Samootwierające się strony przeglądarki oraz samoinstalujące się programy po otwarciu pliku KeyGen

[Byrdzij]

Dzień dobry.

 

Miałem dziś nieprzyjemność z zawirusowanym torrentem. Na ten moment wszystko zdaje się być pod kontrolą ale obawiam się, że gdzieś mi się jeszcze w systemie zagnieździły jakieś syfy.
Przedstawię pokrótce historię tego co się po kolei wydarzyło. Część detali mogło mi niestety umknąć, bo bardzo szybko się to wydarzało ale z grubsza sytuacja wyglądała tak:

1. Odpalenie pliku KeyGen
2. Okno wyświetla zgody do zaakceptowania
3. Wyłączam na chwile Windows defender
4. W trakcie czytania zgód i odznaczania ich po kolei w celu tylko pobrania kluczu do programu, który mnie interesuje zaczynają się instalować różne rzeczy i wyskakiwać okna:
 - zainstalowała się Opera, System Healer, pojawił się folder z logiem zdniminstratora o nazwie "foldershare", oraz plik do zainstalowania Avast Security
5. Włączam spowrotem Windows Defender. I próbuje usuwać po kolei wszystko. Odinstalowałem Operę, System Healer, pliki, które pojawiły się na pulpicie. Usuwam wszystkie wirusy, które wyskakują na bieżąco w Windows Defenderze. W załączniku historia Windows Defendera. W międzyczasie automatycznie odpalają się randomowe strony. W nic nie klikam tylko na bieżąco wszystko wyłączam. Pojawiał się też komunikat o potrzebie zainstalowania pakietu Net30 (jeśli dobrze pamiętam. Nie zrobiłem screena bo próbowałem walczyć na bieżąco a teraz już komunikat się nie pojawia) dla jakiejś aplikacji ale systematycznie też był wyłączany.
6. Instaluje mi się niepobierany przeze mnie Avast, mimo, że wcześniej wydawało mi się, że go usunąłem.
7. Po jego zainstalowaniu problemy z wyskakującymi oknami wydaję się, że znikają.
8. Odinstalowywuje Avasta i robię raport FRST.
9. Na ten moment wszystko chyba ucichło. W międzyczacie gdzieś jeszcze restartowałem komputer ze dwa razy. FRST nie chciał na początku stworzyć raportu ale po dodaniu go do wykluczeń w Windows Defenderze odpalił.

 

Bardzo proszę o pomoc, chętnie załączę cokolwiek co pomoże w znalezieniu pozostałości. Dla mnie jedynie nauczka, żeby bardziej uważać z torrentami na przyszłość.

Raport z FRST oraz Raport z Windows Defendera w załącznikach

Addition.txt

FRST.txt

Shortcut.txt

[Miszel03]

Raporty FRST i Addition zostały ucięte. Proszę o dostarczenie całych raportów.

[Byrdzij]

Raporty FRST i Addition zostały ucięte. Proszę o dostarczenie całych raportów.

Ponownie wykonane Raporty FRST:

Addition.txt

FRST.txt

Shortcut.txt

[Miszel03]

System jest w agonalnym stanie - masa infekcji i instalacji adware. Między innymi: infekcja na poziomie DNS Windows, szkodliwe zadania w Harmonogramie zadań i niepożądane koparki BitCoin. 

Postaram się jak najszybciej doprowadzić to do porządku.

 

P.S: Skrypt wyczyści również systemowy kosz, więc przed przystąpieniem do akcji ewakuuj stamtąd ważne dla Ciebie pliki.

 

1. Deinstalacje:

• Za pomocą Program Install and Uninstall Troubleshooter odinstaluj adware / PUP: Online Application.
• Przez Panel Sterownia odinstaluj kolejne instalacje adware, PUP oraz koparki BitCoin: Browser-Security, FastDataX 1.20, PDcErbzxIU3q Updater version 1.2.0.4, RunBooster, YoutubeAdBlock, ShutdownTime version 1.0., Multitimer version 1.0.

2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Native Instruments\Service Center\Native Instruments Homepage.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Native Instruments\Massive\Native Instruments Homepage.lnk
C:\Users\byrdz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Kazrog\Recabinet\Manual.lnk
C:\Users\byrdz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Kazrog\Recabinet\Uninstall.lnk
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Brak pliku
Task: {09B886FF-8099-4260-A05F-5802AEAD33D8} - System32\Tasks\dTRRfHQjsHOvbdt2 => rundll32 "C:\Program Files (x86)\LfFoujfjU\vJRmNI.dll",#1
Task: {CEFC37DF-45F8-422D-AE02-524CCA67331F} - System32\Tasks\qFbxfDUevnccZZ => rundll32 "C:\Program Files (x86)\jzVqtpDsXbLU2\EvfJfRbmLNDIf.dll",#1
Task: {EB593E33-0DC7-4D22-87F1-F1F330177DA5} - System32\Tasks\dIxshjfnsDsrepSSqPt2 => rundll32 "C:\Program Files (x86)\pidIvTaYsJowC\MczYPAT.dll",#1
Task: {FFDEAE73-39A9-4E12-8959-6F63B0386E8D} - System32\Tasks\WlbBJSMcknvngxNxC2 => rundll32 "C:\Program Files (x86)\mAUzXDPkZrvZtXzyunR\youRzsM.dll",#1
C:\Program Files (x86)\LfFoujfjU
C:\Program Files (x86)\jzVqtpDsXbLU2
C:\Program Files (x86)\pidIvTaYsJowC
C:\Program Files (x86)\mAUzXDPkZrvZtXzyunR
Task: {18EBE0ED-1EAB-4776-BDFC-E8DFA3640784} - System32\Tasks\GoogleUpdateSecurityTaskMachine_AJ => C:\Users\byrdz\AppData\Roaming\4aa57c69cf284598ba2474ba12f54e45\HandlerExecution.exe [2018-03-22] () 
Task: {8BCC4E10-726F-4DA4-B219-6D2BE0E31FB2} - System32\Tasks\GoogleUpdateSecurityTaskMachine_YD => C:\Users\byrdz\AppData\Roaming\73179a203cf14340a078b0b2aacf6ba6\HandlerExecution.exe [2018-03-22] () 
Task: {A4C9CEF0-7528-4F97-B650-8F312A6116F1} - System32\Tasks\GoogleUpdateSecurityTaskMachine_OX => C:\Users\byrdz\AppData\Roaming\76cc55dd9a3740408c857ed0f23ff1bb\HandlerExecution.exe [2018-03-22] () 
Task: {E6E348A5-D695-46CB-88BC-4DDDA52CD080} - System32\Tasks\GoogleUpdateSecurityTaskMachine_LF => C:\Users\byrdz\AppData\Local\ca82a53784824e738c137e50727f8f1a\HandlerExecution.exe [2018-03-22] () 
Task: {A3D367BC-0B47-45F3-A9CB-CDB33A77C63B} - System32\Tasks\GoogleUpdateSecurityTaskMachine_FG => C:\ProgramData\e9bee0b438034d95b679fea1fd7dc782\HandlerExecution.exe [2018-03-22] () 
C:\Users\byrdz\AppData\Roaming\4aa57c69cf284598ba2474ba12f54e45
C:\Users\byrdz\AppData\Roaming\73179a203cf14340a078b0b2aacf6ba6
C:\Users\byrdz\AppData\Roaming\76cc55dd9a3740408c857ed0f23ff1bb
C:\ProgramData\e9bee0b438034d95b679fea1fd7dc782
Task: {626CFDB1-5A99-4870-8752-C6117F6A7A62} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku 
Task: {662EABC6-8533-4A21-B365-DAE015B50537} - System32\Tasks\cmdsrv => C:\Browse\cmdsrvs.exe [2018-03-13] (Secrypt Inc.)
C:\Browse
GroupPolicy: Ograniczenia - Chrome 
S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X]
S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X]
S1 ebsktgnk; \??\C:\WINDOWS\system32\drivers\ebsktgnk.sys [X]
S1 fqvefljg; \??\C:\WINDOWS\system32\drivers\fqvefljg.sys [X]
S1 nkwpmper; \??\C:\WINDOWS\system32\drivers\nkwpmper.sys [X]
S1 sldylynf; \??\C:\WINDOWS\system32\drivers\sldylynf.sys [X]
S1 tcqhgvfw; \??\C:\WINDOWS\system32\drivers\tcqhgvfw.sys [X]
2018-03-22 15:34 - 2018-03-22 15:34 - 000000000 ____D C:\Program Files (x86)\yplCmHJcuoUn
2018-03-22 15:34 - 2018-03-22 15:34 - 000000000 ____D C:\Program Files (x86)\JwYYyjKjrIE
2018-03-22 15:07 - 2018-03-22 15:07 - 000000000 ____D C:\Program Files (x86)\pidIvTaYsJowCapgudtfmgq
2018-03-22 15:07 - 2018-03-22 15:07 - 000000000 ____D C:\Program Files (x86)\mAUzXDPkZrvZtXzyunRqnaqcoltor
2018-03-22 14:09 - 2018-03-22 14:09 - 000000000 ____D C:\Program Files (x86)\pidIvTaYsJowCwwpehuhwin
2018-03-22 14:09 - 2018-03-22 14:09 - 000000000 ____D C:\Program Files (x86)\mAUzXDPkZrvZtXzyunRytubqimuyg
2018-03-22 14:07 - 2018-03-22 14:09 - 000000000 ____D C:\Program Files (x86)\foldershare
2018-03-22 14:09 - 2018-03-22 15:45 - 000000000 ____D C:\Program Files\UEDT1PI04N
2018-03-22 14:35 - 2018-03-22 15:08 - 000000000 ____D C:\Users\byrdz\AppData\Local\yvxxOSvvvpXeZpQog
2018-03-22 14:09 - 2018-03-22 15:30 - 000000000 ____D C:\Users\byrdz\AppData\Roaming\j55dtnxuyah
2018-03-22 14:08 - 2018-03-22 15:19 - 000000000 ____D C:\Users\byrdz\AppData\Roaming\cpuminer
2018-03-22 14:08 - 2018-03-22 14:08 - 000000000 ____D C:\Users\byrdz\AppData\Roaming\gplyra
2018-03-22 14:06 - 2018-03-22 14:06 - 000000000 ____D C:\ProgramData\ef737cee-6357-1
2018-03-22 14:06 - 2018-03-22 14:06 - 000000000 ____D C:\ProgramData\ef737cee-3535-0
2018-03-22 14:09 - 2018-03-22 15:43 - 000000000 ____D C:\ProgramData\9d594f1d35
2018-03-22 14:07 - 2018-03-22 15:08 - 000000000 ____D C:\Applications
Folder: C:\Users\Public\Documents\AdobeGC
Folder: C:\WINDOWS\Microsoft Antimalware
Folder: C:\WINDOWS\system32\config\SOFTWARE
Folder: C:\Users\byrdz\AppData\Roaming\WidModule
Folder: C:\Program Files (x86)\ON
Tcpip\..\Interfaces\{5b7f5289-b6e9-46e5-bfee-e51b2047720e}: [NameServer] 82.163.142.8,95.211.158.136
CMD: ipconfig /flushdns
CMD: netsh advfirewall reset 
Hosts:
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\byrdz\AppData\Local
CMD: dir /a C:\Users\byrdz\AppData\LocalLow
CMD: dir /a C:\Users\byrdz\AppData\Roaming
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Infekcja adware zmodyfikowała plik Google Chrome resources.pak i wymagana jest kompleksowa reinstalacja tej przeglądarki.

• Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK.
• Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML.
• Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki.
• Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK.

4. Wyczyść przeglądarkę Mozilla FireFox:

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść historię przeglądania.

5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

[Byrdzij]

Przede wszystkim dziękuję za podjęcie tematu! Pierwszy raz korzystam z tego rodzaju forum. Postaram się dostosować do wszystkich reguł tutaj panujących, jeżeli zrobiłbym coś nie tak jak trzeba to proszę o wyrozumiałość. Jestem laikiem jeśli chodzi o technologię. Zawsze wydawało mi się, że w miarę sobie radzę z komputerem ale tym razem mnie ten temat przerasta. Poniżej lista czynności którą wykonałem po kolei od wczoraj po zamknięciu komputera:

1. Włączam komputer i loguje się
2. Wyskakuje okno (Załącznik Ad.2) - nic nie klikam, zamykam okno
3. Otwieram FIrefoxa na zakładce z Fixitpc.pl - zauważam dodatek Avasta w przeglądarce, którego nie było wcześniej (Załącznik AD.3)
4. Pobieram 'Program Install and Uninstall Troubleshooter' i deinstaluje 'Online Application' (Raport w załączniku AD.4)
5. Przez Panel Sterowania odinstalowuje kolejno: Browser-Security, FastDataX 1.20, PDcErbzxIU3q Updater version 1.2.0.4, RunBooster, YoutubeAdBlock, ShutdownTime version 1.0., Multitimer version 1.0.
 - wystąpił problem z YoutubeAdBlock (Załącznik AD.5) - kliknąłem Nie
 - reszta odinstalowana

6. Wyłączam na chwile Windows Defendera i robię Raporty z FRST
7. Włączam Windows Defendera i sporządzam raport na forum

Nawiązując do (hxxps://www.fixitpc.pl/forum-6/announcement-3-wa%C5%BCne-zak%C5%82adanie-tematu-obowi%C4%85zkowe-logi/): "Jeżeli jeden z podanych punktów jest niejasny lub zachodzi zjawisko niemożności jego wykonania, STOP, proszę nie przechodzić do dalszych wytycznych, ani tym bardziej wznawiać nieudany punkt, tylko zgłosić się na forum i: przedstawić na czym polega problem + dodać nowy zestaw logów wykonanych po nieudanej próbie wykonania zadania."

Poprzestaję tutaj bo nie wiem co z tym YoutubeAdBlockiem (pkt.5). Czy faktycznie został odinstalowany i mógłbym go usunąć z listy czy trzeba to jakoś inaczej załatwić przed wdrożeniem skryptu i zajęciem się przeglądarkami?

 

Jeszcze raz dziękuję za poświęcony mi czas!

Addition.txt

FRST.txt

Shortcut.txt

[Rucek]

Tak, usuń go z listy, odpal skrypt i postępuj dalej wg instrukcji. Jak nie usunie tego, to będzie widoczne w nowych logach.

[Byrdzij]

Ok. Przebieg zdarzeń prezentuje się następująco:

1. Włączam komputer i loguje się
2. Wyskakuje trzykrotnie okno jak poprzednio  (Załącznik Ad.2 w poprzednim poście) - nic nie klikam, zamykam okno
3. Otwieram FIrefoxa na zakładce z Fixitpc.pl - dodatek Avasta dalej jest
4. Przez Panel Sterowania odinstalowuje: YoutubeAdBlock - w okienku z załącznika Ad.5 z poprzdniego posta daję 'Tak'
5. Odpalam skrypt FRST. Za pierwszym razem nie wchodzi, więc wyłączyłem Windows Defendera i poszło. System się zrestartował i powstał plik fixlog.txt
6. Odinstalowywuje Google Chrome:
 - synchronizacja wyłączona
 - zakładki wyeksportowane
 - instaluje Google Chrome na nowo z podanego linku
7. Czyszczę przeglądarkę Mozilla Firefox:
 - synchronizacja wyłączona
 - Odświeżam program Firefox
 - historia przeglądania wyczyszczona
 - po wyczyszczeniu znika dodatek avasta, oraz nie pojawiają się dodatkowe reklamy na stronach
8. Robię nowe logi FRST.

 

Addition.txt

Fixlog.txt

FRST.txt

Shortcut.txt

[Miszel03]

Wszystkie zadane działania zostały pomyślne wykonane. Przechodzimy do poprawek mających na celu usunąć szczątki infekcji. 

 

Proszę mnie upewnić: przeglądarka Opera nie jest zainstalowana, prawda? Jeśli nie to proszę przejść dalej: 

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
C:\Program Files (x86)\ShutdownTime
C:\Users\byrdz\AppData\Local\ca82a53784824e738c137e50727f8f1a
C:\Users\byrdz\AppData\Local\InstallationConfiguration.xml
C:\Users\byrdz\AppData\Local\installer.dat
C:\Users\byrdz\AppData\Local\po.db
C:\Users\byrdz\AppData\Roaming\FastDataX
C:\Users\byrdz\AppData\Roaming\Microleaves
C:\Users\byrdz\AppData\Roaming\SystemHealer
Task: {DBE4B2C5-4A3B-4325-9EAD-869468833F59} - System32\Tasks\FastDataX Task => C:\PROGRA~2\FASTDA~1\FASTDA~1.EXE
Task: {B2B33212-CAA9-4CF7-8534-85704F933025} - System32\Tasks\Opera scheduled Autoupdate 1521724106 => C:\Users\byrdz\AppData\Local\Programs\Opera\launcher.exe
HKLM\...\StartupApproved\Run32: => "ShutdownTime"
BootExecute: autocheck autochk * aswBoot.exe /M:cd53853c /wow /dir:"c:\program files\avast software\avast"
2018-03-22 15:40 - 2018-03-22 15:40 - 000000000 ____D C:\Program Files\Common Files\AVAST Software
2018-03-22 14:08 - 2018-03-22 15:40 - 000000000 ____D C:\ProgramData\AVAST Software
2018-03-22 15:44 - 2018-03-22 15:44 - 000000000 ___HD C:\$AV_ASW
Folder: C:\Program Files (x86)\Kazrog
BHO: YoutubeAdBlock -> {C0D38E5A-7CF8-4105-8FE8-31B81443A114} -> C:\Program Files (x86)\JwYYyjKjrIE\txDXw8cGH.dll => Brak pliku
BHO-x32: YoutubeAdBlock -> {C0D38E5A-7CF8-4105-8FE8-31B81443A114} -> C:\Program Files (x86)\JwYYyjKjrIE\k5LI9LR.dll => Brak pliku
S2 PDcErbzxIU3q Updater; C:\Program Files (x86)\PDcErbzxIU3q Updater\PDcErbzxIU3q Updater.exe [X]
2018-03-22 14:09 - 2018-03-22 14:21 - 000000000 ____D C:\Users\byrdz\AppData\Local\Opera Software
2018-03-22 14:09 - 2018-03-22 14:09 - 000000000 ____D C:\Users\byrdz\AppData\Roaming\Opera Software
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

 

3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

[Byrdzij]

Nie korzystam z Opery. Zainstalowała się razem z innymi programami samoczynnie. Odinstalowałem ją w trakcie ataku jeśli można to tak nazwać.

Wszystkie zalecenia wykonane w podanej kolejności. Raporty w załącznikach.

 

Pozdrawiam!

Addition.txt

Fixlog.txt

FRST.txt

Malwarebytes raport.txt

Shortcut.txt

[Miszel03]

Operacje pomyślnie wykonane. Zbliżamy się do finalizacji tematu!

 

1. Zagrożenia (większość to szczątki) wykryte przez Malwarebytes daj do kasacji, a następnie powtórz skan w celu potwierdzenia wyniku zero detekcji.

 

2. Przez SHIFT + DELETE (omijanie kosza) skasuj:

 

     - szczątkowy folder adware: C:\Users\byrdz\AppData\Local\AdService 

     - szczątkowe foldery po oprogramowaniu Kazrog - C:\Program Files (x86)\Kazrog i C:\Users\byrdz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Kazrog (w katalogu została już chyba tylko instrukcja). 

 

3. Podsumuj obecny stan systemu. 

[Byrdzij]

Super!

1. Usunąłem to co wcześniej znalazł Malwarebytes oraz wskazane szczątkowe foldery

2. Zrobiłem skan Malwarebytes i pokazuje 0 infekcji! Czyli chyba dobrze Załączam raport ze skanu.

 

3. Uruchomiłem jeszcze raz system, żeby sprawdzić czy coś nie wyskakuje przy starcie.

Zauważalny szybszy start systemu. Nic nie wyskakuje, wszystko zdaje się być w porządku. Z przeglądarkami wszystko zdaje się być OK. Mam wrażenie że system chodzi trochę szybciej.
Zastanawia mnie to, że w Windows Defenderze mam pliki wykluczone ze skanowania. To w porządku? Załączam plik z listą. Też zastanawiam się nad tym .Net Framework o którego zainstalowanie byłem proszony po starcie systemu. (Załącznik AD.2 z poprzednich postów) Wyglądało to na systemowe okienko. Mam się tym nie przejmować?

Mam załączyć jakieś raporty jeszcze czy wystarczy takie słowne podsumowanie? Jutro będę mógł trochę dłużej posiedzieć na komputerze to będę w stanie powiedzieć może coś więcej. Na ten moment wydaję mi się, że wszystko jest w porządku, a nawet nie pamiętam, żeby wszystko tak śmigało kiedyś, może przy nowości

Malwarebytes brak zagrożeń.txt

[Miszel03]

Zastanawia mnie to, że w Windows Defenderze mam pliki wykluczone ze skanowania. To w porządku? Załączam plik z listą.

 

Cała lista to komponenty malware / adware. Proszę je usunąć z listy wykluczeń, ale spokojnie - to już nie stwarza zagrożenia - po prostu nie w przyszłości takie dane nie byłyby skanowane. 

 

Też zastanawiam się nad tym .Net Framework o którego zainstalowanie byłem proszony po starcie systemu. (Załącznik AD.2 z poprzednich postów) Wyglądało to na systemowe okienko. Mam się tym nie przejmować?

 

Nie przejmowałbym się tym. Wygląda na to, że rzeczywiście jakieś aplikacje wymagają .NET Framework - jeśli okno wyskoczy ponownie proszę wdrążyć aktualizację (i zwrócić uwagę czy na pewno odbywa się to przez Windows Update). 

 

Z mojego punkty widzenia też już wszystko powinno być w porządku. Cieszę się, że mogłem pomóc! 

 

1. Uruchom przeglądarkę Mozilla FireFox, a następnie użyj kombinacji klawiszy CTRL + SHIFT + A > otworzy się Menedżer dodatków > przejdź do karty Rozszerzenia > z listy wybierz podejrzane __MSG_appName__ i kliknij Usuń. 

 

2. Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

 

 

==================== Centrum zabezpieczeń ========================
 
AV: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AV: Malwarebytes (Enabled - Up to date) {23007AD3-69FE-687C-2629-D584AFFAF72B}
AS: Malwarebytes (Enabled - Up to date) {98619B37-4FC4-67F2-1C99-EEF6D47DBD96}
AS: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

 

Malwarebytes możesz odinstalować, choć z tego co widzę aktywowałeś okres próbny aplikacji (czyli składnik ochrony w czasie rzeczywistym jest włączony). Do jego wygaśnięcia możesz przy nim pozostać - później stanie się on jedynie skanerem na żądanie. 

 

Sugeruję więc skorzystać z naszej autorskiej listy oprogramowania zabezpieczającego i wybrać odpowiedni dla siebie pakiet zabezpieczający, ewentualnie możesz poprosić o pomoc w wyborze zakładając stosowany temat w dziale Oprogramowanie zabezpieczające.