135465-591020038-312475966-1011 ProfileImagePath REG_EXPAND_SZ C:\Users\Asus-Komputer.Asus-Komputer Flags REG_DWORD 0x0 State REG_DWORD 0x204 Sid REG_BINARY 01050000000000051500000029CACBC206403A233E01A012F3030000 ProfileLoadTimeLow REG_DWORD 0x0 ProfileLoadTimeHigh REG_DWORD 0x0 RefCount REG_DWORD 0x0 RunLogonScriptSync REG_DWORD 0x0 Mówisz, że manipulowałeś z kontami (usunięty Szymon i próba zakładania nowych kont), więc układ widziany wyżej jest nieaktualny. Poproszę o świeży log FRST Addition pokazujący aktualnie wykryte konta oraz wyniki skryptu FRST zawierającego tę komendę: Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList" /s

Zgłoszony problem z Fiksem FRST na PW, więc komentuję (nie sprawdzałam reszty tematu): FRST wisiał na nieskończoności przy tym: cmd: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts" ... bo nie został dodany przełącznik cichy i cmd/reg czekało na potwierdzenie akcji. W FRST powinno być użyte: cmd: reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts" /f W takiej sytuacji należało zabić proces FRST via Menedżer zadań i uruchomić poprawiony skrypt ponownie.

Miszel03 W tym przypadku widać z raportu dokładnie co to za wariant. Istotnie, to BTCWare Master. Flagi infekcji, zaszyfrowane pliki z suffiksem *.master: 2017-06-29 19:49 - 2017-06-29 20:18 - 0001316 _____ () C:\Users\SPAR\AppData\Roaming\!#_RESTORE_FILES_#!.inf 2017-06-29 19:50 - 2017-06-29 19:50 - 3895077 _____ () C:\Users\SPAR\AppData\Roaming\1.bmp 2017-06-29 19:50 - 2017-06-29 20:18 - 0001316 _____ () C:\Users\SPAR\AppData\Local\!#_RESTORE_FILES_#!.inf 2017-06-29 19:50 - 2017-06-29 20:18 - 0001316 _____ () C:\ProgramData\!#_RESTORE_FILES_#!.inf 2017-06-13 13:02 - 2017-06-29 19:50 - 0000368 _____ () C:\ProgramData\hpzinstall.log.[darkwaiderr@cock.li].master mlik Odkodowanie plików awykonalne, dekoder BTCWareDecrypter do tej serii ransomware nie obsługuje wariantu *.master: KLIK. Podstawowy to aktualizacje oprogramowania i izolowana kopia zapasowa danych na dysku niedostępnym spod aktywnego Windows. Dodatkowo lista pomocniczych programów: KLIK.

Co widać w konfiguracji DHCP (jakie adresy DNS) po zalogowaniu się do interfejsu D-Link? Ile czekałeś? Takie wyszukiwanie może trwać bardzo długo (do kilku godzin), należy zostawić komputer w spokoju. Ale jeśli wyszukiwanie rzeczywiście jest zablokowane i mieli nieprawdopodobnie długo, a proces svchost jest bardzo obciążony podczas tej operacji, to należy się zaopatrzyć w tę oto kombinację linkowaną w przyklejonym temacie: Być może te poprawki już u Ciebie są, skoro ostatnia sprawdzanie wystąpiło w sierpniu 2016...

1. Komunikat o zainfekowanym routerze - czy D-link był podłączony podczas skanu systemu? W raporcie FRST nie widać żadnych szkodliwych serwerów DNS pobranych z routera, tylko adres wewnętrzny: Tcpip\Parameters: [DhcpNameServer] 192.168.1.1 0.0.0.0 Tcpip\..\Interfaces\{05912885-6891-43D3-B03E-0C3556A88A30}: [DhcpNameServer] 192.168.1.1 0.0.0.0 2. Komunikat o podatności na WannaCry i aspekt aktualizacji Windows: Widzę w raporcie, że podejmowałeś próbę instalacji łaty KB4012212, ale skoro jakoby ostatnie sprawdzanie wystąpiło w zeszłym roku, to łat prawdopodobnie brakuje więcej - wystarczy porównać z listą: KLIK. Czy wyszukiwanie Windows Update znajduje jakieś łaty?

Nie prosiłam o nowe raporty. To wszystko. Temat zamykam.

AdwCleaner wykrył drobne odpadki adware w rejestrze. Uruchom program ponownie, tym razem zastosuj sekwencję Skanuj + Oczyść i dostarcz log wynikowy z czyszczenia.

Zrzuty ekranu to za mało. Poproszę o obowiązkowe raporty z FRST (które m.in. pokazują IP pobrane z routera). One są nieuknione przy analizie tego rodzaju.

Hmmm, tylko jeden z załączonych katalogów się skopiował do ZIP. Ręcznie przekopiuj na Pulpit ten folder: C:\Users\jarek\AppData\Local\Google\Chrome\User Data\Default Spakuj do ZIP, shostuj gdzieś i podaj link.

Nic nowego nie widać. W związku z tym dostarcz katalogi Chrome do ręcznej analizy: Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: Zip: C:\Program Files (x86)\Google\Chrome\Application;C:\Users\jarek\AppData\Local\Google\Chrome\User Data\Default Z klawiatury CTRL+S, by zapisać zmiany. W oknie FRST klik w Napraw (Fix). Na Pulpicie powstanie plik data_czas.zip. Shostuj gdzieś ten plik i podaj link do paczki.

Pobierz najnowszą wersję FRST (ostatnio dodane nowe detekcje) i zrób ponownie skan, dostarcz raporty FRST.txt + Addition.txt. Jeśli skan nic nie wykaże, poproszę o dodatkowe dane do analizy ręcznej. Ale to potem.

Nie zostały usunięte dwa elementy w usługach / sterownikach. Poprawki: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: R2 mptpmdxm; C:\Windows\system32\mptpmdxm.dll [479528 2017-06-22] () <==== UWAGA R2 UefGdstor; C:\Windows\system32\drivers\UefGdstor.sys [195104 2016-08-23] () <==== UWAGA C:\Users\Public\Documents\XMUpdate C:\Windows\system32\mptpmdxm.dll C:\Windows\system32\drivers\UefGdstor.sys Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Przejdź w tryb awaryjny Windows. Uruchom FRST i klik w Napraw (Fix). Gdy Fix ukończy pracę, nastąpi restart systemu, opuść tryb awaryjny. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Ten Bitcoin miner jest charakterystyczny dla paczek pobranych ręcznie. Np. tutaj ktoś raportuje, że był doczepiony do moda gry: KLIK. Tak więc zweryfikuj jakie dodatki do gier ostatnio pobierałeś i usuń wszystkie niepewne / budzące podejrzenie. Wszystko pomyślnie usunięte. Na koniec zastosuj Delfix oraz wyczyść foldery Przywracania systemu: KLIK.

Ta blokada Windows Defender znowu widoczna, prawdopodobnie jest powiązana z obecnością Avast. Natomiast jeśli chodzi o wpisy relatywne do konta Kamila, to drobne śmieci do usunięcia: 1. Przez Panel sterowania odinstaluj WarThunder, to podróbka adware tworząca skróty uruchamiające adres monetyzacji "mmotraffic.com". 2. Po deinstalacji upewnij się, że zniknęły te elementy z dysku: C:\Users\Kamila\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\Kamila\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk C:\Users\Kamila\AppData\Roaming\WarThunder 3. Przez SHIFT+DEL (omija Kosz) usuń z obu kont pobrany FRST i jego logi, oraz katalog C:\FRST. 4. Wyczyść foldery Przywracania systemu: KLIK.

Na przyszłość: nie wyciągaj raportów FRST z katalogu C:\FRST\Logs. To archiwum raportów. Bieżące powstają zawsze tam skąd uruchamiasz FRST, czyli w tym przypadku w katalogu Pobrane, i nie mają dat w nazwach. Brak oznak infekcji. Wynik z GMER do zignorowania, to sterownik Windows Defender związany z aktualizacjami definicji: Service C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{076A6D04-837D-46B9-B72D-BFABB7CA4C54}\MpKslb43cbbd1.sys (*** hidden *** ) [sYSTEM] MpKslb43cbbd1 Taki odczyt może wynikać z jakiegoś zawieszenia czy niespójności statusu sterownika w trakcie skanu. Sterownik ma losową nazwę i samoczynnie zanika po ukończeniu operacji. W raporcie FRST już widać nieco inny: R1 MpKsl575e5723; C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{C41C7168-F526-4732-9814-607AD10FA052}\MpKsl575e5723.sys [44928 2017-06-27] (Microsoft Corporation) PS. Możesz wykonać tylko skrypt poboczny usuwający puste wpisy. W spoilerze:

Na przyszłość: proszę trzymaj się konfiguracji FRST w wytycznych tutaj na forum. Sekcje MD5 sterowników i Pliki z 90 dni nie miały być zaznaczone. To skany pod stare infekcje, w większości przypadków rzadko już stosowane, masa zbędnych danych w raporcie. Problemem jest szkodnik w Harmonogramie (skrypt VBE, więc uruchamiany via silnik Microsoftu wscript.exe): Task: {343241FB-8EC1-4D8B-92FF-2BFCD7489E41} - System32\Tasks\Origin => C:\Users\conno\AppData\Roaming\Origin\update.vbe [2017-06-25] () To nie jest prawdziwy element "Origin" tylko Bitcoin miner. Działania do przeprowadzenia: 1. FRST flaguje YTD Video Downloader 5.8.3 na liście zainstalowanych ze względu na komponenty adware/PUP w instalatorze. Decyduj czy program usuwasz. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: Task: {343241FB-8EC1-4D8B-92FF-2BFCD7489E41} - System32\Tasks\Origin => C:\Users\conno\AppData\Roaming\Origin\update.vbe [2017-06-25] () C:\Users\conno\AppData\Roaming\Origin\update.vbe HKLM\...\StartupApproved\Run: => "RTHDVCPL" HKU\S-1-5-21-1111174830-2949977601-1114541188-1001\...\StartupApproved\Run: => "CorsairLink4" HKU\S-1-5-21-1111174830-2949977601-1114541188-1001\...\Run: [GalaxyClient] => [X] HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> GroupPolicy: Ograniczenia GroupPolicyScripts: Ograniczenia R3 WinRing0_1_2_0; C:\Users\conno\AppData\Local\Temp\tmpAB54.tmp [14544 2017-06-18] (OpenLibSys.org) S3 cpuz140; \??\C:\Users\conno\AppData\Local\Temp\cpuz140\cpuz140_x64.sys [X] S3 IntcAzAudAddService; \SystemRoot\system32\drivers\RTKVHD64.sys [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] FF Plugin-x32: @google.com/npPicasa3,version=3.0.0 -> C:\Program Files (x86)\Google\Picasa3\npPicasa3.dll [brak pliku] FF Plugin-x32: @microsoft.com/OfficeAuthz,version=14.0 -> C:\PROGRA~2\MICROS~1\Office14\NPAUTHZ.DLL [brak pliku] FF Plugin-x32: @microsoft.com/SharePoint,version=14.0 -> C:\PROGRA~2\MICROS~1\Office14\NPSPWRAP.DLL [brak pliku] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Call of Duty Advanced Warfare Folder: C:\Users\conno\AppData\Roaming\Origin EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Dotychczas było tu sprawdzene konto Monika, ale jest jeszcze Kamila. Jeśli jest dostęp do tego konta, to zresetuj komputer (by odładować gałąź obecnego konta), zaloguj się na Kamilę i z tego poziomu zrób nowe raporty FRST (FRST.txt + Addition.txt, bez Shortcut).

Wszystko pomyślnie usunięte, z wyjątkiem blokady Windows Defender (ona jakoby została usunięta, a znów w logu widoczna). Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: Reg: reg query "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender" /s HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA DeleteQuarantine: Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

W raportach żadnych oznak infekcji i nie ma się tu za bardzo czym zajmować. A te komunikaty które cytujesz odczytuję nie jako wykrycie zagrożenia tylko jako adnotację, że Norton zaczął monitorować nowo wykryte połączenia sieciowe IPv6 *.... Natomiast nie ma tu wyników jakie trojany jakoby zostały wykryte i gdzie (konkretne ścieżki dostępu). * Co do urządzenia "Teredo Tunneling Pseudo-Interface", to można je zdeaktywować: KLIK. Z raportów nic nie wynika. I jeśli to nie placebo, to być może aktywność NIS (najbardziej rozbudowany w obszarze elementów startowych program zewnętrzny) ma coś do rzeczy. PS. Możesz wykonać skrypt kosmetyczny usuwający drobne puste wpisy (akcja poziomu kosmetycznego). W spoilerze: