Gmer - komunikat o podejrzanym pliku

[velvet]

Hej,

 

Zrobiłem skan profilaktycznie i gmer wyświetlił komunikat. Wydaje mi się, że to fałszywy alarm, ale proszę o potwierdzenie.

 

Poza tym nic się nie dzieje.

Addition_27-06-2017 10.29.50.txt

FRST_27-06-2017 10.29.50.txt

Shortcut_27-06-2017 10.29.50.txt

gmer.txt

[picasso]

Na przyszłość: nie wyciągaj raportów FRST z katalogu C:\FRST\Logs. To archiwum raportów. Bieżące powstają zawsze tam skąd uruchamiasz FRST, czyli w tym przypadku w katalogu Pobrane, i nie mają dat w nazwach.

 

Brak oznak infekcji. Wynik z GMER do zignorowania, to sterownik Windows Defender związany z aktualizacjami definicji:

 

Service C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{076A6D04-837D-46B9-B72D-BFABB7CA4C54}\MpKslb43cbbd1.sys (*** hidden *** ) [sYSTEM] MpKslb43cbbd1

 

Taki odczyt może wynikać z jakiegoś zawieszenia czy niespójności statusu sterownika w trakcie skanu. Sterownik ma losową nazwę i samoczynnie zanika po ukończeniu operacji. W raporcie FRST już widać nieco inny:

 

R1 MpKsl575e5723; C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{C41C7168-F526-4732-9814-607AD10FA052}\MpKsl575e5723.sys [44928 2017-06-27] (Microsoft Corporation)

 

 

PS. Możesz wykonać tylko skrypt poboczny usuwający puste wpisy. W spoilerze:

 

 

 

 

Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\...\Run: [WindowsDefender] => "%ProgramFiles%\Windows Defender\MSASCuiL.exe"
HKU\S-1-5-21-547570632-1510179221-2057795993-1001\...\Policies\Explorer: [NoLowDiskSpaceChecks] False
FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll [brak pliku]
GroupPolicy: Ograniczenia 
S3 ew_hwusbdev; \SystemRoot\system32\DRIVERS\ew_hwusbdev.sys [X]
S3 ew_usbenumfilter; \SystemRoot\System32\drivers\ew_usbenumfilter.sys [X]
S3 huawei_cdcacm; \SystemRoot\system32\DRIVERS\ew_jucdcacm.sys [X]
S3 huawei_cdcecm; \SystemRoot\system32\DRIVERS\ew_jucdcecm.sys [X]
S3 huawei_enumerator; \SystemRoot\System32\drivers\ew_jubusenum.sys [X]
S3 huawei_ext_ctrl; \SystemRoot\System32\drivers\ew_juextctrl.sys [X]
U4 npcap_wifi; Brak ImagePath
S3 wifimansvc; C:\Program Files (x86)\Mobile Partner\eap\wifimansvc.exe [X]
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKU\.DEFAULT\Software\MozillaPlugins
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST zbędne.

 

 

 

[velvet]

Dziękuję za wyjaśnienie :-)
 

Jeszcze proszę o poradę. Chcę w jak największym stopniu zabezpieczyć komputer. Teraz mam taki zestaw:

•  Bitdefender Internet Security 2017
•  EMET
•  Riot Isolator
•  Crystal Security
•  Unchecky

Czy coś być dodała lub zmieniła?

Fixlog.txt

[Miszel03]

Sprawy poboczne wykonane pomyślnie.

 

Jeśli chodzi o zestaw to, wg mnie BIS 2017 + UnCheky wystarczy.