Skocz do zawartości

picasso

Administratorzy
  • Postów

    36 513
  • Dołączył

  • Ostatnia wizyta

Treść opublikowana przez picasso

  1. picasso

    Ciągła praca dysku

    @kornad Rozpocznij od deinstalacji Lenovo App Explorer. To śmieciarski program od dystrybutora niepożądanych programów integrowany niestety na komputerach Lenovo. Jest znany z obniżania wydajności systemu. Cały czas działa w tle przy udziale zaplanowanego zadania. ==================== Procesy (filtrowane) ================= (SweetLabs Inc. -> SweetLabs, Inc) C:\Users\Family\AppData\Local\Host App Service\Engine\HostAppServiceUpdater.exe ==================== Zaplanowane zadania (filtrowane) ============ Task: {A87D1E77-DF04-4F99-9BB1-F80F06874888} - System32\Tasks\App Explorer => C:\Users\Family\AppData\Local\Host App Service\Engine\HostAppServiceUpdater.exe [7744560 2021-01-20] (SweetLabs Inc. -> SweetLabs, Inc) <==== UWAGA ==================== Zainstalowane programy ====================== Lenovo App Explorer (HKU\S-1-5-21-3913029555-3303909979-4013506829-1000\...\Host App Service) (Version: 0.272.1.560 - SweetLabs for Lenovo) <==== UWAGA Lenovo App Explorer (HKU\S-1-5-21-3913029555-3303909979-4013506829-1001\...\Host App Service) (Version: 0.273.4.227 - SweetLabs for Lenovo) <==== UWAGA Po deinstalacji zastosuj AdwCleaner który powinien usunąć jego wystąpienie również z niedostępnego konta defaultuser0 oraz ewentualnie inne resztki. Pokaż raport z AdwCleaner oraz nowe raporty z FRST. @Krzesimierz Klucze StartupApproved oznaczają wejścia wyłączone przy udziale Menedżera zadań. Podczas deinstalacji programu nie są usuwane.
  2. Notabene, ja właśnie u siebie w systemie zobaczyłam, że 29 czerwca był był u mnie identyczny błąd jak u Ciebie, więc sądzę, że to jakiś problem po stronie Microsoftu: Dziennik System: ============= Error: (06/29/2021 04:33:45 PM) (Source: Microsoft-Windows-WindowsUpdateClient) (EventID: 20) (User: NT AUTHORITY) Description: Instalacja nie powiodła się: system Windows nie mógł zainstalować następującej aktualizacji, ponieważ wystąpił błąd 0x8024200b: Security Intelligence Update for Microsoft Defender Antivirus - KB2267602 (Version 1.343.25.0). Usługa Windows Update jest domyślnie skonfigurowana na Ręcznie (wyzwalane uruchamianie).
  3. Ah, to o to chodzi. Ja bym jednak odczekała kilka dni, by się upewnić. Jak mówiłam na samym początku w Dzienniku zdarzeń były błędy instalacji silnika, podczas gdy silnik i tak był zaktualizowany do wersji która rzekomo nie mogła się zainstalować. Wykonałam u Ciebie reset cache i silnika (nowsza wersja), więc być może przeszkoda została wyeliminowana i dalsze aktualizacje będą zgodnie z planem. Daj znać po kilku dniach co się dzieje.
  4. W Dzienniku zdarzeń nie zostały po restarcie nagrane żadne błędy. Silnik Windows Defender został zaktualizowany przy udziale FRST, więc aktualizacja się już nie aplikuje i nie ma potrzeby jej instalacji. Jak rozumiem jednak Ty tę aktualizację nadal widzisz jako dostępną? Czy ona się pokazuje również podczas nowego wyszukiwania za pomocą opcji "Sprawdź aktualizacje"? Jeśli odpowiedź na oba pytania jest pozytywna, spróbuj usunąć SoftwareDistribution, by zresetować Windows Update. Usługi Windows Update muszą być zatrzymane podczas wykonywania tej operacji.
  5. Komendy pomyślnie wykonane, a wersja silnika podbita. Kolejny Fix do FRST: Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} Reboot: Nastąpi automatyczny restart systemu. Zrób nowy log z FRST, ale dostarcz tylko plik Addition.txt. Wypowiedz się też czy nastąpiła poprawa sytuacji, czy może Windows nadal pokazuje aktualizację analizy zabezpieczeń.
  6. Nie, w ogóle nie chodziło ani o ręczne usuwanie, ani o SoftwareDistribution (na razie). Podany Fix do FRST miał wykonać automatyczne usuwanie cache definicji i aktualizację silnika Windows Defender. Tylko, że komendy zwróciły błąd: 'MpCmdRun.exe' is not recognized as an internal or external command, operable program or batch file. Ponawiamy próbę z pełnymi ścieżkami dostępu. Załaduj do FRST następujący Fix i pokaż wynikowy fixlog.txt: cmd: "C:\Program Files\Windows Defender\MpCmdRun.exe" -removedefinitions -dynamicsignatures cmd: "C:\Program Files\Windows Defender\MpCmdRun.exe" -SignatureUpdate
  7. W raportach brak oznak infekcji. Temat przenoszę do działu Windows. Usługa inteligentnego transferu w tle (BITS) oraz Instalator modułów systemu Windows (TrustedInstaller) domyślnie mają ustawiony Start na Ręczny i są w stanie Zatrzymanym. Te usługi się samodzielnie aktywują, gdy jest to wymagane, a po zakończeniu procesów ponownie zatrzymują. W Dzienniku zdarzeń są następujące błędy: Dziennik System: ============= Error: (06/29/2021 03:38:39 PM) (Source: Service Control Manager) (EventID: 7024) (User: ) Description: Usługa Usługa inteligentnego transferu w tle zakończyła działanie; wystąpił następujący specyficzny dla niej błąd: Klasa jest skonfigurowana do pracy jako identyfikator bezpieczeństwa inny niż wywołujący. Error: (06/29/2021 03:38:39 PM) (Source: Microsoft-Windows-Bits-Client) (EventID: 16392) (User: ZARZĄDZANIE NT) Description: Uruchomienie usługi BITS nie powiodło się. Błąd 2147500053. Error: (06/29/2021 01:26:54 PM) (Source: Microsoft-Windows-WindowsUpdateClient) (EventID: 20) (User: ZARZĄDZANIE NT) Description: Instalacja nie powiodła się: system Windows nie mógł zainstalować następującej aktualizacji, ponieważ wystąpił błąd 0x8024200b: Aktualizacja analizy zabezpieczeń dla produktu Microsoft Defender Antivirus - KB2267602 (wersja: 1.343.25.0). Error: (06/29/2021 01:03:06 PM) (Source: Microsoft-Windows-WindowsUpdateClient) (EventID: 20) (User: ZARZĄDZANIE NT) Description: Instalacja nie powiodła się: system Windows nie mógł zainstalować następującej aktualizacji, ponieważ wystąpił błąd 0x8024200b: Aktualizacja analizy zabezpieczeń dla produktu Microsoft Defender Antivirus - KB2267602 (wersja: 1.343.25.0). Error: (06/29/2021 01:01:26 PM) (Source: Microsoft-Windows-WindowsUpdateClient) (EventID: 20) (User: ZARZĄDZANIE NT) Description: Instalacja nie powiodła się: system Windows nie mógł zainstalować następującej aktualizacji, ponieważ wystąpił błąd 0x8024200b: Aktualizacja analizy zabezpieczeń dla produktu Microsoft Defender Antivirus - KB2267602 (wersja: 1.343.25.0). Tylko, że silnik Windows Defender już jest zaktualizowany do tej wersji: Windows Defender: ================ Wersja analizy zabezpieczeń: 1.343.25.0 Toteż na razie nasuwa się, by po prostu usunąć cache definicji i "wspomóc" wykrycie aktualizacji. Przy okazji sprawdzę też identyfikator bezpieczeństwa usługi BITS. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: cmd: cd "C:\Program Files\Windows Defender" cmd: MpCmdRun.exe -removedefinitions -dynamicsignatures cmd: MpCmdRun.exe -SignatureUpdate cmd: sc sdshow bits Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.
  8. Dostarcz obowiązkowe raporty z FRST:
  9. Wielkie dzięki za ewentualną "kawę"! ? Temat rozwiązany. Zamykam.
  10. Usuń KpRm i jego log z dysku. To wszystko.
  11. MBAM wykrył tylko drobnostki w profilu Google Chrome. Jeśli usunąłeś wyniki, kończymy: Uruchom KpRm i zaznacz opcje: Delete Tools, Delete Restore Points, Delete quarantines. Przedstaw wynikowy log z akcji.
  12. Akcje ukończone pomyślnie. Kolejna porcja: 1. Zmień nazwę pliku FRST64.exe na uninstall.exe i uruchom. Folder Quarantine z malware powinien zostać usunięty. 2. Przeprowadź pełny skan ożywionym programem Malwarebytes i przedstaw wynikowy log.
  13. Wszystko pomyślnie wykonane. 1. Malwarebytes jest częściowo uszkodzony. Zastosuj Malwarebytes Support Tool, by program zreperować bądź przeinstalować. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: cmd: type C:\ProgramData\NTUSER.pol C:\ProgramData\NTUSER.pol C:\Users\moons\AppData\Local\Google\Chrome\User Data\Default\Extensions\nbminbckhdkcmlhbfppfbigmhnhcpkhf Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix).Tym razem nie będzie restartu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Po wykonaniu tego kroku uruchom przeglądarkę Google Chrome. To działanie ma na celu sprawdzić czy Adblocker for Youtube™ zostanie zregenerowany. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.
  14. Wszystko jasne. W systemie działał rootkit, którego FRST pomyślnie usunął: ==================== Services (Whitelisted) =================== "HKLM\System\ControlSet001\Services\{45487F67-EC9F-4449-A6F2-2D0970F9B80B}" => removed successfully C:\Windows\System32\drivers\ng1g2SaEXYrm.sys => moved successfully W tej sytuacji możemy prowadzić dalsze usuwanie z poziomu działającego Windows, już nie potrzebujemy RE. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: S2 AppServicea; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServiceb; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServicec; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServiced; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServicee; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServicef; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServiceg; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServiceh; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServicei; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServicej; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServicek; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServicel; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServicem; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServicen; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServiceo; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServicep; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServiceq; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServicer; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServices; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServicet; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServiceu; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServicev; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServicew; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServicex; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServicey; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 MBAMService; "C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe" [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\18030535.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\18030535.sys => ""="Driver" HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA BootExecute: autocheck autochk * GroupPolicy: Ograniczenia - Chrome <==== UWAGA Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb] DeleteKey: HKLM\SOFTWARE\MozillaPlugins C:\MyFile.txt C:\Program Files\temp_files C:\Program Files (x86)\AW Manager C:\Program Files (x86)\Company C:\Program Files (x86)\foler C:\Program Files (x86)\anjFGKdzU C:\Program Files (x86)\LqBBrQc C:\Program Files (x86)\XcjIDTjqJhZdTpTIqBR C:\Program Files (x86)\WSPNEpLqQIE C:\Program Files (x86)\pQmgloyPupxgC C:\Program Files (x86)\ELOJFuMDhuHU2 C:\Program Files (x86)\temp_files C:\Program Files (x86)\Temp C:\ProgramData\softokn3.dll C:\ProgramData\CML26GKJIPYEI9MLXNJVFY0EF C:\ProgramData\4GQJ345MVXIBMYTZ1LEATO2MK C:\ProgramData\ZZX2RYDT9XGIE85114YDM2TMS C:\ProgramData\L8PT15I93VOIILOS6U4BEO2FV C:\ProgramData\CP8Z9ZN3KMVU03RJRFJ2Y5TWZ C:\ProgramData\GZUG5UJQ18OAJ6I9462Z1P137 C:\ProgramData\Glarysoft\Startup Manager\GV LicenseManager.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes.lnk C:\ProgramData\TEMP C:\Users\moons\AppData\Local\AdvinstAnalytics C:\Users\moons\AppData\Local\BitTorrentHelper C:\Users\moons\AppData\Local\mbam C:\Users\moons\AppData\Local\UT008 C:\Users\moons\AppData\Local\Yandex C:\Users\moons\AppData\Roaming\nailedp C:\Users\moons\AppData\Roaming\Ramson C:\Users\moons\Documents\KvwpMFPqRAft9y9sSCwCH9Ii.exe C:\Users\moons\Documents\WQ75Y5Y8DjdyQAn0AEQrAjbV.exe C:\Users\moons\Documents\g2oQPlBcsjLFIr0lJGH2aMv0.exe C:\Users\moons\Documents\EfAUP2TvnXBIs3xkQEKNVFUW.exe C:\Users\moons\Documents\XrmS4NdEpS7JvDZgwiaBDSS5.exe C:\Users\moons\Documents\VFQYmefflW6M218EXGt1wGGt.exe C:\Users\moons\Documents\JVbtDl8da2XpSIQRnxdwBbBd.exe C:\Users\moons\Documents\55T1bv6QpJh38u8pIhwJ304z.exe C:\Users\moons\Documents\VlcpVideoV1.0.1 C:\Users\moons\Downloads\60cfda_Disk-Drill-4358.zip C:\Users\moons\Downloads\Niepotwierdzony *.crdownload C:\Users\Public\Desktop\Malwarebytes.lnk C:\Windows\system32\Drivers\45076182.sys cmd: netsh advfirewall reset Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} StartRegedit: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv] "DependOnService"=hex(7):72,00,70,00,63,00,73,00,73,00,00,00,00,00 "Description"="@%systemroot%\\system32\\wuaueng.dll,-106" "DisplayName"="@%systemroot%\\system32\\wuaueng.dll,-105" "ErrorControl"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00 "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,20,00,2d,00,70,00,00,\ 00 "ObjectName"="LocalSystem" "RequiredPrivileges"=hex(7):53,00,65,00,41,00,75,00,64,00,69,00,74,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,\ 65,00,61,00,74,00,65,00,47,00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,65,00,\ 61,00,74,00,65,00,50,00,61,00,67,00,65,00,46,00,69,00,6c,00,65,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,54,00,63,00,\ 62,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,\ 00,41,00,73,00,73,00,69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,\ 79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\ 00,67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,\ 6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,49,00,6e,00,63,00,72,00,65,00,61,00,73,00,65,00,51,00,\ 75,00,6f,00,74,00,61,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,\ 72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,44,00,65,\ 00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\ 00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,00,76,\ 00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,74,00,\ 6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,\ 00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,00,74,00,79,00,50,00,72,00,\ 69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,54,00,61,00,6b,\ 00,65,00,4f,00,77,00,6e,00,65,00,72,00,73,00,68,00,69,00,70,00,50,00,72,00,\ 69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,4c,00,6f,00,61,\ 00,64,00,44,00,72,00,69,00,76,00,65,00,72,00,50,00,72,00,69,00,76,00,69,00,\ 6c,00,65,00,67,00,65,00,00,00,53,00,65,00,4d,00,61,00,6e,00,61,00,67,00,65,\ 00,56,00,6f,00,6c,00,75,00,6d,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,\ 65,00,67,00,65,00,00,00,53,00,65,00,53,00,79,00,73,00,74,00,65,00,6d,00,45,\ 00,6e,00,76,00,69,00,72,00,6f,00,6e,00,6d,00,65,00,6e,00,74,00,50,00,72,00,\ 69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,65,\ 00,61,00,74,00,65,00,53,00,79,00,6d,00,62,00,6f,00,6c,00,69,00,63,00,4c,00,\ 69,00,6e,00,6b,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,\ 00,53,00,65,00,49,00,6e,00,63,00,72,00,65,00,61,00,73,00,65,00,42,00,61,00,\ 73,00,65,00,50,00,72,00,69,00,6f,00,72,00,69,00,74,00,79,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00 "ServiceSidType"=dword:00000001 "Start"=dword:00000003 "SvcMemHardLimitInMB"=dword:000000f6 "SvcMemMidLimitInMB"=dword:000000a7 "SvcMemSoftLimitInMB"=dword:00000058 "Type"=dword:00000020 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters] "ServiceDll"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,75,00,61,00,75,00,65,00,6e,00,67,00,2e,00,64,00,6c,00,6c,00,00,00 "ServiceDllUnloadOnStop"=dword:00000001 "ServiceMain"="WUServiceMain" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Security] "Security"=hex:01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,\ 05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\TriggerInfo] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\TriggerInfo\0] "Type"=dword:00000005 "Action"=dword:00000001 "Guid"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\TriggerInfo\1] "Type"=dword:00000005 "Action"=dword:00000001 "Guid"=hex:c8,46,fb,54,89,f0,4c,46,b1,fd,59,d1,b6,2c,3b,50 EndRegedit: Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Mówiłeś, że nie widzisz w zainstalowanych rozszerzeniach Adblocker for Youtube™. Być może to typ aplikacja a nie rozszerzenie. W pasku adresów wpisz chrome://apps i ENTER. Jeśli jest widoczny na liście, usuń. 3. Zrób nowy log FRST z opcji Skanuj (Scan), z Addition ale bez Shortcut. Dołącz też plik fixlog.txt.
  15. To jest log zrobiony z poziomu uruchomionego Windows a nie z poziomu RE. W środowisku RE jak widać ze zrzutów ekranu jest mniej opcji i pozycja Addition nie jest w ogóle dostępna. Ma powstać tylko jeden log FRST.txt. Jaki konkretnie jest problem z uruchomieniem FRST w środowisku RE? A może nie zauważyłeś, że log jest tworzony w innym miejscu, bądź omyłkowo doczepiłeś złe logi?
  16. Mocno podejrzanym elementem raportu jest blokada pliku rejestru oraz podejrzanego sterownika bez widocznego punktu ładowania: ==================== FLock ============================== 2021-06-21 21:59 C:\Windows\system32\config\system 2021-06-21 02:26 C:\Windows\system32\Drivers\ng1g2SaEXYrm.sys Poproszę o log FRST wykonany z poziomu środowiska RE:
  17. Przejdź w Tryb awaryjny Windows i powtórz działanie.
  18. Fix wykonał się prawie w całości, a w nowych raportach zrobionych kilkanaście minut później prawie brak zmian, tzn. nadal widnieją te same wpisy rzekomo usuwane przez FRST. Nasuwają się następujące pytania: - Czy FRST jest może uruchomiony w jakimś "wirtualnym" środowisku? - Co się działo po restarcie systemu, czy nie uruchomił się jakiś proces przywracania poprzedniego stanu systemu?
  19. Nie widać zbyt dużo: szkodliwe powiadomienia w Google Chrome, różne szczątkowe wpisy oraz uszkodzona usługa Windows Update. Próbowałeś używać ComboFix, ten program nie dość że jest niezgodny z Windows 10, to na dodatek w ogóle już nie działa (ustawiona data wygaśnięcia na 2019). Autor ComboFix obecnie jest w ekipie Malwarebytes. Do wykonania następujące działania; 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: S2 AppServicea; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServiceb; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServicec; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServiced; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServicee; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServicef; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServiceg; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServiceh; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServicei; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServicej; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServicek; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServicel; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServicem; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServicen; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServiceo; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServicep; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServiceq; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServicer; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServices; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServicet; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServiceu; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServicev; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServicew; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServicex; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 AppServicey; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA S2 MBAMService; "C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe" [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\18030535.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\18030535.sys => ""="Driver" HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA BootExecute: autocheck autochk * GroupPolicy: Ograniczenia - Chrome <==== UWAGA Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA CHR Notifications: Default -> hxxps://best-loan-info.com; hxxps://ccleaner-download.xyz; hxxps://mail-notification.info; hxxps://mnthor.xyz; hxxps://pinghauz.xyz; hxxps://s-tracking.xyz; hxxps://supertopfreegames.com; hxxps://zarabotok-online.xyz CHR StartupUrls: Default -> "" CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb] DeleteKey: HKLM\SOFTWARE\MozillaPlugins C:\Program Files\temp_files C:\Program Files (x86)\Company C:\Program Files (x86)\foler C:\Program Files (x86)\anjFGKdzU C:\Program Files (x86)\LqBBrQc C:\Program Files (x86)\XcjIDTjqJhZdTpTIqBR C:\Program Files (x86)\WSPNEpLqQIE C:\Program Files (x86)\pQmgloyPupxgC C:\Program Files (x86)\ELOJFuMDhuHU2 C:\Program Files (x86)\temp_files C:\Program Files (x86)\Temp C:\ProgramData\softokn3.dll C:\ProgramData\CML26GKJIPYEI9MLXNJVFY0EF C:\ProgramData\4GQJ345MVXIBMYTZ1LEATO2MK C:\ProgramData\ZZX2RYDT9XGIE85114YDM2TMS C:\ProgramData\L8PT15I93VOIILOS6U4BEO2FV C:\ProgramData\CP8Z9ZN3KMVU03RJRFJ2Y5TWZ C:\ProgramData\GZUG5UJQ18OAJ6I9462Z1P137 C:\ProgramData\Glarysoft\Startup Manager\GV LicenseManager.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes.lnk C:\ProgramData\TEMP C:\Users\moons\AppData\Local\AdvinstAnalytics C:\Users\moons\AppData\Local\BitTorrentHelper C:\Users\moons\AppData\Local\mbam C:\Users\moons\AppData\Local\UT008 C:\Users\moons\AppData\Local\Yandex C:\Users\moons\AppData\Roaming\nailedp C:\Users\moons\AppData\Roaming\Ramson C:\Users\moons\Documents\KvwpMFPqRAft9y9sSCwCH9Ii.exe C:\Users\moons\Documents\WQ75Y5Y8DjdyQAn0AEQrAjbV.exe C:\Users\moons\Documents\g2oQPlBcsjLFIr0lJGH2aMv0.exe C:\Users\moons\Documents\EfAUP2TvnXBIs3xkQEKNVFUW.exe C:\Users\moons\Documents\XrmS4NdEpS7JvDZgwiaBDSS5.exe C:\Users\moons\Documents\VFQYmefflW6M218EXGt1wGGt.exe C:\Users\moons\Documents\JVbtDl8da2XpSIQRnxdwBbBd.exe C:\Users\moons\Documents\55T1bv6QpJh38u8pIhwJ304z.exe C:\Users\moons\Documents\VlcpVideoV1.0.1 C:\Users\moons\Downloads\60cfda_Disk-Drill-4358.zip C:\Users\moons\Downloads\Niepotwierdzony *.crdownload C:\Users\Public\Desktop\Malwarebytes.lnk C:\Windows\system32\Drivers\45076182.sys C:\Windows\system32\Drivers\ng1g2SaEXYrm.sys Folder: C:\Program Files (x86)\AW Manager Folder: C:\Windows\Microsoft Antimalware cmd: netsh advfirewall reset cmd: type C:\MyFile.txt Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\wuauserv EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona). Otwórz Panel Google. Na dole kliknij Resetuj synchronizację. Nie loguj się na konto Google, dopóki nie zostanie ukończone czyszczenie komputera. W pasku adresów wpisz chrome://extensions i ENTER. Odinstaluj adware Adblocker for Youtube™. W pasku adresów wpisz chrome://settings i ENTER. Zaawansowane > Resetowanie komputera i czyszczenie danych > Przywróć ustawienia do wartości domyślnych. Zakładki i hasła nie zostaną naruszone. 3. Zrób nowy log FRST z opcji Skanuj (Scan). Nie zaznaczaj opcji: Pliki z 90 dni, Lista BCD, SigCheckExt, Shortcut. Dołącz też plik fixlog.txt. Dodatkowo, odpowiedz na pytanie czy te edycje pliku Hosts są celowe: 0.0.0.0 tools.google.com 0.0.0.0 clients2.google.com 0.0.0.0 update.googleapis.com 0.0.0.0 msedge.api.cdp.microsoft.com 0.0.0.0 msedge.f.dl.delivery.mp.microsoft.com 0.0.0.0 download.mozilla.org 0.0.0.0 product-details.mozilla.org 0.0.0.0 desktop-netinstaller-sub.osp.opera.software 0.0.0.0 download-installer.cdn.mozilla.net 0.0.0.0 aus5.mozilla.org 0.0.0.0 normandy.cdn.mozilla.net 0.0.0.0 api.browser.yandex.ru 0.0.0.0 classify-client.services.mozilla.com
  20. DelFix to porzucone narzędzie. KpRm to jego zaktualizowany odpowiednik. Nie miałam czasu wymienić opisów w przyklejonym temacie. Temat rozwiązany. Zamykam.
  21. To dopiero dziś zaczęło padać. ? KpRm nie usunął zbyt dużo narzędzi. W Twoim raporcie było o wiele więcej elementów, które powinny być usunięte przez program: 2021-06-20 13:59 - 2021-06-20 14:00 - 000000000 ____D C:\FRST 2021-06-20 13:34 - 2021-06-20 13:34 - 000255928 _____ (Malwarebytes) C:\WINDOWS\system32\Drivers\22A2FECD.sys 2021-06-20 13:25 - 2021-06-20 13:29 - 000000000 ____D C:\ProgramData\RogueKiller 2021-06-20 13:25 - 2021-06-20 13:25 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RogueKiller 2021-06-20 13:25 - 2021-06-20 13:25 - 000000000 ____D C:\Program Files\RogueKiller 2021-06-20 13:06 - 2021-06-20 13:06 - 000309104 _____ (AO Kaspersky Lab) C:\WINDOWS\system32\Drivers\klupd_3a48a596a_klark.sys 2021-06-20 13:06 - 2021-06-20 13:06 - 000224880 _____ (AO Kaspersky Lab) C:\WINDOWS\system32\Drivers\klupd_3a48a596a_mark.sys 2021-06-20 13:06 - 2021-06-20 13:06 - 000127792 _____ (AO Kaspersky Lab) C:\WINDOWS\system32\Drivers\3a48a596.sys 2021-06-20 13:06 - 2021-06-20 13:06 - 000000000 ____D C:\KVRT2020_Data 2021-06-20 13:03 - 2021-06-20 13:03 - 000000000 ____D C:\AdwCleaner Czy usuwałeś narzędzia ręcznie przed użyciem KpRm? Ponadto ręcznie do usunięcia folder D:\Programy\7. Antywirus\FRST.
  22. Wszystko pomyślnie wykonane. Kończymy: Uruchom KpRm i zaznacz opcje: Delete Tools, Delete Restore Points, Delete quarantines. Przedstaw wynikowy log z akcji.
  23. W raportach brak aktywnej infekcji. Do usunięcia tylko różne szczątkowe wpisy: Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: S1 amsdk; \??\C:\WINDOWS\system32\drivers\amsdk.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\amsdk.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\amsdk.sys => ""="Driver" HKLM\...\Run: [WindowsDefender] => "%ProgramFiles%\Windows Defender\MSASCuiL.exe" HKLM\...\StartupApproved\Run32: => "CsrAudioguiCtrl" HKLM\...\StartupApproved\Run32: => "CSRHarmonySkypePlugin" HKLM\...\StartupApproved\Run32: => "CsrHCRPServer" HKLM\...\StartupApproved\Run32: => "CsrSyncMLServer" HKLM\...\StartupApproved\Run32: => "HarmonyUserStartup" HKLM\...\StartupApproved\Run32: => "TrayApplication" HKLM\...\StartupApproved\Run32: => "vksts" HKLM\...\StartupApproved\Run32: => "vmware-tray.exe" HKU\S-1-5-21-3062910227-2173904043-3200923844-1001\...\StartupApproved\Run: => "CCXProcess" HKU\S-1-5-21-3062910227-2173904043-3200923844-1001\...\StartupApproved\Run: => "RaiDrive" HKLM\...\Policies\Explorer: [NoRecentDocsNetHood] 0 HKLM\...\Policies\Explorer: [NoChangeStartMenu] 0 HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig] <==== UWAGA HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA HKU\S-1-5-21-3062910227-2173904043-3200923844-1001\...\Policies\Explorer: [NoPreviewPane] 0 HKU\S-1-5-21-3062910227-2173904043-3200923844-1001\...\Policies\Explorer: [NoTrayContextMenu] 0 HKU\S-1-5-21-3062910227-2173904043-3200923844-1001\...\Policies\Explorer: [NoSetTaskbar] 0 HKU\S-1-5-21-3062910227-2173904043-3200923844-1001\...\Policies\Explorer: [NoViewContextMenu] 0 HKU\S-1-5-21-3062910227-2173904043-3200923844-1001\...\MountPoints2: E - "E:\setup.EXE" /AUTORUN HKU\S-1-5-21-3062910227-2173904043-3200923844-1001\...\MountPoints2: {34411498-a200-11eb-9c92-bc542f5f99ce} - "G:\AutoRun.exe" GroupPolicy: Ograniczenia ? <==== UWAGA Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA HKLM\SOFTWARE\Policies\Microsoft\Edge: Ograniczenia <==== UWAGA HKU\S-1-5-21-3062910227-2173904043-3200923844-1001\SOFTWARE\Policies\Microsoft\Edge: Ograniczenia <==== UWAGA Edge Extension: (Brak nazwy) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [nie znaleziono] Edge Extension: (Brak nazwy) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [nie znaleziono] Edge Extension: (Brak nazwy) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [nie znaleziono] Edge Extension: (Brak nazwy) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [nie znaleziono] DeleteKey: HKCU\Software\Mozilla DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Radar\AppData\Roaming\system32 C:\Users\Radar\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\FlashPeak Slimjet (64 bit).lnk Folder: C:\WINDOWS\c Folder: C:\WINDOWS\w Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.
  24. Kończymy: 1. Zmień nazwę FRST64.exe na uninstall.exe i uruchom. 2. Wyczyść foldery Przywracania systemu: KLIK.
  25. 1. Nie odinstalowałeś tego programu, czy go nie widzisz na liście? WarThunder (HKLM-x32\...\WarThunder) (Version: - ) <==== UWAGA 2. Spróbujmy usunąć te nieczytelne pliki. Fixlist do FRST: 2021-06-08 19:32 - 2020-11-05 19:42 - 000000000 ____D C:\Users\Mateusz\AppData\Roaming\Orbit CMD: del "\\?\C:\Users\Mateusz\Downloads\sans." CMD: del "\\?\C:\Users\Mateusz\Downloads\Oh My..." Przedstaw wynikowy fixlog.txt.
×
×
  • Dodaj nową pozycję...