picasso

Zasady działu: raporty z przestarzałego OTL od bardzo dawna nie są tu już brane pod uwagę, usuwam. Zestaw raportów FRST zaś niekompletny - brak pliku Shortcut.txt. Problemem jest ustawione szkodliwe proxy. Działania do przeprowadzenia: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: RemoveProxy: GroupPolicy: Ograniczenia HKU\S-1-5-21-1424315779-3385797713-2380810535-1000\...\Run: [MinerGateGui] => C:\Program Files\MinerGate\minergate.exe --auto HKLM\...\Run: [MouseDriver] => TiltWheelMouse.exe U3 idsvc; Brak ImagePath U3 wpcsvc; Brak ImagePath CustomCLSID: HKU\S-1-5-21-1424315779-3385797713-2380810535-1000_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\Krystian\AppData\Local\Microsoft\OneDrive\17.3.7131.1115\amd64\FileSyncShell64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1424315779-3385797713-2380810535-1000_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\Krystian\AppData\Local\Microsoft\OneDrive\17.3.7131.1115\amd64\FileSyncShell64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1424315779-3385797713-2380810535-1000_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\Krystian\AppData\Local\Microsoft\OneDrive\17.3.7131.1115\amd64\FileSyncShell64.dll => Brak pliku DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files\KMSpico C:\Users\Krystian\Downloads\Niepotwierdzony 401947.crdownload cmd: netsh advfirewall reset Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonym polem Shortcut. Dołącz też plik fixlog.txt.

Czysty rozruch: skoro zmiana jest widoczna, wytypuj które wpisy stanowią problem. Zacznij odwracać zmiany poprzez włączenie pojedynczych wpisów, za każdym razem zatwierdzając restartem. Fix: Plik Fixlog wskazuje, że nic nie zostało wklejone w Notatniku... Powtórz operację.

Temat został już przeniesiony, więc kontynuuj tym temacie. Czy sprawdziłeś czysty rozruch? W raporcie Addition pozycja jest widoczna, więc być może stan dewastacji tak obszerny, iż wejście nie jest już traktowane jako "zainstalowane". Dla formalności doczyść ten szczątek. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\pandasecuritytb ExportKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\UNP RemoveDirectory: C:\FRST\Quarantine Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw fixlog.txt.

Temat przenoszę do działu Windows, to nie jest infekcja. Owszem, w starcie jest plik BAT: Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\fcbd.bat [2017-02-04] () Ale ten plik wygląda na powiązany z Far Cry Blood Dragon, który jest zainstalowany: Far Cry 3 Blood Dragon (HKLM-x32\...\Uplay Install 205) (Version: - Ubisoft) Plik usunę ze startu, przy okazji adresując także inne szczątki (m.in. po odinstalowanym Comodo). Czynności do wykonania w spoilerze: Z raportów nic nie wynika. Czy sprawdzałeś tryb "czystego rozruchu" Windows? Czy wyłączenie Adguard ma jakiś wpływ na Chrome?

By się upewnić, czy monitor "oskb" został zainstalowany celowo? Skrypt pomyślnie wykonany. Drobne poprawki: Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: StartRegedit: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] @="Bing" "DisplayName"="@ieframe.dll,-12512" "URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" [HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] @="Bing" "DisplayName"="@ieframe.dll,-12512" "URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" EndRegedit: HKU\S-1-5-21-1204853592-1244451205-1784681606-1004\...\Run: [Akamai NetSession Interface] => "C:\Users\proj01\AppData\Local\Akamai\netsession_win.exe" URLSearchHook: [S-1-5-21-1204853592-1244451205-1784681606-1004] UWAGA => Brak domyślnego URLSearchHook RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\globalUpdate Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt.

Wygląda na to, że przed zrobieniem raportów FRST obiekty malware zostały już usunięte, tylko ciągle proces skryptów był załadowany. W wynikach Fixlist folder "appmr" był pusty, więc już niegroźny. Pozostałe akcje pomyślnie wykonane, więc końcowe kroki: 1. Przez SHIFT+DEL (omija Kosz) skasuj z dysku foldery C:\FRST i C:\Users\Milosz\Desktop\Programy\frst. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj Adobe Flash ActiveX i PPAPI. Linki bezpośrednie również w w/w odnośniku.

Skasuj z dysku plik C:\delfix.txt. To wszystko. Temat zamykam.

Podałam inny program do skanu: Malwarebytes Anti-malware, a nie AdwCleaner.

Ten odczyt mówi, że kluczy w ogóle już nie ma, co by tłumaczyło dlaczego nie można ich usunąć. Kończymy: Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Temat sprzed kilku miesięcy, brak odpowiedzi, więc zamykam. Skomentuję na koniec te wątki: Kursor z ręką to normalna sprawa na tej bocznej liście dysków. Widzę go po najechaniu na dowolny dysk tam widoczny. Przecież przycisk "Pobierz" w moim opisie prowadzi do tej samej strony.

Infekcja pomyślnie usunięta, co nie oznacza, że komunikat zniknie od razu. To zabezpieczenie po stronie serwera i komunikat będzie wysytępował dopóki IP jest na czarnej liście. Nic w tej kwestii nie da się więcej zrobić poza odczekaniem na automatyczne zdjęcie blokady lub zgłoszeniem problemu dostawcy Netia. Kolejne kroki: 1. Przez SHIFT+DEL (omija Kosz) skasuj z dysku folder C:\FRST, by kwarantanna nie była wykrywana w skanie zadanym poniżej. 2. Przeprowadź pełne skanowanie za pomocą Malwarebytes Anti-Malware. Dostarcz raport ze skanu, o ile coś zostanie wykryte.

Post sprzed prawie dwóch miesięcy. Jeśli problemy nadal aktualne, pobierz najnowszą wersję FRST i dostarcz nowe logi. Komentując dane dostarczone powyżej: raporty FRST wyglądają na pochodzące sprzed usuwania. Widać w nich aktywny ProxyGate (jakoby odinstalowany) oraz wpisy rzekomo usunięte skryptem FRST. Notabene, wpisów do usunięcia było więcej. M.in. program EnjoyWifi, ale tym zajął się MBAM. Mam szczere wątpliwości czy infekcja routera miała miejsce. W raporcie FRST było wiele linii DhcpNameServer, przy czym dwie z nich (włącznie z linią sugerującą bieżącą konfigurację) kierują na poprawne adresy Vectry. Te odnoszące się do szkodliwych adresów prawdopodobnie tyczą starych ustawień / usuniętych połączeń niekonfigurowalnych poprzez zalogowanie do routera Tcpip\Parameters: [DhcpNameServer] 31.11.202.254 37.8.214.2 Tcpip\..\Interfaces\{42641943-f36e-49e3-bfd0-4d4b2e7fb115}: [DhcpNameServer] 82.163.143.176 Tcpip\..\Interfaces\{558a6eb2-532d-48fb-b789-32dc69d4d1b2}: [DhcpNameServer] 31.11.202.254 37.8.214.2 Tcpip\..\Interfaces\{e9bb84a4-b039-4307-a252-ae0911dda439}: [DhcpNameServer] 82.163.143.176 To raczej nie ma to związku z infekcją. W raporcie są następujący kandydaci mogący produkować ten efekt: 1. Zadania Office - dla porównania ten temat. Task: {7039B68C-E6BD-462B-97DB-CA0F499F3A87} - System32\Tasks\Microsoft\Office\OfficeBackgroundTaskHandlerLogon => C:\Program Files (x86)\Microsoft Office\root\Office16\officebackgroundtaskhandler.exe [2018-01-21] (Microsoft Corporation) Task: {7B063169-C954-4CC1-9456-D219FFED3FBB} - System32\Tasks\Microsoft\Office\OfficeBackgroundTaskHandlerRegistration => C:\Program Files (x86)\Microsoft Office\root\Office16\officebackgroundtaskhandler.exe [2018-01-21] (Microsoft Corporation) 2. Zadanie "FUB" Acer. Podobny problem, ale na innym wariancie zadania "FUB" w tym temacie. Task: {7C1CB7A7-0429-4C46-B487-4C3536815F9C} - System32\Tasks\FUBTrackingByPLD => C:\OEM\Preload\FubTracking\FubTracking.exe [2015-05-14] ()

Bez zmian, te dwa klucze nie chcą się usunąć. Nie jest to zbyt duży problem, ale dla porządku wypada dokończyć sprawę. Dostarcz uprawnienia tych kluczy: Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: ListPermissions: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Krystrian ListPermissions: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\UNP\RunCampaignManager Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Usunąłeś już konto, ale potwierdzę, że problemem była infekcja osadzona na poprzednim koncie: HKLM-x32\...\RunOnce: [{7DAD368B-FB88-46BA-8D68-5823584DABDD}] => cmd.exe /C start /D "C:\Users\pycio\AppData\Local\Temp" /B {7DAD368B-FB88-46BA-8D68-5823584DABDD}.cmd HKU\S-1-5-21-2948902497-3262320950-2415622978-1001\...\Winlogon: [Shell] C:\Windows\System32\cmd.exe [272896 2017-09-29] (Microsoft Corporation) <==== UWAGA HKU\S-1-5-21-2948902497-3262320950-2415622978-1001\...\Command Processor: @mode 20,5 & tasklist /FI "IMAGENAME eq SoundMixer.exe" 2>NUL | find /I /N "SoundMixer.exe">NUL && exit & if exist "C:\Users\pycio\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe" ( start /MIN "" "C:\Users\pycio\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe" & tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) else ( tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) <==== UWAGA Temat zamykam.

Temat przenoszę do działu Software, to nie jest problem infekcji. Z raportów FRST nic nie wynika pod kątem problemu, a w Firefox nie widać nic szczególnego: FireFox: ======== FF ProfilePath: C:\Users\Komp\AppData\Roaming\Mozilla\Firefox\Profiles\a1bxk7g1.default [2018-03-13] FF user.js: detected! => C:\Users\Komp\AppData\Roaming\Mozilla\Firefox\Profiles\a1bxk7g1.default\user.js [2017-08-02] FF Homepage: Mozilla\Firefox\Profiles\a1bxk7g1.default -> hxxp://google.pl FF Extension: (NetVideoHunter) - C:\Users\Komp\AppData\Roaming\Mozilla\Firefox\Profiles\a1bxk7g1.default\Extensions\netvideohunter@netvideohunter.com [2017-11-28] [Legacy] FF Extension: (Download Status Bar) - C:\Users\Komp\AppData\Roaming\Mozilla\Firefox\Profiles\a1bxk7g1.default\Extensions\{6c28e999-e900-4635-a39d-b1ec90ba0c0f}.xpi [2018-01-11] [Legacy] FF Extension: (Easy Youtube Video Downloader Express) - C:\Users\Komp\AppData\Roaming\Mozilla\Firefox\Profiles\a1bxk7g1.default\Extensions\{b9acf540-acba-11e1-8ccb-001fd0e08bd4}.xpi [2018-02-19] FF Extension: (Adblock Plus) - C:\Users\Komp\AppData\Roaming\Mozilla\Firefox\Profiles\a1bxk7g1.default\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2018-02-19] Mozilla Firefox 56.0 (x86 pl) (HKLM\...\Mozilla Firefox 56.0 (x86 pl)) (Version: 56.0 - Mozilla) Sugestie: - Sprawdź czy nastąpią zmiany po wyłączeniu osłony web w AVG. - Sprawdź czy Adblock Plus nie przetwarza zbyt dużej ilości filtrów oraz czy pomoże zamiana na uBlock Origin. - Sprawdź czy problem występuje na czystym rozruchu Firefox: menu Pomoc > Uruchom ponownie z wyłączonymi dodatkami - Sprawdź czy pomoże reset Firefox (zakładki i hasła nie zostaną naruszone): menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. - Zaktualizuj Firefox. Wg FRST masz zainstalowaną wersję 56, podczas gdy najnowsza to Firefox 59.

Tematy sklejam, nie ma podstaw do szukania infekcji, a z raportów FRST nic nie wynika w kontekście problemu.

Temat przenoszę do działu Software, to nie jest problem infekcji. Zgłoszenie "rootkit" w raporcie to fałszywy alarm, 360 Total Security został odinstalowany, ale najwyraźniej log zrobiono przed restartem systemu i w pamięci nadal był załadowany sterownik tego programu: HKLM\SYSTEM\CurrentControlSet\Services\360FsFlt <==== UWAGA (Rootkit!) Jeśli chodzi o problem zasadniczy, to być może właśnie oprogramowamie zabezpieczające ma tu jakiś wpływ. Nasuwa się pytanie czy po deinstalacji 360 i restarcie systemu nadal ujawnia się ten problem. Jeśli tak, to kolejnym podejrzanym jest ESET Smart Security. PS. W spoilerze drobne czyszczenie szczątków po odinstalowanych programach i czyszczenie Tempów.

Na przyszłość: jak mówiłam, nie wyciągaj logów z katalogu C:\FRST\Logs. Jeśli chodzi o Fix, to niektóre klucze nie zostały usunięte. Poprawki: Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Krystrian DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\UNP\RunCampaignManager Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Aktywnej infekcji nie widać, natomiast są do usunięcia szczątki adware i programów oraz korekta błędów w Dzienniku zdarzeń: Error: (03/15/2018 11:05:45 AM) (Source: Service Control Manager) (EventID: 7026) (User: ) Description: Nie można załadować następujących sterowników startu rozruchowego lub systemowego: VD_FileDisk Error: (03/15/2018 11:05:30 AM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi CLCV0 z powodu następującego błędu: CLCV0 nie jest prawidłową aplikacją systemu Win32. Error: (03/15/2018 11:05:28 AM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Nero BackItUp Scheduler 4.0 z powodu następującego błędu: Nie można odnaleźć określonego pliku. Error: (03/15/2018 11:05:27 AM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Kmm4xNT z powodu następującego błędu: Nastąpiło zablokowanie ładowania sterownika Error: (03/15/2018 11:05:27 AM) (Source: Application Popup) (EventID: 1060) (User: ) Description: Ładowanie sterownika \SystemRoot\SysWow64\Drivers\Kmm4xNT.SYS zostało zablokowane z powodu niezgodności z tym systemem. Skontaktuj się z dostawcą oprogramowania w celu uzyskania zgodnej wersji sterownika. Operacje do przeprowadzenia: 1. Przez Panel sterowania odinstaluj program wątpliwej reputacji SpyHunter 4 oraz zbędny downloder produktów Autodesk Akamai NetSession Interface. Po deinstalacji uruchom dodatkowo SpyHunterCleaner. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.istartsurf.com/?type=hppp&ts=1423819233&from=ild&uid=TOSHIBAXDT01ACA050_538BTV9NSXX538BTV9NSX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-006 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1423819224&from=ild&uid=TOSHIBAXDT01ACA050_538BTV9NSXX538BTV9NSX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartsurf.com/?type=hppp&ts=1423819233&from=ild&uid=TOSHIBAXDT01ACA050_538BTV9NSXX538BTV9NSX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1423819224&from=ild&uid=TOSHIBAXDT01ACA050_538BTV9NSXX538BTV9NSX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-1204853592-1244451205-1784681606-1004\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://smartsputnik.ru/?ri=1&uid=d90b17b6c5d699e4a156e30a7640e5a4&q={searchTerms} HKU\S-1-5-21-1204853592-1244451205-1784681606-1004\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-006 HKU\S-1-5-21-1204853592-1244451205-1784681606-1004\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = hxxp://www.searchgol.com/?babsrc=HP_ss&mntrId=C85694DE8013A3C6&affID=125036&tsp=5039 HKU\S-1-5-21-1204853592-1244451205-1784681606-1004\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://smartsputnik.ru/?ri=1&uid=d90b17b6c5d699e4a156e30a7640e5a4&q={searchTerms} URLSearchHook: [S-1-5-21-1204853592-1244451205-1784681606-1004] UWAGA => Brak domyślnego URLSearchHook URLSearchHook: HKU\S-1-5-21-1204853592-1244451205-1784681606-1004 - (Brak nazwy) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - Brak pliku SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1423819224&from=ild&uid=TOSHIBAXDT01ACA050_538BTV9NSXX538BTV9NSX&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1423819224&from=ild&uid=TOSHIBAXDT01ACA050_538BTV9NSXX538BTV9NSX&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1423819224&from=ild&uid=TOSHIBAXDT01ACA050_538BTV9NSXX538BTV9NSX&q={searchTerms} SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-1204853592-1244451205-1784681606-1004 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://smartsputnik.ru/?ri=1&uid=d90b17b6c5d699e4a156e30a7640e5a4&q={searchTerms} SearchScopes: HKU\S-1-5-21-1204853592-1244451205-1784681606-1004 -> bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKU\S-1-5-21-1204853592-1244451205-1784681606-1004 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=ild&utm_campaign=install_ie&utm_content=ds&from=ild&uid=TOSHIBAXDT01ACA050_538BTV9NSXX538BTV9NSX&ts=1423819244&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1204853592-1244451205-1784681606-1004 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3C} URL = hxxp://smartsputnik.ru/?ri=1&uid=d90b17b6c5d699e4a156e30a7640e5a4&q={searchTerms} SearchScopes: HKU\S-1-5-21-1204853592-1244451205-1784681606-1004 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3D} URL = hxxp://smartsputnik.ru/?ri=1&uid=d90b17b6c5d699e4a156e30a7640e5a4&q= SearchScopes: HKU\S-1-5-21-1204853592-1244451205-1784681606-1004 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=ild&utm_campaign=install_ie&utm_content=ds&from=ild&uid=TOSHIBAXDT01ACA050_538BTV9NSXX538BTV9NSX&ts=1423819244&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1204853592-1244451205-1784681606-1004 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=ild&utm_campaign=install_ie&utm_content=ds&from=ild&uid=TOSHIBAXDT01ACA050_538BTV9NSXX538BTV9NSX&ts=1423819244&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1204853592-1244451205-1784681606-1004 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=ild&utm_campaign=install_ie&utm_content=ds&from=ild&uid=TOSHIBAXDT01ACA050_538BTV9NSXX538BTV9NSX&ts=1423819244&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1204853592-1244451205-1784681606-1004 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe hxxp://start.qone8.com/?type=sc&ts=1383641646&from=cor&uid=TOSHIBAXDT01ACA050_538BTV9NSXX538BTV9NSX HKU\S-1-5-21-1204853592-1244451205-1784681606-1004\...\Policies\Explorer: [] CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA S2 UTSCSI; C:\Windows\SysWOW64\UTSCSI.EXE [0 2016-11-18] () <==== UWAGA (zerobajtowy plik/folder) S2 Kmm4xNT; C:\Windows\SysWow64\Drivers\Kmm4xNT.sys [95484 2002-04-26] (DATOM Dariusz Cielebąk) [Brak podpisu cyfrowego] S1 VD_FileDisk; C:\Windows\System32\Drivers\VD_FileDisk.sys [23552 2009-10-25] (Flint Incorporation) [Brak podpisu cyfrowego] S3 ewusbmbb; system32\DRIVERS\ewusbwwan.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 gdrv; \??\C:\Windows\gdrv.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S2 Nero BackItUp Scheduler 4.0; C:\Program Files (x86)\Common Files\Nero\Nero BackItUp 4\NBService.exe [X] S3 pccsmcfd; system32\DRIVERS\pccsmcfdx64.sys [X] MSCONFIG\startupreg: oskb => C:\Windows\system32\oskb\oskb.exe Task: {0496B978-4038-47D1-A3F7-71C012BAB4C9} - System32\Tasks\{924DD76E-070A-4EFB-8D34-2073A4DD95F9} => C:\Windows\system32\pcalua.exe -a C:\Users\proj01\Desktop\PDT_Gru.2.02.11\PDT_Gru.2.02.11.exe -d C:\Users\proj01\Desktop\PDT_Gru.2.02.11 Task: {ACDFD66A-2495-4734-8177-CDB239D9D651} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe Task: {B10B92F5-6B0E-4E4D-A42A-9CF6E31790B7} - System32\Tasks\{AE9022E9-4E7D-4277-8277-2D992A30FFA2} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\Zuzia9\Hasp\hinstall.exe" -d "C:\Program Files (x86)\Zuzia9\Hasp" Task: {B6DFA886-3197-4729-840A-66BF8F2E172F} - System32\Tasks\{EC1323C8-D1D6-4B1C-98E6-137D01607CBE} => C:\Windows\system32\pcalua.exe -a "C:\Program Files\Gstarsoft\GstarCAD2016\setup.exe" Task: {BF3A5097-5510-4BFA-BF9B-279EF58B1E73} - System32\Tasks\{7E130134-05F3-4C89-9C4D-377D4DB70CC6} => C:\Windows\system32\pcalua.exe -a C:\Users\proj01\Desktop\2010-07-12_7-16_WAVPL_DOR.exe -d C:\Users\proj01\Desktop Task: {BF5E9219-8703-4C9C-8824-E4937CCAF385} - System32\Tasks\{5E0C6FD2-9F9F-4A99-BFBF-BF2E496A2705} => C:\Windows\system32\pcalua.exe -a C:\Users\proj01\Desktop\kml_tools_pro_x32\Setup.exe -d C:\Users\proj01\Desktop\kml_tools_pro_x32 CustomCLSID: HKU\S-1-5-21-1204853592-1244451205-1784681606-1004_Classes\CLSID\{3faa4380-a399-11cf-a466-00805fe418f6}\InprocServer32 -> C:\Program Files\Autodesk\DWG TrueView 2017 - English\en-US\dwgviewrficn.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1204853592-1244451205-1784681606-1004_Classes\CLSID\{720DB9AF-D62C-4ED0-A377-429C22312852}\localserver32 -> C:\Program Files\Autodesk\DWG TrueView 2017 - English\dwgviewr.exe => Brak pliku FF Plugin-x32: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll [Brak pliku] FF Plugin-x32: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll [Brak pliku] StartMenuInternet: (HKLM) Opera - C:\Program Files\Opera x64\Opera.exe DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions C:\ProgramData\TEMP C:\Users\proj01\AppData\Local\{*} C:\Users\proj01\AppData\Roaming\Microsoft\*.* C:\Users\proj01\AppData\Local\Google\Chrome\User Data\Default C:\Users\proj01\AppData\Local\Google\Chrome\User Data\Profile 1 C:\Users\proj01\AppData\Local\Google\Chrome\User Data\System Profile C:\Windows\system32\Drivers\*.tmp C:\Windows\System32\Drivers\VD_FileDisk.sys C:\Windows\SysWOW64\UTSCSI.EXE C:\Windows\SysWow64\Drivers\Kmm4xNT.sys Folder: C:\Windows\SysWOW64\oskb File: C:\Windows\SysWOW64\oskb\oskb.exe Hosts: cmd: netsh advfirewall reset Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

System jest zainfekowany, szkodnik uruchamia się jako alternatywna powłoka Windows. Operacje do przeprowadzenia: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-3276139969-1455258867-2993420445-1000\...\Winlogon: [shell] explorer.exe,"C:\ProgramData\hssad\ddfsf.exe" Task: {2EE0639C-71C5-4614-B579-3670C0F3A455} - System32\Tasks\UpdateChecker => C:\Users\BlackBOX\AppData\Roaming\taskmg.exe S3 MSICDSetup; \??\D:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\D:\NTIOLib_X64.sys [X] MSCONFIG\startupreg: uTorrent => "C:\Users\BlackBOX\AppData\Roaming\uTorrent\uTorrent.exe" /MINIMIZED ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku] C:\ProgramData\hssad C:\Users\BlackBOX\AppData\Local\Temp* C:\Users\BlackBOX\Desktop\Nowy folder\GeForce Experience.lnk cmd: netsh advfirewall reset Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Google Chrome z adware: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > sekcja Ustawienia > Wygląd i kliknij w napis "Pokaż przycisk strony startowej" > przełącz na opcję "Niestandardową" i usuń adres feed.helperbar.com. Ustawienia > sekcja Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres feed.helperbar.com. W pasku adresów wklep chrome://extensions i ENTER. Odinstaluj Video Downloader professional (wątpliwe rozszerzenie, producent powiązany z aktywnościami adware). 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Podane raporty FRST pochodzą z archiwum logów C:\FRST\Logs. Bieżące raporty są tworzone w katalogu z którego jest uruchamiany FRST, czyli w tym przypadku C:\Users\Krystrian\Downloads. Zakładam, że FRST został uruchomiony tylko raz, gdyż tylko w tym scenariuszu logi z archiwum są "bieżące". W raportach brak oznak aktywnej infekcji, po infekcji zostało tylko wyszczerbione zadanie "\Krystrian" w Harmonogramie. Czyli do usunięcia tylko szczątki + inne kosmetyczne akcje. 1. Ustaw w opcjach Windows jako domyślną przeglądarkę Google Chrome. Obecnie figuruje odinstalowana Opera. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: Task: {0A3F8111-7534-4C22-BE84-A570C65F5CEF} - \Krystrian -> Brak pliku Task: {C63C8B64-14D0-4A91-AE52-0D0A97E30A4E} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku CHR HKLM\...\Chrome\Extension: [cjabmdjcfcfdmffimndhafhblfmpjdpe] - C:\Program Files\Norton Security\Engine\22.12.1.15\Exts\Chrome.crx CHR HKLM-x32\...\Chrome\Extension: [cjabmdjcfcfdmffimndhafhblfmpjdpe] - C:\Program Files\Norton Security\Engine\22.12.1.15\Exts\Chrome.crx DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Przeglądarka Opera.lnk C:\Users\Krystrian\AppData\Local\Opera Software C:\Users\Krystrian\AppData\Roaming\Opera Software C:\Users\Krystrian\AppData\Roaming\Microsoft\Word\pytanie306308990056472741\pytanie.docx.lnk Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są potrzebne.

Komunikat Avast pokazuje próbę uruchomienia dziwnej strony przy udziale systemu skryptów Windows (wscript), co odpowiada opisowi zagrożenia VBS.Downloader.D. W raportach nie widać żadnego pasującego rekordu uruchamiającego tę akcję, tylko sam proces per se figuruje oraz katalog na dysku w którym potencjalnie jest skrypt VBS: ==================== Procesy (filtrowane) ================= (Microsoft Corporation) C:\Windows\System32\wscript.exe ==================== Jeden miesiąc - utworzone pliki i foldery ======== 2018-02-14 16:29 - 2018-03-14 14:24 - 000000000 ____D C:\Users\Milosz\AppData\Roaming\appmr Czy te zgłoszenia pojawiają się podczas określonych czynności, gdy jest aktywna konkretna przeglądarka lub są odwiedzane określone strony? Wstępnie usuniemy katalog "appmr", by sprawdzić jakie to będzie mieć skutki. 1. Przez Panel sterowania odinstaluj firmowy "PUP" Browser Configuration Utility. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: Folder: C:\Users\Milosz\AppData\Roaming\appmr C:\Users\Milosz\AppData\Roaming\appmr C:\Users\Milosz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Games.lnk C:\Users\Milosz\Desktop\Programy\BlueStacks.lnk C:\Users\Milosz\Desktop\Programy\ROBLOX Player.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OBS Studio C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Razer HKU\S-1-5-21-3759080393-555216108-2508599083-1000\Software\Classes\regfile: regedit.exe "%1" <==== UWAGA HKU\S-1-5-21-3759080393-555216108-2508599083-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.wp.pl/?dp=20161210 SearchScopes: HKU\S-1-5-21-3759080393-555216108-2508599083-1000 -> DefaultScope {B647741E-7F89-4a4c-95AD-DCE867887740} URL = hxxp://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=IEBD SearchScopes: HKU\S-1-5-21-3759080393-555216108-2508599083-1000 -> {604FCBFC-2B1D-48c8-99D8-4C70230AE667} URL = hxxp://www.google.com/custom?client=pub-3794288947762788&forid=1&channel=1975384696&ie=UTF-8&oe=UTF-8&safe=active&cof=GALT%3A%23008000%3BGL%3A1%3BDIV%3A%23336699%3BVLC%3A663399%3BAH%3Acenter%3BBGC%3AFFFFFF%3BLBGC%3A336699%3BALC%3A0000FF%3BLC%3A0000FF%3BT%3A000000%3BGFNT%3A0000FF%3BGIMP%3A0000FF%3BFORID%3A1&hl=pl&q={searchTerms} SearchScopes: HKU\S-1-5-21-3759080393-555216108-2508599083-1000 -> {B647741E-7F89-4a4c-95AD-DCE867887740} URL = hxxp://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=IEBD FF Plugin: @microsoft.com/GENUINE -> disabled [Brak pliku] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [Brak pliku] cmd: netsh advfirewall reset cmd: sc config "Origin Web Helper Service" start= demand Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Problemem jest szkodliwe zadanie w Harmonogramie. Przy okazji zostaną usunięte szczątki po programach. 1. Odinstaluj stare/zbędne skanery mks_vir Skaner Online, SUPERAntiSpyware. Następnie uruchom Program Install and Uninstall Troubleshooter i usuń za jego pomocą Google Update Helper. 2. FRST został uruchomiony z folderu Temp. Pobierz go ponownie na Pulpit i uruchom. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: Task: {AE8D384E-D604-4AFE-A0F1-F27F32BC6BD9} - System32\Tasks\zokidifcomkui => "C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE" zokidif.com/kui S3 MBAMSwissArmy; \SystemRoot\System32\Drivers\mbamswissarmy.sys [X] S3 MBAMWebProtection; \SystemRoot\system32\DRIVERS\mwac.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service" HKLM\...\Run: [WindowsDefender] => "%ProgramFiles%\Windows Defender\MSASCuiL.exe" HKLM-x32\...\Run: [startCCC] => "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\amd64\CLIStart.exe" MSRun HKU\S-1-5-21-720719404-1911026811-3535350171-1001\...\Run: [ALLUpdate] => "C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe" "sleep" HKU\S-1-5-21-720719404-1911026811-3535350171-1001\...\Run: [Napisy24Update] => "C:\Program Files (x86)\Napisy24\Napisy24Update.exe" "sleep" HKU\S-1-5-21-720719404-1911026811-3535350171-1001\...\Run: [ALLPlayer WiFi Remote] => C:\Program Files (x86)\ALLPlayer Remote\ALLPlayerRemoteControl.exe BootExecute: autocheck autochk * sdnclean64.exe GroupPolicy: Ograniczenia GroupPolicy\User: Ograniczenia ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ContextMenuHandlers5: [ACE] -> {5E2121EE-0300-11D4-8D3B-444553540000} => C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\atiacm64.dll -> Brak pliku ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files\Google C:\Program Files\Malwarebytes C:\Program Files\Common Files\AVG C:\Program Files (x86)\Google C:\Program Files (x86)\Spybot - Search & Destroy 2 C:\Program Files (x86)\Common Files\hiaiQi.exe C:\ProgramData\ALLPlayerRemote C:\ProgramData\AVG C:\ProgramData\F-Secure C:\ProgramData\Mail.Ru C:\ProgramData\Spybot - Search & Destroy C:\Users\Marcin\AppData\Local\AVG C:\Users\Marcin\AppData\Local\ESET C:\Users\Marcin\AppData\Local\FSDART C:\Users\Marcin\AppData\Local\F-Secure C:\Users\Marcin\AppData\Local\Google C:\Users\Marcin\AppData\Local\Lite C:\Users\Marcin\AppData\Local\Mail.Ru C:\Users\Marcin\AppData\Local\WMI.ini C:\Users\Marcin\AppData\Roaming\wIVefiiO.exe C:\Users\Marcin\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk C:\Users\Marcin\Desktop\Desktop\Cleanup.lnk C:\Users\Marcin\Desktop\Desktop\Total Commander 64 bit.lnk C:\Users\Marcin\Desktop\Desktop\µTorrent.lnk C:\Windows\System32\Tasks\Safer-Networking cmd: netsh advfirewall reset Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Z dostarczonych raportów nic nie wynika (ale są nieprecyzyjne, gdyż uprawnienia usług nie są pokazane). Jedyne co widać, to stan usług (nie są uruchomione). Jest aktywny ESET posiadający własną zaporę, systemowa jest w tej sytuacji deaktywowana i to stan naturalny. Czy na pewno systemowa Zapora nadal zwraca te same błędy po usunięciu ESET?

PEBakery Strona domowa Forum PEBakery na reboot.pro Platforma: Windows 7 i nowsze - Buduje nośniki: Windows 10, Windows 8/8.1, Windows 7 Licencja: GPL (open source) PEBakery - Nowa ulepszona alternatywa dla porzuconego WinBuilder 082, kompatybilna z projektami WinBuilder 082. Program utylizuje wimlib do operacji na obrazach WiM. Domyślna paczka nie posiada żadnych projektów. W skład gotowych projektów, które można załadować, wchodzą: Projekty stworzone dla PEBakery: ChrisPE (projekt kolportuje PEBakery i nic więcej nie trzeba pobierać). Projekty WinBuilder 082 zgodne z PEBakery: Win10PE SE, Win8.1SE, Win8PE SE, Win7PE SE, MistyPE. Projekty te domyślnie dostarczają WinBuilder i komponenty PEBakery należy wstawić ręcznie, tzn.: albo przekopiować do rozpakowanego projektu folder Binary oraz PEBakeryLauncher.exe, albo przekopiować folder Projects do rozpakowanego PEBakery. Program jest nadal w fazie testowej i może zawierać niedoróbki lub błędy.