Szturwal Opublikowano 20 Czerwca 2021 Zgłoś Udostępnij Opublikowano 20 Czerwca 2021 Witam Windows defender wykrył infekcję MaleficAms.B. Po starcie systemu uruchamiał się power shell i coś jeszcze (było widoczne przez moment). Procesor działał na 90 %. Wykonałem skany różnymi programami i logi zamieszczam w załącznikach. Wyłączyłem procesy przy starcie systemu i wróciło do normy. Czy jest jeszcze jakieś świństwa w systemie? Addition.txt FRST.txt Shortcut.txt Malwarebytes.txt mbar-log-2021-06-20 (13-34-35).txt Rkill.txt roguekiller.txt HitmanPro_20210620_1358.txt Odnośnik do komentarza
picasso Opublikowano 20 Czerwca 2021 Zgłoś Udostępnij Opublikowano 20 Czerwca 2021 W raportach brak aktywnej infekcji. Do usunięcia tylko różne szczątkowe wpisy: Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: S1 amsdk; \??\C:\WINDOWS\system32\drivers\amsdk.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\amsdk.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\amsdk.sys => ""="Driver" HKLM\...\Run: [WindowsDefender] => "%ProgramFiles%\Windows Defender\MSASCuiL.exe" HKLM\...\StartupApproved\Run32: => "CsrAudioguiCtrl" HKLM\...\StartupApproved\Run32: => "CSRHarmonySkypePlugin" HKLM\...\StartupApproved\Run32: => "CsrHCRPServer" HKLM\...\StartupApproved\Run32: => "CsrSyncMLServer" HKLM\...\StartupApproved\Run32: => "HarmonyUserStartup" HKLM\...\StartupApproved\Run32: => "TrayApplication" HKLM\...\StartupApproved\Run32: => "vksts" HKLM\...\StartupApproved\Run32: => "vmware-tray.exe" HKU\S-1-5-21-3062910227-2173904043-3200923844-1001\...\StartupApproved\Run: => "CCXProcess" HKU\S-1-5-21-3062910227-2173904043-3200923844-1001\...\StartupApproved\Run: => "RaiDrive" HKLM\...\Policies\Explorer: [NoRecentDocsNetHood] 0 HKLM\...\Policies\Explorer: [NoChangeStartMenu] 0 HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig] <==== UWAGA HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA HKU\S-1-5-21-3062910227-2173904043-3200923844-1001\...\Policies\Explorer: [NoPreviewPane] 0 HKU\S-1-5-21-3062910227-2173904043-3200923844-1001\...\Policies\Explorer: [NoTrayContextMenu] 0 HKU\S-1-5-21-3062910227-2173904043-3200923844-1001\...\Policies\Explorer: [NoSetTaskbar] 0 HKU\S-1-5-21-3062910227-2173904043-3200923844-1001\...\Policies\Explorer: [NoViewContextMenu] 0 HKU\S-1-5-21-3062910227-2173904043-3200923844-1001\...\MountPoints2: E - "E:\setup.EXE" /AUTORUN HKU\S-1-5-21-3062910227-2173904043-3200923844-1001\...\MountPoints2: {34411498-a200-11eb-9c92-bc542f5f99ce} - "G:\AutoRun.exe" GroupPolicy: Ograniczenia ? <==== UWAGA Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA HKLM\SOFTWARE\Policies\Microsoft\Edge: Ograniczenia <==== UWAGA HKU\S-1-5-21-3062910227-2173904043-3200923844-1001\SOFTWARE\Policies\Microsoft\Edge: Ograniczenia <==== UWAGA Edge Extension: (Brak nazwy) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [nie znaleziono] Edge Extension: (Brak nazwy) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [nie znaleziono] Edge Extension: (Brak nazwy) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [nie znaleziono] Edge Extension: (Brak nazwy) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [nie znaleziono] DeleteKey: HKCU\Software\Mozilla DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Radar\AppData\Roaming\system32 C:\Users\Radar\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\FlashPeak Slimjet (64 bit).lnk Folder: C:\WINDOWS\c Folder: C:\WINDOWS\w Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Odnośnik do komentarza
Szturwal Opublikowano 20 Czerwca 2021 Autor Zgłoś Udostępnij Opublikowano 20 Czerwca 2021 Witam Wykonałem i raport zamieściłem. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 20 Czerwca 2021 Zgłoś Udostępnij Opublikowano 20 Czerwca 2021 Wszystko pomyślnie wykonane. Kończymy: Uruchom KpRm i zaznacz opcje: Delete Tools, Delete Restore Points, Delete quarantines. Przedstaw wynikowy log z akcji. Odnośnik do komentarza
Szturwal Opublikowano 20 Czerwca 2021 Autor Zgłoś Udostępnij Opublikowano 20 Czerwca 2021 Dzięki za szybką odpowiedź, choć nie liczyłem na taki expres w niedzielę. Chyba w Holandii musi być brzydka pogoda, żeby nie było ciekawszych rzeczy od przeglądania logów.... ?️⛈️? kprm-20210621005734.txt Odnośnik do komentarza
picasso Opublikowano 21 Czerwca 2021 Zgłoś Udostępnij Opublikowano 21 Czerwca 2021 To dopiero dziś zaczęło padać. ? KpRm nie usunął zbyt dużo narzędzi. W Twoim raporcie było o wiele więcej elementów, które powinny być usunięte przez program: 2021-06-20 13:59 - 2021-06-20 14:00 - 000000000 ____D C:\FRST 2021-06-20 13:34 - 2021-06-20 13:34 - 000255928 _____ (Malwarebytes) C:\WINDOWS\system32\Drivers\22A2FECD.sys 2021-06-20 13:25 - 2021-06-20 13:29 - 000000000 ____D C:\ProgramData\RogueKiller 2021-06-20 13:25 - 2021-06-20 13:25 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RogueKiller 2021-06-20 13:25 - 2021-06-20 13:25 - 000000000 ____D C:\Program Files\RogueKiller 2021-06-20 13:06 - 2021-06-20 13:06 - 000309104 _____ (AO Kaspersky Lab) C:\WINDOWS\system32\Drivers\klupd_3a48a596a_klark.sys 2021-06-20 13:06 - 2021-06-20 13:06 - 000224880 _____ (AO Kaspersky Lab) C:\WINDOWS\system32\Drivers\klupd_3a48a596a_mark.sys 2021-06-20 13:06 - 2021-06-20 13:06 - 000127792 _____ (AO Kaspersky Lab) C:\WINDOWS\system32\Drivers\3a48a596.sys 2021-06-20 13:06 - 2021-06-20 13:06 - 000000000 ____D C:\KVRT2020_Data 2021-06-20 13:03 - 2021-06-20 13:03 - 000000000 ____D C:\AdwCleaner Czy usuwałeś narzędzia ręcznie przed użyciem KpRm? Ponadto ręcznie do usunięcia folder D:\Programy\7. Antywirus\FRST. Odnośnik do komentarza
Szturwal Opublikowano 21 Czerwca 2021 Autor Zgłoś Udostępnij Opublikowano 21 Czerwca 2021 Pospieszyłem się i użyłem wcześniej DelFix. Ręcznie również usuwałem. Na przyszłość, będę czytał tutoriale do końca...? Odnośnik do komentarza
picasso Opublikowano 21 Czerwca 2021 Zgłoś Udostępnij Opublikowano 21 Czerwca 2021 DelFix to porzucone narzędzie. KpRm to jego zaktualizowany odpowiednik. Nie miałam czasu wymienić opisów w przyklejonym temacie. Temat rozwiązany. Zamykam. Odnośnik do komentarza
Rekomendowane odpowiedzi