Премини към съдържанието
  • Добре дошли!

    Добре дошли в нашите форуми, пълни с полезна информация. Имате проблем с компютъра или телефона си? Публикувайте нова тема и ще намерите решение на всичките си проблеми. Общувайте свободно и открийте безброй нови приятели.

    Моля, регистрирайте се за да публикувате тема и да получите пълен достъп до всички функции.

     

Препоръчан отговор


Като цяло системата работи без проблеми.Правено е сканиране с Malwarebytes не намира проблеми.Единствено притеснително нещо е AlternateDataStreams: C:\Users\NightRider\AppData\Local\Temp:$DATA 

Addition.txt FRST.txt

Линк към този отговор
Сподели в други сайтове

Привет, лично аз не видях зловредна активност. ADS стрийма можем да го изтрием.

Запазете това в notepad с името fixlist.txt

Цитат

AlternateDataStreams: C:\Users\NightRider\AppData\Local\Temp:$DATA [16]

Копирайте файла в папката, където се намира FRST64.exe (т.е. на десктопа).

Стартирайте FRST64.exe и натиснете FIX веднъж.

След като приключи ще се създаде лог файл с името FIXLOG.txt на десктопа.

Копирайте съдържанието му в следващия си коментар.

Иначе при защитна програма като Comodo, която имате инсталирана (при правилни настройки и употреба) трудно би преминала зараза.

Все пак винаги можете да направите една проверка с TDSSKiller

Преди да сканирате от Change Parameters сложете всички отметки.

Ще ви поиска рестарт за да зареди драйвера още преди да сканира. След рестарта стартирайте инструмента отново и отново сложете всички отметки и вече сканирайте.

Накрая публикувайте лог файла, който се намира в свободната директория на дял C:\ => C:\TDSSKiller.txt

Поздрави!

Линк към този отговор
Сподели в други сайтове
  • B-boy/StyLe/ промени заглавието на Възможно наличие на Rootkit/Backdoor

Не виждам Fix-А

Само един последен въпрос тези неизвестни процеси и user-и 


Error: (03/16/2021 12:15:50 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Име на приложение с грешки: bad_module_info, версия: 0.0.0.0, времево клеймо: 0x00000000
Име на модул с грешки: unknown, версия: 0.0.0.0, времево клеймо: 0x00000000
Код на изключение: 0x00000000
Отместване на грешка: 0x0000000000000000
ИД на процес на грешка: 0xdf0
Начален час на приложението с грешки: 0x01d71a4809eb289f
Път на приложението с грешки: bad_module_info
Път на модула с грешки: unknown
ИД на доклад: 9f1af1c4-7661-4b6a-bb75-2fb85dc25418
Пълно име на пакета с грешка: 
ИД на свързаното с пакета с грешка приложение:

Линк към този отговор
Сподели в други сайтове

Кой FIX не виждате? Fixlist нали ви казах как да си го създадете и сам. И след изпълнението му кликнете FIX в FRST за да се изпълни.

Колкото до EventViewer съдържанието, поне за този процес е напълно безполезно, защото на практика не съдържа никаква информация и аз трябва да съм екстрасенс за да отгатна за кой процес става въпрос.

Ако имате файлове в C:\Windows\Minidump можете да ги архивирате и качите някъде за анализ или да видите в самия EventViewer за други близки подобни събития и евентуално да хванете нещо по време, дата и час, но специално това публикувано така не носи никаква информация. Много е вероятно да е свързано с някоя игра, но явно това е някаква "новост" при Windows 10 май да вади подобна оскъдна информация:

https://www.thewindowsclub.com/bad_module_info-has-stopped-working-on-windows-10

https://answers.microsoft.com/en-us/windows/forum/games_windows_10/badmoduleinfo-has-stopped-work/563aac61-fa21-48ad-8e2c-cd64eaf7b1e5

Но все пак не мисля, че има поводи за притеснение.

Отделно не видях и лог файла от TDSSKiller. Искате помощ и питате, но не изпълнявате.

Поздрави!

Линк към този отговор
Сподели в други сайтове

Линк към този отговор
Сподели в други сайтове

Ами лог файла е чист. Засечения обект от TDSSKiller е легитимна програма:

C:\Program Files (x86)\Winstep\Nexus.exe

Иначе FRST не е успял да премахне ADS. Може би се ползва от някоя програма. Ако искаш пусни FIX-a отново, но в Safe Mode.

Като цяло и да не се изтрие, не мисля, че е голям проблем, защото не всички ADS са зловредни, а Malwarebytes така или иначе може да ги сканира за зловредни обекти:

https://blog.malwarebytes.com/101/2015/07/introduction-to-alternate-data-streams/

Самия Comodo преди също създаваше доста ADS от сорта на $CmdTcID и те не можеха да се премахнат по никакъв начин и с никакъв инструмент (като PCHunter, StreamArmor и т.н.) докато COMODO беше инсталиран.

Според мен няма място за безпокойство. Системата изглежда чиста от зловреден софтуер.

Линк към този отговор
Сподели в други сайтове

Няма за какво.

За да премахнем Farbar Recovery Scan Tool направете следното:

Преименувайте изпълнимия файл FRST64.exe на Uninstall.exe.

image.png.9cf9e0ab76b122782aff3552f54c5829.png     =>     image.png.44f957ce25ef61c76206655a46425152.png

Кликнете с десен бутон на мишката върху Uninstall.exe и изберете Run as administrator. Ще бъдете уведомени, че трябва да рестартирате системата, за да изтриете инструмента.

image.png.abcc20b28654d54fae08e7451bb5dc3b.png

След рестарта инструмента и прилежащите към него файлове ще бъдат изтрити.

 

Изтеглете KpRm от kernel-panik и го запишете на вашия работен плот. 

  • Щракнете с десния бутон върху kprm_2.9.exe и изберете Run as administrator
  • Когато инструментът се отвори сложете всички отметки без тази пред Delete in 7 days и натиснете бутона Run.

tu0PFmt.png

  • След като приключите, щракнете върху OK. 
  • В Notepad ще се отвори лог файла, копирайте съдържанието му в следващия си отговор.

 

  Поздрави!

Линк към този отговор
Сподели в други сайтове

Не си махнал отметката пред Delete in 7 days в kprm, както бях казал.

Колкото до ADS, както казах може да е създаден и използван от някоя програма, която ползваш в момента. Ако толкова решиш на своя глава можеш да пробваш да го изтриеш (но само него) с PCHunter

Изключи защитите на Comodo и Windows Defender временно и стартирай PCHunter64.exe

От него избери табът File => и вляво разгърни C:\ => Users => NightRider => AppData => Local => Temp

Докато си върху TEMP папката (НО САМО ВЪРХУ НЕЯ) избери с десен бутон на мишката върху STREAM-a (то ще си пише под колонката Normal Attri, че е Stream) и избери Force Delete

Ако не се изтрие, направо изтрий цялата TEMP папка вляво и след рестарт тя трябва да се създаде пак.

Но това, го правиш на своя глава, защото не се знае кое приложение го ползва и дали няма да скапе работата на това приложение в последствие. (Някои ADS се ползват от PACE Anti-Piracy например)

Друг добър инструмент е този на Nirsoft:

https://www.nirsoft.net/utils/alternate_data_streams.html

Само избягвай да триеш ADS с името :Zone.Identifier:$DATA (те са си на Windows) или тези (:$CmdTcID:$DATA) от Comodo.

Линк към този отговор
Сподели в други сайтове

Който както казах си е легитимен. Но винаги можеш да го разкараш и да сложиш друг dock ако държиш. Навремето съм ползвал някакви RockerDock, ObjectDock и прочие и те май не създаваха ADS.

Линк към този отговор
Сподели в други сайтове

Добавете отговор

Можете да публикувате отговор сега и да се регистрирате по-късно. Ако имате регистрация, влезте в профила си за да публикувате от него.
Бележка: Вашата публикация изисква одобрение от модератор, преди да стане видима за всички.

Гост
Напишете отговор в тази тема...

×   Вмъкнахте текст, който съдържа форматиране.   Премахни форматирането на текста

  Разрешени са само 75 емотикони.

×   Съдържанието от линка беше вградено автоматично.   Премахни съдържанието и покажи само линк

×   Съдържанието, което сте написали преди беше възстановено..   Изтрий всичко

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Добави ново...

Информация

Поставихме бисквитки на устройството ви за най-добро потребителско изживяване. Можете да промените настройките си за бисквитки, или в противен случай приемаме, че сте съгласни с нашите Условия за ползване