Maciek1 Opublikowano 24 Sierpnia 2021 Zgłoś Udostępnij Opublikowano 24 Sierpnia 2021 Włączam rano komputer i słyszę że wentylatory głośno działają i otwieram menadżer zadań, a tam 100% wykorzystania procesora graficznego. I grzeje się do 70 stopni. (nic nie jest wlonczone oprócz menadżera zadań) Co mam zrobić? Odnośnik do komentarza
SZIRIN Opublikowano 24 Sierpnia 2021 Zgłoś Udostępnij Opublikowano 24 Sierpnia 2021 Przestań kopać kryptowaluty ;))), a tak na poważnie, nikt Ci z fusów nie wywróży, przeskanuj komputer np. mks, CCleaner, spróbuj odpalić w trybie awaryjnym i daj więcej info :) Odnośnik do komentarza
Krzesimierz Opublikowano 24 Sierpnia 2021 Zgłoś Udostępnij Opublikowano 24 Sierpnia 2021 @Maciek1: To może być crypto miner. Załącz logi FRST, przeanalizujemy. Odnośnik do komentarza
Maciek1 Opublikowano 26 Sierpnia 2021 Autor Zgłoś Udostępnij Opublikowano 26 Sierpnia 2021 Addition.txtPobieranie informacji ... FRST.txtPobieranie informacji ... Shortcut.txtPobieranie informacji ... Odnośnik do komentarza
Krzesimierz Opublikowano 26 Sierpnia 2021 Zgłoś Udostępnij Opublikowano 26 Sierpnia 2021 Jest trojan/wirus csrss kradnący hasła, m.in bankowe. Jest też poshukach kradnąca hasła z przeglądarki. Wirus pewnie uszkodził AVG, z logów wynika, że nie działa poprawnie. Są też pliki wirusów. oznaczone jako ransomware i wykryte w procesie CCleaner (możliwe, że wstrzyknięte do CCleanera). Do wglądu fragment loga w spoilerze poniżej Pokaż ukrytą zawartość Date: 2021-08-26 19:43:12 Description: Produkt Program antywirusowy Microsoft Defender wykrył złośliwe oprogramowanie lub inne potencjalnie niechciane oprogramowanie. Aby uzyskać więcej informacji, zobacz: https://go.microsoft.com/fwlink/?linkid=37020&name=Ransom:Win32/StopCrypt!ml&threatid=2147788061&enterprise=0 Nazwa: Ransom:Win32/StopCrypt!ml Identyfikator: 2147788061 Ważność: Poważny Kategoria: Oprogramowanie wymuszające okup Ścieżka: file:_C:\Users\User\AppData\Local\Temp\7zO4C306C10\Click_here-PFQJ-ANnjI2EzqQQAOUQCAFBMFwAGAMftN18A.exe; file:_C:\Users\User\AppData\Local\Temp\Rar$EXb6428.36928\Click_here-PFQJ-ANnjI2EzqQQAOUQCAFBMFwAGAMftN18A.exe Pochodzenie wykrycia: Komputer lokalny Typ wykrycia: FastPath Źródło wykrycia: Ochrona w czasie rzeczywistym Użytkownik: DESKTOP-BJV2MDE\User Nazwa procesu: C:\Program Files\CCleaner\CCleaner64.exe Wersja analizy zabezpieczeń: AV: 1.347.277.0, AS: 1.347.277.0, NIS: 1.347.277.0 Wersja aparatu: AM: 1.1.18400.5, NIS: 1.1.18400.5 Date: 2021-08-26 19:43:07 Description: Produkt Program antywirusowy Microsoft Defender wykrył złośliwe oprogramowanie lub inne potencjalnie niechciane oprogramowanie. Aby uzyskać więcej informacji, zobacz: https://go.microsoft.com/fwlink/?linkid=37020&name=Ransom:Win32/StopCrypt!ml&threatid=2147788061&enterprise=0 Nazwa: Ransom:Win32/StopCrypt!ml Identyfikator: 2147788061 Ważność: Poważny Kategoria: Oprogramowanie wymuszające okup Ścieżka: file:_C:\Users\User\AppData\Local\Temp\7zO4C306C10\Click_here-PFQJ-ANnjI2EzqQQAOUQCAFBMFwAGAMftN18A.exe Pochodzenie wykrycia: Komputer lokalny Typ wykrycia: FastPath Źródło wykrycia: Ochrona w czasie rzeczywistym Użytkownik: DESKTOP-BJV2MDE\User Nazwa procesu: C:\Program Files\CCleaner\CCleaner64.exe Wersja analizy zabezpieczeń: AV: 1.347.277.0, AS: 1.347.277.0, NIS: 1.347.277.0 Wersja aparatu: AM: 1.1.18400.5, NIS: 1.1.18400.5 Date: 2021-08-24 07:44:51 Description: Skanowanie produktu Program antywirusowy Microsoft Defender zostało zatrzymane przed ukończeniem. Identyfikator skanowania: {FE7D1C52-7409-489D-A78B-5106E1E3D59F} Typ skanowania: Narzędzia chroniące przed złośliwym oprogramowaniem Parametry skanowania: Pełne skanowanie Użytkownik: DESKTOP-BJV2MDE\User Date: 2021-08-24 07:26:16 Description: Produkt Program antywirusowy Microsoft Defender wykrył złośliwe oprogramowanie lub inne potencjalnie niechciane oprogramowanie. Aby uzyskać więcej informacji, zobacz: https://go.microsoft.com/fwlink/?linkid=37020&name=Ransom:Win32/StopCrypt!ml&threatid=2147788061&enterprise=0 Nazwa: Ransom:Win32/StopCrypt!ml Identyfikator: 2147788061 Ważność: Poważny Kategoria: Oprogramowanie wymuszające okup Ścieżka: file:_D:\Nowy folder (14)\Nowy folder\Click_here-PFQJ-ANnjI2EzqQQAOUQCAFBMFwAGAMftN18A.exe Pochodzenie wykrycia: Komputer lokalny Typ wykrycia: FastPath Źródło wykrycia: Użytkownik Użytkownik: DESKTOP-BJV2MDE\User Nazwa procesu: Unknown Wersja analizy zabezpieczeń: AV: 1.347.277.0, AS: 1.347.277.0, NIS: 1.347.277.0 Wersja aparatu: AM: 1.1.18400.5, NIS: 1.1.18400.5 Date: 2021-08-24 07:26:09 Description: Produkt Program antywirusowy Microsoft Defender wykrył złośliwe oprogramowanie lub inne potencjalnie niechciane oprogramowanie. Aby uzyskać więcej informacji, zobacz: https://go.microsoft.com/fwlink/?linkid=37020&name=Ransom:Win32/StopCrypt!ml&threatid=2147788061&enterprise=0 Nazwa: Ransom:Win32/StopCrypt!ml Identyfikator: 2147788061 Ważność: Poważny Kategoria: Oprogramowanie wymuszające okup Ścieżka: file:_D:\Nowy folder (14)\Nowy folder\Click_here-PFQJ-ANnjI2EzqQQAOUQCAFBMFwAGAMftN18A.exe Pochodzenie wykrycia: Komputer lokalny Typ wykrycia: FastPath Źródło wykrycia: Ochrona w czasie rzeczywistym Użytkownik: DESKTOP-BJV2MDE\User Nazwa procesu: C:\Windows\explorer.exe Wersja analizy zabezpieczeń: AV: 1.347.277.0, AS: 1.347.277.0, NIS: 1.347.277.0 Wersja aparatu: AM: 1.1.18400.5, NIS: 1.1.18400.5 Do wykonania poniższe, w takiej kolejności jak napisane: Pobierz programy AVG Clear, a kolejno AdwCleaner i zostaw na później Uruchom system w trybie awaryjnym Odinstaluj CCleaner, AVG, Java 8 Update 51 (w systemie jest już nowsza wersja), Web Companion (w systemie powinien być maksymalnie jeden program zabezpieczający, a będzie AVG) Uruchom AVG Clear, a kolejno AdwCleaner, uruchom skan i wyczyść pozostałości, które wyszuka. Kolejno Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y. Otworzy się Notatnik - wklej do niego: Pokaż ukrytą zawartość HKU\S-1-5-21-5354036-1856788173-4118867812-1001\...\Run: [MorningGlitter] => C:\Windows\rss\csrss.exe [4655104 2021-08-23] () [Brak podpisu cyfrowego] <==== UWAGA Task: {73F4E860-2395-4211-A41B-1463229449D8} - System32\Tasks\csrss => C:\Windows\rss\csrss.exe [4655104 2021-08-23] () [Brak podpisu cyfrowego] <==== UWAGA R2 WinDefender; C:\Windows\windefender.exe [0 0000-00-00] (Odmowa dostępu) <==== UWAGA (Odmowa dostępu) <==== UWAGA R3 Winmon; C:\Windows\System32\drivers\Winmon.sys [0 0000-00-00] () <==== UWAGA (zerobajtowy plik/folder) R3 WinmonFS; C:\Windows\System32\drivers\WinmonFS.sys [0 0000-00-00] (Windows (R) Win 7 DDK provider) <==== UWAGA (zerobajtowy plik/folder) GroupPolicy: Ograniczenia ? <==== UWAGA Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA HKU\S-1-5-21-5354036-1856788173-4118867812-1001\...\Run: [CCleaner Smart Cleaning] => C:\Program Files\CCleaner\CCleaner64.exe [35144320 2021-08-16] (Piriform Software Ltd -> Piriform Software Ltd) Task: {324DFF71-25BA-41AD-99B1-CB2DB797692D} - System32\Tasks\CCleaner Update => C:\Program Files\CCleaner\CCUpdate.exe [684976 2021-08-16] (Piriform Software Ltd -> Piriform) Task: {73F53AC1-8F1B-45C6-83A7-326965E77CA4} - System32\Tasks\CCleanerSkipUAC - User => C:\Program Files\CCleaner\CCleaner.exe [29211264 2021-08-16] (Piriform Software Ltd -> Piriform Software Ltd) (LAVASOFT SOFTWARE CANADA INC -> ) C:\Program Files (x86)\Lavasoft\Web Companion\Application\Lavasoft.WCAssistant.WinService.exe (LAVASOFT SOFTWARE CANADA INC -> Lavasoft) C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe HKU\S-1-5-21-5354036-1856788173-4118867812-1001\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe [8520168 2021-04-02] (LAVASOFT SOFTWARE CANADA INC -> Lavasoft) R2 WCAssistantService; C:\Program Files (x86)\Lavasoft\Web Companion\Application\Lavasoft.WCAssistant.WinService.exe [28136 2021-04-02] (LAVASOFT SOFTWARE CANADA INC -> ) Web Companion (HKLM-x32\...\{c35b65eb-4e9f-42b0-a041-223e57170c9d}) (Version: 7.0.2417.4248 - Lavasoft) IE trusted site: HKU\.DEFAULT\...\webcompanion.com -> hxxp://webcompanion.com IE trusted site: HKU\S-1-5-21-5354036-1856788173-4118867812-1001\...\webcompanion.com -> hxxp://webcompanion.com CHR DefaultSearchURL: Default -> hxxps://poshukach.com/search?q={searchTerms}&fr=ps&gp=496722&altserp=1 CHR DefaultSearchKeyword: Default -> poshukach engin search FirewallRules: [{07DF8ACA-65E3-4D87-8932-7CBA791C547A}] => (Allow) C:\Windows\rss\csrss.exe () [Brak podpisu cyfrowego] FirewallRules: [{28EF8236-33C8-4619-B85C-59616D8EEDBA}] => (Allow) C:\Windows\rss\csrss.exe () [Brak podpisu cyfrowego] FirewallRules: [TCP Query User{228A6112-3E34-47EF-92FF-2B101D553718}C:\users\user\appdata\local\programs\opera gx\73.0.3856.389\opera.exe] => (Block) C:\users\user\appdata\local\programs\opera gx\73.0.3856.389\opera.exe => Brak pliku FirewallRules: [UDP Query User{C772C328-DADC-42CC-9A8C-C3742CAC5532}C:\users\user\appdata\local\programs\opera gx\73.0.3856.389\opera.exe] => (Block) C:\users\user\appdata\local\programs\opera gx\73.0.3856.389\opera.exe => Brak pliku FirewallRules: [TCP Query User{04A0022D-E721-4B5A-A190-2EEB7F03C14B}C:\program files\windowsapps\facebook.317180b0bb486_880.7.120.0_x64__8xx8rvfyw5nnt\app\messenger.exe] => (Block) C:\program files\windowsapps\facebook.317180b0bb486_880.7.120.0_x64__8xx8rvfyw5nnt\app\messenger.exe => Brak pliku FirewallRules: [UDP Query User{0FF70E6B-A006-40F8-8AB6-A08CD0646F50}C:\program files\windowsapps\facebook.317180b0bb486_880.7.120.0_x64__8xx8rvfyw5nnt\app\messenger.exe] => (Block) C:\program files\windowsapps\facebook.317180b0bb486_880.7.120.0_x64__8xx8rvfyw5nnt\app\messenger.exe => Brak pliku FirewallRules: [TCP Query User{DC40E942-63E7-4A2D-B686-F4D977FE9114}C:\users\user\appdata\local\programs\opera gx\73.0.3856.396\opera.exe] => (Block) C:\users\user\appdata\local\programs\opera gx\73.0.3856.396\opera.exe => Brak pliku FirewallRules: [UDP Query User{E6343312-FAE6-4410-BFA7-99F6C62BB0C8}C:\users\user\appdata\local\programs\opera gx\73.0.3856.396\opera.exe] => (Block) C:\users\user\appdata\local\programs\opera gx\73.0.3856.396\opera.exe => Brak pliku FirewallRules: [TCP Query User{9B78AC55-F566-49CC-B82A-54DB0D34A02D}C:\program files\avast software\avast\avastui.exe] => (Block) C:\program files\avast software\avast\avastui.exe => Brak pliku FirewallRules: [UDP Query User{2069C6BA-DA8B-42D6-9DCA-B4B385357EC0}C:\program files\avast software\avast\avastui.exe] => (Block) C:\program files\avast software\avast\avastui.exe => Brak pliku FirewallRules: [TCP Query User{D9E3D943-765F-463C-8B2B-A30ACD22CA01}C:\users\user\appdata\local\programs\opera gx\73.0.3856.415\opera.exe] => (Block) C:\users\user\appdata\local\programs\opera gx\73.0.3856.415\opera.exe => Brak pliku FirewallRules: [UDP Query User{92BA2002-815F-450F-9BB0-623EDAAE69C8}C:\users\user\appdata\local\programs\opera gx\73.0.3856.415\opera.exe] => (Block) C:\users\user\appdata\local\programs\opera gx\73.0.3856.415\opera.exe => Brak pliku FirewallRules: [TCP Query User{C7DFEDF6-E103-457C-A428-1803283FF545}C:\users\user\appdata\roaming\utorrent web\utweb.exe] => (Block) C:\users\user\appdata\roaming\utorrent web\utweb.exe => Brak pliku FirewallRules: [UDP Query User{EC7D7FE7-E78E-4503-8061-15F153A56E15}C:\users\user\appdata\roaming\utorrent web\utweb.exe] => (Block) C:\users\user\appdata\roaming\utorrent web\utweb.exe => Brak pliku FirewallRules: [TCP Query User{BDBAA100-F1CC-4CCC-8A18-B76DBA476564}C:\users\user\appdata\local\programs\opera gx\73.0.3856.424\opera.exe] => (Block) C:\users\user\appdata\local\programs\opera gx\73.0.3856.424\opera.exe => Brak pliku FirewallRules: [UDP Query User{5564E000-1B64-4D12-A7A5-FBB0316F5663}C:\users\user\appdata\local\programs\opera gx\73.0.3856.424\opera.exe] => (Block) C:\users\user\appdata\local\programs\opera gx\73.0.3856.424\opera.exe => Brak pliku FirewallRules: [TCP Query User{B782F185-07B0-47E5-9DC2-2CDBF93DF0C4}C:\users\user\appdata\local\programs\opera gx\73.0.3856.427\opera.exe] => (Block) C:\users\user\appdata\local\programs\opera gx\73.0.3856.427\opera.exe => Brak pliku FirewallRules: [UDP Query User{6E08D51D-CAA8-4B8A-ABF3-E85F706CEED3}C:\users\user\appdata\local\programs\opera gx\73.0.3856.427\opera.exe] => (Block) C:\users\user\appdata\local\programs\opera gx\73.0.3856.427\opera.exe => Brak pliku FirewallRules: [TCP Query User{9C10B2AB-6EBB-4582-9DBD-5D56F5A4AB1D}C:\users\user\appdata\local\programs\opera gx\73.0.3856.434\opera.exe] => (Block) C:\users\user\appdata\local\programs\opera gx\73.0.3856.434\opera.exe => Brak pliku FirewallRules: [UDP Query User{07C8CC2B-D36D-45B9-8819-D6B819096366}C:\users\user\appdata\local\programs\opera gx\73.0.3856.434\opera.exe] => (Block) C:\users\user\appdata\local\programs\opera gx\73.0.3856.434\opera.exe => Brak pliku FirewallRules: [TCP Query User{F0C1E87F-3766-41CB-8983-B2BE7734A4D1}C:\users\user\appdata\local\programs\opera gx\73.0.3856.438\opera.exe] => (Block) C:\users\user\appdata\local\programs\opera gx\73.0.3856.438\opera.exe => Brak pliku FirewallRules: [UDP Query User{BB0FBC74-D92F-4C9B-8615-20364DACD252}C:\users\user\appdata\local\programs\opera gx\73.0.3856.438\opera.exe] => (Block) C:\users\user\appdata\local\programs\opera gx\73.0.3856.438\opera.exe => Brak pliku FirewallRules: [TCP Query User{C595B11E-4EF0-4477-B8C5-BA323713B81C}C:\users\user\appdata\local\programs\opera gx\75.0.3969.282\opera.exe] => (Block) C:\users\user\appdata\local\programs\opera gx\75.0.3969.282\opera.exe => Brak pliku FirewallRules: [UDP Query User{21BF9032-A999-4F3F-A442-C9B5D3FD6E15}C:\users\user\appdata\local\programs\opera gx\75.0.3969.282\opera.exe] => (Block) C:\users\user\appdata\local\programs\opera gx\75.0.3969.282\opera.exe => Brak pliku FirewallRules: [TCP Query User{A7B6BCFE-6A9D-4E51-BE32-0426EF3CCE5B}C:\users\user\appdata\local\programs\opera gx\76.0.4017.208\opera.exe] => (Block) C:\users\user\appdata\local\programs\opera gx\76.0.4017.208\opera.exe => Brak pliku FirewallRules: [UDP Query User{99387C51-EC40-4406-AFE4-6F48AAD3D2EB}C:\users\user\appdata\local\programs\opera gx\76.0.4017.208\opera.exe] => (Block) C:\users\user\appdata\local\programs\opera gx\76.0.4017.208\opera.exe => Brak pliku FirewallRules: [{02FEEDC9-C162-4D89-8243-841F2EC1BE4F}] => (Block) C:\users\user\appdata\local\programs\opera gx\76.0.4017.227\opera.exe => Brak pliku FirewallRules: [{23417BCF-5483-4B3C-BF0F-29481109F0A8}] => (Block) C:\users\user\appdata\local\programs\opera gx\76.0.4017.227\opera.exe => Brak pliku FirewallRules: [{525D604C-8560-4D67-B71A-225B421DF302}] => (Block) C:\Program Files\AVG\Antivirus\AVGUI.exe (AVG Technologies USA, LLC -> AVG Technologies CZ, s.r.o.) FirewallRules: [{5D1E7476-3426-4FE7-BD4F-72FC6CF5195F}] => (Block) C:\Program Files\AVG\Antivirus\AVGUI.exe (AVG Technologies USA, LLC -> AVG Technologies CZ, s.r.o.) CustomCLSID: HKU\S-1-5-21-5354036-1856788173-4118867812-1001_Classes\CLSID\{CB965DF1-B8EA-49C7-BDAD-5457FDC1BF92}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\TeamsMeetingAddin\1.0.20244.4\x64\Microsoft.Teams.AddinLoader.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-5354036-1856788173-4118867812-1001_Classes\CLSID\{d936918b-9c4b-555e-074a-c79314be04e1}\localserver32 -> "C:\Program Files (x86)\Proton Technologies\ProtonVPN\ProtonVPN.exe" -ToastActivated => Brak pliku FirewallRules: [TCP Query User{FA0355A9-E55A-4C69-B96C-1C18294DE638}C:\program files\windowsapps\facebook.317180b0bb486_860.5.119.0_x64__8xx8rvfyw5nnt\app\messenger.exe] => (Allow) C:\program files\windowsapps\facebook.317180b0bb486_860.5.119.0_x64__8xx8rvfyw5nnt\app\messenger.exe => Brak pliku FirewallRules: [UDP Query User{FF6FF7EF-358F-4873-8A1D-B0B3DB9FCB6F}C:\program files\windowsapps\facebook.317180b0bb486_860.5.119.0_x64__8xx8rvfyw5nnt\app\messenger.exe] => (Allow) C:\program files\windowsapps\facebook.317180b0bb486_860.5.119.0_x64__8xx8rvfyw5nnt\app\messenger.exe => Brak pliku FirewallRules: [TCP Query User{3CAB8B33-CD83-47DF-8B2D-AA01AD0D14F2}C:\users\user\appdata\local\programs\opera gx\73.0.3856.400\opera.exe] => (Allow) C:\users\user\appdata\local\programs\opera gx\73.0.3856.400\opera.exe => Brak pliku FirewallRules: [UDP Query User{4B0AB03F-C13E-4259-B21F-7706C280A522}C:\users\user\appdata\local\programs\opera gx\73.0.3856.400\opera.exe] => (Allow) C:\users\user\appdata\local\programs\opera gx\73.0.3856.400\opera.exe => Brak pliku FirewallRules: [TCP Query User{AC2C63CB-E091-4FC9-AEC5-9D006979AB2E}D:\gry\crystalauncher\scoped_dir2712_843915833\anydesk.exe] => (Allow) D:\gry\crystalauncher\scoped_dir2712_843915833\anydesk.exe => Brak pliku FirewallRules: [UDP Query User{C0D7C232-B430-4CB9-8BB0-4761D1ABA491}D:\gry\crystalauncher\scoped_dir2712_843915833\anydesk.exe] => (Allow) D:\gry\crystalauncher\scoped_dir2712_843915833\anydesk.exe => Brak pliku FirewallRules: [TCP Query User{5989DF7D-AF55-4642-AEE7-94A2195DCFD4}C:\users\user\appdata\local\programs\opera gx\73.0.3856.421\opera.exe] => (Allow) C:\users\user\appdata\local\programs\opera gx\73.0.3856.421\opera.exe => Brak pliku FirewallRules: [UDP Query User{7C09ECFD-FD15-442E-9D35-ADDDDC54CD53}C:\users\user\appdata\local\programs\opera gx\73.0.3856.421\opera.exe] => (Allow) C:\users\user\appdata\local\programs\opera gx\73.0.3856.421\opera.exe => Brak pliku FirewallRules: [{534FF03D-7A0B-4FCF-94D3-BC29A33DF19F}] => (Allow) C:\Users\User\AppData\Local\Programs\Opera\75.0.3969.149\opera.exe => Brak pliku FirewallRules: [{062C6A7E-0E0A-4179-A966-315AB3192628}] => (Allow) D:\gry\Steam\csgo\steamapps\common\Euro Truck Simulator 2 Demo\bin\win_x64\eurotrucks2.exe => Brak pliku FirewallRules: [{D8ACDC93-11A8-425F-BAD4-E1D5E7FC7B1E}] => (Allow) D:\gry\Steam\csgo\steamapps\common\Euro Truck Simulator 2 Demo\bin\win_x64\eurotrucks2.exe => Brak pliku FirewallRules: [TCP Query User{F9AABF7E-982A-4EA8-B2AF-7CEBB38CDCF1}D:\gry\fs\farming simulator 19 alpine farming\x64\farmingsimulator2019game.exe] => (Allow) D:\gry\fs\farming simulator 19 alpine farming\x64\farmingsimulator2019game.exe => Brak pliku FirewallRules: [UDP Query User{B9B86832-B5E5-4267-A860-B1A6F10C4B81}D:\gry\fs\farming simulator 19 alpine farming\x64\farmingsimulator2019game.exe] => (Allow) D:\gry\fs\farming simulator 19 alpine farming\x64\farmingsimulator2019game.exe => Brak pliku FirewallRules: [TCP Query User{2F43E653-9784-4C23-9774-4EA348ABB9E9}C:\users\user\appdata\local\programs\opera gx\75.0.3969.259\opera.exe] => (Allow) C:\users\user\appdata\local\programs\opera gx\75.0.3969.259\opera.exe => Brak pliku FirewallRules: [UDP Query User{CEA8CAEF-E21C-4676-B20B-31B9C24B089E}C:\users\user\appdata\local\programs\opera gx\75.0.3969.259\opera.exe] => (Allow) C:\users\user\appdata\local\programs\opera gx\75.0.3969.259\opera.exe => Brak pliku FirewallRules: [TCP Query User{D10F8136-7DEB-48D3-9D20-D7CE0A8FCC8A}C:\users\user\appdata\local\programs\opera gx\76.0.4017.227\opera.exe] => (Allow) C:\users\user\appdata\local\programs\opera gx\76.0.4017.227\opera.exe => Brak pliku FirewallRules: [UDP Query User{88F34F59-7428-430E-BF3C-F7932825F03B}C:\users\user\appdata\local\programs\opera gx\76.0.4017.227\opera.exe] => (Allow) C:\users\user\appdata\local\programs\opera gx\76.0.4017.227\opera.exe => Brak pliku FirewallRules: [TCP Query User{FCEC7032-4C24-4144-84ED-67F2E86ED860}C:\users\user\appdata\local\programs\opera gx\77.0.4054.257\opera.exe] => (Allow) C:\users\user\appdata\local\programs\opera gx\77.0.4054.257\opera.exe => Brak pliku FirewallRules: [UDP Query User{D6392222-5858-4AE0-B8D1-B9CCEE989B16}C:\users\user\appdata\local\programs\opera gx\77.0.4054.257\opera.exe] => (Allow) C:\users\user\appdata\local\programs\opera gx\77.0.4054.257\opera.exe => Brak pliku ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lavasoft\WebCompanion\Web Companion.lnk -> C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe (Lavasoft) -> --startmenu InternetURL: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lavasoft\WebCompanion\Frequently Asked Questions.url -> URL: hxxp://webcompanion.com/faq Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Riot Games\League of Legends.lnk -> C:\Riot Games\Riot Client\RiotClientServices.exe (Brak pliku) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Riot Games\VALORANT.lnk -> C:\Riot Games\Riot Client\RiotClientServices.exe (Brak pliku) Shortcut: C:\Users\Public\Desktop\VALORANT.lnk -> C:\Riot Games\Riot Client\RiotClientServices.exe (Brak pliku) Shortcut: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\uTorrent Web.lnk -> C:\Users\User\AppData\Roaming\uTorrent Web\utweb.exe (Brak pliku) Shortcut: C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\81f60f1222210b45\League of Legends.lnk -> C:\Riot Games\League of Legends\LeagueClient.exe (Brak pliku) cmd: del /f D:\Nowy folder (14)\Nowy folder\Click_here-PFQJ-ANnjI2EzqQQAOUQCAFBMFwAGAMftN18A.exe cmd: del /f C:\Users\User\AppData\Local\Temp\7zO4C306C10\Click_here-PFQJ-ANnjI2EzqQQAOUQCAFBMFwAGAMftN18A.exe; file:_C:\Users\User\AppData\Local\Temp\Rar$EXb6428.36928\Click_here-PFQJ-ANnjI2EzqQQAOUQCAFBMFwAGAMftN18A.exe EmptyTemp: Zapisz zawartość notatnika. (Na klawiaturze naciśnij jednocześnie CTRL + S.) W FRST kliknij na Fix (NAPRAW). Program będzie potrzebował restartu systemu, pozwól mu. Pliki z wirusami miały nazwę: D:\Nowy folder (14)\Nowy folder\Click_here-PFQJ-ANnjI2EzqQQAOUQCAFBMFwAGAMftN18A.exe Wyszukaj czy nie ma na dysku więcej plików zawierających w nazwie Click_here. Czyli wejdź w mój komputer i w okienku wyszukiwania wpisz Click_here* jeśli coś znajdzie ostrożnie usuń. Uważaj, aby ich przypadkowo nie uruchomić. Napisz jaka jest sytuacja i wklej świeże logi FRST. Odnośnik do komentarza
Maciek1 Opublikowano 29 Sierpnia 2021 Autor Zgłoś Udostępnij Opublikowano 29 Sierpnia 2021 Zrobiłem to co kazałeś. FRST.txtPobieranie informacji ... Addition.txtPobieranie informacji ... Shortcut.txtPobieranie informacji ... Odnośnik do komentarza
Krzesimierz Opublikowano 29 Sierpnia 2021 Zgłoś Udostępnij Opublikowano 29 Sierpnia 2021 Napisz jaka jest sytuacja. Czy tytułowe objawy ustąpiły? Logi wyglądają dobrze, brak śladu infekcji. Można z powrotem zainstalować AVG i CCleaner. Usuniemy jeszcze jeden nieciekawy wpis Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y. Otworzy się Notatnik - wklej do niego: Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA Zapisz zawartość notatnika. (Na klawiaturze naciśnij jednocześnie CTRL + S.) W FRST kliknij na Fix (NAPRAW). Odnośnik do komentarza
Maciek1 Opublikowano 29 Sierpnia 2021 Autor Zgłoś Udostępnij Opublikowano 29 Sierpnia 2021 Tak wszystko ustąpiło i jest w porządku. Odnośnik do komentarza
Maciek1 Opublikowano 30 Sierpnia 2021 Autor Zgłoś Udostępnij Opublikowano 30 Sierpnia 2021 Bardzo dziekuje za pomoc. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się