Prawdopodobnie nie doczekamy się logów

@Bogdan_G Aaa, jednak się doczekaliśmy
@anon25492837 Nie wiem, ale chyba tam coś wyżej pisałem… Lubię bezpieczeństwo, ale niestety nikt nie jest w stanie upilnować wszystkiego. Można zawsze wydłubać porty Ethernet i USB oraz zaplombować obudowę, ale takim ekstremistą jeszcze nie jestem.

Bierzcie państwo i podziwiajcie te logi!
FRST.txt (91,2 KB)
Addition.txt (68,7 KB)
Shortcut.txt (55,8 KB)

Kiedyś śledziłem jeden temat z tego działu i domyślam się, że zapora ma napchane reguł w luj, kiedyś może posprzątam

Myślałem, by trochę popiłować HDD i posprawdzać, która gra instaluje PASa, i chyba zacznę jutro lub pojutrze. Gdyby nic nie wynikło, zainstalowałbym w VirtualBoxie Win10 i zacząłbym jego konfigurację do postaci, którą uważam za używalną (z drugiej strony smutno będzie stracić ten cały trud po 30 dniach, ale dla dobra świata warto znaleźć winowajcę).

@iJuliusz

Sam je sobie podziwiaj. Ja nie mam prawa. Oczywiście mogę się mylić ale coś wskazuje że coś może być w stylu. “Pluskiew keyloggerowych nie mam w zwyczaju instalować a jednak wlazła”.

https://threatinfo.net/files/pas.exe-6ba92c1d0fa12701beb2c35b8a0ca6e5
Jakiś adware downloader.

ADWCleaner/Malwarebytes powinien go wykryć.

Witam.
Wezwany przez @anon25492837 spróbuję zmierzyć się z problemem.
Choć nie jestem pewien, czy jestem godzien

Nie mnie oceniać kwalifikacje innych, ale każdy z Nas jest tutaj, aby pomagać tym, którzy fachowcami nie są.

Wracając do logów @wojtek20124

1. Włącz Przywracanie systemu
2. Pobierz ten plik i zapisz w katalogu z FRST, tzn. W:\farbar
   fixlist.txt (9,2 KB)
   “Plik naprawczy został utworzony tylko dla Ciebie, nie należy go stosować na innym komputerze”
3. Uruchom FRST i kliknij Napraw, program wyłączy niepotrzebne procesy, zrobi Punkt Przywracania i zacznie pracę.
4. Po restarcie wklej plik wynikowy.

Fixlog.txt (20,9 KB)

Wyczyściłem wątek z marudzenia co niektórych.

Plik pas.exe nie jest szkodliwy według VirusTotal
Ale jest niepotrzebny.

1. Pobierz MalwareBytes MBAM
2. Zamknij wszystkie aktywne programy i przeglądarki.
3. Zainstaluj MBAM, zaznacz na końcu, aby uruchomił się po zakończeniu instalacji.
4. Po uruchomieniu rozpocznij skanowanie, po przeskanowaniu oczyść to co znajdzie, wklej plik wynikowy.
5. Czekaj na kolejne polecenia.

malwarebytes.txt (1,3 KB)

Rozumiem, iż zabolało nieco poruszenie kwestii braku zaangażowania w dany problem, dlatego sam komunikuje, iż treści są o wiele bardziej konstruktywne, przez co rzetelniej patrzy się na ten całokształt. A to, że marudziłem, to nie wynika z zachcianki, lecz z pewnych zauważalnych faktów, ale ok. Załóżmy, że nie było tematu związanego z brakiem zaangażowania, sam miałem niedawno z tym shitem problem, ale po dezaktywacji klucza w CCleaner sam pozbyłem się problemu, ale potem miałem dalszy, ponieważ pojawiła się w oknie powiadomień kłódka informująca o odmowie dostępu do funkcjonalności systemu, ale po wykonaniu już wcześniej utworzonego punktu przywracania i przywrócenia system z przed 2 dni do ładu system wstał, dlatego wertowałem sieć w poszukiwaniu metody zachowania danego profilu na dłużej jak nie forever. I znalazłem trzeba zrobić kopię zapasową z utworzonym już profilem (zoptymalizowanym oczywiście) użytkownika, a w nim punkt przywracania(taki punkt wechikułu czasu dla ładu w stanie w którym powinien znajdować się system). Dzięki czemu nie utracimy już profilu, ani stanu zapisanego w samym punkcie powrotnym przy krytycznych awariach, czy ataku hakerskim, bo potem można zmienić klucze dostępowe do sieci i samego profilu użytkownika i admina wspomagając się VPN CyberGhost(jeden z najlepszych VPNów na ziemii chyba)

Ja stosuję od jakiegoś czasu AdwCleaner jeden z najlepszych sprayów na robale

A lżejszą alternatywą dla mnie jest Zemana Antimalware/Antilogger(dwie się lekko różnią, ale są mega skukteczne i dynamiczne w tym co robią)

Odpowiedź jest jasna!!! Weź wejdź w szukaj lub odpal mój/ten komputer i wpisz wartość:%appdata% i w Roaming zabezpiecz folder z zawartością Product Authentication Service (PPM, Właściwości i zabezpieczenia, następnie edytuj i daj na Odmów uważnie przeczytaj jakie sekwencje są za to odpowiedzialne, czyli za modyfikowanie i generowanie nowej aktualizacji. Inaczej nie dajesz możliwości programowi do funkcjonalności). W CCleaner w dziale Autostartu dezaktywujesz ten Product Authentication Service i po problemie

https://threatinfo.net/files/pas.exe-6ba92c1d0fa12701beb2c35b8a0ca6e5

Ponadto dodam, że sam miałem pas.exe na swoim komputerze, jest to oczywiście wirus. Uszkodził mi coś w systemie, tak że nie chodził mi przez kilka dni internet. Naprawiłem to dzisiaj szukając aplikacji o tej nazwie w google, szybko wyskoczyło mi kilka stron na których ludzie pisali, że jest to wirus. Skanowałem ESETEM/Malwarebytesem/adwcleanerem/Pandą antywirusem i oczywiście nic nie wykrywały, po pewnym czasie szukania wpadłem na stronę do której link masz powyżej pobrałem antywirusa na innym komputerze zabrałem instalke na usb i przerzuciłem do komputera(a raczej laptopa) w którym internet nie działał, zresetowałem sieci wifi i pousuwałem plik pas.exe z całym folderem dodatkowo wyłączyłem jego proces w menedżerze zadań. Internet znowu chodził, od razu zacząłem instalować tego anty virusa.

I przepraszam, że piszę 2 miesiące po ostatnim poście, ale mam nadzieję, że komuś to komputer uratuje. Ja nie kupowałem licencji tylko wyleczyłem to w wersji próbnej, link do pobrania tego antyvirusa macie zawarty na stronie do której link podałem.

steamserverbrowser.jpg1912×458 111 KB

zaznaczyłem wam tylko te wpisy w rejestrze, które były skutkiem działania aplikacji pas.exe. W każdym bądź razie aplikacja ta pojawia się, co jakiś czas u osób posiadających platformę steam lub plik Steam server browser.

Skoro ktoś wykopał, to wyjaśniamy zagadkę numerków:

To są daty aktualizacji bazy frst, DP nie zawsze na czas aktualizuje a obecnie robi głupi mirror na swojej domenie (ta banowana przez ESET).

A skoro przy wykopaliskach jesteśmy…
Po formacie z okazji nowego dysku (koniec marca) ten mały karaluch jeszcze się nie pojawił. Mimo 25 gier ze Steama, 2 z Epica, 2 z Uplay’a, 2 standalone i ok. 50 programów (no i około 20 programów tymczasowych). Aż ciekawe co przywało To.

Mechanizm odświeżania obecnie źle sprząta katalogi jak instalowałeś wszystko poza “program files”.

Wtedy Epic / Steam / Uplay mogły przetrwać praktycznie bez szwanku.

Znaczy po części byłem zmuszony do ponownego zainstalowania Windowsa - zbiegiem okoliczności akurat wtedy zaczął pojawiać się w bootloaderze blue screen o bardzo treściwym komunikacie „NTFS”.
Zainstalowałem Win, podzieliłem dysk, zmigrowałem wszystkie ważne dane na nowy dysk (w Linuxie, bo 2 porty SATA na 3 dyski - SSD z Win, stary i nowy HDD) i zacząłem ponowną instalację wszystkiego. Jak na razie, nie widzę tego karalucha.

ctr+alt+delete, menedzer zadań szukasz Product Authentication Serwice klikasz zakończ działanie wchodzisz w folder %appdata% i usuwasz folder Product Authentication Serwice.Później nic nie wykrywa.