Като цяло системата работи без проблеми.Правено е сканиране с Malwarebytes не намира проблеми.Единствено притеснително нещо е AlternateDataStreams: C:\Users\NightRider\AppData\Local\Temp:$DATA 

Addition.txt FRST.txt

Привет, лично аз не видях зловредна активност. ADS стрийма можем да го изтрием.

Запазете това в notepad с името fixlist.txt

Цитат

AlternateDataStreams: C:\Users\NightRider\AppData\Local\Temp:$DATA [16]

Копирайте файла в папката, където се намира FRST64.exe (т.е. на десктопа).

Стартирайте FRST64.exe и натиснете FIX веднъж.

След като приключи ще се създаде лог файл с името FIXLOG.txt на десктопа.

Копирайте съдържанието му в следващия си коментар.

Иначе при защитна програма като Comodo, която имате инсталирана (при правилни настройки и употреба) трудно би преминала зараза.

Все пак винаги можете да направите една проверка с TDSSKiller

Преди да сканирате от Change Parameters сложете всички отметки.

Ще ви поиска рестарт за да зареди драйвера още преди да сканира. След рестарта стартирайте инструмента отново и отново сложете всички отметки и вече сканирайте.

Накрая публикувайте лог файла, който се намира в свободната директория на дял C:\ => C:\TDSSKiller.txt

Поздрави!

Не виждам Fix-А

Само един последен въпрос тези неизвестни процеси и user-и 

Error: (03/16/2021 12:15:50 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Име на приложение с грешки: bad_module_info, версия: 0.0.0.0, времево клеймо: 0x00000000
Име на модул с грешки: unknown, версия: 0.0.0.0, времево клеймо: 0x00000000
Код на изключение: 0x00000000
Отместване на грешка: 0x0000000000000000
ИД на процес на грешка: 0xdf0
Начален час на приложението с грешки: 0x01d71a4809eb289f
Път на приложението с грешки: bad_module_info
Път на модула с грешки: unknown
ИД на доклад: 9f1af1c4-7661-4b6a-bb75-2fb85dc25418
Пълно име на пакета с грешка: 
ИД на свързаното с пакета с грешка приложение:

Кой FIX не виждате? Fixlist нали ви казах как да си го създадете и сам. И след изпълнението му кликнете FIX в FRST за да се изпълни.

Колкото до EventViewer съдържанието, поне за този процес е напълно безполезно, защото на практика не съдържа никаква информация и аз трябва да съм екстрасенс за да отгатна за кой процес става въпрос.

Ако имате файлове в C:\Windows\Minidump можете да ги архивирате и качите някъде за анализ или да видите в самия EventViewer за други близки подобни събития и евентуално да хванете нещо по време, дата и час, но специално това публикувано така не носи никаква информация. Много е вероятно да е свързано с някоя игра, но явно това е някаква "новост" при Windows 10 май да вади подобна оскъдна информация:

https://www.thewindowsclub.com/bad_module_info-has-stopped-working-on-windows-10

https://answers.microsoft.com/en-us/windows/forum/games_windows_10/badmoduleinfo-has-stopped-work/563aac61-fa21-48ad-8e2c-cd64eaf7b1e5

Но все пак не мисля, че има поводи за притеснение.

Отделно не видях и лог файла от TDSSKiller. Искате помощ и питате, но не изпълнявате.

Поздрави!

Fixlog.txt TDSSKiller.3.1.0.28_19.03.2021_20.24.15_log.txt TDSSKiller.3.1.0.28_19.03.2021_20.27.22_log.txt

Ами лог файла е чист. Засечения обект от TDSSKiller е легитимна програма:

C:\Program Files (x86)\Winstep\Nexus.exe

Иначе FRST не е успял да премахне ADS. Може би се ползва от някоя програма. Ако искаш пусни FIX-a отново, но в Safe Mode.

Като цяло и да не се изтрие, не мисля, че е голям проблем, защото не всички ADS са зловредни, а Malwarebytes така или иначе може да ги сканира за зловредни обекти:

https://blog.malwarebytes.com/101/2015/07/introduction-to-alternate-data-streams/

Самия Comodo преди също създаваше доста ADS от сорта на $CmdTcID и те не можеха да се премахнат по никакъв начин и с никакъв инструмент (като PCHunter, StreamArmor и т.н.) докато COMODO беше инсталиран.

Според мен няма място за безпокойство. Системата изглежда чиста от зловреден софтуер.

Добре. Благодаря ти за отделеното време.

Няма за какво.

За да премахнем Farbar Recovery Scan Tool направете следното:

Преименувайте изпълнимия файл FRST64.exe на Uninstall.exe.

     =>    

Кликнете с десен бутон на мишката върху Uninstall.exe и изберете Run as administrator. Ще бъдете уведомени, че трябва да рестартирате системата, за да изтриете инструмента.

След рестарта инструмента и прилежащите към него файлове ще бъдат изтрити.

 

Изтеглете KpRm от kernel-panik и го запишете на вашия работен плот. 

• Щракнете с десния бутон върху kprm_2.9.exe и изберете Run as administrator. 
• Когато инструментът се отвори сложете всички отметки без тази пред Delete in 7 days и натиснете бутона Run.

• След като приключите, щракнете върху OK. 
• В Notepad ще се отвори лог файла, копирайте съдържанието му в следващия си отговор.

 

  Поздрави!

Този ADS Stream не се маха и под Safe Mode 

kprm-20210321021855.txt

Не си махнал отметката пред Delete in 7 days в kprm, както бях казал.

Колкото до ADS, както казах може да е създаден и използван от някоя програма, която ползваш в момента. Ако толкова решиш на своя глава можеш да пробваш да го изтриеш (но само него) с PCHunter

Изключи защитите на Comodo и Windows Defender временно и стартирай PCHunter64.exe

От него избери табът File => и вляво разгърни C:\ => Users => NightRider => AppData => Local => Temp

Докато си върху TEMP папката (НО САМО ВЪРХУ НЕЯ) избери с десен бутон на мишката върху STREAM-a (то ще си пише под колонката Normal Attri, че е Stream) и избери Force Delete

Ако не се изтрие, направо изтрий цялата TEMP папка вляво и след рестарт тя трябва да се създаде пак.

Но това, го правиш на своя глава, защото не се знае кое приложение го ползва и дали няма да скапе работата на това приложение в последствие. (Някои ADS се ползват от PACE Anti-Piracy например)

Друг добър инструмент е този на Nirsoft:

https://www.nirsoft.net/utils/alternate_data_streams.html

Само избягвай да триеш ADS с името :Zone.Identifier:$DATA (те са си на Windows) или тези (:$CmdTcID:$DATA) от Comodo.

Оказа се че,ADS се дължи на Nexus DOCK-a

Който както казах си е легитимен. Но винаги можеш да го разкараш и да сложиш друг dock ако държиш. Навремето съм ползвал някакви RockerDock, ObjectDock и прочие и те май не създаваха ADS.