windows-prefetch - Kiedy zapisywane sa pliki w folderze

Witam. Przepraszam, jesli byla juz gdzies odpowiedz na to pytanie, ale nie moglem znalezc. Chodzi mi o folder windows - prefetch. Czy komputer zapisuje w nim pliki wtedy jak wykonujemy jakas akcje na kompie (np otwieramy jakis program lub otwieramy przegladarke), czy moze nie musimy nic robic, wystarczy ze komputer jest np w stanie uspienia...
Zostawiem rano kompa odpalonego i nie bylo mnie w domu, a w ciagu dnia , dwa razy kolo 10 rano i 13 pojawiy sie jakies pliki, czy to znaczy ze ktos probowal cos zrobic? Pozdrawiam i z gory dzieki[/tex]

witsy napisał:

jakies pliki,

A tutejsze wróżki wiedzą jakie.

Dokladnie chodzi mi o te pliki, zdjecie dodalem jako zalacznik, jezeli mam napisac cos wiecej o powiedzcie tylko co:) jakby co to mam program hijack, ale nie wiem jak sie nim poslugiwac:)

Hijack jest bezużyteczny.
Załóż temat na pogotowiu antywirusowym, załączając pliki FRST i Addition po skanowaniu programem FRST.

Screenów normalnych nie potrafisz robić, tylko takie badziewie??
https://www.elektroda.pl/rtvforum/topic2053101.html

Czyli te pliki FRST i Addition otrzymam po skanie w/w programem?
Ogolnie masz jakies podejrzenia co do Tych plikow ktore zaznaczylem?

Pliki zapisal system, aktualizacje, antywirus itd. Nic ciekawego.

ogolnie mam prawo podejrzewac, ze ktos sledzi moje ruchy na kompie, skad te podejrzenia to zostawie dla siebie, ale czy w jakims folderze na c: moge znalezc jakies slady swiadczace, chocby o tym , ze ktos np. zdalnie, lub po podlaczeniu przez usb przesyla mi zawirusowane pliki, aby robily mi balagan na kompie ( w sensie gina wazne dokumenty itp)

Witam.
Podejrzewam, że ktoś zawirusowal mi solidnie kompa, śledzi moje ruchy na stronach, giną mi ważne pliki z kompa czy z telefonu po podlaczeniu do lapka. Kolega doradzil mi aby zrobić skan programem FRST i pliki załączyć tu więc może ktoś będzie w stanie mi pomóc.
W zalaczeniu plik Addition i FRST. będę wdzięczny za pomoc, jeżeli wyłapie ktoś pozycje, swiadczące o tym, że mogę mieć grubo namieszane na kompie.

witsy napisał:

Czyli te pliki FRST i Addition otrzymam po skanie w/w programem?

No chyba jasno napisałem??

Robert B napisał:

po skanowaniu programem FRST

zrobilem jak radziles, dziekuje.

https://www.elektroda.pl/rtvforum/topic3576639.html

Tematy scaliłem. Nie ma sensu ciągnąć wątku w dwóch.
RADU23

Otwórz notatnik systemowy i wklej:

CloseProcesses:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
HKU\S-1-5-21-2666340739-2498256653-3035462964-1000\...\Policies\Explorer: [NoSecurityTab] 1
HKU\S-1-5-21-2666340739-2498256653-3035462964-1000\...\MountPoints2: {19fc1039-d853-11e4-aba0-50b7c3124429} - E:\autorun.exe
HKU\S-1-5-21-2666340739-2498256653-3035462964-1000\...\MountPoints2: {3cb33dd0-1319-11e9-966f-50b7c3124429} - H:\HiSuiteDownLoader.exe
HKU\S-1-5-21-2666340739-2498256653-3035462964-1000\...\MountPoints2: {3ed377e3-0571-11e9-b511-50b7c3124429} - G:\HiSuiteDownLoader.exe
HKU\S-1-5-21-2666340739-2498256653-3035462964-1000\...\MountPoints2: {3ed377f8-0571-11e9-b511-50b7c3124429} - G:\HiSuiteDownLoader.exe
HKU\S-1-5-21-2666340739-2498256653-3035462964-1000\...\MountPoints2: {4c882d6e-4688-11e9-961d-50b7c3124429} - H:\HiSuiteDownLoader.exe
HKU\S-1-5-21-2666340739-2498256653-3035462964-1000\...\MountPoints2: {92106a8b-8ad3-11e5-89c4-50b7c3124429} - H:\Startme.exe
HKU\S-1-5-21-2666340739-2498256653-3035462964-1000\...\MountPoints2: {a8914c88-2462-11e9-8e7e-50b7c3124429} - H:\AutoRun.exe
HKU\S-1-5-21-2666340739-2498256653-3035462964-1000\...\MountPoints2: {b0a6c516-86cb-11e8-99c9-ba2f6dfe1104} - F:\autorun.exe
HKU\S-1-5-21-2666340739-2498256653-3035462964-1000\...\MountPoints2: {b196b690-5055-11e7-a0d8-9bb4a8e0e301} - F:\startme.exe
HKU\S-1-5-21-2666340739-2498256653-3035462964-1000\...\MountPoints2: {c427e0c5-8d08-11e8-b68f-b0c39cee196f} - G:\AutoRun.exe
HKU\S-1-5-21-2666340739-2498256653-3035462964-1000\...\MountPoints2: {dff3858e-14c2-11e9-a0f6-50b7c3124429} - H:\HiSuiteDownLoader.exe
HKU\S-1-5-21-2666340739-2498256653-3035462964-1000\...\MountPoints2: {e66aa000-9dad-11e8-818c-50b7c3124429} - G:\AutoRun.exe
HKU\S-1-5-21-2666340739-2498256653-3035462964-1000\...\MountPoints2: {efbd126b-049e-11e9-ba1e-50b7c3124429} - F:\disableautorun.exe
HKU\S-1-5-21-2666340739-2498256653-3035462964-1000\...\MountPoints2: {f17eda08-048e-11e9-8a55-50b7c3124429} - G:\HiSuiteDownLoader.exe
HKU\S-1-5-21-2666340739-2498256653-3035462964-1000\...\MountPoints2: {fc5c89fb-5ad4-11e9-80af-50b7c3124429} - H:\HiSuiteDownLoader.exe
GroupPolicy: Ograniczenia ? <==== UWAGA
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA
Task: {25EF4BF6-FF13-47AC-870C-4CE9F909216A} - System32\Tasks\npcapwatchdog => C:\Program Files\Npcap\CheckStatus.bat [868 2019-01-22] () [Brak podpisu cyfrowego] <==== UWAGA
SearchScopes: HKLM -> DefaultScope - brak wartości
SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=SMSTDF&pc=MASM&src=IE-SearchBox
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=SMSTDF&pc=MASM&src=IE-SearchBox
SearchScopes: HKU\S-1-5-21-2666340739-2498256653-3035462964-1000 -> {C0C3A6C6-03BC-4195-8FCB-AEA091301353} URL =
Toolbar: HKU\S-1-5-21-2666340739-2498256653-3035462964-1000 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku
Toolbar: HKU\S-1-5-21-2666340739-2498256653-3035462964-1000 -> Brak nazwy - {472734EA-242A-422B-ADF8-83D1E48CC825} - Brak pliku
CHR DefaultSearchURL: Profile 3 -> hxxp://www.bing.com/search?FORM=__PARAM__DF&PC=__PARAM__&q={searchTerms}
CHR DefaultSearchKeyword: Profile 3 -> bing.com
CHR DefaultSuggestURL: Profile 3 -> hxxp://www.bing.com/osjson.aspx?FORM=__PARAM__DF&PC=__PARAM__&query={searchTerms}
CHR Extension: (Bing) - C:\Users\W-Ika\AppData\Local\Google\Chrome\User Data\Profile 3\Extensions\fcfenmboojpjinhpgggodefccipikbpd [2018-12-11]
CHR HKU\S-1-5-21-2666340739-2498256653-3035462964-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [mbckjcfnjmoiinpgddefodcighgikkgn] - hxxps://clients2.google.com/service/update2/crx
S2 avast; "C:\Program Files (x86)\AVAST Software\Browser\Update\AvastBrowserUpdate.exe" /svc [X]
S3 avastm; "C:\Program Files (x86)\AVAST Software\Browser\Update\AvastBrowserUpdate.exe" /medsvc [X]
S2 avg; "C:\Program Files (x86)\AVG\Browser\Update\AVGBrowserUpdate.exe" /svc [X]
S3 avgm; "C:\Program Files (x86)\AVG\Browser\Update\AVGBrowserUpdate.exe" /medsvc [X]
U3 a1zh3x7o; C:\Windows\System32\Drivers\a1zh3x7o.sys [0 0000-00-00] (Advanced Micro Devices) <==== UWAGA (zerobajtowy plik/folder)
U1 avgbdisk; Brak ImagePath
U4 npcap_wifi; Brak ImagePath
S2 WinDriver; \SystemRoot\system32\drivers\windrvr.sys [X]
S3 xhunter1; \??\C:\windows\xhunter1.sys [X]
S1 ZAM; \??\C:\windows\System32\drivers\zam64.sys [X]
S1 ZAM_Guard; \??\C:\windows\System32\drivers\zamguard64.sys [X]
2019-04-25 19:48 - 2019-04-25 19:48 - 000000000 ____D C:\ProgramData\McAfee
2019-04-25 19:48 - 2019-04-25 19:48 - 000000000 ____D C:\Program Files\McAfee
2019-04-25 18:47 - 2019-04-25 22:19 - 000000000 ____D C:\Users\W-Ika\AppData\Local\FSDART
2019-04-25 18:47 - 2019-04-25 18:47 - 009603600 _____ (F-Secure Corporation) C:\Users\W-Ika\Downloads\F-SecureOnlineScanner.exe
2019-04-25 18:47 - 2019-04-25 18:47 - 000000000 ____D C:\Users\W-Ika\AppData\Local\F-Secure
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść w folderze, gdzie masz FRST.exe.
Uruchom FRST i kliknij w Fix/Napraw.

No ok, naprawa naprawą, ale co mi to da, skoro nie napisałeś nic o zagrożeniu jakie mogę mieć na kompie? Ja chcę to rozkminić

Wykonanie tego pliku fixlist spowoduje uszkodzenie sterownika Bluetooth i konieczność jego reinstalacji, więc warto odchudzić fixlist o parę rzeczy, które nie są zagrożeniami, ale zostały z niewiadomego powodu w tej liście ujęte.

Jeśli chce Kolega dowiedzieć się, czy ma jakiegoś wirusa, to proszę sobie pobrać skaner AV (malwarebytes anti malwaare, może coś lepszego, jeśli Kolega woli), uruchomić skanowanie, zidentyfikować zagrożenia - a potem może sobie Kolega rozkminiać, co te zagrożenia robią.

A co ten sterownik robi szkodliwego? I dlaczego akurat na niego kolega zwrócił uwagę? Pozdrawiam.

Poprawiłem pisownię w Twoich postach. Dbaj o nią proszę.
RADU23

Sterownik właśnie nic szkodliwego nie robi, a zwróciłem na niego uwagę, bo w pliku fixlist jego składniki są zaznaczone do usunięcia.

Zapytaj jego autorów Nie wszystko co FRST zaznacza krzyżykiem jest szkodliwe. Natomiast sporo osób nie patrząc na wpis - jeśli jest koło niego krzyżyk - dodaje wpis do fixlisty. Tak nie powinno się robić.

Tak jak widać - sterowniki Bluetooth Atherosa są zaznaczone krzyżykiem. Sterownik, który się dogrywa przy uruchomieniu CPU_z też jest flagowany krzyżykiem (a do tej pory nie dowiedziono, żeby ten program był szkodliwy). Sterowniki od modemów 3G/4G Huaweia - też niedobre. Od niektórych kart dźwiękowych (pro, semi-pro) - też złe. I wiele innych podobnych sytuacji też widziałem.

Ogólnie nie zamierzam się zastanawiać, na jakiej podstawie FRST zaznacza krzyżykiem dany plik, ale jedno jest pewne (i ten błąd robi dużo osób tworzących fixlisty) - nie należy na ślepo umieszczać w fixliście każdego wpisu, który jest zaznaczony [X].

Dodano po 4 [minuty]:

Na liście powyżej są też sterowniki od Cyberlinka (związane z oprogramowaniem od kamerki internetowej). Też nie jestem specjalnie przekonany o ich szkodliwości