Skocz do zawartości

Infekcja trojanami


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Nie widać zbyt dużo: szkodliwe powiadomienia w Google Chrome, różne szczątkowe wpisy oraz uszkodzona usługa Windows Update. Próbowałeś używać ComboFix, ten program nie dość że jest niezgodny z Windows 10, to na dodatek w ogóle już nie działa (ustawiona data wygaśnięcia na 2019). Autor ComboFix obecnie jest w ekipie Malwarebytes.

 

Do wykonania następujące działania;

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
S2 AppServicea; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServiceb; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicec; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServiced; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicee; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicef; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServiceg; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServiceh; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicei; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicej; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicek; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicel; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicem; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicen; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServiceo; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicep; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServiceq; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicer; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServices; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicet; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServiceu; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicev; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicew; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicex; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicey; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 MBAMService; "C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe" [X]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\18030535.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\18030535.sys => ""="Driver"
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
BootExecute: autocheck autochk *  
GroupPolicy: Ograniczenia - Chrome <==== UWAGA
Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA
HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA
CHR Notifications: Default -> hxxps://best-loan-info.com; hxxps://ccleaner-download.xyz; hxxps://mail-notification.info; hxxps://mnthor.xyz; hxxps://pinghauz.xyz; hxxps://s-tracking.xyz; hxxps://supertopfreegames.com; hxxps://zarabotok-online.xyz
CHR StartupUrls: Default -> ""
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
C:\Program Files\temp_files
C:\Program Files (x86)\Company
C:\Program Files (x86)\foler
C:\Program Files (x86)\anjFGKdzU
C:\Program Files (x86)\LqBBrQc
C:\Program Files (x86)\XcjIDTjqJhZdTpTIqBR
C:\Program Files (x86)\WSPNEpLqQIE
C:\Program Files (x86)\pQmgloyPupxgC
C:\Program Files (x86)\ELOJFuMDhuHU2
C:\Program Files (x86)\temp_files
C:\Program Files (x86)\Temp
C:\ProgramData\softokn3.dll
C:\ProgramData\CML26GKJIPYEI9MLXNJVFY0EF
C:\ProgramData\4GQJ345MVXIBMYTZ1LEATO2MK
C:\ProgramData\ZZX2RYDT9XGIE85114YDM2TMS
C:\ProgramData\L8PT15I93VOIILOS6U4BEO2FV
C:\ProgramData\CP8Z9ZN3KMVU03RJRFJ2Y5TWZ
C:\ProgramData\GZUG5UJQ18OAJ6I9462Z1P137
C:\ProgramData\Glarysoft\Startup Manager\GV LicenseManager.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes.lnk
C:\ProgramData\TEMP
C:\Users\moons\AppData\Local\AdvinstAnalytics
C:\Users\moons\AppData\Local\BitTorrentHelper
C:\Users\moons\AppData\Local\mbam
C:\Users\moons\AppData\Local\UT008
C:\Users\moons\AppData\Local\Yandex
C:\Users\moons\AppData\Roaming\nailedp
C:\Users\moons\AppData\Roaming\Ramson
C:\Users\moons\Documents\KvwpMFPqRAft9y9sSCwCH9Ii.exe
C:\Users\moons\Documents\WQ75Y5Y8DjdyQAn0AEQrAjbV.exe
C:\Users\moons\Documents\g2oQPlBcsjLFIr0lJGH2aMv0.exe
C:\Users\moons\Documents\EfAUP2TvnXBIs3xkQEKNVFUW.exe
C:\Users\moons\Documents\XrmS4NdEpS7JvDZgwiaBDSS5.exe
C:\Users\moons\Documents\VFQYmefflW6M218EXGt1wGGt.exe
C:\Users\moons\Documents\JVbtDl8da2XpSIQRnxdwBbBd.exe
C:\Users\moons\Documents\55T1bv6QpJh38u8pIhwJ304z.exe
C:\Users\moons\Documents\VlcpVideoV1.0.1
C:\Users\moons\Downloads\60cfda_Disk-Drill-4358.zip
C:\Users\moons\Downloads\Niepotwierdzony *.crdownload
C:\Users\Public\Desktop\Malwarebytes.lnk
C:\Windows\system32\Drivers\45076182.sys
C:\Windows\system32\Drivers\ng1g2SaEXYrm.sys
Folder: C:\Program Files (x86)\AW Manager
Folder: C:\Windows\Microsoft Antimalware
cmd: netsh advfirewall reset
cmd: type C:\MyFile.txt
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\wuauserv
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Wyczyść Google Chrome:

  • Zresetuj synchronizację (o ile włączona). Otwórz Panel Google. Na dole kliknij Resetuj synchronizację. Nie loguj się na konto Google, dopóki nie zostanie ukończone czyszczenie komputera.
  • W pasku adresów wpisz chrome://extensions i ENTER. Odinstaluj adware Adblocker for Youtube™.
  • W pasku adresów wpisz chrome://settings i ENTER. Zaawansowane > Resetowanie komputera i czyszczenie danych > Przywróć ustawienia do wartości domyślnych. Zakładki i hasła nie zostaną naruszone.

3. Zrób nowy log FRST z opcji Skanuj (Scan). Nie zaznaczaj opcji: Pliki z 90 dni, Lista BCD, SigCheckExt, Shortcut. Dołącz też plik fixlog.txt. Dodatkowo, odpowiedz na pytanie czy te edycje pliku Hosts są celowe:

 

0.0.0.0 tools.google.com
0.0.0.0 clients2.google.com
0.0.0.0 update.googleapis.com
0.0.0.0 msedge.api.cdp.microsoft.com
0.0.0.0 msedge.f.dl.delivery.mp.microsoft.com
0.0.0.0 download.mozilla.org
0.0.0.0 product-details.mozilla.org
0.0.0.0 desktop-netinstaller-sub.osp.opera.software
0.0.0.0 download-installer.cdn.mozilla.net
0.0.0.0 aus5.mozilla.org
0.0.0.0 normandy.cdn.mozilla.net
0.0.0.0 api.browser.yandex.ru
0.0.0.0 classify-client.services.mozilla.com

 

Odnośnik do odpowiedzi

Fix wykonał się prawie w całości, a w nowych raportach zrobionych kilkanaście minut później prawie brak zmian, tzn. nadal widnieją te same wpisy rzekomo usuwane przez FRST. Nasuwają się następujące pytania:

- Czy FRST jest może uruchomiony w jakimś "wirtualnym" środowisku?

- Co się działo po restarcie systemu, czy nie uruchomił się jakiś proces przywracania poprzedniego stanu systemu?

Odnośnik do odpowiedzi

Mocno podejrzanym elementem raportu jest blokada pliku rejestru oraz podejrzanego sterownika bez widocznego punktu ładowania:

 

==================== FLock ==============================

2021-06-21 21:59 C:\Windows\system32\config\system
2021-06-21 02:26 C:\Windows\system32\Drivers\ng1g2SaEXYrm.sys

 

Poproszę o log FRST wykonany z poziomu środowiska RE:

 

 

Odnośnik do odpowiedzi

To jest log zrobiony z poziomu uruchomionego Windows a nie z poziomu RE. W środowisku RE jak widać ze zrzutów ekranu jest mniej opcji i pozycja Addition nie jest w ogóle dostępna. Ma powstać tylko jeden log FRST.txt.

 

Jaki konkretnie jest problem z uruchomieniem FRST w środowisku RE? A może nie zauważyłeś, że log jest tworzony w innym miejscu, bądź omyłkowo doczepiłeś złe logi?

Odnośnik do odpowiedzi

Wszystko jasne. W systemie działał rootkit, którego FRST pomyślnie usunął:

 

==================== Services (Whitelisted) ===================

"HKLM\System\ControlSet001\Services\{45487F67-EC9F-4449-A6F2-2D0970F9B80B}" => removed successfully
C:\Windows\System32\drivers\ng1g2SaEXYrm.sys => moved successfully

 

W tej sytuacji możemy prowadzić dalsze usuwanie z poziomu działającego Windows, już nie potrzebujemy RE.

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
S2 AppServicea; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServiceb; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicec; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServiced; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicee; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicef; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServiceg; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServiceh; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicei; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicej; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicek; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicel; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicem; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicen; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServiceo; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicep; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServiceq; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicer; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServices; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicet; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServiceu; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicev; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicew; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicex; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicey; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 MBAMService; "C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe" [X]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\18030535.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\18030535.sys => ""="Driver"
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
BootExecute: autocheck autochk *  
GroupPolicy: Ograniczenia - Chrome <==== UWAGA
Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA
HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
C:\MyFile.txt
C:\Program Files\temp_files
C:\Program Files (x86)\AW Manager
C:\Program Files (x86)\Company
C:\Program Files (x86)\foler
C:\Program Files (x86)\anjFGKdzU
C:\Program Files (x86)\LqBBrQc
C:\Program Files (x86)\XcjIDTjqJhZdTpTIqBR
C:\Program Files (x86)\WSPNEpLqQIE
C:\Program Files (x86)\pQmgloyPupxgC
C:\Program Files (x86)\ELOJFuMDhuHU2
C:\Program Files (x86)\temp_files
C:\Program Files (x86)\Temp
C:\ProgramData\softokn3.dll
C:\ProgramData\CML26GKJIPYEI9MLXNJVFY0EF
C:\ProgramData\4GQJ345MVXIBMYTZ1LEATO2MK
C:\ProgramData\ZZX2RYDT9XGIE85114YDM2TMS
C:\ProgramData\L8PT15I93VOIILOS6U4BEO2FV
C:\ProgramData\CP8Z9ZN3KMVU03RJRFJ2Y5TWZ
C:\ProgramData\GZUG5UJQ18OAJ6I9462Z1P137
C:\ProgramData\Glarysoft\Startup Manager\GV LicenseManager.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes.lnk
C:\ProgramData\TEMP
C:\Users\moons\AppData\Local\AdvinstAnalytics
C:\Users\moons\AppData\Local\BitTorrentHelper
C:\Users\moons\AppData\Local\mbam
C:\Users\moons\AppData\Local\UT008
C:\Users\moons\AppData\Local\Yandex
C:\Users\moons\AppData\Roaming\nailedp
C:\Users\moons\AppData\Roaming\Ramson
C:\Users\moons\Documents\KvwpMFPqRAft9y9sSCwCH9Ii.exe
C:\Users\moons\Documents\WQ75Y5Y8DjdyQAn0AEQrAjbV.exe
C:\Users\moons\Documents\g2oQPlBcsjLFIr0lJGH2aMv0.exe
C:\Users\moons\Documents\EfAUP2TvnXBIs3xkQEKNVFUW.exe
C:\Users\moons\Documents\XrmS4NdEpS7JvDZgwiaBDSS5.exe
C:\Users\moons\Documents\VFQYmefflW6M218EXGt1wGGt.exe
C:\Users\moons\Documents\JVbtDl8da2XpSIQRnxdwBbBd.exe
C:\Users\moons\Documents\55T1bv6QpJh38u8pIhwJ304z.exe
C:\Users\moons\Documents\VlcpVideoV1.0.1
C:\Users\moons\Downloads\60cfda_Disk-Drill-4358.zip
C:\Users\moons\Downloads\Niepotwierdzony *.crdownload
C:\Users\Public\Desktop\Malwarebytes.lnk
C:\Windows\system32\Drivers\45076182.sys
cmd: netsh advfirewall reset
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
StartRegedit:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv]
"DependOnService"=hex(7):72,00,70,00,63,00,73,00,73,00,00,00,00,00
"Description"="@%systemroot%\\system32\\wuaueng.dll,-106"
"DisplayName"="@%systemroot%\\system32\\wuaueng.dll,-105"
"ErrorControl"=dword:00000001
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
  00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
"ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\
  74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,20,00,2d,00,70,00,00,\
  00
"ObjectName"="LocalSystem"
"RequiredPrivileges"=hex(7):53,00,65,00,41,00,75,00,64,00,69,00,74,00,50,00,72,\
  00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,\
  65,00,61,00,74,00,65,00,47,00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,\
  00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,65,00,\
  61,00,74,00,65,00,50,00,61,00,67,00,65,00,46,00,69,00,6c,00,65,00,50,00,72,\
  00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,54,00,63,00,\
  62,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,\
  00,41,00,73,00,73,00,69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,\
  79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\
  00,67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,\
  6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\
  00,00,00,53,00,65,00,49,00,6e,00,63,00,72,00,65,00,61,00,73,00,65,00,51,00,\
  75,00,6f,00,74,00,61,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\
  00,00,00,53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,\
  72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,44,00,65,\
  00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\
  00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,00,76,\
  00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,74,00,\
  6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,\
  00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,00,74,00,79,00,50,00,72,00,\
  69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,54,00,61,00,6b,\
  00,65,00,4f,00,77,00,6e,00,65,00,72,00,73,00,68,00,69,00,70,00,50,00,72,00,\
  69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,4c,00,6f,00,61,\
  00,64,00,44,00,72,00,69,00,76,00,65,00,72,00,50,00,72,00,69,00,76,00,69,00,\
  6c,00,65,00,67,00,65,00,00,00,53,00,65,00,4d,00,61,00,6e,00,61,00,67,00,65,\
  00,56,00,6f,00,6c,00,75,00,6d,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,\
  65,00,67,00,65,00,00,00,53,00,65,00,53,00,79,00,73,00,74,00,65,00,6d,00,45,\
  00,6e,00,76,00,69,00,72,00,6f,00,6e,00,6d,00,65,00,6e,00,74,00,50,00,72,00,\
  69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,65,\
  00,61,00,74,00,65,00,53,00,79,00,6d,00,62,00,6f,00,6c,00,69,00,63,00,4c,00,\
  69,00,6e,00,6b,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,\
  00,53,00,65,00,49,00,6e,00,63,00,72,00,65,00,61,00,73,00,65,00,42,00,61,00,\
  73,00,65,00,50,00,72,00,69,00,6f,00,72,00,69,00,74,00,79,00,50,00,72,00,69,\
  00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00
"ServiceSidType"=dword:00000001
"Start"=dword:00000003
"SvcMemHardLimitInMB"=dword:000000f6
"SvcMemMidLimitInMB"=dword:000000a7
"SvcMemSoftLimitInMB"=dword:00000058
"Type"=dword:00000020

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters]
"ServiceDll"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,\
  00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  77,00,75,00,61,00,75,00,65,00,6e,00,67,00,2e,00,64,00,6c,00,6c,00,00,00
"ServiceDllUnloadOnStop"=dword:00000001
"ServiceMain"="WUServiceMain"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Security]
"Security"=hex:01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,\
  05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,\
  01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\TriggerInfo]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\TriggerInfo\0]
"Type"=dword:00000005
"Action"=dword:00000001
"Guid"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\TriggerInfo\1]
"Type"=dword:00000005
"Action"=dword:00000001
"Guid"=hex:c8,46,fb,54,89,f0,4c,46,b1,fd,59,d1,b6,2c,3b,50
EndRegedit:
Hosts:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Mówiłeś, że nie widzisz w zainstalowanych rozszerzeniach Adblocker for Youtube™. Być może to typ aplikacja a nie rozszerzenie. W pasku adresów wpisz chrome://apps i ENTER. Jeśli jest widoczny na liście, usuń.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), z Addition ale bez Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do odpowiedzi

Wszystko pomyślnie wykonane.

 

1. Malwarebytes jest częściowo uszkodzony. Zastosuj Malwarebytes Support Tool, by program zreperować bądź przeinstalować.

 

2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

 

cmd: type C:\ProgramData\NTUSER.pol
C:\ProgramData\NTUSER.pol
C:\Users\moons\AppData\Local\Google\Chrome\User Data\Default\Extensions\nbminbckhdkcmlhbfppfbigmhnhcpkhf

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix).Tym razem nie będzie restartu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

Po wykonaniu tego kroku uruchom przeglądarkę Google Chrome. To działanie ma na celu sprawdzić czy Adblocker for Youtube™ zostanie zregenerowany.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

 

 

Odnośnik do odpowiedzi

Akcje ukończone pomyślnie. Kolejna porcja:

 

1. Zmień nazwę pliku FRST64.exe na uninstall.exe i uruchom. Folder Quarantine z malware powinien zostać usunięty.

 

2. Przeprowadź pełny skan ożywionym programem Malwarebytes i przedstaw wynikowy log.

Odnośnik do odpowiedzi
  • picasso zamknął ten temat
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...