Skocz do zawartości

picasso

Administratorzy
  • Postów

    36 510
  • Dołączył

  • Ostatnia wizyta

Treść opublikowana przez picasso

  1. W Dzienniku zdarzeń nie zostały po restarcie nagrane żadne błędy. Silnik Windows Defender został zaktualizowany przy udziale FRST, więc aktualizacja się już nie aplikuje i nie ma potrzeby jej instalacji. Jak rozumiem jednak Ty tę aktualizację nadal widzisz jako dostępną? Czy ona się pokazuje również podczas nowego wyszukiwania za pomocą opcji "Sprawdź aktualizacje"? Jeśli odpowiedź na oba pytania jest pozytywna, spróbuj usunąć SoftwareDistribution, by zresetować Windows Update. Usługi Windows Update muszą być zatrzymane podczas wykonywania tej operacji.
  2. Komendy pomyślnie wykonane, a wersja silnika podbita. Kolejny Fix do FRST: Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} Reboot: Nastąpi automatyczny restart systemu. Zrób nowy log z FRST, ale dostarcz tylko plik Addition.txt. Wypowiedz się też czy nastąpiła poprawa sytuacji, czy może Windows nadal pokazuje aktualizację analizy zabezpieczeń.
  3. Nie, w ogóle nie chodziło ani o ręczne usuwanie, ani o SoftwareDistribution (na razie). Podany Fix do FRST miał wykonać automatyczne usuwanie cache definicji i aktualizację silnika Windows Defender. Tylko, że komendy zwróciły błąd: 'MpCmdRun.exe' is not recognized as an internal or external command, operable program or batch file. Ponawiamy próbę z pełnymi ścieżkami dostępu. Załaduj do FRST następujący Fix i pokaż wynikowy fixlog.txt: cmd: "C:\Program Files\Windows Defender\MpCmdRun.exe" -removedefinitions -dynamicsignatures cmd: "C:\Program Files\Windows Defender\MpCmdRun.exe" -SignatureUpdate
  4. W raportach brak oznak infekcji. Temat przenoszę do działu Windows. Usługa inteligentnego transferu w tle (BITS) oraz Instalator modułów systemu Windows (TrustedInstaller) domyślnie mają ustawiony Start na Ręczny i są w stanie Zatrzymanym. Te usługi się samodzielnie aktywują, gdy jest to wymagane, a po zakończeniu procesów ponownie zatrzymują. W Dzienniku zdarzeń są następujące błędy: Dziennik System: ============= Error: (06/29/2021 03:38:39 PM) (Source: Service Control Manager) (EventID: 7024) (User: ) Description: Usługa Usługa inteligentnego transferu w tle zakończyła działanie; wystąpił następujący specyficzny dla niej błąd: Klasa jest skonfigurowana do pracy jako identyfikator bezpieczeństwa inny niż wywołujący. Error: (06/29/2021 03:38:39 PM) (Source: Microsoft-Windows-Bits-Client) (EventID: 16392) (User: ZARZĄDZANIE NT) Description: Uruchomienie usługi BITS nie powiodło się. Błąd 2147500053. Error: (06/29/2021 01:26:54 PM) (Source: Microsoft-Windows-WindowsUpdateClient) (EventID: 20) (User: ZARZĄDZANIE NT) Description: Instalacja nie powiodła się: system Windows nie mógł zainstalować następującej aktualizacji, ponieważ wystąpił błąd 0x8024200b: Aktualizacja analizy zabezpieczeń dla produktu Microsoft Defender Antivirus - KB2267602 (wersja: 1.343.25.0). Error: (06/29/2021 01:03:06 PM) (Source: Microsoft-Windows-WindowsUpdateClient) (EventID: 20) (User: ZARZĄDZANIE NT) Description: Instalacja nie powiodła się: system Windows nie mógł zainstalować następującej aktualizacji, ponieważ wystąpił błąd 0x8024200b: Aktualizacja analizy zabezpieczeń dla produktu Microsoft Defender Antivirus - KB2267602 (wersja: 1.343.25.0). Error: (06/29/2021 01:01:26 PM) (Source: Microsoft-Windows-WindowsUpdateClient) (EventID: 20) (User: ZARZĄDZANIE NT) Description: Instalacja nie powiodła się: system Windows nie mógł zainstalować następującej aktualizacji, ponieważ wystąpił błąd 0x8024200b: Aktualizacja analizy zabezpieczeń dla produktu Microsoft Defender Antivirus - KB2267602 (wersja: 1.343.25.0). Tylko, że silnik Windows Defender już jest zaktualizowany do tej wersji: Windows Defender: ================ Wersja analizy zabezpieczeń: 1.343.25.0 Toteż na razie nasuwa się, by po prostu usunąć cache definicji i "wspomóc" wykrycie aktualizacji. Przy okazji sprawdzę też identyfikator bezpieczeństwa usługi BITS. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: cmd: cd "C:\Program Files\Windows Defender" cmd: MpCmdRun.exe -removedefinitions -dynamicsignatures cmd: MpCmdRun.exe -SignatureUpdate cmd: sc sdshow bits Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.
  5. Dostarcz obowiązkowe raporty z FRST:
  6. Wielkie dzięki za ewentualną "kawę"! ? Temat rozwiązany. Zamykam.
  7. Usuń KpRm i jego log z dysku. To wszystko.
  8. MBAM wykrył tylko drobnostki w profilu Google Chrome. Jeśli usunąłeś wyniki, kończymy: Uruchom KpRm i zaznacz opcje: Delete Tools, Delete Restore Points, Delete quarantines. Przedstaw wynikowy log z akcji.
  9. Akcje ukończone pomyślnie. Kolejna porcja: 1. Zmień nazwę pliku FRST64.exe na uninstall.exe i uruchom. Folder Quarantine z malware powinien zostać usunięty. 2. Przeprowadź pełny skan ożywionym programem Malwarebytes i przedstaw wynikowy log.
  10. Wszystko pomyślnie wykonane. 1. Malwarebytes jest częściowo uszkodzony. Zastosuj Malwarebytes Support Tool, by program zreperować bądź przeinstalować. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: cmd: type C:\ProgramData\NTUSER.pol C:\ProgramData\NTUSER.pol C:\Users\moons\AppData\Local\Google\Chrome\User Data\Default\Extensions\nbminbckhdkcmlhbfppfbigmhnhcpkhf Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix).Tym razem nie będzie restartu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Po wykonaniu tego kroku uruchom przeglądarkę Google Chrome. To działanie ma na celu sprawdzić czy Adblocker for Youtube™ zostanie zregenerowany. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.
  11. Wszystko jasne. W systemie działał rootkit, którego FRST pomyślnie usunął: ==================== Services (Whitelisted) =================== "HKLM\System\ControlSet001\Services\{45487F67-EC9F-4449-A6F2-2D0970F9B80B}" => removed successfully C:\Windows\System32\drivers\ng1g2SaEXYrm.sys => moved successfully W tej sytuacji możemy prowadzić dalsze usuwanie z poziomu działającego Windows, już nie potrzebujemy RE. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: S2 AppServicea; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServiceb; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServicec; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServiced; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServicee; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServicef; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServiceg; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServiceh; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServicei; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServicej; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServicek; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServicel; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServicem; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServicen; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServiceo; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServicep; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServiceq; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServicer; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServices; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServicet; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServiceu; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServicev; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServicew; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServicex; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServicey; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 MBAMService; "C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe" [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\18030535.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\18030535.sys => ""="Driver" HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA BootExecute: autocheck autochk * GroupPolicy: Ograniczenia - Chrome <==== UWAGA Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb] DeleteKey: HKLM\SOFTWARE\MozillaPlugins C:\MyFile.txt C:\Program Files\temp_files C:\Program Files (x86)\AW Manager C:\Program Files (x86)\Company C:\Program Files (x86)\foler C:\Program Files (x86)\anjFGKdzU C:\Program Files (x86)\LqBBrQc C:\Program Files (x86)\XcjIDTjqJhZdTpTIqBR C:\Program Files (x86)\WSPNEpLqQIE C:\Program Files (x86)\pQmgloyPupxgC C:\Program Files (x86)\ELOJFuMDhuHU2 C:\Program Files (x86)\temp_files C:\Program Files (x86)\Temp C:\ProgramData\softokn3.dll C:\ProgramData\CML26GKJIPYEI9MLXNJVFY0EF C:\ProgramData\4GQJ345MVXIBMYTZ1LEATO2MK C:\ProgramData\ZZX2RYDT9XGIE85114YDM2TMS C:\ProgramData\L8PT15I93VOIILOS6U4BEO2FV C:\ProgramData\CP8Z9ZN3KMVU03RJRFJ2Y5TWZ C:\ProgramData\GZUG5UJQ18OAJ6I9462Z1P137 C:\ProgramData\Glarysoft\Startup Manager\GV LicenseManager.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes.lnk C:\ProgramData\TEMP C:\Users\moons\AppData\Local\AdvinstAnalytics C:\Users\moons\AppData\Local\BitTorrentHelper C:\Users\moons\AppData\Local\mbam C:\Users\moons\AppData\Local\UT008 C:\Users\moons\AppData\Local\Yandex C:\Users\moons\AppData\Roaming\nailedp C:\Users\moons\AppData\Roaming\Ramson C:\Users\moons\Documents\KvwpMFPqRAft9y9sSCwCH9Ii.exe C:\Users\moons\Documents\WQ75Y5Y8DjdyQAn0AEQrAjbV.exe C:\Users\moons\Documents\g2oQPlBcsjLFIr0lJGH2aMv0.exe C:\Users\moons\Documents\EfAUP2TvnXBIs3xkQEKNVFUW.exe C:\Users\moons\Documents\XrmS4NdEpS7JvDZgwiaBDSS5.exe C:\Users\moons\Documents\VFQYmefflW6M218EXGt1wGGt.exe C:\Users\moons\Documents\JVbtDl8da2XpSIQRnxdwBbBd.exe C:\Users\moons\Documents\55T1bv6QpJh38u8pIhwJ304z.exe C:\Users\moons\Documents\VlcpVideoV1.0.1 C:\Users\moons\Downloads\60cfda_Disk-Drill-4358.zip C:\Users\moons\Downloads\Niepotwierdzony *.crdownload C:\Users\Public\Desktop\Malwarebytes.lnk C:\Windows\system32\Drivers\45076182.sys cmd: netsh advfirewall reset Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} StartRegedit: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv] "DependOnService"=hex(7):72,00,70,00,63,00,73,00,73,00,00,00,00,00 "Description"="@%systemroot%\\system32\\wuaueng.dll,-106" "DisplayName"="@%systemroot%\\system32\\wuaueng.dll,-105" "ErrorControl"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00 "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,20,00,2d,00,70,00,00,\ 00 "ObjectName"="LocalSystem" "RequiredPrivileges"=hex(7):53,00,65,00,41,00,75,00,64,00,69,00,74,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,\ 65,00,61,00,74,00,65,00,47,00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,65,00,\ 61,00,74,00,65,00,50,00,61,00,67,00,65,00,46,00,69,00,6c,00,65,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,54,00,63,00,\ 62,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,\ 00,41,00,73,00,73,00,69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,\ 79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\ 00,67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,\ 6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,49,00,6e,00,63,00,72,00,65,00,61,00,73,00,65,00,51,00,\ 75,00,6f,00,74,00,61,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,\ 72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,44,00,65,\ 00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\ 00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,00,76,\ 00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,74,00,\ 6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,\ 00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,00,74,00,79,00,50,00,72,00,\ 69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,54,00,61,00,6b,\ 00,65,00,4f,00,77,00,6e,00,65,00,72,00,73,00,68,00,69,00,70,00,50,00,72,00,\ 69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,4c,00,6f,00,61,\ 00,64,00,44,00,72,00,69,00,76,00,65,00,72,00,50,00,72,00,69,00,76,00,69,00,\ 6c,00,65,00,67,00,65,00,00,00,53,00,65,00,4d,00,61,00,6e,00,61,00,67,00,65,\ 00,56,00,6f,00,6c,00,75,00,6d,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,\ 65,00,67,00,65,00,00,00,53,00,65,00,53,00,79,00,73,00,74,00,65,00,6d,00,45,\ 00,6e,00,76,00,69,00,72,00,6f,00,6e,00,6d,00,65,00,6e,00,74,00,50,00,72,00,\ 69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,65,\ 00,61,00,74,00,65,00,53,00,79,00,6d,00,62,00,6f,00,6c,00,69,00,63,00,4c,00,\ 69,00,6e,00,6b,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,\ 00,53,00,65,00,49,00,6e,00,63,00,72,00,65,00,61,00,73,00,65,00,42,00,61,00,\ 73,00,65,00,50,00,72,00,69,00,6f,00,72,00,69,00,74,00,79,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00 "ServiceSidType"=dword:00000001 "Start"=dword:00000003 "SvcMemHardLimitInMB"=dword:000000f6 "SvcMemMidLimitInMB"=dword:000000a7 "SvcMemSoftLimitInMB"=dword:00000058 "Type"=dword:00000020 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters] "ServiceDll"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,75,00,61,00,75,00,65,00,6e,00,67,00,2e,00,64,00,6c,00,6c,00,00,00 "ServiceDllUnloadOnStop"=dword:00000001 "ServiceMain"="WUServiceMain" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Security] "Security"=hex:01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,\ 05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\TriggerInfo] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\TriggerInfo\0] "Type"=dword:00000005 "Action"=dword:00000001 "Guid"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\TriggerInfo\1] "Type"=dword:00000005 "Action"=dword:00000001 "Guid"=hex:c8,46,fb,54,89,f0,4c,46,b1,fd,59,d1,b6,2c,3b,50 EndRegedit: Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Mówiłeś, że nie widzisz w zainstalowanych rozszerzeniach Adblocker for Youtube™. Być może to typ aplikacja a nie rozszerzenie. W pasku adresów wpisz chrome://apps i ENTER. Jeśli jest widoczny na liście, usuń. 3. Zrób nowy log FRST z opcji Skanuj (Scan), z Addition ale bez Shortcut. Dołącz też plik fixlog.txt.
  12. To jest log zrobiony z poziomu uruchomionego Windows a nie z poziomu RE. W środowisku RE jak widać ze zrzutów ekranu jest mniej opcji i pozycja Addition nie jest w ogóle dostępna. Ma powstać tylko jeden log FRST.txt. Jaki konkretnie jest problem z uruchomieniem FRST w środowisku RE? A może nie zauważyłeś, że log jest tworzony w innym miejscu, bądź omyłkowo doczepiłeś złe logi?
  13. Mocno podejrzanym elementem raportu jest blokada pliku rejestru oraz podejrzanego sterownika bez widocznego punktu ładowania: ==================== FLock ============================== 2021-06-21 21:59 C:\Windows\system32\config\system 2021-06-21 02:26 C:\Windows\system32\Drivers\ng1g2SaEXYrm.sys Poproszę o log FRST wykonany z poziomu środowiska RE:
  14. Przejdź w Tryb awaryjny Windows i powtórz działanie.
  15. Fix wykonał się prawie w całości, a w nowych raportach zrobionych kilkanaście minut później prawie brak zmian, tzn. nadal widnieją te same wpisy rzekomo usuwane przez FRST. Nasuwają się następujące pytania: - Czy FRST jest może uruchomiony w jakimś "wirtualnym" środowisku? - Co się działo po restarcie systemu, czy nie uruchomił się jakiś proces przywracania poprzedniego stanu systemu?
  16. Nie widać zbyt dużo: szkodliwe powiadomienia w Google Chrome, różne szczątkowe wpisy oraz uszkodzona usługa Windows Update. Próbowałeś używać ComboFix, ten program nie dość że jest niezgodny z Windows 10, to na dodatek w ogóle już nie działa (ustawiona data wygaśnięcia na 2019). Autor ComboFix obecnie jest w ekipie Malwarebytes. Do wykonania następujące działania; 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: S2 AppServicea; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServiceb; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServicec; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServiced; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServicee; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServicef; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServiceg; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServiceh; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServicei; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServicej; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServicek; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServicel; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServicem; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServicen; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServiceo; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServicep; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServiceq; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServicer; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServices; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServicet; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServiceu; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServicev; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServicew; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServicex; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServicey; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 MBAMService; "C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe" [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\18030535.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\18030535.sys => ""="Driver" HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA BootExecute: autocheck autochk * GroupPolicy: Ograniczenia - Chrome <==== UWAGA Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA CHR Notifications: Default -> hxxps://best-loan-info.com; hxxps://ccleaner-download.xyz; hxxps://mail-notification.info; hxxps://mnthor.xyz; hxxps://pinghauz.xyz; hxxps://s-tracking.xyz; hxxps://supertopfreegames.com; hxxps://zarabotok-online.xyz CHR StartupUrls: Default -> "" CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb] DeleteKey: HKLM\SOFTWARE\MozillaPlugins C:\Program Files\temp_files C:\Program Files (x86)\Company C:\Program Files (x86)\foler C:\Program Files (x86)\anjFGKdzU C:\Program Files (x86)\LqBBrQc C:\Program Files (x86)\XcjIDTjqJhZdTpTIqBR C:\Program Files (x86)\WSPNEpLqQIE C:\Program Files (x86)\pQmgloyPupxgC C:\Program Files (x86)\ELOJFuMDhuHU2 C:\Program Files (x86)\temp_files C:\Program Files (x86)\Temp C:\ProgramData\softokn3.dll C:\ProgramData\CML26GKJIPYEI9MLXNJVFY0EF C:\ProgramData\4GQJ345MVXIBMYTZ1LEATO2MK C:\ProgramData\ZZX2RYDT9XGIE85114YDM2TMS C:\ProgramData\L8PT15I93VOIILOS6U4BEO2FV C:\ProgramData\CP8Z9ZN3KMVU03RJRFJ2Y5TWZ C:\ProgramData\GZUG5UJQ18OAJ6I9462Z1P137 C:\ProgramData\Glarysoft\Startup Manager\GV LicenseManager.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes.lnk C:\ProgramData\TEMP C:\Users\moons\AppData\Local\AdvinstAnalytics C:\Users\moons\AppData\Local\BitTorrentHelper C:\Users\moons\AppData\Local\mbam C:\Users\moons\AppData\Local\UT008 C:\Users\moons\AppData\Local\Yandex C:\Users\moons\AppData\Roaming\nailedp C:\Users\moons\AppData\Roaming\Ramson C:\Users\moons\Documents\KvwpMFPqRAft9y9sSCwCH9Ii.exe C:\Users\moons\Documents\WQ75Y5Y8DjdyQAn0AEQrAjbV.exe C:\Users\moons\Documents\g2oQPlBcsjLFIr0lJGH2aMv0.exe C:\Users\moons\Documents\EfAUP2TvnXBIs3xkQEKNVFUW.exe C:\Users\moons\Documents\XrmS4NdEpS7JvDZgwiaBDSS5.exe C:\Users\moons\Documents\VFQYmefflW6M218EXGt1wGGt.exe C:\Users\moons\Documents\JVbtDl8da2XpSIQRnxdwBbBd.exe C:\Users\moons\Documents\55T1bv6QpJh38u8pIhwJ304z.exe C:\Users\moons\Documents\VlcpVideoV1.0.1 C:\Users\moons\Downloads\60cfda_Disk-Drill-4358.zip C:\Users\moons\Downloads\Niepotwierdzony *.crdownload C:\Users\Public\Desktop\Malwarebytes.lnk C:\Windows\system32\Drivers\45076182.sys C:\Windows\system32\Drivers\ng1g2SaEXYrm.sys Folder: C:\Program Files (x86)\AW Manager Folder: C:\Windows\Microsoft Antimalware cmd: netsh advfirewall reset cmd: type C:\MyFile.txt Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\wuauserv EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona). Otwórz Panel Google. Na dole kliknij Resetuj synchronizację. Nie loguj się na konto Google, dopóki nie zostanie ukończone czyszczenie komputera. W pasku adresów wpisz chrome://extensions i ENTER. Odinstaluj adware Adblocker for Youtube™. W pasku adresów wpisz chrome://settings i ENTER. Zaawansowane > Resetowanie komputera i czyszczenie danych > Przywróć ustawienia do wartości domyślnych. Zakładki i hasła nie zostaną naruszone. 3. Zrób nowy log FRST z opcji Skanuj (Scan). Nie zaznaczaj opcji: Pliki z 90 dni, Lista BCD, SigCheckExt, Shortcut. Dołącz też plik fixlog.txt. Dodatkowo, odpowiedz na pytanie czy te edycje pliku Hosts są celowe: 0.0.0.0 tools.google.com 0.0.0.0 clients2.google.com 0.0.0.0 update.googleapis.com 0.0.0.0 msedge.api.cdp.microsoft.com 0.0.0.0 msedge.f.dl.delivery.mp.microsoft.com 0.0.0.0 download.mozilla.org 0.0.0.0 product-details.mozilla.org 0.0.0.0 desktop-netinstaller-sub.osp.opera.software 0.0.0.0 download-installer.cdn.mozilla.net 0.0.0.0 aus5.mozilla.org 0.0.0.0 normandy.cdn.mozilla.net 0.0.0.0 api.browser.yandex.ru 0.0.0.0 classify-client.services.mozilla.com
  17. DelFix to porzucone narzędzie. KpRm to jego zaktualizowany odpowiednik. Nie miałam czasu wymienić opisów w przyklejonym temacie. Temat rozwiązany. Zamykam.
  18. To dopiero dziś zaczęło padać. ? KpRm nie usunął zbyt dużo narzędzi. W Twoim raporcie było o wiele więcej elementów, które powinny być usunięte przez program: 2021-06-20 13:59 - 2021-06-20 14:00 - 000000000 ____D C:\FRST 2021-06-20 13:34 - 2021-06-20 13:34 - 000255928 _____ (Malwarebytes) C:\WINDOWS\system32\Drivers\22A2FECD.sys 2021-06-20 13:25 - 2021-06-20 13:29 - 000000000 ____D C:\ProgramData\RogueKiller 2021-06-20 13:25 - 2021-06-20 13:25 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RogueKiller 2021-06-20 13:25 - 2021-06-20 13:25 - 000000000 ____D C:\Program Files\RogueKiller 2021-06-20 13:06 - 2021-06-20 13:06 - 000309104 _____ (AO Kaspersky Lab) C:\WINDOWS\system32\Drivers\klupd_3a48a596a_klark.sys 2021-06-20 13:06 - 2021-06-20 13:06 - 000224880 _____ (AO Kaspersky Lab) C:\WINDOWS\system32\Drivers\klupd_3a48a596a_mark.sys 2021-06-20 13:06 - 2021-06-20 13:06 - 000127792 _____ (AO Kaspersky Lab) C:\WINDOWS\system32\Drivers\3a48a596.sys 2021-06-20 13:06 - 2021-06-20 13:06 - 000000000 ____D C:\KVRT2020_Data 2021-06-20 13:03 - 2021-06-20 13:03 - 000000000 ____D C:\AdwCleaner Czy usuwałeś narzędzia ręcznie przed użyciem KpRm? Ponadto ręcznie do usunięcia folder D:\Programy\7. Antywirus\FRST.
  19. Wszystko pomyślnie wykonane. Kończymy: Uruchom KpRm i zaznacz opcje: Delete Tools, Delete Restore Points, Delete quarantines. Przedstaw wynikowy log z akcji.
  20. W raportach brak aktywnej infekcji. Do usunięcia tylko różne szczątkowe wpisy: Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: S1 amsdk; \??\C:\WINDOWS\system32\drivers\amsdk.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\amsdk.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\amsdk.sys => ""="Driver" HKLM\...\Run: [WindowsDefender] => "%ProgramFiles%\Windows Defender\MSASCuiL.exe" HKLM\...\StartupApproved\Run32: => "CsrAudioguiCtrl" HKLM\...\StartupApproved\Run32: => "CSRHarmonySkypePlugin" HKLM\...\StartupApproved\Run32: => "CsrHCRPServer" HKLM\...\StartupApproved\Run32: => "CsrSyncMLServer" HKLM\...\StartupApproved\Run32: => "HarmonyUserStartup" HKLM\...\StartupApproved\Run32: => "TrayApplication" HKLM\...\StartupApproved\Run32: => "vksts" HKLM\...\StartupApproved\Run32: => "vmware-tray.exe" HKU\S-1-5-21-3062910227-2173904043-3200923844-1001\...\StartupApproved\Run: => "CCXProcess" HKU\S-1-5-21-3062910227-2173904043-3200923844-1001\...\StartupApproved\Run: => "RaiDrive" HKLM\...\Policies\Explorer: [NoRecentDocsNetHood] 0 HKLM\...\Policies\Explorer: [NoChangeStartMenu] 0 HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig] <==== UWAGA HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA HKU\S-1-5-21-3062910227-2173904043-3200923844-1001\...\Policies\Explorer: [NoPreviewPane] 0 HKU\S-1-5-21-3062910227-2173904043-3200923844-1001\...\Policies\Explorer: [NoTrayContextMenu] 0 HKU\S-1-5-21-3062910227-2173904043-3200923844-1001\...\Policies\Explorer: [NoSetTaskbar] 0 HKU\S-1-5-21-3062910227-2173904043-3200923844-1001\...\Policies\Explorer: [NoViewContextMenu] 0 HKU\S-1-5-21-3062910227-2173904043-3200923844-1001\...\MountPoints2: E - "E:\setup.EXE" /AUTORUN HKU\S-1-5-21-3062910227-2173904043-3200923844-1001\...\MountPoints2: {34411498-a200-11eb-9c92-bc542f5f99ce} - "G:\AutoRun.exe" GroupPolicy: Ograniczenia ? <==== UWAGA Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA HKLM\SOFTWARE\Policies\Microsoft\Edge: Ograniczenia <==== UWAGA HKU\S-1-5-21-3062910227-2173904043-3200923844-1001\SOFTWARE\Policies\Microsoft\Edge: Ograniczenia <==== UWAGA Edge Extension: (Brak nazwy) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [nie znaleziono] Edge Extension: (Brak nazwy) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [nie znaleziono] Edge Extension: (Brak nazwy) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [nie znaleziono] Edge Extension: (Brak nazwy) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [nie znaleziono] DeleteKey: HKCU\Software\Mozilla DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Radar\AppData\Roaming\system32 C:\Users\Radar\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\FlashPeak Slimjet (64 bit).lnk Folder: C:\WINDOWS\c Folder: C:\WINDOWS\w Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.
  21. Kończymy: 1. Zmień nazwę FRST64.exe na uninstall.exe i uruchom. 2. Wyczyść foldery Przywracania systemu: KLIK.
  22. 1. Nie odinstalowałeś tego programu, czy go nie widzisz na liście? WarThunder (HKLM-x32\...\WarThunder) (Version: - ) <==== UWAGA 2. Spróbujmy usunąć te nieczytelne pliki. Fixlist do FRST: 2021-06-08 19:32 - 2020-11-05 19:42 - 000000000 ____D C:\Users\Mateusz\AppData\Roaming\Orbit CMD: del "\\?\C:\Users\Mateusz\Downloads\sans." CMD: del "\\?\C:\Users\Mateusz\Downloads\Oh My..." Przedstaw wynikowy fixlog.txt.
  23. @pj007 Niestety nadal głucho. W temacie dedykowanym tej infekcji na BleepingComputer żadnych nowych informacji: KLIK. @jessica To nie tyle, że się "nie opłaca", to jest zależne od tego czy jest możliwe złamanie konkretnego algorytmu. Np. firma Emsisoft nadal wydaje dekodery gdy jest to możliwe: KLIK.
  24. Przechodzimy do dalszych czynności pobocznych: 1. Programy do deinstalacji: Adobe AIR: Program porzucony, bez aktualizacji. Czy jest on do czegoś używany na tym komputerze? Adobe Flash Player (wszystkie wersje): Program już nie działa, a obsługa usunięta z głównych przeglądarek, szczegóły w przyklejonym: KLIK. Badanie mające na celu poprawę produktów HP Deskjet 1510 series: Zbędny program "telemetryczny". Microsoft Security Essentials: Brak wsparcia i limitowane sygnatury, do zastąpienia innym programem. Orbit Downloader: Funkcje a'la botnet, szczegółowe informacje tutaj: KLIK. WarThunder: Oznaczony przez FRST jako "zły", bo wygląda na pozostałości po niepożądanym programie udającym oryginalną grę. 2. Drobne poprawki na odpadki. Nowy Fixlist do FRST: Task: {B28E0FC3-F692-4374-A66E-B686EDFCB1A6} - System32\Tasks\{8E0F99C8-000F-402F-8C3E-FF3A5C85B14F} => C:\Windows\system32\pcalua.exe -a C:\Users\Mateusz\Desktop\heroes_might_magic_5_3.01_hupl.exe -d C:\Users\Mateusz\Desktop CustomCLSID: HKU\S-1-5-21-1108289569-963966695-2365604164-1000_Classes\CLSID\{CB965DF1-B8EA-49C7-BDAD-5457FDC1BF92}\InprocServer32 -> C:\Users\Mateusz\AppData\Local\Microsoft\TeamsMeetingAddin\1.0.20244.4\x64\Microsoft.Teams.AddinLoader.dll => Brak pliku Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA 2021-05-31 07:14 - 2021-05-31 07:14 - 000000000 ___HD C:\ProgramData\Windows Host 2021-06-02 09:37 - 2020-03-28 17:34 - 000000000 ____D C:\Users\Mateusz\AppData\Local\cypjMERAky DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins File: C:\Windows\SysWOW64\Drivers\AppShopDrv103.sys EmptyTemp: Zaprezentuj wynikowy plik fixlog.txt. 3. Zrób nowe raporty z FRST (bez Shortcut.txt). Potwierdź też czy wyłączyłeś sterownik DAEMON Tools celowo: S4 sptd; C:\Windows\System32\Drivers\sptd.sys [393880 2019-02-13] (Disc Soft Ltd -> Duplex Secure Ltd.) .... oraz czy to pliki lub foldery których nie możesz otworzyć: Błąd podczas odczytu pliku: "C:\Users\Mateusz\Downloads\sans." Błąd podczas odczytu pliku: "C:\Users\Mateusz\Downloads\Oh My..."
  25. Wszystko zostało pomyślnie wykonane. Problem powinien ustąpić, ale potwierdź. Na wszelki wypadek dodaj jeszcze świeże raporty z FRST.
×
×
  • Dodaj nową pozycję...