Miszel03

Raporty nie wykazują oznak infekcji. Zajmiemy się doczyszczeniem odpadków infekcji adware. Wyczyszczę również całą gałąź Dziennika zdarzeń, byśmy mieli jak najbardziej aktualne dane z niego.

Pobieram również dane z klucza usługi Pomoc IP oraz ze wszystkich usług zależnych. Jeśli zauważymy w nich nieprawidłowości / uszkodzenia (a spodziewam się kompletnej dewastacji) to przystąpimy do rekonstrukcji.  

1. Przez Panel Sterowania sugeruję odinstalować lewy aktywator / crack: KMSpico, FIFA18 version 1.0.

2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

CloseProcesses:
CreateRestorePoint:
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku
Task: {1BF57B03-9CF9-4A30-8B31-DEF51095A37B} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku 
Task: {38BBBDF1-3AD7-4CB5-88BC-AAE6B0B9B5D5} - System32\Tasks\{7E92561E-37C7-4CB1-A5F4-41530F4E8338} => C:\Windows\system32\pcalua.exe -a F:\Setupx.exe -d F:\
AlternateDataStreams: C:\Users\Public\DRM:احتضان [48]
HKU\S-1-5-21-2615426270-3614624628-3542541473-1001\...\MountPoints2: {03c916f9-e428-11e7-a23b-945330c7f368} - "E:\autorun.exe"
HKU\S-1-5-21-2615426270-3614624628-3542541473-1001\...\MountPoints2: {ce74abe5-e987-11e6-a168-945330c7f368} - "F:\AUTORUN.EXE"
GroupPolicy: Ograniczenia 
HKU\S-1-5-21-2615426270-3614624628-3542541473-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://hao.360.cn/?src=lm&ls=n4134a09b9b
Edge HomeButtonPage: HKU\S-1-5-21-2615426270-3614624628-3542541473-1001 -> hxxp://hao.360.cn/?src=lm&ls=n4134a09b9b
SearchScopes: HKU\S-1-5-21-2615426270-3614624628-3542541473-1001 -> DefaultScope {D96EFF77-6121-4A9C-B521-D63FF5805896} URL =
SearchScopes: HKU\S-1-5-21-2615426270-3614624628-3542541473-1001 -> {D96EFF77-6121-4A9C-B521-D63FF5805896} URL =
S3 NvStreamKms; Brak ImagePath
Reg: reg query HKLM\SYSTEM\CurrentControlSet\services\iphlpsvc /s
Reg: reg query HKLM\SYSTEM\CurrentControlSet\services\winmgmt /s
Reg: reg query HKLM\SYSTEM\CurrentControlSet\services\nsi /s
Reg: reg query HKLM\SYSTEM\CurrentControlSet\services\RpcSs /s
Hosts:
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 

3. Uruchom AdwCleaner z opcji Skanuj, nie stosuj jeszcze Oczyść. Dostarcz raport z tego działania.

4. Przedstaw plik Fixlog oraz nowy log Addition (będę miał wgląd do najnowszych danych z Dziennika zdarzeń). 

Korzystałem z komend:

dism /online /cleanup-image /restorehealth

sfc /scannow

 

I nic nie pomogło :-(

Czy SFC zwrócił komunikat o istniejących naruszeniach? Naprawił je, czy może nie był w stanie?

(wiem, że powinnam zrobić logi, ale nie mam kabla do telefonu, a przez bluetooth nie chce mi się połączyć).

Rozumiem, że z poziomu system nie możesz pobrać narzędzia Farbar Recovery Scan Tool? 

Czy jesteś w stanie pobrać FRST na innym urządzeniu i przenieść je za pomocą pendrive na zainfekowany system? Po takiej operacji pendriva należy sformatować, by uniknąć ewentualnemu rozprzestrzenieniu się infekcji.

Obawiając się, że w przypadku infekcji, czas gra na moją niekorzyść założyłem temat na konkurencyjnym forum, kiedy nie dostawałem odpowiedzi tutaj. Oczywiście zdaję sobie sprawę, że analiza trochę trwa a tematów jest sporo, nie w tym rzecz.

No właśnie w tym rzecz. Nie można zakładać dwóch równoległych tematów, a już na pewno nie bez wyraźnego poinformowania o tym dwóch stron. 

Dostałem odpowiedź w postaci skryptu do uruchomienia w FRST:

http://www.wklejto.pl/507959

W/w skrypt uruchomiłem, a oprócz tego skryptu, żadne inne działanie nie zostało mi zalecone i wykonane.

Na szybko: nie wiem co to za forum (podaj link do tematu), ale jak sam zauważyłeś został Ci tylko zalecony skrypt, bez żadnego wytłumaczenie co gdzie i jak. 

Poza tym nawet sam skrypt został źle skonstruowany (nie można usuwać komponentów aplikacje metodą siłową - to robi ogromny bałagan, aby pozbyć się danej aplikacji należy ją po prostu odinstalować). W przeglądarce zostało zaś pominięte adware zainstalowane z poziomu rejestru.

Wykonałem pozostałe kroki, które mi podałeś - usunąłem zbędne i nieaktualne programy, paski narzędzi, wyczyściłem Google Chrome oraz przeskanowałem system za pomocą Malwarebytes AntiMalware.

 

Malwarebytes AntiMalware wykrył 7 zagrożeń. Nie wykonałem żadnego działania.

Raport w załączniku. W załączniku przesyłam też standardowe logi z FRST, pewnie po uruchomieniu skryptu są potrzebne.

W porządku. Skrypt zaktualizowałem w oparciu o nowe raporty, doczyszczenia i poprawki (zagrożenia wykryte przez Malwarebytes zostaną również usunięte skryptem): 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

CloseProcesses:
CreateRestorePoint:
DeleteKey: HKU\S-1-5-18\SOFTWARE\AskPartnerNetwork
DeleteKey: HKU\S-1-5-21-3103525249-1077354125-3941522485-1000\SOFTWARE\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I
C:\PROGRAMDATA\APN
C:\USERS\HENIA B 3\DOWNLOADS\ANY-VIDEO-CONVERTER(13038).EXE
C:\USERS\HENIA B 3\DOWNLOADS\ANY-VIDEO-RECORDER(36948).EXE
C:\USERS\HENIA B 3\DOWNLOADS\FREERAPID-DOWNLOADER(17123).EXE
C:\USERS\HENIA B 3\DOWNLOADS\WINAMP5623_FULL_EMUSIC-7PLUS_PL-PL.EXE
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Przeglądarka Opera.lnk 
HKU\S-1-5-21-3103525249-1077354125-3941522485-1000\...\MountPoints2: G - G:\HiSuiteDownLoader.exe
HKU\S-1-5-21-3103525249-1077354125-3941522485-1000\...\MountPoints2: {807bd874-a746-11e6-aed0-90a4dea7f836} - G:\HiSuiteDownLoader.exe
HKU\S-1-5-21-3103525249-1077354125-3941522485-1000\...\MountPoints2: {d9adf70a-97ad-11e7-b08d-90a4dea7f836} - H:\startme.exe
FF HKLM-x32\...\Firefox\Extensions: [avg@toolbar] - C:\ProgramData\AVG Secure Search\FireFoxExt\18.9.0.230 => nie znaleziono
FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku]
CHR HKU\S-1-5-21-3103525249-1077354125-3941522485-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx
S3 clwvd; system32\DRIVERS\clwvd.sys [X]
R4 IDSVia64; \??\C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.5.0.125\Definitions\IPSDefs\20101201.001\IDSVia64.sys [X]
R4 SRTSPX; \SystemRoot\system32\drivers\NISx64\1206000.01D\SRTSPX64.SYS [X]
R4 SymDS; system32\drivers\NISx64\1206000.01D\SYMDS64.SYS [X]
R4 SymEFA; system32\drivers\NISx64\1206000.01D\SYMEFA64.SYS [X]
R4 SymEvent; \??\C:\windows\system32\Drivers\SYMEVENT64x86.SYS [X]
CMD: netsh advfirewall reset 
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 

2. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Napisz jak podsumowujesz obecną sytuację.

Fix pomyślnie wykonany.

Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

Z mojej strony to tyle, teraz sugeruję poczekać na odpowiedź moderatora Hardware.

Co do McAfee. Nigdy tego nie instalowałem, było fabrycznie na laptopie. Zainstalowałem sobie Avira, z której zawsze korzystałem. Próbowałem ze dwa razy usunąć McAfee, zirytowany komunikatami o aktualizacji, ale poprzez dodaj/usun programy nie dało się, machnąłem na to ręką.

Spróbuj użyć więc dedykowanego deinstalatora McAfee Consumer Product Removal (MCPR) (z poziomu Trybu awaryjnego).

Malwarebytes nie wykrył zagrożeń. To by było na tyle.

Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

Akcja pomyślnie wykonana, sekcja Proxy wyzerowana. Cieszę się, że mogłem pomóc.

Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

AdwCleaner naruszył ustawienia proxy na siłę usuwając komponenty infekcji adware PUP.Optional.PrxySvrRST. Efekt: niemożność użytkowania Internetu, pomimo, że ten jest wykrywalny przez system. 

Wyczyszczę sekcje proxy, a Internet powinien ponownie zacząć działać poprawnie. Przy okazji sprzątam resztki po przeglądarce Mozilla FireFox. 

1. Przez Panel Sterowania odinstaluj lewy aktywator: KMSpico.

2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

CloseProcesses:
AlternateDataStreams: C:\Users\Public\AppData:CSM [470]
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\jvras\AppData\Local\Mozilla
C:\Users\jvras\AppData\Roaming\Mozilla
C:\Users\jvras\AppData\Roaming\Profiles
RemoveProxy: 
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp: 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Cześć okmichall, czasem zdarza się, że przeoczę temat. Dziękuję, że przypomniałeś się w temacie Zgłaszania tematów bez odpowiedzi i uzupełniłeś raporty. 

Najpierw wyczyścimy system ze zbędnego oprogramowania, a także drobnych infekcji adware. Czeka nas również kompleksowa aktualizacja programów, gdyż niektóre wersje są mocno archaiczne. 

Po tym przyjrzymy się z osobna ostałym problemom. 

Akcja:

1. Przez Panel Sterownia odinstaluj:

• zbędne i uciążliwe paski narzędzi / wyszukiwarek: AVG Security Toolbar, Search App by Ask.
• oprogramowanie zainstalowane drogą sponsorską: McAfee Security Scan Plus.
• przestarzałe wersje: TuneUp Utilities 2012 wersja 12.0.3600.104. 

CloseProcesses:
CreateRestorePoint:
Task: {01DA06A9-7C16-4784-9BDE-00E905E4002F} - \Program aktualizacji online firmy InstallShield Software. -> Brak pliku 
Task: {471FD5DF-C7EF-4DDA-A44F-BAED2C24C105} - \Program aktualizacji online firmy Adobe. -> Brak pliku 
Task: {3568ED08-368B-4843-B63E-F14CA1B4E9D3} - System32\Tasks\SvcDelay => C:\windows\temp\SvcDelay.exe 
Task: {927640FD-7C29-412B-8798-309662540E70} - System32\Tasks\{07F6730D-47BA-4F6F-9A48-DDABFAAE9455} => C:\windows\system32\pcalua.exe -a "C:\Users\Henia B 3\AppData\Local\Temp\Temp1_FreeRapid-0.9(dobreprogramy.pl).zip\FreeRapid-0.9\frd.exe" 
HKU\S-1-5-21-3103525249-1077354125-3941522485-1000\...\MountPoints2: G - G:\HiSuiteDownLoader.exe
HKU\S-1-5-21-3103525249-1077354125-3941522485-1000\...\MountPoints2: {807bd874-a746-11e6-aed0-90a4dea7f836} - G:\HiSuiteDownLoader.exe
HKU\S-1-5-21-3103525249-1077354125-3941522485-1000\...\MountPoints2: {d9adf70a-97ad-11e7-b08d-90a4dea7f836} - H:\startme.exe
IFEO\taskmgr.exe: [Debugger] 
FF HKLM-x32\...\Firefox\Extensions: [avg@toolbar] - C:\ProgramData\AVG Secure Search\FireFoxExt\18.9.0.230 => nie znaleziono
FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku]
CHR HKU\S-1-5-21-3103525249-1077354125-3941522485-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp: 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 

3. Wyczyść przeglądarkę Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj adware SMSfromBrowser, a także upewnij się, że nie widnieje już tam Ask Search oraz wszystkie inne nieznane i niepotrzebne Ci rozszerzenia.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.

5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Tak myślałem. Ten komunikat przypuszczalnie nawet nie był permanentny, to coś w rodzaju tymczasowego "straszaka", to raczej nie jest popularny kilka lat temu Weelsof integrujący w system.  

Wyzerujemy obecny profil (utracisz z niej wszystkie dane, jeśli potrzebne to wyeksportuj zakładki) w przeglądarce Mozilla Firefox (rozumiem, że to przez tą przeglądarkę doszło do tej sytuacji?) i przeprowadzimy skan antywirusowy.

1. Kliknij klawisz  + R > wklej komendę "C:\Program Files\Mozilla Firefox\firefox.exe" -p > załóż nowy profil, wszystkie poprzednie skasuj.

2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

Posty związane z dostarczeniem poprawnych raportów stąd kasuję. Przechodzę do odpowiedzi:

Opis problemu: Ogólny spadek wydajności komputera, tak jakby komputer nagle utracił 3/4 swoich parametrów. Jest to widoczne przy korzystaniu z przeglądarki, jej zawieszanie się i ciągłym wyskakiwaniu komunikatu "strona spowalnia przeglądarkę"(nawet teraz), a także w grach.

 

Zauważone anomalie: W okresie w którym pojawił się problem komputer kilkukrotnie nagle resetował się, albo wyłączał. Pojawił się problem z baterią która nie chce się ładować, przy starcie systemu, a także po aktywowaniu po przejściu w stan uśpienia pojawia się biały ekran informujący o problemie z baterią.

Wytłuszczonym tekstem zaznaczyłem fragmenty, które mogą świadczyć o uszkodzeniu / niepoprawnym działaniu sprzętu. 

Temat przenoszę więc do działu Hardware, gdzie zajmie się nim moderator Groszexxx.

Do diagnostyki w dziale Sprzętu z pewnością wymagane będą dane, nie wiem jakie konkretnie się przydadzą, ale na pewno trzeba skontrolować stan dysku - dostarcz raport z zakładki System Summary w HWINFO oraz CrystalDiskInfo.

Oczywiście, sprawdziłem raporty systemowe, ale ja tutaj nie widzę oznak infekcji. Doczyszczenia do wykonania (+ pobór danych o jednym pliku) zadaję do spoileru.

CloseProcesses:
CreateRestorePoint:
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\The Elder Scrolls V Skyrim\Uruchom program The Elder Scrolls V Skyrim.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\AFPL License.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\FairPlay License.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\GPL License.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lavasoft\WebCompanion\Web Companion.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CTS Games\sZone-Online\Register.lnk
C:\Users\janek\Desktop\NeverSink-Filter-3.301a\Uruchom program The Elder Scrolls V Skyrim.lnk
Task: {E3068B71-8CBB-454E-B7B7-FF54AE4AC5E2} - System32\Tasks\UninstallDDS-C960901F-CE14-4DE1-9729-1305F719A337 => C:\Windows\TEMP\DeleteFolderTask.exe 
HKU\S-1-5-21-1608297646-3217866677-88377970-1002\...\MountPoints2: {4fb681b4-1ab0-11e6-9bda-4cbb58f143b7} - "I:\Setup.exe"
SearchScopes: HKU\S-1-5-21-1608297646-3217866677-88377970-1002 -> DefaultScope {3A23CA94-BD84-4AAE-ADBC-1CD741400ED2} URL =
SearchScopes: HKU\S-1-5-21-1608297646-3217866677-88377970-1002 -> {3A23CA94-BD84-4AAE-ADBC-1CD741400ED2} URL =
S2 InstallerService; "C:\Program Files\TrueKey\Mcafee.TrueKey.InstallerService.exe" [X]
S3 BstHdDrv; \??\C:\Program Files (x86)\BlueStacks\HD-Hypervisor-amd64.sys [X]
File: C:\Program Files (x86)\aaa.h4s
EmptyTemp:

AV: McAfee Anti-Virus and Anti-Spyware (Disabled - Up to date) {8BCDACFA-D264-3528-5EF8-E94FD0BC1FBC}


AV: Avira Antivirus (Enabled - Up to date) {B3F630BD-538D-1B4A-14FA-14B63235278F}

Dwa pakiety zabezpieczające to nie jest dobry pomysł - masa konfliktów i dublowania akcji. Zrezygnuj z jednego.

Shark, nie widzę oznak infekcji w raportach. 

Proszę powiedz mi czy ten komunikat widoczny jest z poziomu systemu czy z poziomu przeglądarki?

To dwa różne warianty, ten drugi jest niewidoczny z poziomu raportów, gdyż to raczej wariant tymczasowy siedzący w tymczasowej pamięci przeglądarki. 

Posty łącze.

Edit. Jestem już po rozruchu, komputer uruchomił się bardzo szybko. (W oknie uruchamianie selektywne, ikonę "załaduj elementy startowe" miałem już odznaczoną, natomiast w polu wyłączenie usług musiałem postąpić tak jak na podanym przez Ciebie schemacie).

Czysty rozruch to rozruch diagnostyczny, nie może być pod żadnym pozorem używany domyślnie! 

Skoro podczas czystego rozruchu wszystko jest w porządku to problemu trzeba szukać w zainstalowanym oprogramowaniu zewnętrznym. 

Co do chroma, problem też już rozwiązałem, mianowicie w ustawieniach odznaczyłem "Uzyj akceleracji systemowej" . Jeszcze raz bardzo dziękuje, temat można zamknąć

OK.

Ten sam temat na innym forum

Proszę nie zakładać dwóch równoległych tematów, gdyż po prostu pomagający tracą czas analizując raporty podwójnie! To naprawdę jest nieuczciwa zagrywka w stosunku do nas. 

Temat zamykam.

Jeszcze tylko przypomnę to co pisałem na początku: proszę zmienić prewencyjnie hasła we wszystkich serwisach logowania.

Zaraz wykonam skan z czystego rozruchu i dam znać.

Te raporty mi wystarczą. Chodzi tylko, abyś sprawdził czy system podczas tzw. czystego rozruchu również wolno się uruchamia.

Cześć, wczoraj uruchomiłem te programy z trybu normalnego.

Przed chwilą spróbowałem uruchomić je z trybu awarynego z obsługą sieci - nadal nie działały.

- Norton Power Eraser "Error getting system path" oznacza brak detekcji systemu operacyjnego (czyli jakby dysk nie rozpoznany). Nic konkretnego na Google poza wzmianką, że ten błąd może występować na konfiguracjach RAID. Nie przejmowałbym się tym. 

- Narzędziem McAfee również bym się nie zamartwiał, bo i tak prawie nic nie ma od McAfee w logu, tylko drobne foldery na dysku, co można usunąć ręcznie. Apropo: końcowe doczyszczenie pustych wpisów:

Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

HKLM-x32\...\Run: [Tv-Plug-In] => "C:\Program Files (x86)\Tv-Plug-In\Tv-Plug-In.exe" nogui
S2 NVDisplay.ContainerLocalSystem; "C:\Program Files\NVIDIA Corporation\Display.NvContainer\NVDisplay.Container.exe" -s NVDisplay.ContainerLocalSystem -f "C:\ProgramData\NVIDIA\NVDisplay.ContainerLocalSystem.log" -l 3 -d "C:\Program Files\NVIDIA Corporation\Display.NvContainer\plugins\LocalSystem"
Task: {10B9610D-6120-42A6-9368-5B5EE5B32790} - System32\Tasks\Opera scheduled Autoupdate 1517600403 => C:\Users\Lenovo\AppData\Local\Programs\Opera\launcher.exe
Task: {2C06C318-6968-41A0-A259-C570959052ED} - System32\Tasks\AVGPCTuneUp_Task_BkGndMaintenance => C:\Program Files (x86)\AVG\AVG PC TuneUp\tuscanx.exe
Task: {9381AFF5-53C9-4898-A0FE-9E2F7DDD5F72} - System32\Tasks\CCleanerSkipUAC => C:\Program Files\CCleaner\CCleaner.exe
Task: {A5F19CED-1163-4D9E-90DC-FCCA16A3C9A1} - System32\Tasks\BlockchainResearchToolsSvc => C:\Program Files (x86)\BRTSvc\BRTSvc.exe
2018-02-02 20:39 - 2018-02-03 20:53 - 000000000 ____D C:\Program Files (x86)\McAfee
2018-02-02 20:39 - 2018-02-02 20:39 - 000000000 ____D C:\ProgramData\McAfee

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę w katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Nie musisz go już dostarczać. 

Program Zemana nie chciał się zainstalować w trybie awaryjnym, ale zainstalował się w trybie normalnym. - przeskanowałem kompuer, ale nic nie znalazł - komputer jest czysty, dostałem gratulacje 

Tak - instalacja powinna odbyć się z poziomu Trybu awaryjnego. 

Skoro nic nie jest już wykrywane, a nie zgłaszasz żadnych problemów to będziemy kończyć. 

Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

Pokaż nowy zestaw raportów FRST.

Dodatkowo sprawdź czy system uruchamia się wolno także podczas czystego rozruchu. 

Rozumiem, że nie masz już żadnych pytań / uwag.

Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

Temat zamykam.

W załączniku skany z Malwarebytes, fixlog i reszta skanow z FRST.

1. Fix poprawkowy pomyślnie wykonany. Raporty wyglądają już w porządku. 

2. Detekcje Malwarebytes nadają się do kasacji - to drobne odpadki PUP. 

Do infekcji doszło w momencie uruchomienia strony MODERATOR SKASOWAŁ LINK z poziomu trybu prywatnego w google chrome. Eset powiadomil mnie o zagrozeniu jednak odruchowo klikalem przycisk ignoruj.

To złośliwa strona (z tego co wiem, to nie informuje użytkowników o kopaniu), która ma zintegrowaną koparkę kryptowalut.

ESET poprawnie zareagował na zagrożenia, a może nie tyle na zagrożenie co na niepożądane działanie (mógł nastąpić skok zużycia zasobów komputera).  

Do konkretnej infekcji systemu raczej nie doszło, gdyż to typ koparki przeglądarkowej. 

Proszę zablokować stronę w oprogramowaniu ESET. Sugeruję również wyposażyć się w rozszerzenie blokujące takie skrypty w przeglądarce.

Czy masz jeszcze jakieś pytania / uwagi?

Akcja pomyślne wykonana. Skan MBAM potwierdził to co napisałem wcześniej - brak oznak infekcji. 

Czy po pozbyciu się rozwiązania Avast! omawiany problem nadal występuję? 

Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

Ayh, raporty nie wykazują oznak infekcji. Poniżej zadaję działania poboczne do wykonania - kasacja martwych wpisów, skrótów / resztek po oprogramowaniu (m.in po przeglądarce Mozilla FireFox) oraz kompleksowy skan antywirusowy. 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

CloseProcesses:
CreateRestorePoint:
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\CodecPackTrayMenu.lnk
C:\Users\ja\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia 
ShortcutTarget: CodecPackTrayMenu.lnk -> C:\Windows\SysWOW64\Codecs\TrayMenu.exe (Brak pliku)
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = 
SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
BHO-x32: Brak nazwy -> {B69F34DD-F0F9-42DC-9EDD-957187DA688D} -> Brak pliku
CHR HKLM-x32\...\Chrome\Extension: [efhdjkbfpoohkmfaldijcpbnmbpefpkb] - C:\Program Files (x86)\ALLPlayer\AllPlayer.crx 
CHR HKU\S-1-5-21-3991928589-2277646456-2872176512-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efhdjkbfpoohkmfaldijcpbnmbpefpkb] - C:\Program Files (x86)\ALLPlayer\AllPlayer.crx 
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\ja\AppData\Local\Mozilla
C:\Users\ja\AppData\Roaming\Mozilla
C:\Users\ja\AppData\Roaming\Profiles
EmptyTemp:

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 

2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

Wszystko zaczęło się od oprogramowania antywirusowego - Avast, który co jakiś czas informował mnie o zagrożeniach, ale gdy zrobiłem skan całościowy (podczas rozruchu) nic nie wykazał.

Gdzie zostały wykryte zagrożenia? Czy była podana lokalizacja? 

Sugeruję odinstalować oprogramowanie Avast! korzystając z dedykowanego deinstalatora z poziomu Trybu awaryjnego (klik w klawisz F8 przed startem systemu) i sprawdzić czy problem nadal będzie występował. 

Po za tym Avast sypie błędami:

Date: 2016-08-16 21:16:32.850


Description: 

Code Integrity is unable to verify the image integrity of the file \Device\HarddiskVolume3\Windows\System32\drivers\aswKbd.sys because the set of per-page image hashes could not be found on the system.

Satanek10, proszę o dostosowanie tematu do zasad działu.
Narzędzie OTL jest przestarzałe i nierozwijane, a więc nie skuteczne. Proszę użyć nowoczesnego narzędzia generującego raporty systemowe - FRST - opisanego w sekcji zasad. 

Komentując detekcje Malware to nie jest to nic poważnego - drobne detekcje adware / PUP w plikach przeglądarki. Akcja wybrana prawidłowo. 

Niestety eset nie radzi sobie z usunięciem zagrożenia (nie można wyleczyć).

Detekcja JS/CoinMiner.B wskazuję na koparkę kryptowaluty. Czy na komunikacie dostępna jest lokalizacja detkecji? 

Z doświadczenia wiem, że taka detekcje występowała w trakcie odwiedzania stron uruchamiających skrypt (JS - JavaScript) w przeglądarce. Czy mam rację? Jaka to konkretnie przeglądarka i podczas odwiedzania jakich witryn uruchamia się alerty?

W raportach nie widać nic ciekawego, jedyne podejrzane wejście to rozszerzenie przeglądarki Google Chrome instalowane z poziomu rejestru, którego nie mogę znaleźć w oficjalnym sklepie rozszerzeń Google Chrome. Przejdę do jego usuwania, a przy okazji posprzątam system z resztek po oprogramowaniu / martwych wpisów / skrótów. 

Akcja: 

1. Uruchom FRST. Z klawiatury , zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

CloseProcesses:
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-3341794620-3984477988-2094677003-1001\...\Run: [AdobeBridge] => [X]
GroupPolicy: Ograniczenia 
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
Handler: WSKVAllmytubechrome - Brak wartości CLSID
CHR HKU\S-1-5-21-3341794620-3984477988-2094677003-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx
S3 WsDrvInst; "C:\Program Files (x86)\Keepvid\KeepVid Pro\DriverInstall.exe" [X]
S3 AthBTPort; \SystemRoot\system32\DRIVERS\btath_flt.sys [X]
S3 BTATH_A2DP; \SystemRoot\system32\drivers\btath_a2dp.sys [X]
S3 btath_avdt; \SystemRoot\system32\drivers\btath_avdt.sys [X]
S0 BTATH_BUS; System32\drivers\btath_bus.sys [X]
S3 BTATH_LWFLT; \SystemRoot\system32\DRIVERS\btath_lwflt.sys [X]
S3 BTATH_RCP; \SystemRoot\System32\drivers\btath_rcp.sys [X]
ContextMenuHandlers1: [Atheros] -> {B8952421-0E55-400B-94A6-FA858FC0A39F} => -> Brak pliku
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Passware\Asterisk Key.lnk
C:\Users\Mateusz\Documents\Adobe\After Effects CC 2015\User Presets\(Adobe).lnk
C:\Users\Mateusz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Adobe Illustrator CC 2015.lnk
C:\Users\Mateusz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Adobe Photoshop CC 2015.lnk
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik Fixlog.

Komputer skanowany był za pomocą 360 Total Security i MBAM.

Czy zostały wykryte jakieś zagrożenia? Jeśli tak poproszę o raport.

Po za tym proszę wygenerować raporty zgodnie z naszymi zaleceniami. Niepoprawne raporty kasuję.