100% wykorzystania procesora graficznego

Maciek1 · 24 Sierpnia 2021

Włączam rano komputer i słyszę że wentylatory głośno działają i otwieram menadżer zadań, a tam 100% wykorzystania procesora graficznego. I grzeje się do 70 stopni. (nic nie jest wlonczone oprócz menadżera zadań) Co mam zrobić?

SZIRIN · 24 Sierpnia 2021

Przestań kopać kryptowaluty ;))), a tak na poważnie, nikt Ci z fusów nie wywróży, przeskanuj komputer np. mks, CCleaner, spróbuj odpalić w trybie awaryjnym i daj więcej info :)

Krzesimierz · 24 Sierpnia 2021

@Maciek1: To może być crypto miner. Załącz logi FRST, przeanalizujemy.

Maciek1 · 26 Sierpnia 2021

Addition.txt FRST.txt Shortcut.txt

Krzesimierz · 26 Sierpnia 2021

Jest trojan/wirus csrss kradnący hasła, m.in bankowe. Jest też poshukach kradnąca hasła z przeglądarki.

Wirus pewnie uszkodził AVG, z logów wynika, że nie działa poprawnie.

Są też pliki wirusów. oznaczone jako ransomware i wykryte w procesie CCleaner (możliwe, że wstrzyknięte do CCleanera). Do wglądu fragment loga w spoilerze poniżej

Spoiler

Date: 2021-08-26 19:43:12
Description:
Produkt Program antywirusowy Microsoft Defender wykrył złośliwe oprogramowanie lub inne potencjalnie niechciane oprogramowanie.
Aby uzyskać więcej informacji, zobacz:
https://go.microsoft.com/fwlink/?linkid=37020&name=Ransom:Win32/StopCrypt!ml&threatid=2147788061&enterprise=0
Nazwa: Ransom:Win32/StopCrypt!ml
Identyfikator: 2147788061
Ważność: Poważny
Kategoria: Oprogramowanie wymuszające okup
Ścieżka: file:_C:\Users\User\AppData\Local\Temp\7zO4C306C10\Click_here-PFQJ-ANnjI2EzqQQAOUQCAFBMFwAGAMftN18A.exe; file:_C:\Users\User\AppData\Local\Temp\Rar$EXb6428.36928\Click_here-PFQJ-ANnjI2EzqQQAOUQCAFBMFwAGAMftN18A.exe
Pochodzenie wykrycia: Komputer lokalny
Typ wykrycia: FastPath
Źródło wykrycia: Ochrona w czasie rzeczywistym
Użytkownik: DESKTOP-BJV2MDE\User
Nazwa procesu: C:\Program Files\CCleaner\CCleaner64.exe
Wersja analizy zabezpieczeń: AV: 1.347.277.0, AS: 1.347.277.0, NIS: 1.347.277.0
Wersja aparatu: AM: 1.1.18400.5, NIS: 1.1.18400.5

Date: 2021-08-26 19:43:07
Description:
Produkt Program antywirusowy Microsoft Defender wykrył złośliwe oprogramowanie lub inne potencjalnie niechciane oprogramowanie.
Aby uzyskać więcej informacji, zobacz:
https://go.microsoft.com/fwlink/?linkid=37020&name=Ransom:Win32/StopCrypt!ml&threatid=2147788061&enterprise=0
Nazwa: Ransom:Win32/StopCrypt!ml
Identyfikator: 2147788061
Ważność: Poważny
Kategoria: Oprogramowanie wymuszające okup
Ścieżka: file:_C:\Users\User\AppData\Local\Temp\7zO4C306C10\Click_here-PFQJ-ANnjI2EzqQQAOUQCAFBMFwAGAMftN18A.exe
Pochodzenie wykrycia: Komputer lokalny
Typ wykrycia: FastPath
Źródło wykrycia: Ochrona w czasie rzeczywistym
Użytkownik: DESKTOP-BJV2MDE\User
Nazwa procesu: C:\Program Files\CCleaner\CCleaner64.exe
Wersja analizy zabezpieczeń: AV: 1.347.277.0, AS: 1.347.277.0, NIS: 1.347.277.0
Wersja aparatu: AM: 1.1.18400.5, NIS: 1.1.18400.5

Date: 2021-08-24 07:44:51
Description:
Skanowanie produktu Program antywirusowy Microsoft Defender zostało zatrzymane przed ukończeniem.
Identyfikator skanowania: {FE7D1C52-7409-489D-A78B-5106E1E3D59F}
Typ skanowania: Narzędzia chroniące przed złośliwym oprogramowaniem
Parametry skanowania: Pełne skanowanie
Użytkownik: DESKTOP-BJV2MDE\User

Date: 2021-08-24 07:26:16
Description:
Produkt Program antywirusowy Microsoft Defender wykrył złośliwe oprogramowanie lub inne potencjalnie niechciane oprogramowanie.
Aby uzyskać więcej informacji, zobacz:
https://go.microsoft.com/fwlink/?linkid=37020&name=Ransom:Win32/StopCrypt!ml&threatid=2147788061&enterprise=0
Nazwa: Ransom:Win32/StopCrypt!ml
Identyfikator: 2147788061
Ważność: Poważny
Kategoria: Oprogramowanie wymuszające okup
Ścieżka: file:_D:\Nowy folder (14)\Nowy folder\Click_here-PFQJ-ANnjI2EzqQQAOUQCAFBMFwAGAMftN18A.exe
Pochodzenie wykrycia: Komputer lokalny
Typ wykrycia: FastPath
Źródło wykrycia: Użytkownik
Użytkownik: DESKTOP-BJV2MDE\User
Nazwa procesu: Unknown
Wersja analizy zabezpieczeń: AV: 1.347.277.0, AS: 1.347.277.0, NIS: 1.347.277.0
Wersja aparatu: AM: 1.1.18400.5, NIS: 1.1.18400.5

Date: 2021-08-24 07:26:09
Description:
Produkt Program antywirusowy Microsoft Defender wykrył złośliwe oprogramowanie lub inne potencjalnie niechciane oprogramowanie.
Aby uzyskać więcej informacji, zobacz:
https://go.microsoft.com/fwlink/?linkid=37020&name=Ransom:Win32/StopCrypt!ml&threatid=2147788061&enterprise=0
Nazwa: Ransom:Win32/StopCrypt!ml
Identyfikator: 2147788061
Ważność: Poważny
Kategoria: Oprogramowanie wymuszające okup
Ścieżka: file:_D:\Nowy folder (14)\Nowy folder\Click_here-PFQJ-ANnjI2EzqQQAOUQCAFBMFwAGAMftN18A.exe
Pochodzenie wykrycia: Komputer lokalny
Typ wykrycia: FastPath
Źródło wykrycia: Ochrona w czasie rzeczywistym
Użytkownik: DESKTOP-BJV2MDE\User
Nazwa procesu: C:\Windows\explorer.exe
Wersja analizy zabezpieczeń: AV: 1.347.277.0, AS: 1.347.277.0, NIS: 1.347.277.0
Wersja aparatu: AM: 1.1.18400.5, NIS: 1.1.18400.5

Do wykonania poniższe, w takiej kolejności jak napisane:

Pobierz programy AVG Clear, a kolejno AdwCleaner i zostaw na później

Uruchom system w trybie awaryjnym

Odinstaluj CCleaner, AVG, Java 8 Update 51 (w systemie jest już nowsza wersja), Web Companion (w systemie powinien być maksymalnie jeden program zabezpieczający, a będzie AVG)

Uruchom AVG Clear, a kolejno AdwCleaner, uruchom skan i wyczyść pozostałości, które wyszuka.

Kolejno Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

HKU\S-1-5-21-5354036-1856788173-4118867812-1001\...\Run: [MorningGlitter] => C:\Windows\rss\csrss.exe [4655104 2021-08-23] () [Brak podpisu cyfrowego] <==== UWAGA

Task: {73F4E860-2395-4211-A41B-1463229449D8} - System32\Tasks\csrss => C:\Windows\rss\csrss.exe [4655104 2021-08-23] () [Brak podpisu cyfrowego] <==== UWAGA
R2 WinDefender; C:\Windows\windefender.exe [0 0000-00-00] (Odmowa dostępu) <==== UWAGA (Odmowa dostępu) <==== UWAGA
R3 Winmon; C:\Windows\System32\drivers\Winmon.sys [0 0000-00-00] () <==== UWAGA (zerobajtowy plik/folder)
R3 WinmonFS; C:\Windows\System32\drivers\WinmonFS.sys [0 0000-00-00] (Windows (R) Win 7 DDK provider) <==== UWAGA (zerobajtowy plik/folder)
GroupPolicy: Ograniczenia ? <==== UWAGA
Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA

HKU\S-1-5-21-5354036-1856788173-4118867812-1001\...\Run: [CCleaner Smart Cleaning] => C:\Program Files\CCleaner\CCleaner64.exe [35144320 2021-08-16] (Piriform Software Ltd -> Piriform Software Ltd)
Task: {324DFF71-25BA-41AD-99B1-CB2DB797692D} - System32\Tasks\CCleaner Update => C:\Program Files\CCleaner\CCUpdate.exe [684976 2021-08-16] (Piriform Software Ltd -> Piriform)
Task: {73F53AC1-8F1B-45C6-83A7-326965E77CA4} - System32\Tasks\CCleanerSkipUAC - User => C:\Program Files\CCleaner\CCleaner.exe [29211264 2021-08-16] (Piriform Software Ltd -> Piriform Software Ltd)

(LAVASOFT SOFTWARE CANADA INC -> ) C:\Program Files (x86)\Lavasoft\Web Companion\Application\Lavasoft.WCAssistant.WinService.exe
(LAVASOFT SOFTWARE CANADA INC -> Lavasoft) C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe
HKU\S-1-5-21-5354036-1856788173-4118867812-1001\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe [8520168 2021-04-02] (LAVASOFT SOFTWARE CANADA INC -> Lavasoft)
R2 WCAssistantService; C:\Program Files (x86)\Lavasoft\Web Companion\Application\Lavasoft.WCAssistant.WinService.exe [28136 2021-04-02] (LAVASOFT SOFTWARE CANADA INC -> )
Web Companion (HKLM-x32\...\{c35b65eb-4e9f-42b0-a041-223e57170c9d}) (Version: 7.0.2417.4248 - Lavasoft)

IE trusted site: HKU\.DEFAULT\...\webcompanion.com -> hxxp://webcompanion.com
IE trusted site: HKU\S-1-5-21-5354036-1856788173-4118867812-1001\...\webcompanion.com -> hxxp://webcompanion.com

CHR DefaultSearchURL: Default -> hxxps://poshukach.com/search?q={searchTerms}&fr=ps&gp=496722&altserp=1
CHR DefaultSearchKeyword: Default -> poshukach engin search

FirewallRules: [{07DF8ACA-65E3-4D87-8932-7CBA791C547A}] => (Allow) C:\Windows\rss\csrss.exe () [Brak podpisu cyfrowego]
FirewallRules: [{28EF8236-33C8-4619-B85C-59616D8EEDBA}] => (Allow) C:\Windows\rss\csrss.exe () [Brak podpisu cyfrowego]
FirewallRules: [TCP Query User{228A6112-3E34-47EF-92FF-2B101D553718}C:\users\user\appdata\local\programs\opera gx\73.0.3856.389\opera.exe] => (Block) C:\users\user\appdata\local\programs\opera gx\73.0.3856.389\opera.exe => Brak pliku
FirewallRules: [UDP Query User{C772C328-DADC-42CC-9A8C-C3742CAC5532}C:\users\user\appdata\local\programs\opera gx\73.0.3856.389\opera.exe] => (Block) C:\users\user\appdata\local\programs\opera gx\73.0.3856.389\opera.exe => Brak pliku
FirewallRules: [TCP Query User{04A0022D-E721-4B5A-A190-2EEB7F03C14B}C:\program files\windowsapps\facebook.317180b0bb486_880.7.120.0_x64__8xx8rvfyw5nnt\app\messenger.exe] => (Block) C:\program files\windowsapps\facebook.317180b0bb486_880.7.120.0_x64__8xx8rvfyw5nnt\app\messenger.exe => Brak pliku
FirewallRules: [UDP Query User{0FF70E6B-A006-40F8-8AB6-A08CD0646F50}C:\program files\windowsapps\facebook.317180b0bb486_880.7.120.0_x64__8xx8rvfyw5nnt\app\messenger.exe] => (Block) C:\program files\windowsapps\facebook.317180b0bb486_880.7.120.0_x64__8xx8rvfyw5nnt\app\messenger.exe => Brak pliku
FirewallRules: [TCP Query User{DC40E942-63E7-4A2D-B686-F4D977FE9114}C:\users\user\appdata\local\programs\opera gx\73.0.3856.396\opera.exe] => (Block) C:\users\user\appdata\local\programs\opera gx\73.0.3856.396\opera.exe => Brak pliku
FirewallRules: [UDP Query User{E6343312-FAE6-4410-BFA7-99F6C62BB0C8}C:\users\user\appdata\local\programs\opera gx\73.0.3856.396\opera.exe] => (Block) C:\users\user\appdata\local\programs\opera gx\73.0.3856.396\opera.exe => Brak pliku
FirewallRules: [TCP Query User{9B78AC55-F566-49CC-B82A-54DB0D34A02D}C:\program files\avast software\avast\avastui.exe] => (Block) C:\program files\avast software\avast\avastui.exe => Brak pliku
FirewallRules: [UDP Query User{2069C6BA-DA8B-42D6-9DCA-B4B385357EC0}C:\program files\avast software\avast\avastui.exe] => (Block) C:\program files\avast software\avast\avastui.exe => Brak pliku
FirewallRules: [TCP Query User{D9E3D943-765F-463C-8B2B-A30ACD22CA01}C:\users\user\appdata\local\programs\opera gx\73.0.3856.415\opera.exe] => (Block) C:\users\user\appdata\local\programs\opera gx\73.0.3856.415\opera.exe => Brak pliku
FirewallRules: [UDP Query User{92BA2002-815F-450F-9BB0-623EDAAE69C8}C:\users\user\appdata\local\programs\opera gx\73.0.3856.415\opera.exe] => (Block) C:\users\user\appdata\local\programs\opera gx\73.0.3856.415\opera.exe => Brak pliku
FirewallRules: [TCP Query User{C7DFEDF6-E103-457C-A428-1803283FF545}C:\users\user\appdata\roaming\utorrent web\utweb.exe] => (Block) C:\users\user\appdata\roaming\utorrent web\utweb.exe => Brak pliku
FirewallRules: [UDP Query User{EC7D7FE7-E78E-4503-8061-15F153A56E15}C:\users\user\appdata\roaming\utorrent web\utweb.exe] => (Block) C:\users\user\appdata\roaming\utorrent web\utweb.exe => Brak pliku
FirewallRules: [TCP Query User{BDBAA100-F1CC-4CCC-8A18-B76DBA476564}C:\users\user\appdata\local\programs\opera gx\73.0.3856.424\opera.exe] => (Block) C:\users\user\appdata\local\programs\opera gx\73.0.3856.424\opera.exe => Brak pliku
FirewallRules: [UDP Query User{5564E000-1B64-4D12-A7A5-FBB0316F5663}C:\users\user\appdata\local\programs\opera gx\73.0.3856.424\opera.exe] => (Block) C:\users\user\appdata\local\programs\opera gx\73.0.3856.424\opera.exe => Brak pliku
FirewallRules: [TCP Query User{B782F185-07B0-47E5-9DC2-2CDBF93DF0C4}C:\users\user\appdata\local\programs\opera gx\73.0.3856.427\opera.exe] => (Block) C:\users\user\appdata\local\programs\opera gx\73.0.3856.427\opera.exe => Brak pliku
FirewallRules: [UDP Query User{6E08D51D-CAA8-4B8A-ABF3-E85F706CEED3}C:\users\user\appdata\local\programs\opera gx\73.0.3856.427\opera.exe] => (Block) C:\users\user\appdata\local\programs\opera gx\73.0.3856.427\opera.exe => Brak pliku
FirewallRules: [TCP Query User{9C10B2AB-6EBB-4582-9DBD-5D56F5A4AB1D}C:\users\user\appdata\local\programs\opera gx\73.0.3856.434\opera.exe] => (Block) C:\users\user\appdata\local\programs\opera gx\73.0.3856.434\opera.exe => Brak pliku
FirewallRules: [UDP Query User{07C8CC2B-D36D-45B9-8819-D6B819096366}C:\users\user\appdata\local\programs\opera gx\73.0.3856.434\opera.exe] => (Block) C:\users\user\appdata\local\programs\opera gx\73.0.3856.434\opera.exe => Brak pliku
FirewallRules: [TCP Query User{F0C1E87F-3766-41CB-8983-B2BE7734A4D1}C:\users\user\appdata\local\programs\opera gx\73.0.3856.438\opera.exe] => (Block) C:\users\user\appdata\local\programs\opera gx\73.0.3856.438\opera.exe => Brak pliku
FirewallRules: [UDP Query User{BB0FBC74-D92F-4C9B-8615-20364DACD252}C:\users\user\appdata\local\programs\opera gx\73.0.3856.438\opera.exe] => (Block) C:\users\user\appdata\local\programs\opera gx\73.0.3856.438\opera.exe => Brak pliku
FirewallRules: [TCP Query User{C595B11E-4EF0-4477-B8C5-BA323713B81C}C:\users\user\appdata\local\programs\opera gx\75.0.3969.282\opera.exe] => (Block) C:\users\user\appdata\local\programs\opera gx\75.0.3969.282\opera.exe => Brak pliku
FirewallRules: [UDP Query User{21BF9032-A999-4F3F-A442-C9B5D3FD6E15}C:\users\user\appdata\local\programs\opera gx\75.0.3969.282\opera.exe] => (Block) C:\users\user\appdata\local\programs\opera gx\75.0.3969.282\opera.exe => Brak pliku
FirewallRules: [TCP Query User{A7B6BCFE-6A9D-4E51-BE32-0426EF3CCE5B}C:\users\user\appdata\local\programs\opera gx\76.0.4017.208\opera.exe] => (Block) C:\users\user\appdata\local\programs\opera gx\76.0.4017.208\opera.exe => Brak pliku
FirewallRules: [UDP Query User{99387C51-EC40-4406-AFE4-6F48AAD3D2EB}C:\users\user\appdata\local\programs\opera gx\76.0.4017.208\opera.exe] => (Block) C:\users\user\appdata\local\programs\opera gx\76.0.4017.208\opera.exe => Brak pliku
FirewallRules: [{02FEEDC9-C162-4D89-8243-841F2EC1BE4F}] => (Block) C:\users\user\appdata\local\programs\opera gx\76.0.4017.227\opera.exe => Brak pliku
FirewallRules: [{23417BCF-5483-4B3C-BF0F-29481109F0A8}] => (Block) C:\users\user\appdata\local\programs\opera gx\76.0.4017.227\opera.exe => Brak pliku
FirewallRules: [{525D604C-8560-4D67-B71A-225B421DF302}] => (Block) C:\Program Files\AVG\Antivirus\AVGUI.exe (AVG Technologies USA, LLC -> AVG Technologies CZ, s.r.o.)
FirewallRules: [{5D1E7476-3426-4FE7-BD4F-72FC6CF5195F}] => (Block) C:\Program Files\AVG\Antivirus\AVGUI.exe (AVG Technologies USA, LLC -> AVG Technologies CZ, s.r.o.)

CustomCLSID: HKU\S-1-5-21-5354036-1856788173-4118867812-1001_Classes\CLSID\{CB965DF1-B8EA-49C7-BDAD-5457FDC1BF92}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\TeamsMeetingAddin\1.0.20244.4\x64\Microsoft.Teams.AddinLoader.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-5354036-1856788173-4118867812-1001_Classes\CLSID\{d936918b-9c4b-555e-074a-c79314be04e1}\localserver32 -> "C:\Program Files (x86)\Proton Technologies\ProtonVPN\ProtonVPN.exe" -ToastActivated => Brak pliku
FirewallRules: [TCP Query User{FA0355A9-E55A-4C69-B96C-1C18294DE638}C:\program files\windowsapps\facebook.317180b0bb486_860.5.119.0_x64__8xx8rvfyw5nnt\app\messenger.exe] => (Allow) C:\program files\windowsapps\facebook.317180b0bb486_860.5.119.0_x64__8xx8rvfyw5nnt\app\messenger.exe => Brak pliku
FirewallRules: [UDP Query User{FF6FF7EF-358F-4873-8A1D-B0B3DB9FCB6F}C:\program files\windowsapps\facebook.317180b0bb486_860.5.119.0_x64__8xx8rvfyw5nnt\app\messenger.exe] => (Allow) C:\program files\windowsapps\facebook.317180b0bb486_860.5.119.0_x64__8xx8rvfyw5nnt\app\messenger.exe => Brak pliku
FirewallRules: [TCP Query User{3CAB8B33-CD83-47DF-8B2D-AA01AD0D14F2}C:\users\user\appdata\local\programs\opera gx\73.0.3856.400\opera.exe] => (Allow) C:\users\user\appdata\local\programs\opera gx\73.0.3856.400\opera.exe => Brak pliku
FirewallRules: [UDP Query User{4B0AB03F-C13E-4259-B21F-7706C280A522}C:\users\user\appdata\local\programs\opera gx\73.0.3856.400\opera.exe] => (Allow) C:\users\user\appdata\local\programs\opera gx\73.0.3856.400\opera.exe => Brak pliku
FirewallRules: [TCP Query User{AC2C63CB-E091-4FC9-AEC5-9D006979AB2E}D:\gry\crystalauncher\scoped_dir2712_843915833\anydesk.exe] => (Allow) D:\gry\crystalauncher\scoped_dir2712_843915833\anydesk.exe => Brak pliku
FirewallRules: [UDP Query User{C0D7C232-B430-4CB9-8BB0-4761D1ABA491}D:\gry\crystalauncher\scoped_dir2712_843915833\anydesk.exe] => (Allow) D:\gry\crystalauncher\scoped_dir2712_843915833\anydesk.exe => Brak pliku
FirewallRules: [TCP Query User{5989DF7D-AF55-4642-AEE7-94A2195DCFD4}C:\users\user\appdata\local\programs\opera gx\73.0.3856.421\opera.exe] => (Allow) C:\users\user\appdata\local\programs\opera gx\73.0.3856.421\opera.exe => Brak pliku
FirewallRules: [UDP Query User{7C09ECFD-FD15-442E-9D35-ADDDDC54CD53}C:\users\user\appdata\local\programs\opera gx\73.0.3856.421\opera.exe] => (Allow) C:\users\user\appdata\local\programs\opera gx\73.0.3856.421\opera.exe => Brak pliku
FirewallRules: [{534FF03D-7A0B-4FCF-94D3-BC29A33DF19F}] => (Allow) C:\Users\User\AppData\Local\Programs\Opera\75.0.3969.149\opera.exe => Brak pliku
FirewallRules: [{062C6A7E-0E0A-4179-A966-315AB3192628}] => (Allow) D:\gry\Steam\csgo\steamapps\common\Euro Truck Simulator 2 Demo\bin\win_x64\eurotrucks2.exe => Brak pliku
FirewallRules: [{D8ACDC93-11A8-425F-BAD4-E1D5E7FC7B1E}] => (Allow) D:\gry\Steam\csgo\steamapps\common\Euro Truck Simulator 2 Demo\bin\win_x64\eurotrucks2.exe => Brak pliku
FirewallRules: [TCP Query User{F9AABF7E-982A-4EA8-B2AF-7CEBB38CDCF1}D:\gry\fs\farming simulator 19 alpine farming\x64\farmingsimulator2019game.exe] => (Allow) D:\gry\fs\farming simulator 19 alpine farming\x64\farmingsimulator2019game.exe => Brak pliku
FirewallRules: [UDP Query User{B9B86832-B5E5-4267-A860-B1A6F10C4B81}D:\gry\fs\farming simulator 19 alpine farming\x64\farmingsimulator2019game.exe] => (Allow) D:\gry\fs\farming simulator 19 alpine farming\x64\farmingsimulator2019game.exe => Brak pliku
FirewallRules: [TCP Query User{2F43E653-9784-4C23-9774-4EA348ABB9E9}C:\users\user\appdata\local\programs\opera gx\75.0.3969.259\opera.exe] => (Allow) C:\users\user\appdata\local\programs\opera gx\75.0.3969.259\opera.exe => Brak pliku
FirewallRules: [UDP Query User{CEA8CAEF-E21C-4676-B20B-31B9C24B089E}C:\users\user\appdata\local\programs\opera gx\75.0.3969.259\opera.exe] => (Allow) C:\users\user\appdata\local\programs\opera gx\75.0.3969.259\opera.exe => Brak pliku
FirewallRules: [TCP Query User{D10F8136-7DEB-48D3-9D20-D7CE0A8FCC8A}C:\users\user\appdata\local\programs\opera gx\76.0.4017.227\opera.exe] => (Allow) C:\users\user\appdata\local\programs\opera gx\76.0.4017.227\opera.exe => Brak pliku
FirewallRules: [UDP Query User{88F34F59-7428-430E-BF3C-F7932825F03B}C:\users\user\appdata\local\programs\opera gx\76.0.4017.227\opera.exe] => (Allow) C:\users\user\appdata\local\programs\opera gx\76.0.4017.227\opera.exe => Brak pliku
FirewallRules: [TCP Query User{FCEC7032-4C24-4144-84ED-67F2E86ED860}C:\users\user\appdata\local\programs\opera gx\77.0.4054.257\opera.exe] => (Allow) C:\users\user\appdata\local\programs\opera gx\77.0.4054.257\opera.exe => Brak pliku
FirewallRules: [UDP Query User{D6392222-5858-4AE0-B8D1-B9CCEE989B16}C:\users\user\appdata\local\programs\opera gx\77.0.4054.257\opera.exe] => (Allow) C:\users\user\appdata\local\programs\opera gx\77.0.4054.257\opera.exe => Brak pliku

ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lavasoft\WebCompanion\Web Companion.lnk -> C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe (Lavasoft) -> --startmenu

InternetURL: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lavasoft\WebCompanion\Frequently Asked Questions.url -> URL: hxxp://webcompanion.com/faq

Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Riot Games\League of Legends.lnk -> C:\Riot Games\Riot Client\RiotClientServices.exe (Brak pliku)
Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Riot Games\VALORANT.lnk -> C:\Riot Games\Riot Client\RiotClientServices.exe (Brak pliku)
Shortcut: C:\Users\Public\Desktop\VALORANT.lnk -> C:\Riot Games\Riot Client\RiotClientServices.exe (Brak pliku)
Shortcut: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\uTorrent Web.lnk -> C:\Users\User\AppData\Roaming\uTorrent Web\utweb.exe (Brak pliku)
Shortcut: C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\81f60f1222210b45\League of Legends.lnk -> C:\Riot Games\League of Legends\LeagueClient.exe (Brak pliku)

cmd: del /f D:\Nowy folder (14)\Nowy folder\Click_here-PFQJ-ANnjI2EzqQQAOUQCAFBMFwAGAMftN18A.exe

cmd: del /f C:\Users\User\AppData\Local\Temp\7zO4C306C10\Click_here-PFQJ-ANnjI2EzqQQAOUQCAFBMFwAGAMftN18A.exe; file:_C:\Users\User\AppData\Local\Temp\Rar$EXb6428.36928\Click_here-PFQJ-ANnjI2EzqQQAOUQCAFBMFwAGAMftN18A.exe

EmptyTemp:

Zapisz zawartość notatnika. (Na klawiaturze naciśnij jednocześnie CTRL + S.)
W FRST kliknij na Fix (NAPRAW).

Program będzie potrzebował restartu systemu, pozwól mu.

Pliki z wirusami miały nazwę:

D:\Nowy folder (14)\Nowy folder\Click_here-PFQJ-ANnjI2EzqQQAOUQCAFBMFwAGAMftN18A.exe

Wyszukaj czy nie ma na dysku więcej plików zawierających w nazwie Click_here. Czyli wejdź w mój komputer i w okienku wyszukiwania wpisz Click_here*

jeśli coś znajdzie ostrożnie usuń. Uważaj, aby ich przypadkowo nie uruchomić.

Napisz jaka jest sytuacja i wklej świeże logi FRST.

Maciek1 · 29 Sierpnia 2021

Zrobiłem to co kazałeś.

FRST.txt Addition.txt Shortcut.txt

Krzesimierz · 29 Sierpnia 2021

Napisz jaka jest sytuacja. Czy tytułowe objawy ustąpiły?

Logi wyglądają dobrze, brak śladu infekcji. Można z powrotem zainstalować AVG i CCleaner.

Usuniemy jeszcze jeden nieciekawy wpis

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA

Zapisz zawartość notatnika. (Na klawiaturze naciśnij jednocześnie CTRL + S.)
W FRST kliknij na Fix (NAPRAW).

Maciek1 · 29 Sierpnia 2021

Tak wszystko ustąpiło i jest w porządku.

Maciek1 · 30 Sierpnia 2021

Bardzo dziekuje za pomoc.

Zaloguj się

100% wykorzystania procesora graficznego

Rekomendowane odpowiedzi

Maciek1

Odnośnik do komentarza

SZIRIN

Odnośnik do komentarza

Krzesimierz

Odnośnik do komentarza

Maciek1

Odnośnik do komentarza

Krzesimierz

Odnośnik do komentarza

Maciek1

Odnośnik do komentarza

Krzesimierz

Odnośnik do komentarza

Maciek1

Odnośnik do komentarza

Maciek1

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Zarejestruj nowe konto

Zaloguj się

Ostatnio przeglądający 0 użytkowników

Przeglądaj

Cała aktywność