Miszel03

Może jeszcze raz zrobię to skanowanie, hmm?

 

Proszę przeczytać moją wcześniejszą adnotację dla postów Jessi.

 

W tych raportach, które dostarczyłem byłoby to zawarte, gdyby ktoś podczepił się z koparką do mojego komputera?

 

Raporty FRST to jedynie ułomny obraz systemu. Niemniej jednak pozwalają nierzadko bardzo precyzyjnie usunąć infekcje i zdiagnozować problem. Nie wykluczone, że jest to koparka zintegrowana ze stroną internetową (proces obciążania rozpoczyna się po wejściu na taką stronę). Korzystasz z Opera, więc spróbuj włączyć wbudowaną blokadę tego typu zagrożeń:

• Uruchom Opera > klawisz ALT + P > zakładka Podstawowe:

• koniecznie zaptaszkuj NoCoin, reszta pod ocenę indywidualną, czy ich potrzebujesz. 

Poobserwuj i daj znać czy to pomogło. 

 

Jest jakiś ogólny program do przeskanowania pod obecność kopania?

 

Nie znam dedykowanego skanera (i wątpię, że taki jest). Marką, która chyba rok temu przedstawiała raporty z ostrzeżeniami, że rok 2018 będzie pełny zagrożeń tworzących kryptowaluty jest Kaspersky Lab. Znowu się nie pomylili. Możesz skorzystać z ich darmowego skaner Kaspersky Virus Removal Tool.

dstjr:

 

Słowem komentarza:
 

Cytat

Korzystam z przeglądarki Opera 53, na nowszej było to samo.

 

Należy zawsze korzystać z najnowszej wersji oprogramowania, zwłaszcza przeglądarek (są obszarem krytycznym). 
 

 

Cytat

Da się w ogóle sprawdzić to, czy ktoś czasem wykorzystuje mój sprzęt do kopania walut?

 
Tak. Koparki kryptowalut (ładowane metodą PUP) są zazwyczaj widoczne w raportach i wykrywalne przez programy zabezpieczające. 
 

Cytat

Malwarebytes Anti-Malware, Kaspersky Virus Removal Tool, Kaspersky TDSSKiller.

 
TDSSKiller to narzędzie do wykrywania i neutralizacji rootkit / bootkit. Tu nie mamy z nimi do czynienia, więc narzędzie zbędne. Przeskanować oczywiście można.
 

---

 
 
W raportach brak oznak infekcji. Temat przenoszę do działu Windows 7, gdzie będzie prowadzona dalsza pomoc. Muszę pomyśleć jakie informację będą mi potrzebne do diagnostyki. 
 
Jessica:

Poniższe wpisy to fałszywe alarmy detekcji robionej pod kątem Rootkit SmartService. Pojawią się gdy zachodzi dysonans między rejestrem a obiektami załadowanymi w pamięci, tzn. FRST w rejestrze nie wykrył obiektu (ukryty techniką rootkit lub brak rzeczywisty), ale jest on uruchomiony w pamięci. Jako skutek uboczny pojawiają się różne fałszywe alarmy, np. jeśli odinstalowano antywirusa, ale nie zrestartowano systemu (z rejestru usunięte sterowniki, ale są nadal w pamięci). Wystarczy zrestartować system, by pozbyć się tych odczytów "rootkit".
 

HKLM\SYSTEM\CurrentControlSet\Services\45834C64C3A8D1E4 "A4688A50C" => serwis nie został odblokowany.
U5 A4688A50C; C:\Windows\System32\Drivers\A4688A50C.sys [138256 2018-07-15] ()
C:\Windows\system32\drivers\A4688A50C.sys -> Odmowa dostępu

 

To wygląda na uszkodzenie raczej mechaniczne, proszę poczekaj na moderatora działu Hardware - Groszexxx.

Proszę poprawić temat:

 

     - opisać porządnie problem, przedstawić najlepiej zrzut ekranu podczas występujących zakłóceń, 

     - zapoznać się z przyklejoną instrukcją: jakie informacje podawać,

     - dostosować treść do zasad ortografii i interpunkcji.

Proszę o zgłaszanie wątków, które oczekują wciąż na pomoc. Nie byłem obecny ze względu na przeprowadzkę (m.in. z tego powodu w ostatnim czasie pomoc kuleję). Powinienem teraz zacząć pomagać.

• Przed zgłoszeniem tematu proszę upewnić się, że raporty, które są dołączone w poście nie mają więcej niż 3 dni - w innym przypadku są nieaktualne i trzeba przygotować nowe.
• To samo tyczy się zmian w systemie - jeśli zaszły jakiekolwiek ingerencje należy przygotować nowe raporty. 

Raporty nie wykazują oznak infekcji, działania kosmetyczne pomijam (bez związku z problemem). 

 

1. Powiedz mi jak wygląda sytuacji, gdy zostanie wykonany tzw. czysty rozruch.

 

2. Sprawdź jak ma się sytuacji przy wyłączonym Kaspersky Internet Security podczas normalnego startu. 

Komunikat znikł, co potwierdza to co napisałem wcześniej. Czy potrzeba, abym wyjaśnił coś jeszcze? 

Detekcja "Rootkit" (robiona pod kątem infekcji SmartService, której u Ciebie nie ma) pojawia się jeśli jest dysonans między rejestrem, a obiektami załadowanymi w pamięci, tzn. FRST w rejestrze nie wykrył obiektu (ukryty techniką rootkit lub brak rzeczywisty), ale jest on uruchomiony w pamięci. Jako skutek uboczny pojawiają się różne fałszywe alarmy.

 

W raportach widać resztki po oprogramowaniu Dr. Web, więc być może odinstalowano antywirusa / skaner, ale nie zrestartowano systemu (z rejestru usunięte sterowniki, ale są nadal w pamięci). Wystarczy zrestartować system, by pozbyć się tych odczytów "rootkit". Pokaż log FRST po restarcie. 

Czy da się zrobić tak, by przeglądarka bez pytania nie mogła zapisać na dysku żadnego pliku poza plikiem tekstowym cookies?

 

Jedyne co mi przychodzi na myśl, a jest zarazem prostym rozwiązaniem to izolacja przeglądarki od obszaru pamięci systemu (np. Sandboxie). To wymaga odpowiedniej konfiguracji.  

 

Czy da się zrobić tak, by system nie mógł połączyć się z internetem w celu sprawdzenia aktualizacji dowolnego programu czy w jakimkolwiek innym celu bez osobnego pozwolenia? Privatefirewall 7.0, który używam chyba nie ma takiej opcji.

 

Zapora systemu Windows posiada możliwość blokady określonych programów.

Rozumiem. 

 

DelFix skasuje FRST. 

Nieaktualny Windows = tykająca bomba. Sugeruję po omacku dojść do tego, która aktualizacja powodowała ten problem.

A także skanowanie wszystkiego przez firefoxa. Nienawidze programów antywizrusowych pracujacych w tle,a takie gówno prawdopodobnie wpasowali do tej przeglądarki.

 

Odtwarzanie sesji (sekcja Konfigurowanie mechanizmu odtwarzania sesji, zamiast "wyświetl okna i karty z poprzedniej sesji" ustaw "Pokaż Twoją stronę domową".

 

 A także skanowanie wszystkiego przez firefoxa. Nienawidze programów antywizrusowych pracujacych w tle,a takie gówno prawdopodobnie wpasowali do tej przeglądarki.

 

Tak, Mozilla FireFox domyślnie blokuję niebezpieczne strony internetowe, a także niebezpieczne pobierania. To rozwiązanie stosuję już od dawna większość przeglądarek.

Oprogramowanie zabezpieczające pozbawione ochrony w czasie rzeczywistym są zazwyczaj nieskuteczne. Lepiej zapobiegać niż leczyć. 

 

Jeśli istnieje potrzeba wyłączenia tych funkcji (co powtarzam jest bardzo niezalecane): przejdź do Opcji > zakładka Prywatność & Bezpieczeństwo > sekcja Bezpieczeństwo > odptaszkuj niechciane ustawienie. 

 

Dziekuje za brak pomocy.

 

Nie mam zbyt wiele czasu, by pomagać, ale to chwilowy stan (przeprowadzam się). Z tamtego komputera możesz dostarczyć nowy zestaw raportów, a postaram się jak najszybciej je przeanalizować.

Brak konkretów, wpisy w Dzienniku Zdarzeń naprowadzają mnie na taką diagnostykę:

 

1. Proszę powiedz mi jak się ma problem, kiedy wykonasz tzw. czysty rozruch. 
 
2. Nie zależnie od tego jaki rezultat przyniesie pkt. 1: Uruchom ShellExView, z wciśniętym CTRL zaznacz wszystkie niedomyślne wpisy (są wyróżnione na różowym tle), następnie CTRL + S i przedstaw zapisany raport (plik tekstowy) w postaci załącznika na forum.

 

3. Na wszelki wypadek: wykonaj diagnostykę dysku za pomocą CrystalDiskInfo i dostarcz wynikowy log (nie sądzę, że to problem Hardware, ale zdarzały się przypadki podobnych symptomów).

Raporty FRST należy przedstawić w poście jako załącznik lub wkleić ich zawartość na pastebin.com.

Wyczyściłem skrzynkę. Proszę spróbować napisać teraz.

Skrypt nie wykonał się poprawnie. Wykonaj skrypt ponownie, wyciąłem problematyczną linijkę i przetworzoną część: 

 

CloseProcesses:
HKLM\...\.scr:  =>  
HKU\S-1-5-21-4155290210-3035117307-2680524550-1001\...\MountPoints2: {3153fdce-0732-11e8-b001-6014b3b092ea} - "H:\Install.exe" 
HKU\S-1-5-21-4155290210-3035117307-2680524550-1001\...\MountPoints2: {fff2b269-05d7-11e8-afff-6014b3b092ea} - "E:\setup.exe" 
HKU\S-1-5-21-4155290210-3035117307-2680524550-1001\...\Winlogon: [shell] C:\Windows\System32\cmd.exe [272896 2017-09-29] (Microsoft Corporation) 
HKU\S-1-5-21-4155290210-3035117307-2680524550-1001\...\Command Processor: @mode 20,5 & tasklist /FI "IMAGENAME eq SoundMixer.exe" 2>NUL | find /I /N "SoundMixer.exe">NUL && exit & if exist "C:\Users\User\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe" ( start /MIN "" "C:\Users\User\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe" & tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) else ( tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) 
C:\Users\User\AppData\Roaming\Microsoft\SoundMixer
GroupPolicy: Ograniczenia ? 
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
Hosts:
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 

Po tym kroki podaj nowy zestaw raportów FRST (może być bez Shortcut).

W systemie działa infekcja, która jest winowajcą zgłaszanego problemu.

 

Dezynfekcja (w tym również kosmetyka systemowa: zostanie wyczyszczony kosz, usunięte martwe wpisy / skróty / przestarzałe blokady adware w pliku Hosts i mapie domen w przeglądarce Internet Explorer)

 

1. Przez Panel Sterownia odinstaluj:

• zbędniki: Akamai NetSession Interface.
• przestarzałe oprogramowanie zabezpieczające: Spybot - Search & Destroy.

2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

 

CloseProcesses:
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Access.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Word.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Outlook.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Publisher.lnk 
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Skype dla firm.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Narzędzia pakietu Microsoft Office 2016\Database Compare.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Narzędzia pakietu Microsoft Office 2016\Office Upload Center.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Narzędzia pakietu Microsoft Office 2016\Spreadsheet Compare.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\##ID_STRING16##\##ID_STRING17##.lnk
C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Autodesk\Zainstaluj teraz dla programu Autodesk Inventor 2015.lnk
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Brak pliku
ContextMenuHandlers6_S-1-5-21-4155290210-3035117307-2680524550-1001: [inventorMenu] -> {6FDE7A70-351B-11d6-988B-0010B57A8BB7} =>  -> Brak pliku
HKLM\...\.scr:  =>  
HKU\S-1-5-21-4155290210-3035117307-2680524550-1001\...\MountPoints2: {3153fdce-0732-11e8-b001-6014b3b092ea} - "H:\Install.exe" 
HKU\S-1-5-21-4155290210-3035117307-2680524550-1001\...\MountPoints2: {fff2b269-05d7-11e8-afff-6014b3b092ea} - "E:\setup.exe" 
HKU\S-1-5-21-4155290210-3035117307-2680524550-1001\...\Winlogon: [shell] C:\Windows\System32\cmd.exe [272896 2017-09-29] (Microsoft Corporation) 
HKU\S-1-5-21-4155290210-3035117307-2680524550-1001\...\Command Processor: @mode 20,5 & tasklist /FI "IMAGENAME eq SoundMixer.exe" 2>NUL | find /I /N "SoundMixer.exe">NUL && exit & if exist "C:\Users\User\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe" ( start /MIN "" "C:\Users\User\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe" & tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) else ( tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) 
C:\Users\User\AppData\Roaming\Microsoft\SoundMixer
GroupPolicy: Ograniczenia ? 
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
Hosts:
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt

 

2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

 

3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlo

Tryb awaryjny FF powoduje tymczasowe wyłączenie rozszerzeń i motywów, wyłączenie przyspieszenia sprzętowego oraz zresetowanie paska narzędzi i dostosowywanie przycisków. Po opuszczeniu trybu awaryjnego i normalnym uruchomieniu Firefoksa, rozszerzenia, motywy i ustawienia powrócą do stanu, w którym znajdowały się przed wprowadzeniem trybu awaryjnego.

Przypuszczalnie sprawdziła się tutaj metoda oparta na zasadzie "czy próbował Pan już uruchomić ponownie urządzenie?". Przyczyny szukać na próżno. 

Miszel03 dziękuję Ci bardzo za tą pomoc.

 

Cieszę się, że mogłem pomóc! Używane narzędzia możesz usunąć. 

 

Zauważyłem jeden problem więcej. Nie mam pojęcia czy ma on jakiś związek z wcześniejszymi przebojami. Otóż po podłączeniu drugiego ekranu ikony pulpitu przestawiają się, ale wracają na miejsce kiedy ekrany nie działają w trybie rozszerzonym. Oczywiście wcześniej było normalnie.

 

Oba problemy raczej bez związku. O ile jest to możliwe to ustaw te same rozdzielczości i poobserwuj. Napisz jakie widzisz efekty.

Wszystko pomyślnie wykonane. 

 

1. Komentując wyniki HitmanPro:

• FRST to fałszywy alarm generowany przez wiele programów zabezpieczających,
• F:\RAGE\Rage.exe zdaję się, że to jakiś crack z modułem adware. Pod ocenę indywidualną postawiam co chcesz z nim zrobić. 

2. Poprawki (sprzątanie resztek po oprogramowaniu m.in po przeglądarce Mozilla FireFox): 

 

Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

 

CreateRestorePoint:
HKU\S-1-5-21-1981889458-1928071161-1849599398-1000\...\MountPoints2: I - I:\setup.exe
CHR HKLM\...\Chrome\Extension: [ngpampappnmepgilojfohadhhmbhlaek] - C:\Program Files (x86)\Internet Download Manager\IDMGCExt.crx 
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\a\AppData\Local\Mozilla
C:\Users\a\AppData\Roaming\Mozilla
C:\Users\a\AppData\Roaming\Profiles

 

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt

 

3. W raportach wciąż widoczne są aktywne sterowniki BitDefender (brak instalacji), pomimo próby ich usunięcia. Zastosuj więc BitDefender Uninstall Tool.

 

4. Zainstalowane są dwa programy zabezpieczające z funkcją ochrony proaktywnej: Avast! i ESET. Sugeruję pozostać przy jednym, gdyż dwa współpracujące antywirusy mogą powodować ogromne błędy. 

 

5. Pobieranie pirackich wersji to tykająca bomba:

 

2018-06-15 20:01 - 2018-06-15 20:01 - 002948240 _____ (BitTorrent Inc.) C:\Users\a\Downloads\ESET Smart Security 11 Crack

W systemie działa czynna infekcja uruchamiana poprzez Harmonogram Zadań. Przeprowadzimy dezynfekcje oraz wdrążymy kosmetykę systemu.
 
Akcja (zostanie wyczyszczony również systemowy kosz): 
 
1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:
 

CloseProcesses:
CreateRestorePoint:
C:\Users\a\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MaxBatch.lnk
C:\Users\a\AppData\Roaming\Microsoft\Word\Nowy%20Dokument%20programu%20Microsoft%20Word306483121018682127\Nowy%20Dokument%20programu%20Microsoft%20Word.docx.lnk 
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Comodo\COMODO Secure Shopping\Uninstall.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\Mass Effect
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Andy
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => C:\Windows\system32\igfxpph.dll -> Brak pliku
Task: {3B1EE09C-6D26-49E3-8F6B-28E6903CE00C} - System32\Tasks\{227DFC92-A3CD-2411-7FBF-E51C9F2B7ED9} => C:\Program Files (x86)\uFUhcOAanowy.exe [2009-07-14] (Microsoft Corporation) Task: {0AA5C882-A17E-4AC0-8B29-5BF6CC6BA81F} - System32\Tasks\{A64AE613-09B9-5DEF-E2A4-56F94B0A4B4E} => C:\Program Files (x86)\Common Files\PBnIBMayd.exe [2009-07-14] (Microsoft Corporation)
Task: C:\Windows\Tasks\55901f96232l67136z1.job => rundll32.exe  C:\ProgramData\55901f96232l67136z1\55901f96232l67136z1.dll C:\Program Files (x86)\uFUhcOAanowy.exe
C:\Program Files (x86)\Common Files\IAypUyToA.exe
C:\Program Files (x86)\Common Files\PBnIBMayd.exe
C:\ProgramData\55901f96232l67136z1
Task: {189A2A26-397F-4C37-B4BD-D421B56072D4} - System32\Tasks\{87726268-85CA-45EE-B3C1-6E5970A2302D} => C:\Windows\system32\pcalua.exe -a "C:\Users\a\Desktop\win64_15.33.46.4885 (1).exe" -d C:\Users\a\Desktop
Task: {EF379385-7685-40C2-9E44-5F3F03635F7E} - System32\Tasks\{74739F5C-2BB6-4A19-90C7-8E9E2A67D118} => C:\Windows\system32\pcalua.exe -a "G:\msi z77a-gd55\intel_sct _7_mb_81\intel_sct _7_mb_81\Setup.exe" -d "G:\msi z77a-gd55\intel_sct _7_mb_81\intel_sct _7_mb_81"
Task: {57067589-E5E9-4325-8C8F-647D62454264} - System32\Tasks\Norton Security Scan for a => C:\PROGRA~2\NORTON~2\Engine\461~1.80\Nss.exe
Task: {966A5732-4375-436E-8491-077EB7CA0D2E} - System32\Tasks\RealDownloader Update Check => C:\Program Files (x86)\Real\RealDownloader\downloader2.exe
Task: {01740843-3FAD-495A-A6E1-1E9969447792} - System32\Tasks\CIS_{15198508-521A-4D69-8E5B-B94A6CCFF805} => C:\ProgramData\cisABB9.exe Task: {2B3E8E73-D451-4078-B57E-353E09061397} - System32\Tasks\SystemMaintanceService => C:\Users\a\AppData\Roaming\Outlast.2.With.Update.2.Repack\fbniu.exe
Task: {6A3E59DE-4CD1-42C1-88B8-06BDD77F76FB} - System32\Tasks\Microsoft\Microsoft Antimalware\Microsoft Antimalware Scheduled Scan => C:\Program Files\Microsoft Security Client\\MpCmdRun.exe
Winlogon\Notify\igfxcui: igfxdev.dll [X]
HKU\S-1-5-21-1981889458-1928071161-1849599398-1000\...\Run: [AdobeBridge] => [X]
HKU\S-1-5-21-1981889458-1928071161-1849599398-1000\...\MountPoints2: {ccbf38c7-3faf-11e7-a639-d43d7e519627} - I:\HiSuiteDownLoader.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia GroupPolicy: Ograniczenia ? S2 updatesrv; "C:\Program Files\Bitdefender Antivirus Free\updatesrv.exe" /service [X]
S2 vsserv; "C:\Program Files\Bitdefender Antivirus Free\vsserv.exe" /service [X]
S2 vsservppl; "C:\Program Files\Bitdefender Antivirus Free\vsservppl.exe" /service [X]
U1 aswbdisk; Brak ImagePath
S3 b06bdrv; \SystemRoot\system32\drivers\bxvbda.sys [X]
S3 GPUZ; \??\C:\Windows\TEMP\GPUZ.sys [X]
U3 iswSvc; Brak ImagePath
S3 MBfilt; system32\drivers\MBfilt64.sys [X]
S3 MSICDSetup; \??\D:\CDriver64.sys [X]
S3 NTIOLib_1_0_C; \??\D:\NTIOLib_X64.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
S3 vmci; \SystemRoot\system32\DRIVERS\vmci.sys [X]
S3 VMnetAdapter; system32\DRIVERS\vmnetadapter.sys [X]
S1 ZAM; \??\C:\Windows\System32\drivers\zam64.sys [X]
S1 ZAM_Guard; \??\C:\Windows\System32\drivers\zamguard64.sys [X]
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 

 
Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt
 
2. Przeskanuj system za pomocą HitmanPro. Nie stosuj żadnej akcji dla wykrytych zagrożeń, dostarcz jedynie raport, który zaprezentuje mi wyniki. 
 
3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlo

Instalacja Avasta wygląda praktycznie na całkowitą - należy pozbyć się jej wszystkich elementów pierwszorzędnie, aby zainstalować inny produkt zabezpieczający. 

 

1. Pobierz Avast Uninstall Utility, następnie przejdź do Trybu awaryjnego (kliknij klawisz F8 przed startem systemu) i uruchom wcześniej pobrane narzędzie. Kreator usunie wszystkie pozostałości po instalacji. 

 

2. Dostarcz nowy zestaw raportów FRST w celu oceny i doczyszczeń adware. 

Być może był to szczątkowy wpis. Proszę przejść do następnego punktu. 

Przepraszam, ale nie zauważyłem, że edytowałeś post i dodałeś obowiązkowe raporty. 
 

---

 
W systemie wciąż obecne są instalacje adware, po za tym widać szczątkowe zadania w Harmonogramie zadań i resztki po przeglądarce Mozilla FireFox, które będę sprzątał. Przeprowadź następujące operacje (zostanie wyczyszczony systemowy kosz): 
 
1. Przez Panel Sterowania odinstaluj adware / PUP: CloudNet.
 
2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:
 

CloseProcesses:
C:\Users\Damian\Documents\Euro Truck Simulator 2\readme.rtf.lnk
C:\Users\Damian\Desktop\State of Decay 2 — skrót.lnk
Task: {21F460F1-6DAB-4BA2-B5CF-F5EA937D08A2} - \Opera scheduled Autoupdate 4086469641 -> Brak pliku Task: {2FE8985A-5F86-4008-AAF6-9A738A5864FD} - \csrss -> Brak pliku Task: {DC0E34A9-DEEF-4542-9A43-81104D0D4EB0} - \OneDrive\OneDriveUpdate -> Brak pliku DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Damian\AppData\Local\Mozilla
C:\Users\Damian\AppData\Roaming\Mozilla
C:\Users\Damian\AppData\Roaming\Profiles
CMD: dir /a C:\Users\Damian\AppData\Roaming
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp: 

 
Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 
 
3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 
 
4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Jednak nalegałbym, aby przedstawić raporty FRST, w celu sprawdzenia czy system nie został zainfekowany.