Skocz do zawartości

Gmer - komunikat o podejrzanym pliku


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Na przyszłość: nie wyciągaj raportów FRST z katalogu C:\FRST\Logs. To archiwum raportów. Bieżące powstają zawsze tam skąd uruchamiasz FRST, czyli w tym przypadku w katalogu Pobrane, i nie mają dat w nazwach.

 

Brak oznak infekcji. Wynik z GMER do zignorowania, to sterownik Windows Defender związany z aktualizacjami definicji:

 

Service C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{076A6D04-837D-46B9-B72D-BFABB7CA4C54}\MpKslb43cbbd1.sys (*** hidden *** ) [sYSTEM] MpKslb43cbbd1

 

Taki odczyt może wynikać z jakiegoś zawieszenia czy niespójności statusu sterownika w trakcie skanu. Sterownik ma losową nazwę i samoczynnie zanika po ukończeniu operacji. W raporcie FRST już widać nieco inny:

 

R1 MpKsl575e5723; C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{C41C7168-F526-4732-9814-607AD10FA052}\MpKsl575e5723.sys [44928 2017-06-27] (Microsoft Corporation)

 

 

PS. Możesz wykonać tylko skrypt poboczny usuwający puste wpisy. W spoilerze:

 

 

 

 

Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\...\Run: [WindowsDefender] => "%ProgramFiles%\Windows Defender\MSASCuiL.exe"
HKU\S-1-5-21-547570632-1510179221-2057795993-1001\...\Policies\Explorer: [NoLowDiskSpaceChecks] False
FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll [brak pliku]
GroupPolicy: Ograniczenia 
S3 ew_hwusbdev; \SystemRoot\system32\DRIVERS\ew_hwusbdev.sys [X]
S3 ew_usbenumfilter; \SystemRoot\System32\drivers\ew_usbenumfilter.sys [X]
S3 huawei_cdcacm; \SystemRoot\system32\DRIVERS\ew_jucdcacm.sys [X]
S3 huawei_cdcecm; \SystemRoot\system32\DRIVERS\ew_jucdcecm.sys [X]
S3 huawei_enumerator; \SystemRoot\System32\drivers\ew_jubusenum.sys [X]
S3 huawei_ext_ctrl; \SystemRoot\System32\drivers\ew_juextctrl.sys [X]
U4 npcap_wifi; Brak ImagePath
S3 wifimansvc; C:\Program Files (x86)\Mobile Partner\eap\wifimansvc.exe [X]
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKU\.DEFAULT\Software\MozillaPlugins
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST zbędne.

 

 

 

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...