Infekcja trojanami

moonsi · 21 Czerwca 2021

Witam :) Proszę o pomoc w oczyszczeniu systemu z wirusów. Windows defender wykrył między innymi agent tesla. W załączniku przesyłam logi

Addition.txt FRST.txt Shortcut.txt

picasso · 21 Czerwca 2021

Nie widać zbyt dużo: szkodliwe powiadomienia w Google Chrome, różne szczątkowe wpisy oraz uszkodzona usługa Windows Update. Próbowałeś używać ComboFix, ten program nie dość że jest niezgodny z Windows 10, to na dodatek w ogóle już nie działa (ustawiona data wygaśnięcia na 2019). Autor ComboFix obecnie jest w ekipie Malwarebytes.

Do wykonania następujące działania;

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

CloseProcesses:
CreateRestorePoint:
S2 AppServicea; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServiceb; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicec; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServiced; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicee; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicef; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServiceg; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServiceh; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicei; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicej; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicek; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicel; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicem; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicen; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServiceo; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicep; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServiceq; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicer; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServices; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicet; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServiceu; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicev; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicew; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicex; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicey; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 MBAMService; "C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe" [X]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\18030535.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\18030535.sys => ""="Driver"
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
BootExecute: autocheck autochk *  
GroupPolicy: Ograniczenia - Chrome <==== UWAGA
Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA
HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA
CHR Notifications: Default -> hxxps://best-loan-info.com; hxxps://ccleaner-download.xyz; hxxps://mail-notification.info; hxxps://mnthor.xyz; hxxps://pinghauz.xyz; hxxps://s-tracking.xyz; hxxps://supertopfreegames.com; hxxps://zarabotok-online.xyz
CHR StartupUrls: Default -> ""
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
C:\Program Files\temp_files
C:\Program Files (x86)\Company
C:\Program Files (x86)\foler
C:\Program Files (x86)\anjFGKdzU
C:\Program Files (x86)\LqBBrQc
C:\Program Files (x86)\XcjIDTjqJhZdTpTIqBR
C:\Program Files (x86)\WSPNEpLqQIE
C:\Program Files (x86)\pQmgloyPupxgC
C:\Program Files (x86)\ELOJFuMDhuHU2
C:\Program Files (x86)\temp_files
C:\Program Files (x86)\Temp
C:\ProgramData\softokn3.dll
C:\ProgramData\CML26GKJIPYEI9MLXNJVFY0EF
C:\ProgramData\4GQJ345MVXIBMYTZ1LEATO2MK
C:\ProgramData\ZZX2RYDT9XGIE85114YDM2TMS
C:\ProgramData\L8PT15I93VOIILOS6U4BEO2FV
C:\ProgramData\CP8Z9ZN3KMVU03RJRFJ2Y5TWZ
C:\ProgramData\GZUG5UJQ18OAJ6I9462Z1P137
C:\ProgramData\Glarysoft\Startup Manager\GV LicenseManager.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes.lnk
C:\ProgramData\TEMP
C:\Users\moons\AppData\Local\AdvinstAnalytics
C:\Users\moons\AppData\Local\BitTorrentHelper
C:\Users\moons\AppData\Local\mbam
C:\Users\moons\AppData\Local\UT008
C:\Users\moons\AppData\Local\Yandex
C:\Users\moons\AppData\Roaming\nailedp
C:\Users\moons\AppData\Roaming\Ramson
C:\Users\moons\Documents\KvwpMFPqRAft9y9sSCwCH9Ii.exe
C:\Users\moons\Documents\WQ75Y5Y8DjdyQAn0AEQrAjbV.exe
C:\Users\moons\Documents\g2oQPlBcsjLFIr0lJGH2aMv0.exe
C:\Users\moons\Documents\EfAUP2TvnXBIs3xkQEKNVFUW.exe
C:\Users\moons\Documents\XrmS4NdEpS7JvDZgwiaBDSS5.exe
C:\Users\moons\Documents\VFQYmefflW6M218EXGt1wGGt.exe
C:\Users\moons\Documents\JVbtDl8da2XpSIQRnxdwBbBd.exe
C:\Users\moons\Documents\55T1bv6QpJh38u8pIhwJ304z.exe
C:\Users\moons\Documents\VlcpVideoV1.0.1
C:\Users\moons\Downloads\60cfda_Disk-Drill-4358.zip
C:\Users\moons\Downloads\Niepotwierdzony *.crdownload
C:\Users\Public\Desktop\Malwarebytes.lnk
C:\Windows\system32\Drivers\45076182.sys
C:\Windows\system32\Drivers\ng1g2SaEXYrm.sys
Folder: C:\Program Files (x86)\AW Manager
Folder: C:\Windows\Microsoft Antimalware
cmd: netsh advfirewall reset
cmd: type C:\MyFile.txt
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
ExportKey: HKLM\SYSTEM\CurrentControlSet\Services\wuauserv
EmptyTemp:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Wyczyść Google Chrome:

Zresetuj synchronizację (o ile włączona). Otwórz Panel Google. Na dole kliknij Resetuj synchronizację. Nie loguj się na konto Google, dopóki nie zostanie ukończone czyszczenie komputera.
W pasku adresów wpisz chrome://extensions i ENTER. Odinstaluj adware Adblocker for Youtube™.
W pasku adresów wpisz chrome://settings i ENTER. Zaawansowane > Resetowanie komputera i czyszczenie danych > Przywróć ustawienia do wartości domyślnych. Zakładki i hasła nie zostaną naruszone.

3. Zrób nowy log FRST z opcji Skanuj (Scan). Nie zaznaczaj opcji: Pliki z 90 dni, Lista BCD, SigCheckExt, Shortcut. Dołącz też plik fixlog.txt. Dodatkowo, odpowiedz na pytanie czy te edycje pliku Hosts są celowe:

0.0.0.0 tools.google.com
0.0.0.0 clients2.google.com
0.0.0.0 update.googleapis.com
0.0.0.0 msedge.api.cdp.microsoft.com
0.0.0.0 msedge.f.dl.delivery.mp.microsoft.com
0.0.0.0 download.mozilla.org
0.0.0.0 product-details.mozilla.org
0.0.0.0 desktop-netinstaller-sub.osp.opera.software
0.0.0.0 download-installer.cdn.mozilla.net
0.0.0.0 aus5.mozilla.org
0.0.0.0 normandy.cdn.mozilla.net
0.0.0.0 api.browser.yandex.ru
0.0.0.0 classify-client.services.mozilla.com

moonsi · 21 Czerwca 2021

Dziękuję za szybką odpowiedź. Celowo nie mieszałem w pliku hosts. Adblockeraa nie znalazłem, synchronizacja chyba nie była włączona. Reszta zrobiona.

Addition.txt FRST.txt Fixlog.txt Shortcut.txt

picasso · 21 Czerwca 2021

Fix wykonał się prawie w całości, a w nowych raportach zrobionych kilkanaście minut później prawie brak zmian, tzn. nadal widnieją te same wpisy rzekomo usuwane przez FRST. Nasuwają się następujące pytania:

- Czy FRST jest może uruchomiony w jakimś "wirtualnym" środowisku?

- Co się działo po restarcie systemu, czy nie uruchomił się jakiś proces przywracania poprzedniego stanu systemu?

moonsi · 21 Czerwca 2021

Tak uruchomił się odzysk systemu. Córka mnie rozproszyła i zapomniałem o tym wspomnieć.

picasso · 21 Czerwca 2021

Przejdź w Tryb awaryjny Windows i powtórz działanie.

moonsi · 21 Czerwca 2021

Nie dało rady przejść w tryb awaryjny. Znów wystąpił błąd 0xc0000218 (urządzenie napotkało problem...).

picasso · 21 Czerwca 2021

Mocno podejrzanym elementem raportu jest blokada pliku rejestru oraz podejrzanego sterownika bez widocznego punktu ładowania:

==================== FLock ==============================

2021-06-21 21:59 C:\Windows\system32\config\system
2021-06-21 02:26 C:\Windows\system32\Drivers\ng1g2SaEXYrm.sys

Poproszę o log FRST wykonany z poziomu środowiska RE:

moonsi · 21 Czerwca 2021

Mam nadzieję, że mi się to udało.

Edytowane 21 Czerwca 2021 przez picasso
Niepoprawne raporty usuwam. //picasso

picasso · 21 Czerwca 2021

To jest log zrobiony z poziomu uruchomionego Windows a nie z poziomu RE. W środowisku RE jak widać ze zrzutów ekranu jest mniej opcji i pozycja Addition nie jest w ogóle dostępna. Ma powstać tylko jeden log FRST.txt.

Jaki konkretnie jest problem z uruchomieniem FRST w środowisku RE? A może nie zauważyłeś, że log jest tworzony w innym miejscu, bądź omyłkowo doczepiłeś złe logi?

moonsi · 21 Czerwca 2021

Teraz chyba jest ok.

FRST.txt

picasso · 21 Czerwca 2021

Wszystko jasne. W systemie działał rootkit, którego FRST pomyślnie usunął:

==================== Services (Whitelisted) ===================

"HKLM\System\ControlSet001\Services\{45487F67-EC9F-4449-A6F2-2D0970F9B80B}" => removed successfully
C:\Windows\System32\drivers\ng1g2SaEXYrm.sys => moved successfully

W tej sytuacji możemy prowadzić dalsze usuwanie z poziomu działającego Windows, już nie potrzebujemy RE.

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

CloseProcesses:
CreateRestorePoint:
S2 AppServicea; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServiceb; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicec; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServiced; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicee; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicef; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServiceg; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServiceh; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicei; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicej; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicek; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicel; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicem; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicen; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServiceo; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicep; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServiceq; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicer; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServices; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicet; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServiceu; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicev; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicew; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicex; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 AppServicey; C:\Windows\system32\WS8UAK26M1.tmp [X] <==== UWAGA
S2 MBAMService; "C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe" [X]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\18030535.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\18030535.sys => ""="Driver"
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
BootExecute: autocheck autochk *  
GroupPolicy: Ograniczenia - Chrome <==== UWAGA
Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA
HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
C:\MyFile.txt
C:\Program Files\temp_files
C:\Program Files (x86)\AW Manager
C:\Program Files (x86)\Company
C:\Program Files (x86)\foler
C:\Program Files (x86)\anjFGKdzU
C:\Program Files (x86)\LqBBrQc
C:\Program Files (x86)\XcjIDTjqJhZdTpTIqBR
C:\Program Files (x86)\WSPNEpLqQIE
C:\Program Files (x86)\pQmgloyPupxgC
C:\Program Files (x86)\ELOJFuMDhuHU2
C:\Program Files (x86)\temp_files
C:\Program Files (x86)\Temp
C:\ProgramData\softokn3.dll
C:\ProgramData\CML26GKJIPYEI9MLXNJVFY0EF
C:\ProgramData\4GQJ345MVXIBMYTZ1LEATO2MK
C:\ProgramData\ZZX2RYDT9XGIE85114YDM2TMS
C:\ProgramData\L8PT15I93VOIILOS6U4BEO2FV
C:\ProgramData\CP8Z9ZN3KMVU03RJRFJ2Y5TWZ
C:\ProgramData\GZUG5UJQ18OAJ6I9462Z1P137
C:\ProgramData\Glarysoft\Startup Manager\GV LicenseManager.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes.lnk
C:\ProgramData\TEMP
C:\Users\moons\AppData\Local\AdvinstAnalytics
C:\Users\moons\AppData\Local\BitTorrentHelper
C:\Users\moons\AppData\Local\mbam
C:\Users\moons\AppData\Local\UT008
C:\Users\moons\AppData\Local\Yandex
C:\Users\moons\AppData\Roaming\nailedp
C:\Users\moons\AppData\Roaming\Ramson
C:\Users\moons\Documents\KvwpMFPqRAft9y9sSCwCH9Ii.exe
C:\Users\moons\Documents\WQ75Y5Y8DjdyQAn0AEQrAjbV.exe
C:\Users\moons\Documents\g2oQPlBcsjLFIr0lJGH2aMv0.exe
C:\Users\moons\Documents\EfAUP2TvnXBIs3xkQEKNVFUW.exe
C:\Users\moons\Documents\XrmS4NdEpS7JvDZgwiaBDSS5.exe
C:\Users\moons\Documents\VFQYmefflW6M218EXGt1wGGt.exe
C:\Users\moons\Documents\JVbtDl8da2XpSIQRnxdwBbBd.exe
C:\Users\moons\Documents\55T1bv6QpJh38u8pIhwJ304z.exe
C:\Users\moons\Documents\VlcpVideoV1.0.1
C:\Users\moons\Downloads\60cfda_Disk-Drill-4358.zip
C:\Users\moons\Downloads\Niepotwierdzony *.crdownload
C:\Users\Public\Desktop\Malwarebytes.lnk
C:\Windows\system32\Drivers\45076182.sys
cmd: netsh advfirewall reset
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
StartRegedit:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv]
"DependOnService"=hex(7):72,00,70,00,63,00,73,00,73,00,00,00,00,00
"Description"="@%systemroot%\\system32\\wuaueng.dll,-106"
"DisplayName"="@%systemroot%\\system32\\wuaueng.dll,-105"
"ErrorControl"=dword:00000001
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
  00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
"ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\
  74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,20,00,2d,00,70,00,00,\
  00
"ObjectName"="LocalSystem"
"RequiredPrivileges"=hex(7):53,00,65,00,41,00,75,00,64,00,69,00,74,00,50,00,72,\
  00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,\
  65,00,61,00,74,00,65,00,47,00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,\
  00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,65,00,\
  61,00,74,00,65,00,50,00,61,00,67,00,65,00,46,00,69,00,6c,00,65,00,50,00,72,\
  00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,54,00,63,00,\
  62,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,\
  00,41,00,73,00,73,00,69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,\
  79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\
  00,67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,\
  6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\
  00,00,00,53,00,65,00,49,00,6e,00,63,00,72,00,65,00,61,00,73,00,65,00,51,00,\
  75,00,6f,00,74,00,61,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\
  00,00,00,53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,\
  72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,44,00,65,\
  00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\
  00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,00,76,\
  00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,74,00,\
  6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,\
  00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,00,74,00,79,00,50,00,72,00,\
  69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,54,00,61,00,6b,\
  00,65,00,4f,00,77,00,6e,00,65,00,72,00,73,00,68,00,69,00,70,00,50,00,72,00,\
  69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,4c,00,6f,00,61,\
  00,64,00,44,00,72,00,69,00,76,00,65,00,72,00,50,00,72,00,69,00,76,00,69,00,\
  6c,00,65,00,67,00,65,00,00,00,53,00,65,00,4d,00,61,00,6e,00,61,00,67,00,65,\
  00,56,00,6f,00,6c,00,75,00,6d,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,\
  65,00,67,00,65,00,00,00,53,00,65,00,53,00,79,00,73,00,74,00,65,00,6d,00,45,\
  00,6e,00,76,00,69,00,72,00,6f,00,6e,00,6d,00,65,00,6e,00,74,00,50,00,72,00,\
  69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,65,\
  00,61,00,74,00,65,00,53,00,79,00,6d,00,62,00,6f,00,6c,00,69,00,63,00,4c,00,\
  69,00,6e,00,6b,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,\
  00,53,00,65,00,49,00,6e,00,63,00,72,00,65,00,61,00,73,00,65,00,42,00,61,00,\
  73,00,65,00,50,00,72,00,69,00,6f,00,72,00,69,00,74,00,79,00,50,00,72,00,69,\
  00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00
"ServiceSidType"=dword:00000001
"Start"=dword:00000003
"SvcMemHardLimitInMB"=dword:000000f6
"SvcMemMidLimitInMB"=dword:000000a7
"SvcMemSoftLimitInMB"=dword:00000058
"Type"=dword:00000020

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters]
"ServiceDll"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,\
  00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  77,00,75,00,61,00,75,00,65,00,6e,00,67,00,2e,00,64,00,6c,00,6c,00,00,00
"ServiceDllUnloadOnStop"=dword:00000001
"ServiceMain"="WUServiceMain"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Security]
"Security"=hex:01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,\
  05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,\
  01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\TriggerInfo]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\TriggerInfo\0]
"Type"=dword:00000005
"Action"=dword:00000001
"Guid"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\TriggerInfo\1]
"Type"=dword:00000005
"Action"=dword:00000001
"Guid"=hex:c8,46,fb,54,89,f0,4c,46,b1,fd,59,d1,b6,2c,3b,50
EndRegedit:
Hosts:
EmptyTemp:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Mówiłeś, że nie widzisz w zainstalowanych rozszerzeniach Adblocker for Youtube™. Być może to typ aplikacja a nie rozszerzenie. W pasku adresów wpisz chrome://apps i ENTER. Jeśli jest widoczny na liście, usuń.

3. Zrób nowy log FRST z opcji Skanuj (Scan), z Addition ale bez Shortcut. Dołącz też plik fixlog.txt.

moonsi · 21 Czerwca 2021

Ja nie instaluje tego typu dodatków (nie ma nic) Są do wyboru w ''sklepie'', ale każdą mogę tylko dodać, ale opcji usuń nie ma. Logi w załączniku.

Addition.txt FRST.txt Fixlog.txt

picasso · 21 Czerwca 2021

Wszystko pomyślnie wykonane.

1. Malwarebytes jest częściowo uszkodzony. Zastosuj Malwarebytes Support Tool, by program zreperować bądź przeinstalować.

2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

cmd: type C:\ProgramData\NTUSER.pol
C:\ProgramData\NTUSER.pol
C:\Users\moons\AppData\Local\Google\Chrome\User Data\Default\Extensions\nbminbckhdkcmlhbfppfbigmhnhcpkhf

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix).Tym razem nie będzie restartu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

Po wykonaniu tego kroku uruchom przeglądarkę Google Chrome. To działanie ma na celu sprawdzić czy Adblocker for Youtube™ zostanie zregenerowany.

3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

moonsi · 21 Czerwca 2021

Dalej nic nie ma w chrome.

Fixlog.txt FRST.txt

picasso · 21 Czerwca 2021

Akcje ukończone pomyślnie. Kolejna porcja:

1. Zmień nazwę pliku FRST64.exe na uninstall.exe i uruchom. Folder Quarantine z malware powinien zostać usunięty.

2. Przeprowadź pełny skan ożywionym programem Malwarebytes i przedstaw wynikowy log.

moonsi · 21 Czerwca 2021

mawarebytes.txt

picasso · 21 Czerwca 2021

MBAM wykrył tylko drobnostki w profilu Google Chrome. Jeśli usunąłeś wyniki, kończymy:

Uruchom KpRm i zaznacz opcje: Delete Tools, Delete Restore Points, Delete quarantines. Przedstaw wynikowy log z akcji.

moonsi · 21 Czerwca 2021

kprm-20210622010232.txt

picasso · 21 Czerwca 2021

Usuń KpRm i jego log z dysku. To wszystko.

moonsi · 21 Czerwca 2021

O rety dziękuję :) Postaram się jutro przesłać parę zł na dobrą kawę :)

picasso · 21 Czerwca 2021

Wielkie dzięki za ewentualną "kawę"! ?

Temat rozwiązany. Zamykam.

Zaloguj się

Infekcja trojanami

Rekomendowane odpowiedzi

Odnośnik do komentarza

Odnośnik do komentarza

Odnośnik do komentarza

Odnośnik do komentarza

Odnośnik do komentarza

Odnośnik do komentarza

Odnośnik do komentarza

Odnośnik do komentarza

Odnośnik do komentarza

Odnośnik do komentarza

Odnośnik do komentarza

Odnośnik do komentarza

Odnośnik do komentarza

Odnośnik do komentarza

Odnośnik do komentarza

Odnośnik do komentarza

Odnośnik do komentarza

Odnośnik do komentarza

Odnośnik do komentarza

Odnośnik do komentarza

Odnośnik do komentarza

Odnośnik do komentarza

Ostatnio przeglądający 0 użytkowników