>>21921254
Warte uwagi w pierwszej kolejności
1. Zaplanowane zadanie „Trading Monitor" (FRST oznaczył <==== UWAGA)
Task: Trading Monitor => C:\Python314\python.exe -> C:\trading-monitor\monitor.py
Niestandardowy skrypt Pythona uruchamiany automatycznie z C:\trading-monitor\. Sam Python jest podpisany przez PSF, ale FRST nie wie, co robi monitor.py. W kontekście tej maszyny (ATAS, Bookmap, TradingView, forex) to najpewniej własny skrypt usera — ale to trzeba potwierdzić, czytając zawartość monitor.py. Skrypt auto-startowy o nieznanej treści to klasyczny punkt, który należy zweryfikować, a nie zakładać.
2. Rozszerzenie Chrome „Grass Lite Node" (Profile 1, ilehaonighjijnmpnagapkhpcdbhclfg)
To aplikacja DePIN, która sprzedaje pasmo internetowe użytkownika osobom trzecim. Klasyfikowana jako grayware/PUP. Zalecam usunięcie — jeśli user nie zainstalował jej świadomie, to czerwona flaga.
3. Najpoważniejsze ryzyko to kombinacja środowiska, a nie pojedynczy plik. Na jednej maszynie współistnieją:
Bardzo dużo portfeli krypto: MetaMask (×4 — Edge, Chrome P1, Chrome P2, Brave), Phantom, Ctrl Wallet, Tonkeeper, TronLink, Suiet, Ethos, Slush, polkadot.js, Ledger.
uTorrent + aktywnie pobierane pirackie filmy (XTORRENTY.ORG, BRRip, UHD WEB-DL).
Crackowany soft: jv16 PowerTools ... RePack by elchupacabra (wpis w Run ma już „Brak pliku", ale źródło zostało użyte).
To dokładnie ten profil, który infostealery (Lumma, RedLine, Vidar itp.) atakują w pierwszej kolejności — wykradają rozszerzenia portfeli i seed phrase. FRST nie wykryje aktywnego stealera. Jeśli na tych portfelach są realne środki, przy takim narażeniu (cracki/torrenty) należy traktować seedy jako potencjalnie skompromitowane i przenieść środki z czystego urządzenia / portfela sprzętowego.
Pozostałości i PUP do posprzątania (niski poziom zagrożenia)
istartsurf.com w CHR StartupUrls (Profile 1) — pozostałość po znanym hijackerze. Timestampy w URL-u (ts=1433324390, ts=1441297619) wskazują na rok 2015, więc to stary śmieć w konfiguracji profilu, ale wciąż obecny.
web-pl.com jako strona startowa Edge — nietypowa strona startowa, warto zweryfikować, czemu jest ustawiona (nie przesądzam, że złośliwa).
onlineregister.com dodany do zaufanych witryn IE — dodawanie do strefy zaufanej to typowa technika adware; sprawdź, czy to świadome (może być legalny serwis rejestracji).
McAfee WebAdvisor wymuszony przez HKLM: CHR HKLM\...\Extension: [fheoggkfdfchfphceeifdbepaooicaho] — to ID należy do rozszerzenia McAfee WebAdvisor (bloatware OEM). Nieszkodliwe, ale to leftover po McAfee wpisany przez politykę rejestru — można usunąć.
SearchScopes Amazon (tag=hp-uk1-vsb-21) — afiliacyjny OEM-owy scope HP, benign bloat.
BlueMail Run → explorer.exe me.blueone.win:noopt:hidden (Brak pliku) (oznaczone UWAGA) — osierocony/uszkodzony wpis protokołu po BlueMail, niegroźny śmieć.
WindowsUpdate: Ograniczenia <==== UWAGA — ustawiona polityka ograniczeń WU. Sprawdź, czy to świadome (czasem zostawiają to „tweakery" albo cracki).
Co wygląda OK / nie jest zagrożeniem (żeby nie tropić fałszywych tropów)
Defender aktywny, Tamper Protection = 1, ochrona real-time włączona, UAC normalny (EnableLUA: 1). Brak przejęć ADS / IFEO / podejrzanych binariów w System32. Polskie oprogramowanie e-podpisu (Bit4id, Namirial, Sigillum / PWPW) jest legalne, mimo braku podpisu na kilku plikach. TC Login (TimoCom) i Trans.eu bez podpisu, ale pasują do profilu logistycznego — benign. StartAllBack (autor Zinukhov S.) i Adlice/RogueKiller to legalny soft. Ogromny plik hosts (3435 linii, 127.0.0.1) to samodzielnie nałożona lista blokad reklam — celowe. DNS na 8.8.8.8 i zablokowany Edge w zaporze to wybory usera.
Rekomendacja
FRST to tylko zdjęcie konfiguracji — nie wykryje działającego stealera. Kolejność:
Sprawdź wyniki AdwCleaner + RogueKiller, które owner już pobrał, plus dorzuć Malwarebytes i KVRT na żądanie.
Otwórz i zweryfikuj C:\trading-monitor\monitor.py.
Usuń Grass Lite Node i pozostałości hijackera (istartsurf URL, web-pl.com, McAfee leftover).
Najważniejsze — uświadom userowi ryzyko: portfele krypto + torrenty + cracki to realne zagrożenie kradzieżą środków, niezależnie od tego, czy log pokazuje konkretnego trojana.
