picasso

Notabene, ja właśnie u siebie w systemie zobaczyłam, że 29 czerwca był był u mnie identyczny błąd jak u Ciebie, więc sądzę, że to jakiś problem po stronie Microsoftu:

Dziennik System:
=============
Error: (06/29/2021 04:33:45 PM) (Source: Microsoft-Windows-WindowsUpdateClient) (EventID: 20) (User: NT AUTHORITY)
Description: Instalacja nie powiodła się: system Windows nie mógł zainstalować następującej aktualizacji, ponieważ wystąpił błąd 0x8024200b: Security Intelligence Update for Microsoft Defender Antivirus - KB2267602 (Version 1.343.25.0).

Usługa Windows Update jest domyślnie skonfigurowana na Ręcznie (wyzwalane uruchamianie).

11 minut temu, Ewa37 napisał:

Nie, żadnej dostępnej aktualizacji nie ma, chodzi mi o Windows Update, tam od 28.06.21 w historii aktualizacji nie ma nowych aktualizacji definicji zabezpieczeń. Te aktualizacje są wydawane codziennie.

Ah, to o to chodzi. Ja bym jednak odczekała kilka dni, by się upewnić. Jak mówiłam na samym początku w Dzienniku zdarzeń były błędy instalacji silnika, podczas gdy silnik i tak był zaktualizowany do wersji która rzekomo nie mogła się zainstalować. Wykonałam u Ciebie reset cache i silnika (nowsza wersja), więc być może przeszkoda została wyeliminowana i dalsze aktualizacje będą zgodnie z planem. Daj znać po kilku dniach co się dzieje.

W Dzienniku zdarzeń nie zostały po restarcie nagrane żadne błędy. Silnik Windows Defender został zaktualizowany przy udziale FRST, więc aktualizacja się już nie aplikuje i nie ma potrzeby jej instalacji. Jak rozumiem jednak Ty tę aktualizację nadal widzisz jako dostępną? Czy ona się pokazuje również podczas nowego wyszukiwania za pomocą opcji "Sprawdź aktualizacje"?

Jeśli odpowiedź na oba pytania jest pozytywna, spróbuj usunąć SoftwareDistribution, by zresetować Windows Update. Usługi Windows Update muszą być zatrzymane podczas wykonywania tej operacji.

Komendy pomyślnie wykonane, a wersja silnika podbita. Kolejny Fix do FRST:

Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
Reboot:

Nastąpi automatyczny restart systemu. Zrób nowy log z FRST, ale dostarcz tylko plik Addition.txt. Wypowiedz się też czy nastąpiła poprawa sytuacji, czy może Windows nadal pokazuje aktualizację analizy zabezpieczeń.

Nie, w ogóle nie chodziło ani o ręczne usuwanie, ani o SoftwareDistribution (na razie). Podany Fix do FRST miał wykonać automatyczne usuwanie cache definicji i aktualizację silnika Windows Defender. Tylko, że komendy zwróciły błąd:

'MpCmdRun.exe' is not recognized as an internal or external command,
operable program or batch file.

Ponawiamy próbę z pełnymi ścieżkami dostępu. Załaduj do FRST następujący Fix i pokaż wynikowy fixlog.txt:

cmd: "C:\Program Files\Windows Defender\MpCmdRun.exe" -removedefinitions -dynamicsignatures
cmd: "C:\Program Files\Windows Defender\MpCmdRun.exe" -SignatureUpdate

W raportach brak oznak infekcji. Temat przenoszę do działu Windows.

3 godziny temu, Ewa37 napisał:

Wydaje mi się, że jest to związane z Windows Update, które nie wyszukuje tylko aktualizacji analizy zabezpieczeń. Inne aktualizacje takie jak aktualizacja funkcji 21H1 zainstalowała się dzisiaj bez problemu. Próbowałam pobrać aktualizację analizy zabezpieczeń ręcznie ale plik nie uruchamia się. Ponadto występują problemy z następującymi usługami - samoistnie zatrzymuje się ich działanie (w różnych odstępach czasowych), mimo wielokrotnego uruchamiania. Dzisiaj zatrzymuje się działanie tylko instalatora windows, pozostałe dwie usługi na razie od dłuższego czasu działają (...)

- instalator windows

- usługa inteligentnego transferu w tle

- usługa windows update

Usługa inteligentnego transferu w tle (BITS) oraz Instalator modułów systemu Windows (TrustedInstaller) domyślnie mają ustawiony Start na Ręczny i są w stanie Zatrzymanym. Te usługi się samodzielnie aktywują, gdy jest to wymagane, a po zakończeniu procesów ponownie zatrzymują.

W Dzienniku zdarzeń są następujące błędy:

Dziennik System:
=============
Error: (06/29/2021 03:38:39 PM) (Source: Service Control Manager) (EventID: 7024) (User: )
Description: Usługa Usługa inteligentnego transferu w tle zakończyła działanie; wystąpił następujący specyficzny dla niej błąd: 
Klasa jest skonfigurowana do pracy jako identyfikator bezpieczeństwa inny niż wywołujący.

Error: (06/29/2021 03:38:39 PM) (Source: Microsoft-Windows-Bits-Client) (EventID: 16392) (User: ZARZĄDZANIE NT)
Description: Uruchomienie usługi BITS nie powiodło się. Błąd 2147500053.

Error: (06/29/2021 01:26:54 PM) (Source: Microsoft-Windows-WindowsUpdateClient) (EventID: 20) (User: ZARZĄDZANIE NT)
Description: Instalacja nie powiodła się: system Windows nie mógł zainstalować następującej aktualizacji, ponieważ wystąpił błąd 0x8024200b: Aktualizacja analizy zabezpieczeń dla produktu Microsoft Defender Antivirus - KB2267602 (wersja: 1.343.25.0).

Error: (06/29/2021 01:03:06 PM) (Source: Microsoft-Windows-WindowsUpdateClient) (EventID: 20) (User: ZARZĄDZANIE NT)
Description: Instalacja nie powiodła się: system Windows nie mógł zainstalować następującej aktualizacji, ponieważ wystąpił błąd 0x8024200b: Aktualizacja analizy zabezpieczeń dla produktu Microsoft Defender Antivirus - KB2267602 (wersja: 1.343.25.0).

Error: (06/29/2021 01:01:26 PM) (Source: Microsoft-Windows-WindowsUpdateClient) (EventID: 20) (User: ZARZĄDZANIE NT)
Description: Instalacja nie powiodła się: system Windows nie mógł zainstalować następującej aktualizacji, ponieważ wystąpił błąd 0x8024200b: Aktualizacja analizy zabezpieczeń dla produktu Microsoft Defender Antivirus - KB2267602 (wersja: 1.343.25.0).

Tylko, że silnik Windows Defender już jest zaktualizowany do tej wersji:

Windows Defender:
================
Wersja analizy zabezpieczeń: 1.343.25.0

Toteż na razie nasuwa się, by po prostu usunąć cache definicji i "wspomóc" wykrycie aktualizacji. Przy okazji sprawdzę też identyfikator bezpieczeństwa usługi BITS.

Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

cmd: cd "C:\Program Files\Windows Defender"
cmd: MpCmdRun.exe -removedefinitions -dynamicsignatures
cmd: MpCmdRun.exe -SignatureUpdate
cmd: sc sdshow bits

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Dostarcz obowiązkowe raporty z FRST:

Wielkie dzięki za ewentualną "kawę"! ?

Temat rozwiązany. Zamykam.

Usuń KpRm i jego log z dysku. To wszystko.

MBAM wykrył tylko drobnostki w profilu Google Chrome. Jeśli usunąłeś wyniki, kończymy:

Uruchom KpRm i zaznacz opcje: Delete Tools, Delete Restore Points, Delete quarantines. Przedstaw wynikowy log z akcji.

Akcje ukończone pomyślnie. Kolejna porcja:

1. Zmień nazwę pliku FRST64.exe na uninstall.exe i uruchom. Folder Quarantine z malware powinien zostać usunięty.

2. Przeprowadź pełny skan ożywionym programem Malwarebytes i przedstaw wynikowy log.

Wszystko pomyślnie wykonane.

1. Malwarebytes jest częściowo uszkodzony. Zastosuj Malwarebytes Support Tool, by program zreperować bądź przeinstalować.

2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

cmd: type C:\ProgramData\NTUSER.pol
C:\ProgramData\NTUSER.pol
C:\Users\moons\AppData\Local\Google\Chrome\User Data\Default\Extensions\nbminbckhdkcmlhbfppfbigmhnhcpkhf

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix).Tym razem nie będzie restartu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

Po wykonaniu tego kroku uruchom przeglądarkę Google Chrome. To działanie ma na celu sprawdzić czy Adblocker for Youtube™ zostanie zregenerowany.

3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Wszystko jasne. W systemie działał rootkit, którego FRST pomyślnie usunął:

==================== Services (Whitelisted) ===================

"HKLM\System\ControlSet001\Services\{45487F67-EC9F-4449-A6F2-2D0970F9B80B}" => removed successfully
C:\Windows\System32\drivers\ng1g2SaEXYrm.sys => moved successfully

W tej sytuacji możemy prowadzić dalsze usuwanie z poziomu działającego Windows, już nie potrzebujemy RE.

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

CloseProcesses:
CreateRestorePoint:
S2 AppServicea; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServiceb; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicec; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServiced; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicee; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicef; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServiceg; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServiceh; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicei; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicej; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicek; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicel; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicem; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicen; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServiceo; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicep; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServiceq; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicer; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServices; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicet; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServiceu; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicev; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicew; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicex; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicey; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 MBAMService; "C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe" [X]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\18030535.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\18030535.sys => ""="Driver"
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
BootExecute: autocheck autochk *  
GroupPolicy: Ograniczenia - Chrome <==== UWAGA
Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA
HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
C:\MyFile.txt
C:\Program Files\temp_files
C:\Program Files (x86)\AW Manager
C:\Program Files (x86)\Company
C:\Program Files (x86)\foler
C:\Program Files (x86)\anjFGKdzU
C:\Program Files (x86)\LqBBrQc
C:\Program Files (x86)\XcjIDTjqJhZdTpTIqBR
C:\Program Files (x86)\WSPNEpLqQIE
C:\Program Files (x86)\pQmgloyPupxgC
C:\Program Files (x86)\ELOJFuMDhuHU2
C:\Program Files (x86)\temp_files
C:\Program Files (x86)\Temp
C:\ProgramData\softokn3.dll
C:\ProgramData\CML26GKJIPYEI9MLXNJVFY0EF
C:\ProgramData\4GQJ345MVXIBMYTZ1LEATO2MK
C:\ProgramData\ZZX2RYDT9XGIE85114YDM2TMS
C:\ProgramData\L8PT15I93VOIILOS6U4BEO2FV
C:\ProgramData\CP8Z9ZN3KMVU03RJRFJ2Y5TWZ
C:\ProgramData\GZUG5UJQ18OAJ6I9462Z1P137
C:\ProgramData\Glarysoft\Startup Manager\GV LicenseManager.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes.lnk
C:\ProgramData\TEMP
C:\Users\moons\AppData\Local\AdvinstAnalytics
C:\Users\moons\AppData\Local\BitTorrentHelper
C:\Users\moons\AppData\Local\mbam
C:\Users\moons\AppData\Local\UT008
C:\Users\moons\AppData\Local\Yandex
C:\Users\moons\AppData\Roaming\nailedp
C:\Users\moons\AppData\Roaming\Ramson
C:\Users\moons\Documents\KvwpMFPqRAft9y9sSCwCH9Ii.exe
C:\Users\moons\Documents\WQ75Y5Y8DjdyQAn0AEQrAjbV.exe
C:\Users\moons\Documents\g2oQPlBcsjLFIr0lJGH2aMv0.exe
C:\Users\moons\Documents\EfAUP2TvnXBIs3xkQEKNVFUW.exe
C:\Users\moons\Documents\XrmS4NdEpS7JvDZgwiaBDSS5.exe
C:\Users\moons\Documents\VFQYmefflW6M218EXGt1wGGt.exe
C:\Users\moons\Documents\JVbtDl8da2XpSIQRnxdwBbBd.exe
C:\Users\moons\Documents\55T1bv6QpJh38u8pIhwJ304z.exe
C:\Users\moons\Documents\VlcpVideoV1.0.1
C:\Users\moons\Downloads\60cfda_Disk-Drill-4358.zip
C:\Users\moons\Downloads\Niepotwierdzony *.crdownload
C:\Users\Public\Desktop\Malwarebytes.lnk
C:\Windows\system32\Drivers\45076182.sys
cmd: netsh advfirewall reset
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
StartRegedit:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv]
"DependOnService"=hex(7):72,00,70,00,63,00,73,00,73,00,00,00,00,00
"Description"="@%systemroot%\\system32\\wuaueng.dll,-106"
"DisplayName"="@%systemroot%\\system32\\wuaueng.dll,-105"
"ErrorControl"=dword:00000001
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
  00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
"ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\
  74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,20,00,2d,00,70,00,00,\
  00
"ObjectName"="LocalSystem"
"RequiredPrivileges"=hex(7):53,00,65,00,41,00,75,00,64,00,69,00,74,00,50,00,72,\
  00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,\
  65,00,61,00,74,00,65,00,47,00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,\
  00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,65,00,\
  61,00,74,00,65,00,50,00,61,00,67,00,65,00,46,00,69,00,6c,00,65,00,50,00,72,\
  00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,54,00,63,00,\
  62,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,\
  00,41,00,73,00,73,00,69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,\
  79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\
  00,67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,\
  6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\
  00,00,00,53,00,65,00,49,00,6e,00,63,00,72,00,65,00,61,00,73,00,65,00,51,00,\
  75,00,6f,00,74,00,61,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\
  00,00,00,53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,\
  72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,44,00,65,\
  00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\
  00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,00,76,\
  00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,74,00,\
  6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,\
  00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,00,74,00,79,00,50,00,72,00,\
  69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,54,00,61,00,6b,\
  00,65,00,4f,00,77,00,6e,00,65,00,72,00,73,00,68,00,69,00,70,00,50,00,72,00,\
  69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,4c,00,6f,00,61,\
  00,64,00,44,00,72,00,69,00,76,00,65,00,72,00,50,00,72,00,69,00,76,00,69,00,\
  6c,00,65,00,67,00,65,00,00,00,53,00,65,00,4d,00,61,00,6e,00,61,00,67,00,65,\
  00,56,00,6f,00,6c,00,75,00,6d,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,\
  65,00,67,00,65,00,00,00,53,00,65,00,53,00,79,00,73,00,74,00,65,00,6d,00,45,\
  00,6e,00,76,00,69,00,72,00,6f,00,6e,00,6d,00,65,00,6e,00,74,00,50,00,72,00,\
  69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,65,\
  00,61,00,74,00,65,00,53,00,79,00,6d,00,62,00,6f,00,6c,00,69,00,63,00,4c,00,\
  69,00,6e,00,6b,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,\
  00,53,00,65,00,49,00,6e,00,63,00,72,00,65,00,61,00,73,00,65,00,42,00,61,00,\
  73,00,65,00,50,00,72,00,69,00,6f,00,72,00,69,00,74,00,79,00,50,00,72,00,69,\
  00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00
"ServiceSidType"=dword:00000001
"Start"=dword:00000003
"SvcMemHardLimitInMB"=dword:000000f6
"SvcMemMidLimitInMB"=dword:000000a7
"SvcMemSoftLimitInMB"=dword:00000058
"Type"=dword:00000020

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters]
"ServiceDll"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,\
  00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  77,00,75,00,61,00,75,00,65,00,6e,00,67,00,2e,00,64,00,6c,00,6c,00,00,00
"ServiceDllUnloadOnStop"=dword:00000001
"ServiceMain"="WUServiceMain"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Security]
"Security"=hex:01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,\
  05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,\
  01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\TriggerInfo]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\TriggerInfo\0]
"Type"=dword:00000005
"Action"=dword:00000001
"Guid"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\TriggerInfo\1]
"Type"=dword:00000005
"Action"=dword:00000001
"Guid"=hex:c8,46,fb,54,89,f0,4c,46,b1,fd,59,d1,b6,2c,3b,50
EndRegedit:
Hosts:
EmptyTemp:

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Mówiłeś, że nie widzisz w zainstalowanych rozszerzeniach Adblocker for Youtube™. Być może to typ aplikacja a nie rozszerzenie. W pasku adresów wpisz chrome://apps i ENTER. Jeśli jest widoczny na liście, usuń.

3. Zrób nowy log FRST z opcji Skanuj (Scan), z Addition ale bez Shortcut. Dołącz też plik fixlog.txt.

To jest log zrobiony z poziomu uruchomionego Windows a nie z poziomu RE. W środowisku RE jak widać ze zrzutów ekranu jest mniej opcji i pozycja Addition nie jest w ogóle dostępna. Ma powstać tylko jeden log FRST.txt.

Jaki konkretnie jest problem z uruchomieniem FRST w środowisku RE? A może nie zauważyłeś, że log jest tworzony w innym miejscu, bądź omyłkowo doczepiłeś złe logi?

Mocno podejrzanym elementem raportu jest blokada pliku rejestru oraz podejrzanego sterownika bez widocznego punktu ładowania:

==================== FLock ==============================

2021-06-21 21:59 C:\Windows\system32\config\system
2021-06-21 02:26 C:\Windows\system32\Drivers\ng1g2SaEXYrm.sys

Poproszę o log FRST wykonany z poziomu środowiska RE:

Przejdź w Tryb awaryjny Windows i powtórz działanie.

Fix wykonał się prawie w całości, a w nowych raportach zrobionych kilkanaście minut później prawie brak zmian, tzn. nadal widnieją te same wpisy rzekomo usuwane przez FRST. Nasuwają się następujące pytania:

- Czy FRST jest może uruchomiony w jakimś "wirtualnym" środowisku?

- Co się działo po restarcie systemu, czy nie uruchomił się jakiś proces przywracania poprzedniego stanu systemu?

Nie widać zbyt dużo: szkodliwe powiadomienia w Google Chrome, różne szczątkowe wpisy oraz uszkodzona usługa Windows Update. Próbowałeś używać ComboFix, ten program nie dość że jest niezgodny z Windows 10, to na dodatek w ogóle już nie działa (ustawiona data wygaśnięcia na 2019). Autor ComboFix obecnie jest w ekipie Malwarebytes.

Do wykonania następujące działania;

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

CloseProcesses:
CreateRestorePoint:
S2 AppServicea; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServiceb; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicec; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServiced; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicee; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicef; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServiceg; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServiceh; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicei; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicej; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicek; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicel; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicem; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicen; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServiceo; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicep; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServiceq; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicer; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServices; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicet; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServiceu; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicev; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicew; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicex; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicey; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 MBAMService; "C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe" [X]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\18030535.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\18030535.sys => ""="Driver"
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
BootExecute: autocheck autochk *  
GroupPolicy: Ograniczenia - Chrome <==== UWAGA
Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA
HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA
CHR Notifications: Default -> hxxps://best-loan-info.com; hxxps://ccleaner-download.xyz; hxxps://mail-notification.info; hxxps://mnthor.xyz; hxxps://pinghauz.xyz; hxxps://s-tracking.xyz; hxxps://supertopfreegames.com; hxxps://zarabotok-online.xyz
CHR StartupUrls: Default -> ""
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
C:\Program Files\temp_files
C:\Program Files (x86)\Company
C:\Program Files (x86)\foler
C:\Program Files (x86)\anjFGKdzU
C:\Program Files (x86)\LqBBrQc
C:\Program Files (x86)\XcjIDTjqJhZdTpTIqBR
C:\Program Files (x86)\WSPNEpLqQIE
C:\Program Files (x86)\pQmgloyPupxgC
C:\Program Files (x86)\ELOJFuMDhuHU2
C:\Program Files (x86)\temp_files
C:\Program Files (x86)\Temp
C:\ProgramData\softokn3.dll
C:\ProgramData\CML26GKJIPYEI9MLXNJVFY0EF
C:\ProgramData\4GQJ345MVXIBMYTZ1LEATO2MK
C:\ProgramData\ZZX2RYDT9XGIE85114YDM2TMS
C:\ProgramData\L8PT15I93VOIILOS6U4BEO2FV
C:\ProgramData\CP8Z9ZN3KMVU03RJRFJ2Y5TWZ
C:\ProgramData\GZUG5UJQ18OAJ6I9462Z1P137
C:\ProgramData\Glarysoft\Startup Manager\GV LicenseManager.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes.lnk
C:\ProgramData\TEMP
C:\Users\moons\AppData\Local\AdvinstAnalytics
C:\Users\moons\AppData\Local\BitTorrentHelper
C:\Users\moons\AppData\Local\mbam
C:\Users\moons\AppData\Local\UT008
C:\Users\moons\AppData\Local\Yandex
C:\Users\moons\AppData\Roaming\nailedp
C:\Users\moons\AppData\Roaming\Ramson
C:\Users\moons\Documents\KvwpMFPqRAft9y9sSCwCH9Ii.exe
C:\Users\moons\Documents\WQ75Y5Y8DjdyQAn0AEQrAjbV.exe
C:\Users\moons\Documents\g2oQPlBcsjLFIr0lJGH2aMv0.exe
C:\Users\moons\Documents\EfAUP2TvnXBIs3xkQEKNVFUW.exe
C:\Users\moons\Documents\XrmS4NdEpS7JvDZgwiaBDSS5.exe
C:\Users\moons\Documents\VFQYmefflW6M218EXGt1wGGt.exe
C:\Users\moons\Documents\JVbtDl8da2XpSIQRnxdwBbBd.exe
C:\Users\moons\Documents\55T1bv6QpJh38u8pIhwJ304z.exe
C:\Users\moons\Documents\VlcpVideoV1.0.1
C:\Users\moons\Downloads\60cfda_Disk-Drill-4358.zip
C:\Users\moons\Downloads\Niepotwierdzony *.crdownload
C:\Users\Public\Desktop\Malwarebytes.lnk
C:\Windows\system32\Drivers\45076182.sys
C:\Windows\system32\Drivers\ng1g2SaEXYrm.sys
Folder: C:\Program Files (x86)\AW Manager
Folder: C:\Windows\Microsoft Antimalware
cmd: netsh advfirewall reset
cmd: type C:\MyFile.txt
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\wuauserv
EmptyTemp:

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Wyczyść Google Chrome:

• Zresetuj synchronizację (o ile włączona). Otwórz Panel Google. Na dole kliknij Resetuj synchronizację. Nie loguj się na konto Google, dopóki nie zostanie ukończone czyszczenie komputera.
• W pasku adresów wpisz chrome://extensions i ENTER. Odinstaluj adware Adblocker for Youtube™.
• W pasku adresów wpisz chrome://settings i ENTER. Zaawansowane > Resetowanie komputera i czyszczenie danych > Przywróć ustawienia do wartości domyślnych. Zakładki i hasła nie zostaną naruszone.

3. Zrób nowy log FRST z opcji Skanuj (Scan). Nie zaznaczaj opcji: Pliki z 90 dni, Lista BCD, SigCheckExt, Shortcut. Dołącz też plik fixlog.txt. Dodatkowo, odpowiedz na pytanie czy te edycje pliku Hosts są celowe:

0.0.0.0 tools.google.com
0.0.0.0 clients2.google.com
0.0.0.0 update.googleapis.com
0.0.0.0 msedge.api.cdp.microsoft.com
0.0.0.0 msedge.f.dl.delivery.mp.microsoft.com
0.0.0.0 download.mozilla.org
0.0.0.0 product-details.mozilla.org
0.0.0.0 desktop-netinstaller-sub.osp.opera.software
0.0.0.0 download-installer.cdn.mozilla.net
0.0.0.0 aus5.mozilla.org
0.0.0.0 normandy.cdn.mozilla.net
0.0.0.0 api.browser.yandex.ru
0.0.0.0 classify-client.services.mozilla.com

DelFix to porzucone narzędzie. KpRm to jego zaktualizowany odpowiednik. Nie miałam czasu wymienić opisów w przyklejonym temacie.

Temat rozwiązany. Zamykam.

To dopiero dziś zaczęło padać. ?

KpRm nie usunął zbyt dużo narzędzi. W Twoim raporcie było o wiele więcej elementów, które powinny być usunięte przez program:

2021-06-20 13:59 - 2021-06-20 14:00 - 000000000 ____D C:\FRST
2021-06-20 13:34 - 2021-06-20 13:34 - 000255928 _____ (Malwarebytes) C:\WINDOWS\system32\Drivers\22A2FECD.sys
2021-06-20 13:25 - 2021-06-20 13:29 - 000000000 ____D C:\ProgramData\RogueKiller
2021-06-20 13:25 - 2021-06-20 13:25 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RogueKiller
2021-06-20 13:25 - 2021-06-20 13:25 - 000000000 ____D C:\Program Files\RogueKiller
2021-06-20 13:06 - 2021-06-20 13:06 - 000309104 _____ (AO Kaspersky Lab) C:\WINDOWS\system32\Drivers\klupd_3a48a596a_klark.sys
2021-06-20 13:06 - 2021-06-20 13:06 - 000224880 _____ (AO Kaspersky Lab) C:\WINDOWS\system32\Drivers\klupd_3a48a596a_mark.sys
2021-06-20 13:06 - 2021-06-20 13:06 - 000127792 _____ (AO Kaspersky Lab) C:\WINDOWS\system32\Drivers\3a48a596.sys
2021-06-20 13:06 - 2021-06-20 13:06 - 000000000 ____D C:\KVRT2020_Data
2021-06-20 13:03 - 2021-06-20 13:03 - 000000000 ____D C:\AdwCleaner

Czy usuwałeś narzędzia ręcznie przed użyciem KpRm? Ponadto ręcznie do usunięcia folder D:\Programy\7. Antywirus\FRST.

Wszystko pomyślnie wykonane. Kończymy:

Uruchom KpRm i zaznacz opcje: Delete Tools, Delete Restore Points, Delete quarantines. Przedstaw wynikowy log z akcji.

W raportach brak aktywnej infekcji. Do usunięcia tylko różne szczątkowe wpisy:

Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

CloseProcesses:
CreateRestorePoint:
S1 amsdk; \??\C:\WINDOWS\system32\drivers\amsdk.sys [X]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\amsdk.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\amsdk.sys => ""="Driver"
HKLM\...\Run: [WindowsDefender] => "%ProgramFiles%\Windows Defender\MSASCuiL.exe"
HKLM\...\StartupApproved\Run32: => "CsrAudioguiCtrl"
HKLM\...\StartupApproved\Run32: => "CSRHarmonySkypePlugin"
HKLM\...\StartupApproved\Run32: => "CsrHCRPServer"
HKLM\...\StartupApproved\Run32: => "CsrSyncMLServer"
HKLM\...\StartupApproved\Run32: => "HarmonyUserStartup"
HKLM\...\StartupApproved\Run32: => "TrayApplication"
HKLM\...\StartupApproved\Run32: => "vksts"
HKLM\...\StartupApproved\Run32: => "vmware-tray.exe"
HKU\S-1-5-21-3062910227-2173904043-3200923844-1001\...\StartupApproved\Run: => "CCXProcess"
HKU\S-1-5-21-3062910227-2173904043-3200923844-1001\...\StartupApproved\Run: => "RaiDrive"
HKLM\...\Policies\Explorer: [NoRecentDocsNetHood] 0
HKLM\...\Policies\Explorer: [NoChangeStartMenu] 0
HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig]  <==== UWAGA
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
HKU\S-1-5-21-3062910227-2173904043-3200923844-1001\...\Policies\Explorer: [NoPreviewPane] 0
HKU\S-1-5-21-3062910227-2173904043-3200923844-1001\...\Policies\Explorer: [NoTrayContextMenu] 0
HKU\S-1-5-21-3062910227-2173904043-3200923844-1001\...\Policies\Explorer: [NoSetTaskbar] 0
HKU\S-1-5-21-3062910227-2173904043-3200923844-1001\...\Policies\Explorer: [NoViewContextMenu] 0
HKU\S-1-5-21-3062910227-2173904043-3200923844-1001\...\MountPoints2: E - "E:\setup.EXE" /AUTORUN
HKU\S-1-5-21-3062910227-2173904043-3200923844-1001\...\MountPoints2: {34411498-a200-11eb-9c92-bc542f5f99ce} - "G:\AutoRun.exe"
GroupPolicy: Ograniczenia ? <==== UWAGA
Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ograniczenia <==== UWAGA
HKU\S-1-5-21-3062910227-2173904043-3200923844-1001\SOFTWARE\Policies\Microsoft\Edge: Ograniczenia <==== UWAGA
Edge Extension: (Brak nazwy) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [nie znaleziono]
Edge Extension: (Brak nazwy) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [nie znaleziono]
Edge Extension: (Brak nazwy) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [nie znaleziono]
Edge Extension: (Brak nazwy) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [nie znaleziono]
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKLM\SOFTWARE\Google
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Radar\AppData\Roaming\system32
C:\Users\Radar\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\FlashPeak Slimjet (64 bit).lnk
Folder: C:\WINDOWS\c
Folder: C:\WINDOWS\w
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Kończymy:

1. Zmień nazwę FRST64.exe na uninstall.exe i uruchom.

2. Wyczyść foldery Przywracania systemu: KLIK.

1. Nie odinstalowałeś tego programu, czy go nie widzisz na liście?

WarThunder (HKLM-x32\...\WarThunder) (Version:  - ) <==== UWAGA

2. Spróbujmy usunąć te nieczytelne pliki. Fixlist do FRST:

2021-06-08 19:32 - 2020-11-05 19:42 - 000000000 ____D C:\Users\Mateusz\AppData\Roaming\Orbit
CMD: del "\\?\C:\Users\Mateusz\Downloads\sans."
CMD: del "\\?\C:\Users\Mateusz\Downloads\Oh My..."

Przedstaw wynikowy fixlog.txt.

@pj007

Niestety nadal głucho. W temacie dedykowanym tej infekcji na BleepingComputer żadnych nowych informacji: KLIK.

@jessica

To nie tyle, że się "nie opłaca", to jest zależne od tego czy jest możliwe złamanie konkretnego algorytmu. Np. firma Emsisoft nadal wydaje dekodery gdy jest to możliwe: KLIK.