Skocz do zawartości

jessica

Użytkownicy
  • Liczba zawartości

    3 486
  • Rejestracja

  • Ostatnia wizyta

Odpowiedzi dodane przez jessica


  1. Nie masz żadnej infekcji, więc pewnie tytułowy problem jest wywoływany przez któryś z Twoich programów.

    Nie zgadnę, który to program.

    -----------------

    Jeśli nie korzystasz, to odinstaluj ten program:

    Cytat

    Ace Stream Media 3.1.32 (HKU\S-1-5-21-3226224125-705978768-3437366758-1001\...\AceStream) (Version: 3.1.32 - Ace Stream Media) <==== UWAGA

     

    Kosmetyka:

    Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
    Otworzy się Notatnik - wklej do niego:

    Spoiler

    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA
    FF Plugin-x32: @web.com/mycloudframe -> C:\Program Files (x86)\Star4Live\Star4Live_P2P\npmycloudframe.dll [Brak pliku]
    FirewallRules: [{1E8F4274-F3FF-4E0E-9BDA-6FDC494A7018}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.63.76.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => Brak pliku
    FirewallRules: [{7C13DCF3-6D56-4F79-8981-221EA2804EE6}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.63.76.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => Brak pliku
    FirewallRules: [{94553E2C-C44A-4D0E-9455-07FCFC611A4E}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.63.76.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => Brak pliku
    FirewallRules: [{811F48B9-900B-4A5C-949E-5DD5448119A2}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.63.76.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => Brak pliku
    Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
    EmptyTemp:

    Na klawiaturze naciśnij jednocześnie CTRL+S.
    W FRST kliknij na Fix (NAPRAW).

     

    jessi


  2. Są szkodliwe Zaplanowane Zadania, więc:

    Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
    Otworzy się Notatnik - wklej do niego:

    Spoiler

    Task: {4C094B69-F5DE-4799-92B5-1C8AB59AAD57} - System32\Tasks\Microsoft\Windows\WDI\SrvHost => rundll32.exe winscomrssrv.dll,SrvMainHost <==== UWAGA
    Task: {7A5E95BF-B613-4328-A042-A63B438CAEE8} - System32\Tasks\Microsoft\Windows\Application Experience\StartupCheckLibrary => rundll32.exe StartupCheckLibrary.dll,DllMainRunLibrary <==== UWAGA
    Task: {7E797925-A953-4D8E-89CA-AEF18EEEBF3F} - System32\Tasks\Microsoft\Windows\Windows Error Reporting\winrmsrv => winrmsrv.exe <==== UWAGA
    Task: {C5C21255-4C47-465C-A800-C67A69AEFC57} - System32\Tasks\Microsoft\Windows\Wininet\Winlogui => winlogui.exe <==== UWAGA
    Reg: reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv" /s
    Reg: reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv\Parameters" /s
    S3 edgeupdate; "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" /svc [X]
    S3 edgeupdatem; "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" /medsvc [X]
    S3 MicrosoftEdgeElevationService; "C:\Program Files (x86)\Microsoft\Edge\Application\81.0.416.62\elevation_service.exe" [X]
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
    HKLM\...\Winlogon: [Userinit] C:\WINDOWS\SysWOW64\userinit.exe, <==== UWAGA
    HKU\S-1-5-21-112430691-1903889100-2400215175-1001\...\StartupApproved\Run: => "63C1C93ADAD793D83607E31025C246A984960F42._service_run"
    Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
    EmptyTemp:

    Na klawiaturze naciśnij jednocześnie CTRL+S.
    W FRST kliknij na Fix (NAPRAW).

     

    Daj z tego raport.

     

    Ze względu na:
     

    Spoiler

     

    Error: (01/22/2021 01:13:42 PM) (Source: Service Control Manager) (EventID: 7023) (User: )
    Description: Usługa wuauserv zakończyła działanie; wystąpił następujący błąd:
    Nie można odnaleźć określonego pliku.

    -----------------

    S3 wuauserv; C:\WINDOWS\system32\svchost.exe [57368 2019-12-07] (Microsoft Windows Publisher -> Microsoft Corporation) <==== UWAGA (Brak ServiceDLL)
    S3 wuauserv; C:\WINDOWS\SysWOW64\svchost.exe [47232 2019-12-07] (Microsoft Windows Publisher -> Microsoft Corporation) <==== UWAGA (Brak ServiceDLL)

     

    zrób też nowe logu FRST.

     

    jessi


  3. Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
    Otworzy się Notatnik - wklej do niego:

    Spoiler

    HKU\S-1-5-21-534369914-791047530-272632127-1001\...\Winlogon: [Shell] %comspec% <==== UWAGA
    HKU\S-1-5-21-534369914-791047530-272632127-1001\...\Command Processor: @mode 20,5 & tasklist /FI "IMAGENAME eq SoundMixer.exe" 2>NUL | find /I /N "SoundMixer.exe">NUL && exit & if exist "C:\Users\Dawid\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe" ( start /MIN "" "C:\Users\Dawid\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe" & tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) else ( tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) <==== UWAGA
    RemoveDirectory: C:\Users\Dawid\AppData\Roaming\Microsoft\SoundMixer
    Task: {0E617EAF-536D-4852-88E2-6F89293F1025} - System32\Tasks\microsoft\windows\windowsupdate\clean => cmd.exe /c attrib -h -s C:\Users\Dawid\AppData\Roaming\*.exe & attrib -h -s C:\Users\Dawid\AppData\Roaming\*.bat & del C:\Users\Dawid\AppData\Roaming\*.bat & del C:\Users\Dawid\AppData\Roaming\svchosts.exe
    C:\Users\Dawid\AppData\Roaming\svchosts.exe
    Task: {DFF6A2AA-E52A-4B30-85D0-7BDCC6697187} - System32\Tasks\windowupdate => C:\Windows\lsa.exe
    C:\Windows\lsa.exe
    S3 MSICDSetup; \??\J:\CDriver64.sys [X]
    S3 NTIOLib_1_0_C; \??\J:\NTIOLib_X64.sys [X]
    RemoveDirectory: C:\Users\Dawid\Desktop\FRST-OlderVersion
    GroupPolicy: Ograniczenia ? <==== UWAGA
    Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA
    2020-02-09 23:02 - 2020-02-09 23:02 - 000000447 _____ () C:\Users\Dawid\AppData\Roaming\d.vbs
    2019-04-08 19:40 - 2019-04-08 19:40 - 000000338 _____ () C:\Users\Dawid\AppData\Roaming\h.vbs
    2020-03-24 16:19 - 2020-03-24 16:19 - 004198705 _____ (                                                            ) C:\Users\Dawid\AppData\Roaming\setup.exe
    HKU\S-1-5-21-534369914-791047530-272632127-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://securesearch.org/homepage?hp=2&pId=BT171101&iDate=2020-02-01 09:36:05&bName=
    C:\Users\Dawid\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Excel (1).lnk
    C:\Users\Dawid\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Excel.lnk
    C:\Users\Dawid\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Outlook (1).lnk
    C:\Users\Dawid\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Outlook.lnk
    C:\Users\Dawid\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PowerPoint (1).lnk
    C:\Users\Dawid\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PowerPoint.lnk
    C:\Users\Dawid\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\uTorrent Web.lnk
    C:\Users\Dawid\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Word (1).lnk
    C:\Users\Dawid\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Word.lnk
    Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
    EmptyTemp:

    Na klawiaturze naciśnij jednocześnie CTRL+S.
    W FRST kliknij na Fix (NAPRAW).

     

    Napisz, czy tytułowy problem znikł?

     

    jessi


  4. W logach nie ma niczego podejrzanego.

    Prawdopodobnie to strona "synonimy.pl" jest winna.

    Chyba nie zwróciłeś uwagi na napis na samej górze strony:

    Cytat

    This Domain Has Expired, To Renew Please Contact Your Provider

    Tłumacząc z polskiego na nasze: "synonimy.pl" utraciła ważność, przestała istnieć.

    Strona została pewnie teraz zakupiona przez "betbreath.com". (u mnie też pojawia się tylko ta strona).

    A więc to nie Twoja wina, nic na to nie poradzisz.

     

    Tylko kosmetyka

    Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
    Otworzy się Notatnik - wklej do niego:

    Spoiler

    2020-12-23 09:01 - 2020-07-10 09:57 - 000008065 _____ C:\ProgramData\DisplaySessionContainer7.log_backup1
    2020-12-22 16:15 - 2020-07-03 12:03 - 000006594 _____ C:\ProgramData\DisplaySessionContainer6.log_backup1
    2021-01-12 11:33 - 2020-07-01 12:37 - 000008073 _____ C:\ProgramData\DisplaySessionContainer5.log_backup1
    2021-01-11 10:56 - 2020-06-23 11:44 - 000008073 _____ C:\ProgramData\DisplaySessionContainer4.log_backup1
    HKLM-x32\...\Run: [] => [X]
    Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
    EmptyTemp:

    Na klawiaturze naciśnij jednocześnie CTRL+S.
    W FRST kliknij na Fix (NAPRAW).

     

    jessi

     

    Alternatywa dla ""synonimy.pl":

    https://synonim.net/


  5. W logach nie widzę niczego podejrzanego.

     

    Tylko kosmetyka:

    Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
    Otworzy się Notatnik - wklej do niego:

    Spoiler

    S3 HnGEpicService; D:\HeroesGeneralsWWII\hngservice.exe [X]
    S3 Rockstar Service; "C:\Program Files\Rockstar Games\Launcher\RockstarService.exe" [X]
    C:\Windows\Minidump\*.dmp
    FirewallRules: [{2CCEDC11-2201-4264-BDAC-9455C88428FF}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Brak pliku
    FirewallRules: [{9ED06516-8CB6-4CA9-BBF3-5F0BBE9E183C}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Brak pliku
    FirewallRules: [{34246482-EF33-46C4-ACCC-1F8E5CF56FCB}] => (Allow) D:\Program Files (x86)\Epic Games\Launcher\Portal\Binaries\Win32\EpicGamesLauncher.exe => Brak pliku
    FirewallRules: [{084FF363-1E5D-4D34-9F1F-B5DF1961F428}] => (Allow) D:\Program Files (x86)\Epic Games\Launcher\Portal\Binaries\Win32\EpicGamesLauncher.exe => Brak pliku
    FirewallRules: [{983794BD-BEF5-4DBD-BA64-4D94481DAACC}] => (Allow) D:\Program Files (x86)\Epic Games\Launcher\Portal\Binaries\Win32\EpicGamesLauncher.exe => Brak pliku
    FirewallRules: [{3BC415B6-0FBF-4618-B148-83CB47D59085}] => (Allow) D:\Program Files (x86)\Epic Games\Launcher\Portal\Binaries\Win32\EpicGamesLauncher.exe => Brak pliku
    FirewallRules: [{6AAE0676-3C74-4C98-833C-B836CAEBC538}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\raceroom racing experience\Game\x64\RRRE64.exe => Brak pliku
    FirewallRules: [{2EDC1D73-8F20-4FF8-8157-D4D630297F8A}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\raceroom racing experience\Game\x64\RRRE64.exe => Brak pliku
    FirewallRules: [{4A1356C1-E734-4CA6-AEF0-584A6090F127}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\raceroom racing experience\Game\RRRE.exe => Brak pliku
    FirewallRules: [{C9B5AA31-7368-4995-9513-8846B46D080C}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\raceroom racing experience\Game\RRRE.exe => Brak pliku
    FirewallRules: [TCP Query User{96AD1948-52BA-452E-ADBA-BE67F963D379}D:\grand theft auto v\gta5.exe] => (Block) D:\grand theft auto v\gta5.exe => Brak pliku
    FirewallRules: [{8F241066-3559-4D3F-97F0-C89C3487635A}] => (Allow) C:\FarCry5\bin\FarCry5.exe => Brak pliku
    FirewallRules: [{C7DC122F-8C1A-4D33-8438-83216D2FF60F}] => (Allow) C:\FarCry5\bin\ArcadeEditor64.exe => Brak pliku
    FirewallRules: [{CF38742E-04DF-469E-B2DF-6A3F5DA2FF13}] => (Allow) C:\FarCry5\bin\FarCry5.exe => Brak pliku
    FirewallRules: [{119AB68D-4B30-4AFF-88E3-8C4B535C6F42}] => (Allow) C:\FarCry5\bin\ArcadeEditor64.exe => Brak pliku
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Booking.lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cheat Engine 7.1\Cheat Engine 7.1 (32-bit).lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cheat Engine 7.1\Cheat Engine 7.1 (64-bit SSE4-AVX2).lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cheat Engine 7.1\Cheat Engine 7.1 (64-bit).lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cheat Engine 7.1\Cheat Engine help.lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cheat Engine 7.1\Cheat Engine tutorial (64-bit).lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cheat Engine 7.1\Cheat Engine tutorial.lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cheat Engine 7.1\Reset settings.lnk
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cheat Engine 7.1\Uninstall Cheat
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cheat Engine 7.1\Kernel stuff\Unload kernel module.lnk
    Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
    EmptyTemp:

    Na klawiaturze naciśnij jednocześnie CTRL+S.
    W FRST kliknij na Fix (NAPRAW).

     

    jessi


  6. W tym logu nie ma niczego podejrzanego.

    ------------

    .

    Cytat

    Error: (01/17/2021 08:40:42 AM) (Source: Tcpip) (EventID: 4199) (User: )
    Description: System wykrył konflikt adresów między adresem IP 192.168.1.1 a komputerem o sieciowym
    adresie sprzętowym D4-6E-0E-5D-14-FE. W rezultacie mogą być zakłócone operacje sieciowe na
    tym komputerze.

    .--------

    .

    Cytat

    Error: (01/13/2021 11:50:04 AM) (Source: Service Control Manager) (EventID: 7023) (User: )
    Description: Usługa NcbService zakończyła działanie; wystąpił następujący błąd:
    Urządzenie dołączone do komputera nie działa

    Są błędy, ale nie wynikają one z "wirusów".

     

    jessi


  7. Cytat

    dziwne rzeczy sie dzieją

    Jakie?

    .

    Brak logu Addition.txt.

    .

    Tylko kosmetyka:

    Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
    Otworzy się Notatnik - wklej do niego:

    Spoiler

    ShortcutTarget: Free Virtual Hotspot Update.lnk -> C:\Program Files (x86)\Free Virtual Hotspot\Free Virtual Hotspot Update.exe (Brak pliku)
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA
    HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA
    S3 dgderdrv; System32\drivers\dgderdrv.sys [X]
    U4 npcap_wifi; Brak ImagePath
    S3 semav6msr64; \??\C:\WINDOWS\system32\drivers\semav6msr64.sys [X]
    C:\WINDOWS\system32\default_error_stack-0000*-000000.txt
    DeleteKey: HKU\S-1-5-21-2535150694-4138075634-1332325269-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
    EmptyTemp:

    Na klawiaturze naciśnij jednocześnie CTRL+S.
    W FRST kliknij na Fix (NAPRAW).

     

    jessi


  8. Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
    Otworzy się Notatnik - wklej do niego:

    Spoiler

    HKU\S-1-5-21-2601381620-2211264571-1085269511-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.web-pl.com/
    SearchScopes: HKU\S-1-5-21-2601381620-2211264571-1085269511-1001 -> DefaultScope {22B1715F-FD64-41DE-AC67-27233CD4DB06} URL = hxxp://www.web-pl.com/search?q={searchTerms}
    SearchScopes: HKU\S-1-5-21-2601381620-2211264571-1085269511-1001 -> {14493C13-B119-4C07-B5DB-71805BA7CCA1} URL =
    SearchScopes: HKU\S-1-5-21-2601381620-2211264571-1085269511-1001 -> {22B1715F-FD64-41DE-AC67-27233CD4DB06} URL = hxxp://www.web-pl.com/search?q={searchTerms}
    HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig]  <==== UWAGA
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA
    HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA
    Edge StartupUrls: Default -> "hxxp://www.web-pl.com/"
    Edge DefaultSearchURL: Default -> hxxp://www.web-pl.com/search?q={searchTerms}
    Edge DefaultSearchKeyword: Default -> web-pl.com
    FF Homepage: Mozilla\Firefox\Profiles\noattuhn.default -> hxxp://www.web-pl.com/
    CHR HomePage: Default -> hxxp://www.web-pl.com/
    CHR StartupUrls: Default -> "hxxp://www.web-pl.com/"
    CHR DefaultSearchURL: Default -> hxxp://www.web-pl.com/search?q={searchTerms}
    Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
    EmptyTemp:

    Na klawiaturze naciśnij jednocześnie CTRL+S.
    W FRST kliknij na Fix (NAPRAW).

     

    jessi


  9. W logach nie widzę niczego podejrzanego.

    Tylko kosmetyka:

    Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
    Otworzy się Notatnik - wklej do niego:

    Spoiler

    Task: {3583D0CB-2168-48D3-9F15-4A77F1FC5998} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku <==== UWAGA
    FirewallRules: [{A567EA99-A398-44FA-B57E-57EEED9A3305}] => (Allow) C:\Program Files (x86)\Epson Software\Event Manager\EEventManager.exe => Brak pliku
    FirewallRules: [{DC50FAAA-874C-43DB-BC29-8422E55E6EF5}] => (Allow) C:\Program Files (x86)\Epson Software\Event Manager\EEventManager.exe => Brak pliku
    FirewallRules: [{3C524535-196D-4E28-B51E-B8D9C167D254}] => (Allow) C:\Users\Medion\AppData\Local\Temp\EpInsNav\DL\3013\Network\EpsonNetSetup\Data\ENEasyApp.exe => Brak pliku
    FirewallRules: [{3372E53B-24E6-48F5-9BDD-692950FDBF3E}] => (Allow) C:\Users\Medion\AppData\Local\Temp\EpInsNav\DL\3013\Network\EpsonNetSetup\Data\ENEasyApp.exe => Brak pliku
    C:\Users\Medion\Videos\Hunter C. C.- Wodospady cienia. Tom 3. Zabrana o zmierzchu.lnk
    C:\Users\Medion\Desktop\nie używam\Epson Printer Connection Checker.lnk
    C:\Users\Medion\Desktop\nie używam\Letasoft Sound Booster.lnk
    C:\Users\Medion\Desktop\nie używam\Anty\AVG Protection.lnk
    Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
    EmptyTemp:

    Na klawiaturze naciśnij jednocześnie CTRL+S.
    W FRST kliknij na Fix (NAPRAW).

     

    ----------------------------

    Cytat

    Nazwa: PUA:Win32/Rostpay
    Identyfikator: 261384
    Ważność: Niski
    Kategoria: Potencjalnie niechciane oprogramowanie
    Ścieżka: file:_C:\Users\Medion\Downloads\driver-hub-install__28.exe
    Nazwa procesu: C:\Users\Medion\Downloads\FRST64.exe

    Nie wydaje mi się, by to było poważne wykrycie.

     

    ----------------------------------

    Cytat

    Nazwa: PUA:Win32/CandyOpen
    Identyfikator: 213956
    Ważność: Niski
    Kategoria: Potencjalnie niechciane oprogramowanie
    Ścieżka: file:_C:\$Recycle.Bin\S-1-5-21-1564922585-133348500-3705200712-1001\$R7PLCSP.exe
    Nazwa procesu: C:\Windows\explorer.exe

    Plik był w KOSZU, więc nie był zbyt groźny, choć oczywiście lepiej, że Defender go całkowicie usunął..

     

    jessi


  10. Jest infekcja "Firewall Module"!

    Na liście Twoich programów nie ma "Advances System Care", więc przy okazji usuniemy jego resztki.

    Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
    Otworzy się Notatnik - wklej do niego:

    Spoiler

    HKU\S-1-5-21-3006466287-1641649847-722761827-1001\...\Winlogon: [Shell] %comspec% <==== UWAGA
    HKU\S-1-5-21-3006466287-1641649847-722761827-1001\...\Command Processor: @mode 20,5 & tasklist /FI "IMAGENAME eq FirewallModule.exe" 2>NUL | find /I /N "FirewallModule.exe">NUL && exit & if exist "C:\Users\jacot\AppData\Roaming\Microsoft\FirewallModule\FirewallModule.exe" ( start /MIN "" "C:\Users\jacot\AppData\Roaming\Microsoft\FirewallModule\FirewallModule.exe" & tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) else ( tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) <==== UWAGA
    RemoveDirectory: C:\Users\jacot\AppData\Roaming\Microsoft\FirewallModule
    Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA
    HKU\S-1-5-21-3006466287-1641649847-722761827-1001\...\Run: [GalaxyClient] => [X]
    S3 AdvancedSystemCareService14; "C:\Program Files (x86)\IObit\Advanced SystemCare\ASCService.exe" [X]
    S3 AscFileControl; \??\C:\Program Files (x86)\IObit\Advanced SystemCare\drivers\win10_amd64\AscFileControl.sys [X]
    S3 AscFileFilter; \??\C:\Program Files (x86)\IObit\Advanced SystemCare\drivers\win10_amd64\AscFileFilter.sys [X]
    S3 AscRegistryFilter; \??\C:\Program Files (x86)\IObit\Advanced SystemCare\drivers\win10_amd64\AscRegistryFilter.sys [X]
    U4 DiagTrack; Brak ImagePath
    U3 dmwappushsvc; Brak ImagePath
    S3 iobit_monitor_server; \??\C:\Program Files (x86)\IObit\Advanced SystemCare\drivers\Monitor_win10_x64.sys [X]
    HKU\S-1-5-21-3006466287-1641649847-722761827-1001\...\StartupApproved\Run: => "Advanced SystemCare"
    Task: {085753FC-83B9-47CE-93DF-3416557BEF2D} - System32\Tasks\ASC_PerformanceMonitor => C:\Program Files (x86)\IObit\Advanced SystemCare\Monitor.exe
    HKU\S-1-5-21-3006466287-1641649847-722761827-1001\...\Run: [Advanced SystemCare] => "C:\Program Files (x86)\IObit\Advanced SystemCare\ASCTray.exe" /Auto
    Task: {7E5E8483-DE8D-4278-9E58-DA07C4E7B2D4} - System32\Tasks\ASC_SkipUac_jacot => C:\Program Files (x86)\IObit\Advanced SystemCare\ASC.exe
    RemoveDirectory: C:\Program Files (x86)\IObit\Advanced SystemCare
    Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
    EmptyTemp:

    Na klawiaturze naciśnij jednocześnie CTRL+S.
    W FRST kliknij na Fix (NAPRAW).

     

    Napisz, czy problem znikł?

     

    jessi


  11. Jaka niechciana strona?

     

    W logach nie widzę niczego podejrzanego.

     

    Tylko kosmetyka:

    Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
    Otworzy się Notatnik - wklej do niego:

    Spoiler

    HKU\S-1-5-21-3890894651-379555117-2602774308-1001\...\Run: [GalaxyClient] => [X]
    HKU\S-1-5-21-3890894651-379555117-2602774308-1001\...\Policies\Explorer: []
    S3 cpuz143; \??\C:\Windows\temp\cpuz143\cpuz143_x64.sys [X]
    RemoveDirectory: C:\Users\Kuba\Downloads\FRST-OlderVersion
    Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
    EmptyTemp:

    Na klawiaturze naciśnij jednocześnie CTRL+S.
    W FRST kliknij na Fix (NAPRAW).

     

    jessi


  12. W logach nie ma niczego podejrzanego.

     

    Problem "cmd" jest pewnie wywoływany przez któryś z Twoich progamów, ale trudno zgadnąć, który.

     

    Drobna kosmetyka:

    Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
    Otworzy się Notatnik - wklej do niego:

    Spoiler

    HKLM-x32\...\Run: [] => [X]
    HKU\S-1-5-21-193475535-3007268416-1838977321-1001\...\RunOnce: [Application Restart #3] => C:\Program Files (x86)\Google\Chrome\Application\chrome.exe  --flag-switches-begin --flag-switches-end --enable-audio-service-sandbox --restore-last-session --flag-switches-begin --flag-switches-end - (dane wartości zawierają 78 znaków więcej).
    GroupPolicy: Ograniczenia ? <==== UWAGA
    Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA
    Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
    EmptyTemp:

    Na klawiaturze naciśnij jednocześnie CTRL+S.
    W FRST kliknij na Fix (NAPRAW).

     

    jessi


  13. Brak logu Addition.txt, i Shortcut.txt.

    W tym logu nie widzę żadnej infekcji.

     

    Usuniemy kilkanaście Zaplanowanych Zadań, z których pewnie i tak nie korzystasz.

    Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
    Otworzy się Notatnik - wklej do niego:

    Spoiler

    Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA
    Task: {DED15439-345F-4C3E-94DB-6D9E06E5D367} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe
    Task: {D38B916C-9F58-4B52-8AA4-75B51948AF67} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\WINDOWS\ehome\ehrec.exe
    Task: {B95D15F7-FF5D-4036-93B7-33271E9AA80E} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\WINDOWS\ehome\ehPrivJob.exe
    Task: {BE711894-269D-4369-8D19-06A5508D4826} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\WINDOWS\ehome\mcupdate.exe
    Task: {C2865B02-0519-4606-8240-6A5FF7DB1F51} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\WINDOWS\ehome\ehPrivJob.exe
    Task: {CE5D21B8-9EAB-4AA5-B72F-8FA225AED996} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe
    Task: {A43564F2-A8FD-44B9-A2F4-85E56FA310A9} - System32\Tasks\Nero\Nero Info => C:\Program Files (x86)\Common Files\Nero\Nero Info\NeroInfo.exe [3227472 2013-08-20] (Nero AG -> Nero AG)
    Task: {B06177AA-E6C0-4D57-AF3A-AB92BCF90A83} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\WINDOWS\ehome\ehPrivJob.exe
    Task: {99BF0AED-F7FF-4439-9EA2-8C0BEF0E6C02} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\WINDOWS\ehome\ehPrivJob.exe
    Task: {93E09565-41A4-47D8-B476-9AFB5127D716} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe
    Task: {979E6F29-8462-452A-8F81-84333A3B8617} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\WINDOWS\ehome\ehPrivJob.exe
    Task: {7379FDE9-16AD-47B6-B49E-1A45A9E75FA8} - System32\Tasks\Microsoft\Windows\End Of Support\Notify1 => C:\WINDOWS\system32\sipnotify.exe [334336 2019-04-01] (Microsoft Corporation) [Brak podpisu cyfrowego]
    Task: {62E52D60-9BE2-4DB0-9566-C6F694ED4D89} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\WINDOWS\ehome\ehrec.exe
    Task: {64758E80-D923-4FC8-883B-57FE8CD5EEC7} - System32\Tasks\Microsoft\Windows\End Of Support\Notify2 => C:\WINDOWS\system32\sipnotify.exe [334336 2019-04-01] (Microsoft Corporation) [Brak podpisu cyfrowego]
    Task: {6A39FA51-454C-4EBB-8522-6D3F8CAE0494} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\WINDOWS\ehome\ehPrivJob.exe
    Task: {5BC0618B-6CC7-42B7-A886-99FAA802C4D9} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\WINDOWS\ehome\ehPrivJob.exe
    Task: {4B04640B-D646-44DD-9A8D-415A7E87E958} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\WINDOWS\ehome\ehPrivJob.exe
    Task: {45AFB24E-EB4D-4953-B530-00CCC9A45B8A} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe
    Task: {36C9602B-D246-4B68-9B80-8FEBE678BF7F} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\WINDOWS\ehome\mcupdate.exe
    Task: {3A081969-8504-4299-8B7C-1278C2AA0E55} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\WINDOWS\ehome\MCUpdate.exe
    Task: {247CE7F2-0C1D-48C1-8985-48B7EC1BCF39} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\WINDOWS\ehome\ehPrivJob.exe
    Task: {25A7D6E6-9EBA-410C-AC3D-B8C843FDDD1B} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\WINDOWS\ehome\ehPrivJob.exe
    Task: {261B6277-D125-4BB1-A58E-B0E3DCFEE3E1} - System32\Tasks\Microsoft\Windows\SideShow\SessionAgent => {45F26E9E-6199-477F-85DA-AF1EDFE067B1}
    Task: {300D21BE-7A8E-4647-93F9-A12FD64D4A87} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\WINDOWS\ehome\ehPrivJob.exe
    Task: {16CAF445-B441-4697-B47B-182FD400E57B} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\WINDOWS\ehome\ehPrivJob.exe
    Task: {17C262FD-2B7E-4D4B-A289-0ED169BFD4BD} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\WINDOWS\ehome\mcupdate.exe
    Task: {1087708F-8BFD-41C5-B0E0-EF287A87DB1E} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\WINDOWS\ehome\ehPrivJob.exe
    Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
    EmptyTemp:

    Na klawiaturze naciśnij jednocześnie CTRL+S.
    W FRST kliknij na Fix (NAPRAW).

     

    jessi


  14. W logach nie widzę żadnej infekcji.

     

    Kosmetyka:

    Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
    Otworzy się Notatnik - wklej do niego:

    Spoiler

    HKU\S-1-5-21-2445653734-1576747828-4072123515-1001\...\Run: [GalaxyClient] => [X]
    Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
    EmptyTemp:

    Na klawiaturze naciśnij jednocześnie CTRL+S.
    W FRST kliknij na Fix (NAPRAW).

     

    jessi


  15. Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
    Otworzy się Notatnik - wklej do niego:

    Spoiler

    R2 rtop; c:\program files\bytefence\rtop\bin\rtop_svc.exe [297288 2020-04-23] (Byte Technologies LLC -> Byte Technologies LLC.) <==== UWAGA
    RemoveDirectory: C:\Program Files\ByteFence
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA
    HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA
    HOSTS:
    Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
    EmptyTemp:

    Na klawiaturze naciśnij jednocześnie CTRL+S.
    W FRST kliknij na Fix (NAPRAW).

    .

    Cytat

    Error: (12/31/2020 12:56:22 PM) (Source: disk) (EventID: 7) (User: )
    Description: W urządzeniu \Device\Harddisk0\DR0 wystąpił zły blok.

    http://www.fixitpc.pl/topic/5553-blad-sterownik-wykryl-blad-kontrolera-na-deviceharddiskxdrx-i-jego-interpretacja/

    http://www.fixitpc.pl/topic/20676-w-urządzeniu-deviceharddisk0dr0-wystapił-zły-blok/

    .

    Napisz Prywatną Wiadomość do @Picasso https://www.fixitpc.pl/profile/2-picasso/

    by przesunęła temat do bardziej pasującego działu forum

     

    jessi

     

     


  16. Są logi FRST, więc z przyzwyczajenia przejrzałam je pod względem "wirusowym" - jest infekcja.

     

    Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
    Otworzy się Notatnik - wklej do niego:

    Spoiler

    S3 mracsvc; C:\Windows\System32\mracsvc.exe [11132176 2018-09-22] (Mail.Ru LLC -> LLC Mail.Ru)
    S3 mracdrv; C:\WINDOWS\System32\drivers\mracdrv.sys [10348560 2018-09-22] (Mail.Ru LLC -> LLC Mail.Ru)
    C:\Windows\System32\mracsvc.exe
    C:\WINDOWS\System32\drivers\mracdrv.sys
    Task: {657E107A-4117-4392-A189-D0A30191575C} - \anydesk -> Brak pliku <==== UWAGA
    FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll [Brak pliku]
    S4 AppleKmdfFilter; \SystemRoot\System32\drivers\AppleKmdfFilter.sys [X]
    S4 AppleLowerFilter; \SystemRoot\System32\drivers\AppleLowerFilter.sys [X]
    Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
    EmptyTemp:

    Na klawiaturze naciśnij jednocześnie CTRL+S.
    W FRST kliknij na Fix (NAPRAW).


     

    Cytat

     

    Error: (12/19/2020 08:51:40 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
    Description: Usługa NVIDIA LocalSystem Container niespodziewanie zakończyła pracę. Wystąpiło to razy: 1. W przeciągu 6000 milisekund zostanie podjęta następująca czynność korekcyjna: Uruchom usługę ponownie.

    Error: (12/19/2020 08:51:40 PM) (Source: Service Control Manager) (EventID: 7023) (User: )
    Description: Usługa NVIDIA LocalSystem Container zakończyła działanie; wystąpił następujący błąd:
    Plik wykonywalny polecenia rodzajowego zwrócił wynik wskazujący błąd.

     

    Karta graficzna ma jakiś problem.

     

    Temat zostawiam dla fachowców z tego działu forum.

     

    jessi


  17. Nie widzę tu żadnej infekcji.

     

    Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
    Otworzy się Notatnik - wklej do niego:

    Spoiler

    HKLM\...\RunOnce: [DEL_ST_CPL] => CMD /C del "C:\Windows\TEMP\ST_CPL.pkg.XML" /F <==== UWAGA
    Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
    EmptyTemp:

    Na klawiaturze naciśnij jednocześnie CTRL+S.
    W FRST kliknij na Fix (NAPRAW).

     

    jessi

×
×
  • Dodaj nową pozycję...