Skocz do zawartości
Nadchodzące zmiany w logowaniu

jessica

Użytkownicy
 Pokaż profil  Zobacz aktywność

  • Postów

    4 099

  • Dołączył

  • Ostatnia wizyta

 Typ zawartości 

Odpowiedzi opublikowane przez jessica

  1. Prośba o kosmetykę po skasowanych programach

    w Dział pomocy doraźnej

    Opublikowano

    Uruchom FRST. 
    Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) (FRST sam wyszuka "fixlist" w Schowku Systemowym)

    Spoiler

    START::
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ograniczenia <==== UWAGA
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ograniczenia <==== UWAGA
    RemoveDirectory: C:\Users\48518\Downloads\FRST-OlderVersion
    EmptyEventLogs: 
    EmptyTemp:
    END::


    W FRST kliknij na Fix (NAPRAW).

     

    jessi

  2. Komputer się dziwnie zachowuje

    w Dział pomocy doraźnej

    Opublikowano

    Cytat

    Niektóre strony mogę otworzyć tylko w FF inne tylko w Chrome.

    To jest wina tych stron - inne mogą się uruchamiać tylko w wybranej przez daną stronę przeglądarce - w innej przeglądarce albo wcale się nie otworzą, albo tylko niektóre elementy się pojawią.

    Nic na to nie poradzisz.

     

    W logach nie widzę przyczyny nieuruchamiania się niektórych programów.

     

    Uruchom FRST.
    Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) (FRST sam wyszuka "fixlist" w Schowku Systemowym.

    Spoiler

    START::
    Task: {EC854402-A071-4E5D-977B-C419CBB2C97A} - System32\Tasks\{4B82310A-2672-4516-BF63-7BB5EE337C9C} => C:\Windows\system32\pcalua.exe -a C:\Users\Jacek\Downloads\ScreenShooter5-Setup.exe -d C:\Users\Jacek\Downloads
    Task: {EEDFAA7F-D713-402D-ACED-689F34B288B1} - System32\Tasks\{2479A7CA-9139-4B1F-8359-F823C7B5D8B3} => C:\Windows\system32\pcalua.exe -a "C:\Users\Jacek\Desktop\DDT2000 v2.6.0.0\DDT2000_v2.6.0.0\vbrun60sp5.exe" -d "C:\Users\Jacek\Desktop\DDT2000 v2.6.0.0\DDT2000_v2.6.0.0"
    FF Homepage: Mozilla\Firefox\Profiles\colp8ues.default -> hxxps://poshukach.com?fr=ps&gp=496722&altserp=1
    FF NewTab: Mozilla\Firefox\Profiles\colp8ues.default -> hxxps://poshukach.com?fr=ps&gp=496722&altserp=1
    FF SearchPlugin: C:\Users\Jacek\AppData\Roaming\Mozilla\Firefox\Profiles\colp8ues.default\searchplugins\Poshukach Engin Search.xml [2022-06-16]
    CHR HomePage: Default -> hxxps://poshukach.com?fr=ps&gp=496722&altserp=1
    CHR StartupUrls: Default -> "hxxps://poshukach.com?fr=ps&gp=496722&altserp=1"
    CHR DefaultSearchURL: Default -> hxxps://poshukach.com/search?q={searchTerms}&fr=ps&gp=496722&altserp=1
    CHR DefaultSearchKeyword: Default -> poshukach engin search
    CHR DefaultSuggestURL: Default -> hxxps://suggest.finditnowonline.com/suggestionfeed/suggestion?format=json&gd=496721&q={searchTerms}
    CHR HomePage: Profile 1 -> hxxps://poshukach.com?fr=ps&gp=496722&altserp=1
    CHR StartupUrls: Profile 1 -> "hxxps://poshukach.com?fr=ps&gp=496722&altserp=1"
    CHR DefaultSearchURL: Profile 1 -> hxxps://poshukach.com/search?q={searchTerms}&fr=ps&gp=496722&altserp=1
    CHR DefaultSearchKeyword: Profile 1 -> Poshukach Engin Search
    CHR DefaultSuggestURL: Profile 1 -> hxxps://suggest.finditnowonline.com/suggestionfeed/suggestion?format=json&gd=496721&q={searchTerms}
    EmptyEventLogs:
    EmptyTemp:
    END::


    W FRST kliknij na Fix (NAPRAW).

     

    jessi

     

  3. Problem z uruchomieniem narzędzi systemowych

    w Windows 10

    Opublikowano

    Uruchom FRST.
    W polu SEARCH (SZUKAJ) wklej:

    Cytat

    FFmOlisn.dll

    kliknij na przycisk "Search Registry" (Szukaj w Rejestrze).
    Raport z tego będzie tam, gdzie jest FRST.

     

    Cytat

    2017-06-14 04:53 - 2017-06-14 04:53 - 000000220 _____ () C:\Users\WALDEMAR\AppData\Roaming\GWGiyQ.inf
    2017-06-14 04:53 - 2017-06-14 04:53 - 000000241 _____ () C:\Users\WALDEMAR\AppData\Roaming\hWaJxDFId.inf
    2017-06-14 04:53 - 2017-06-14 04:53 - 000000288 _____ () C:\Users\WALDEMAR\AppData\Roaming\oBrJeUVm.inf
    2019-02-13 08:28 - 2019-02-13 08:28 - 000553029 _____ () C:\Users\WALDEMAR\AppData\Roaming\swBg.dll

    Czy te pliki kojarzą Ci się z czymś konkretnym?

     

    jessi

  7. Skasowanie pliku będącego na kwarantannie

    w Dział pomocy doraźnej

    Opublikowano

    Z Kwarantanny plik można usunąć z poziomu antywirusa, więc w ESET wyszukaj opcję "kwarantanna" i "usuń".

    Nie mam ESET'a, więc nie wytłumaczę Ci dokładnie, gdzie tych opcji szukać.

     

    Cytat

    AutoConfigURL: [.DEFAULT] => hxxp://35.236.159.79/win.pac <==== UWAGA
    AutoConfigURL: [S-1-5-21-4182285792-3264255131-334601476-1000] => hxxp://35.236.159.79/win.pac <==== UWAGA
    ManualProxies: 0hxxp://35.236.159.79/win.pac <==== UWAGA

    Zastanawia mnie, po co Ci tajwańskie proxy - daję to do usuwania.

    Uruchom FRST. 
    Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!)  (FRTS sam wyszuka to w schowku systemowym)

    Spoiler

    START::
    HKU\S-1-5-21-4182285792-3264255131-334601476-500\...\Run: [Sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (Brak pliku)
    RemoveProxy:
    AutoConfigURL: [.DEFAULT] => hxxp://35.236.159.79/win.pac <==== UWAGA
    AutoConfigURL: [S-1-5-21-4182285792-3264255131-334601476-1000] => hxxp://35.236.159.79/win.pac <==== UWAGA
    ManualProxies: 0hxxp://35.236.159.79/win.pac <==== UWAGA
    RemoveDirectory: C:\Users\Kamil\Downloads\FRST-OlderVersion
    EmptyEventLogs: 
    EmptyTemp:
    END::


    W FRST kliknij na Fix (NAPRAW).

     

    jessi

  11. Eijy File Virus Ransomware

    w Dział pomocy doraźnej

    Opublikowano

    Uruchom FRST. 
    Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) (FRST sam wyszuka w schowku Systemowym)

    Spoiler

    START::
    S2 AppServicer; C:\Windows\system32\VPUK7KTTEJ.tmp [6144 2022-06-27] (Microsoft Corporation) [Brak podpisu cyfrowego] <==== UWAGA
    C:\Windows\system32\VPUK7KTTEJ.tmp
    R1 BdfNdisf; C:\Windows\System32\DRIVERS\BdfNdisf6.sys [87048 2009-10-19] (BITDEFENDER LLC -> BitDefender LLC)
    C:\Windows\System32\DRIVERS\BdfNdisf6.sys
    C:\Windows\Minidump\062722-17986-01.dmp
    RemoveDirectory: C:\Users\Kamil\Downloads\FRST-OlderVersion
    2022-06-26 22:41 - 2022-06-26 22:49 - 002369358 _____ C:\Users\Kamil\Downloads\FRST64.exe.eijy
    2022-06-26 22:41 - 2022-06-26 22:49 - 000033382 _____ C:\Users\Kamil\Downloads\FRST.txt.eijy
    2022-06-26 22:41 - 2022-06-26 22:49 - 000026177 _____ C:\Users\Kamil\Downloads\Addition.txt.eijy
    2022-06-24 23:21 - 2022-06-27 02:31 - 000006144 _____ (Microsoft Corporation) C:\Windows\system32\VPUK7KTTEJ.tmp
    RemoveDirectory: C:\Users\Kamil\AppData\Local\1c636686-7cf4-4ab0-98b7-699518e6805d
    RemoveDirectory: C:\Users\Kamil\AppData\Local\281ea0e5-4725-462e-9778-96da56229b9d
    RemoveDirectory: C:\Users\Kamil\AppData\Local\21c19807-da64-453b-ba64-8582fd23dbb1
    RemoveDirectory: C:\ProgramData\AVG
    C:\Windows\system32\avgBoot.exe
    RemoveDirectory: C:\ProgramData\BitDefender
    RemoveDirectory: C:\Users\Kamil\AppData\Roaming\BitDefender
    RemoveDirectory: C:\Users\Kamil\AppData\Local\Lavasoft
    RemoveDirectory: C:\Users\Kamil\AppData\Roaming\Lavasoft
    RemoveDirectory: C:\ProgramData\Lavasoft
    C:\Windows\system32\Drivers\bddci.sys
    RemoveProxy:
    EmptyTemp:
    END::


    W FRST kliknij na Fix (NAPRAW).

     

    jessi

  12. Eijy File Virus Ransomware

    w Dział pomocy doraźnej

    Opublikowano

    Spoiler

    HKU\S-1-5-21-4182285792-3264255131-334601476-1000\...\Run: [SysHelper] => C:\Users\Kamil\AppData\Local\21c19807-da64-453b-ba64-8582fd23dbb1\9FQwbgb051ULLdKsOdWAGV6p.exe [858112 2022-06-24] () [Brak podpisu cyfrowego] <==== UWAGA

    Task: {A74BA063-3828-4477-BF94-1EEC93EFC6BE} - System32\Tasks\Time Trigger Task => C:\Users\Kamil\AppData\Local\21c19807-da64-453b-ba64-8582fd23dbb1\9FQwbgb051ULLdKsOdWAGV6p.exe [858112 2022-06-24] () [Brak podpisu cyfrowego] <==== UWAGA

    AutoConfigURL: [S-1-5-21-4182285792-3264255131-334601476-1000] => hxxp://35.236.159.79/win.pac <==== UWAGA

    ManualProxies: 0hxxp://35.236.159.79/win.pac <==== UWAGA

    S2 AppServicen; C:\Windows\system32\VPUK7KTTEJ.tmp [6144 2022-06-26] (Microsoft Corporation) [Brak podpisu cyfrowego] <==== UWAGA

    Jak widać, to stale powraca.

    Wg mnie najlepszym wyjściem będzie sformatowanie dysku oraz pendrive.

     

    jessi

  13. wolno działający komputer i zhakowany mail

    w Dział pomocy doraźnej

    Opublikowano

    W zasadzie to tylko kosmetyka + resztki po infekcji.

    Uruchom FRST.
    Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) (FRST sam wyszuka w schowku Systemowym)

    Spoiler

    START::
    C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
    C:\Users\makrusze\my_downloader_installer.exe
    HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.aartemis.com/web/?type=ds&ts=1386967862&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9FC618109&q={searchTerms}
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.delta-homes.com/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=hp&from=wpm0226&uid=ST1000LM024XHN-M101MBB_S2RQJ9FC618109&ts=1393444484
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.aartemis.com/web/?type=ds&ts=1386967862&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9FC618109&q={searchTerms}
    HKU\S-1-5-21-285633661-3854684881-818343512-1002\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.aartemis.com/web/?type=ds&ts=1386967862&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9FC618109&q={searchTerms}
    HKU\S-1-5-21-285633661-3854684881-818343512-1002\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.aartemis.com/web/?type=ds&ts=1386967862&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9FC618109&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-285633661-3854684881-818343512-1005 -> DefaultScope {D271A1C1-F747-4190-806D-B9BA84CB1995} URL =
    BHO-x32: Brak nazwy -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> Brak pliku
    Toolbar: HKLM - Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Program Files (x86)\Epson Software\Easy Photo Print\EPTBL.dll Brak pliku
    HKLM\software\microsoft\Windows\CurrentVersion\Telephony\Providers => ProviderFileName2 -> ndptsp.tsp (Brak pliku)
    HKU\S-1-5-21-285633661-3854684881-818343512-1002\...\StartupApproved\Run: => "Akamai NetSession Interface"
    FirewallRules: [{45D4ACB4-32FF-4E8B-81F2-24AF09491205}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.61.100.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => Brak pliku
    FirewallRules: [{511A9124-6FC5-4545-BEBC-2DAD944D3FD1}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.61.100.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => Brak pliku
    FirewallRules: [{50361BE8-4E14-4FD6-9499-CC8CB7E3DCBF}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.61.100.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => Brak pliku
    FirewallRules: [{203257F6-A999-4D6A-99DE-9B9ECA5028EA}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.61.100.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => Brak pliku
    FirewallRules: [{8AFC1FDD-D719-43A9-9691-9DC4C43B0693}] => (Allow) C:\Program Files\Condusiv Technologies\IntelliMemory\IntelliMem.exe => Brak pliku
    FirewallRules: [{A54B7D91-723E-4651-9412-C0AA509D77BF}] => (Allow) C:\Program Files\Condusiv Technologies\IntelliMemory\IntelliMem.exe => Brak pliku
    FirewallRules: [{D462C059-263D-4EA3-BDC2-CEAB04E0B089}] => (Allow) C:\Program Files (x86)\HP\hp software update\hpwucli.exe => Brak pliku
    FirewallRules: [{9416316A-CFA1-4B8B-82D5-F0224E8337EB}] => (Allow) C:\Program Files (x86)\HP\Digital Imaging\bin\hpqusgh.exe => Brak pliku
    FirewallRules: [{6315EC5F-E688-4B44-ADA6-844D2267120C}] => (Allow) C:\Program Files (x86)\HP\Digital Imaging\bin\hpqusgm.exe => Brak pliku
    FirewallRules: [{03B957D1-5DEB-48CB-B384-F92D1B2A5ADE}] => (Allow) C:\Program Files (x86)\HP\Digital Imaging\bin\hpqgpc01.exe => Brak pliku
    FirewallRules: [{D97E584F-EAFD-45C3-AE4D-0EC0E00078FD}] => (Allow) C:\Program Files (x86)\HP\Digital Imaging\bin\hpqgplgtupl.exe => Brak pliku
    FirewallRules: [TCP Query User{BB4F4AB2-5FC0-474F-8C20-7E44CC17474F}C:\users\makrusze\appdata\local\akamai\netsession_win.exe] => (Allow) C:\users\makrusze\appdata\local\akamai\netsession_win.exe => Brak pliku
    FirewallRules: [UDP Query User{CB0E0F14-FA83-452C-A845-A0C830DAD262}C:\users\makrusze\appdata\local\akamai\netsession_win.exe] => (Allow) C:\users\makrusze\appdata\local\akamai\netsession_win.exe => Brak pliku
    FirewallRules: [TCP Query User{212C1749-99A9-4D73-A573-0C532D3E9220}C:\users\makrusze\appdata\local\akamai\netsession_win.exe] => (Block) C:\users\makrusze\appdata\local\akamai\netsession_win.exe => Brak pliku
    FirewallRules: [UDP Query User{0311AA14-49CC-42A3-A5A5-8598AD269D83}C:\users\makrusze\appdata\local\akamai\netsession_win.exe] => (Block) C:\users\makrusze\appdata\local\akamai\netsession_win.exe => Brak pliku
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ograniczenia <==== UWAGA
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ograniczenia <==== UWAGA
    HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ograniczenia <==== UWAGA
    GroupPolicyUsers\S-1-5-21-285633661-3854684881-818343512-1005\User: Ograniczenia <==== UWAGA
    GroupPolicyUsers\S-1-5-21-285633661-3854684881-818343512-1002\User: Ograniczenia <==== UWAGA
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA
    Task: {06616497-F432-4EC2-A1FD-6946B88E05BF} - System32\Tasks\WLANStartup => C:\Program Files (x86)\Samsung\Easy Settings\WLANStartup.exe (Brak pliku)
    Task: {21D6BC69-B9DA-422C-A35A-F8E5606C3415} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA
    Task: {23D53C9B-3E3A-4BE2-88B1-C717D292D1F6} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA
    Task: {248B5EFF-3EDC-4EDE-BC2B-C6972F3195C0} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku <==== UWAGA
    Task: {352E6CA0-7314-4DF4-89C4-682368D80D57} - System32\Tasks\Microsoft\Windows\Workplace Join\Automatic-Workplace-Join => C:\WINDOWS\System32\AutoWorkplace.exe join (Brak pliku)
    Task: {3B8C1C8F-B2EB-4B5A-AC14-CD8BF552AB80} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA
    Task: {3C9C5D0A-6958-48BA-8A87-E8B2DE4E4692} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA
    Task: {61076A7E-2738-4B2E-A4F8-F788E533F30B} - System32\Tasks\{BD2C3226-AEBA-4336-87B6-5920CEABA76D} => C:\WINDOWS\system32\pcalua.exe -a "C:\Program Files (x86)\Bullfrog\Theme Park World\tp.exe" -d "C:\Program Files (x86)\Bullfrog\Theme Park World"
    Task: {8120559B-D7A9-412C-9A1C-6DF75385811A} - \WPD\SqmUpload_S-1-5-21-285633661-3854684881-818343512-1002 -> Brak pliku <==== UWAGA
    Task: {81C9C350-59DC-495E-B9AD-AF705862323A} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA
    Task: {886D846D-81C8-4407-A059-46B473F3809D} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA
    Task: {9B2127EC-8F8D-4334-B043-177EA5FB069C} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA
    Task: {9CFDCA58-0A88-499E-A7D7-5313713ED3C9} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA
    Task: {A54401F8-1801-40A5-B232-9BBE8AF1294D} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA
    Task: {AA9ACB85-D82D-43DE-A73E-AA04DBFC3DAC} - System32\Tasks\{281F78A8-5C5F-4902-88E9-8D2C95FB21B1} => C:\windows\system32\pcalua.exe -a D:\livebox.exe -d D:\
    Task: {EBF9207E-D7A2-4D31-88F8-AE674493D4CF} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku <==== UWAGA
    Task: {F26CC89C-4D9E-4009-ACC9-156EC1A87F87} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA
    Task: {F5CDA03A-0F4C-431F-9EC7-D63BFDD7B3D3} - \WPD\SqmUpload_S-1-5-21-285633661-3854684881-818343512-1006 -> Brak pliku <==== UWAGA
    FF HKLM-x32\...\Firefox\Extensions: [wrc@avast.com] - C:\Program Files\AVAST Software\Avast\WebRep\FF => nie znaleziono
    EmptyEventLogs:
    EmptyTemp:
    END::


    W FRST kliknij na Fix (NAPRAW).

     

    jessi

  15. Prośba o pomoc z usunieciu infekcji Eijy File Virus Ransomware

    w Dział pomocy doraźnej

    Opublikowano

    Uruchom FRST.
    Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!)

    Spoiler

    START::
    HKU\S-1-5-21-4182285792-3264255131-334601476-1000\...\Run: [SysHelper] => C:\Users\Kamil\AppData\Local\cc45d350-13c4-444c-9572-09210b9fad72\9FQwbgb051ULLdKsOdWAGV6p.exe [858112 2022-06-24] () [Brak podpisu cyfrowego] <==== UWAGA
    C:\Users\Kamil\AppData\Local\cc45d350-13c4-444c-9572-09210b9fad72\9FQwbgb051ULLdKsOdWAGV6p.exe
    RemoveDirectory: C:\Users\Kamil\AppData\Local\cc45d350-13c4-444c-9572-09210b9fad72
    AutoConfigURL: [S-1-5-21-4182285792-3264255131-334601476-1000] => hxxp://35.236.159.79/win.pac <==== UWAGA
    RemoveDirectory: C:\Users\Kamil\Downloads\FRST-OlderVersion
    2022-06-24 22:54 - 2022-06-24 23:00 - 000006144 _____ (Microsoft Corporation) C:\Windows\system32\VPUK7KTTEJ.tmp
    2022-06-24 22:54 - 2022-06-24 22:54 - 000000000 ____D C:\Users\Kamil\AppData\Local\22d2c589-3776-4a7b-ac10-5dbc344d8970
    2022-06-24 21:17 - 2022-06-24 21:17 - 000001111 _____ C:\Users\Kamil\_readme.txt
    EmptyTemp:
    END::


    W FRST kliknij na Fix (NAPRAW).

     

    jessi

  17. Prośba o pomoc z usunieciu infekcji Eijy File Virus Ransomware

    w Dział pomocy doraźnej

    Opublikowano

    Uruchom FRST.
    Skopiuj to poniższe: (ale nigdzie nie wklejaj tego! - FRST sam to wyszuka w schowku Systemowym)

    Spoiler

    START::
    HKU\S-1-5-21-4182285792-3264255131-334601476-1000\...\Run: [SysHelper] => C:\Users\Kamil\AppData\Local\4b7da575-b535-41cc-a67f-af8e632bfe88\9FQwbgb051ULLdKsOdWAGV6p.exe [858112 2022-06-24] () [Brak podpisu cyfrowego] <==== UWAGA
    RemoveDirectory: C:\Users\Kamil\AppData\Local\4b7da575-b535-41cc-a67f-af8e632bfe88
    Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA
    Policies: C:\Users\Kamil\NTUSER.pol: Ograniczenia <==== UWAGA
    AutoConfigURL: [S-1-5-21-4182285792-3264255131-334601476-1000] => hxxp://35.236.159.79/win.pac <==== UWAGA
    ManualProxies: 0hxxp://35.236.159.79/win.pac <==== UWAGA
    RemoveDirectory: C:\Users\Kamil\Downloads\FRST-OlderVersion
    2022-06-24 17:53 - 2022-06-24 21:13 - 000006144 _____ (Microsoft Corporation) C:\Windows\system32\VPUK7KTTEJ.tmp
    2022-06-24 17:13 - 2022-06-24 18:27 - 000047199 _____ C:\Users\Kamil\Downloads\Addition.txt.eijy
    2022-06-24 17:12 - 2022-06-24 18:27 - 000044294 _____ C:\Users\Kamil\Downloads\FRST.txt.eijy
    EmptyTemp:
    END::


    W FRST kliknij na Fix (NAPRAW).

     

    Jeśli Twoje pliki już nie będą się zakodowywać dalej, to usuniesz wszystkie mające w rozszerzeniu *eijy - o ile wiem, to nie ma na to dekodera.

     

    jessi

  18. Prośba o pomoc z usunieciu infekcji Eijy File Virus Ransomware

    w Dział pomocy doraźnej

    Opublikowano

    Cytat

    Windows Manager (HKLM-x32\...\{C845414C-903C-4218-9DE7-132AB97FDF62}) (Version: 1.0.0 - AW Manager) <==== UWAGA

    Znasz ten program? Jeśli nie znasz, to go odinstaluj.

     

    Uruchom FRST.
    Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!)

    Spoiler

    START::
    HKU\S-1-5-21-4182285792-3264255131-334601476-1000\...\Run: [csrss] => C:\Windows\rss\csrss.exe [3644416 2022-06-24] () [Brak podpisu cyfrowego] <==== UWAGA
    HKU\S-1-5-21-4182285792-3264255131-334601476-1000\...\Run: [SysHelper] => C:\Users\Kamil\AppData\Local\f7962b15-3f1f-4c39-a05c-69c4610b0ce9\9FQwbgb051ULLdKsOdWAGV6p.exe [858112 2022-06-24] () [Brak podpisu cyfrowego] <==== UWAGA
    RemoveDirectory: C:\Users\Kamil\AppData\Local\f7962b15-3f1f-4c39-a05c-69c4610b0ce9
    RemoveDirectory: RemoveDirectory: C:\Windows\rss
    HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ograniczenia <==== UWAGA
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
    HKU\S-1-5-19\...\Run: [Sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (Brak pliku)
    HKU\S-1-5-20\...\Run: [Sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (Brak pliku)
    GroupPolicy: Ograniczenia ? <==== UWAGA
    Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA
    Policies: C:\Users\Kamil\NTUSER.pol: Ograniczenia <==== UWAGA
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA
    Task: {00BDE897-EA23-4939-95C3-E987F711379B} - System32\Tasks\{29C86605-2C1E-45A7-99A3-8811B932D6A0} => C:\Windows\system32\pcalua.exe -a E:\DirectX\dxsetup.exe -d E:\DirectX
    Task: {4519700E-9963-4BF8-9C3F-1013897A5EA4} - System32\Tasks\JetCleanLoginCheckUpdate => C:\Users\Kamil\AppData\Local\Temp\Rar$EXa4048.32585\AutoUpdate.exe /AutoRun (Brak pliku) <==== UWAGA
    Task: {6266A3A5-D62D-4051-B0A6-CB362F6ED701} - System32\Tasks\Time Trigger Task => C:\Users\Kamil\AppData\Local\f7962b15-3f1f-4c39-a05c-69c4610b0ce9\9FQwbgb051ULLdKsOdWAGV6p.exe [858112 2022-06-24] () [Brak podpisu cyfrowego] <==== UWAGA
    Task: {6B71D676-1A9A-4079-8250-B327B7E3E6F3} - System32\Tasks\{00323E69-3948-45A9-8942-120C4357F9A9} => C:\Windows\system32\pcalua.exe -a "G:\Step 3 - Setup_Install_Game.exe" -d G:\
    Task: {72AB5723-9EFE-4307-B776-BD1420E7B6F0} - System32\Tasks\{8E6E2C2B-FAB3-41A9-A9FE-FF2151C8314C} => C:\Windows\system32\pcalua.exe -a F:\DirectX\dxsetup.exe -d F:\DirectX
    Task: {7601C551-D187-4789-8A36-B50ECF38073A} - System32\Tasks\{186E6C3D-3445-46B6-B7CA-9443CFFD5765} => C:\Windows\system32\pcalua.exe -a E:\Redist\DirectX\dxsetup.exe -d E:\Redist\DirectX
    Task: {98B13FB8-50A3-4105-BA84-B1C08947CFB2} - \JetBoost_AutoUpdate -> Brak pliku <==== UWAGA
    Task: {994D87B3-5A3E-4F24-B139-BE40CDF159FD} - \ByteFence -> Brak pliku <==== UWAGA
    Task: {9AEC1359-9F9A-4EAF-A449-2ACADC8732E6} - System32\Tasks\Firefox Default Browser Agent BC2C850B457C3589 => C:\Users\Kamil\AppData\Roaming\thdeejb.exe (Brak pliku) <==== UWAGA
    Task: {A175FE7F-D4E8-4B01-876F-0C5E54C52EBC} - System32\Tasks\{15178901-BE3B-4650-898A-A440303BF761} => C:\Windows\system32\pcalua.exe -a C:\Users\Kamil\Downloads\sketchbook_8.7.1.0_win64.exe -d C:\Users\Kamil\Downloads
    Task: {A858C39E-0ECA-4CD9-86C9-BD6E990F52A7} - System32\Tasks\Service\Diagnostic => C:\Users\Kamil\AppData\Roaming\ServiceGet\Takumev.exe -> "C:\Users\Kamil\AppData\Roaming\ServiceGet\Takumev.dat" <==== UWAGA
    Task: {AC5FAD14-C504-4264-A93C-E6FD6BD554D4} - System32\Tasks\AdvancedUpdater => C:\Program Files (x86)\AW Manager\Windows Manager\Windows Updater.exe [1026936 2022-05-13] (Microleaves LTD -> AW Manager) <==== UWAGA
    Task: {B1CE1684-A3EA-432E-A32D-A09BFCA86AF0} - System32\Tasks\{A99FFEAA-627F-4A0A-B852-DB75E3722171} => C:\Windows\system32\pcalua.exe -a "C:\GRY\Sekiro_Shadows_Die_Twice_Repack\Step 3 - Setup_Install_Game.exe" -d C:\GRY\Sekiro_Shadows_Die_Twice_Repack
    RemoveDirectory: C:\Program Files (x86)\AW Manager
    Task: {B2B40D99-6C17-4D39-B825-EC360AFDDF18} - System32\Tasks\{5AF3F5BC-E9A1-4158-A1AA-1CC464D0FDF1} => C:\Windows\system32\pcalua.exe -a E:\Redist\vcredist_x86.exe -d E:\Redist
    Task: {B320600A-FF53-45C4-B58D-E6AFC621A773} - System32\Tasks\{DB716B3C-4E70-42DB-AAF4-4392FFE39B19} => C:\Windows\system32\pcalua.exe -a E:\setup.exe -d E:\ -c /autorun
    Task: {B7377F85-49F2-4777-B026-34F62C905D3D} - System32\Tasks\{73C991E5-2475-48DD-B19D-7C1678404AA7} => C:\Windows\system32\pcalua.exe -a E:\setup.exe -d E:\
    Task: {BFBC1C5A-81B7-4C83-AD76-680B40514B76} - System32\Tasks\csrss => C:\Windows\rss\csrss.exe [3644416 2022-06-24] () [Brak podpisu cyfrowego] <==== UWAGA
    Task: {FA182625-B92E-4EE6-8A71-64B2ADE86E38} - System32\Tasks\{E44EFE01-2713-4518-8309-40D08DBAD9BA} => C:\Windows\system32\pcalua.exe -a "C:\GRY\Battlefield_4\Step 3 - Setup_Install_Game.exe" -d C:\GRY\Battlefield_4
    AutoConfigURL: [S-1-5-21-4182285792-3264255131-334601476-1000] => hxxp://35.236.159.79/win.pac <==== UWAGA
    ManualProxies: 0hxxp://35.236.159.79/win.pac <==== UWAGA
    FF user.js: detected! => C:\Users\Kamil\AppData\Roaming\Mozilla\Firefox\Profiles\x06atlq5.default-1629573619549\user.js [2022-06-19]
    FF NewTab: Mozilla\Firefox\Profiles\x06atlq5.default-1629573619549 -> hxxps://poshukach.com?fr=ps&gp=496722&altserp=1
    FF SearchPlugin: C:\Users\Kamil\AppData\Roaming\Mozilla\Firefox\Profiles\x06atlq5.default-1629573619549\searchplugins\Poshukach Engin Search.xml [2022-06-01]
    CHR NewTab: Default ->  Not-active:"chrome-extension://kadfogmkkijgifjbphojhdkojbdammnk/newtab.html"
    CHR DefaultSearchURL: Default -> hxxps://paintsearch.chromecrxstore.com/?q={searchTerms}
    CHR DefaultSearchKeyword: Default -> web search
    R2 WinDefender; C:\Windows\windefender.exe [0 0000-00-00] () [Odmowa dostępu] <==== UWAGA
    R2 WmiPrvSE; C:\Users\Kamil\AppData\Local\Temp\csrss\tor\Tor\tor.exe [4464142 2022-06-24] () [Brak podpisu cyfrowego] <==== UWAGA
    S4 DCIService; C:\Program Files (x86)\Lavasoft\Web Companion\Service\x64\DCIService.exe [X]
    S3 Disc Soft Lite Bus Service; "C:\Program Files\DAEMON Tools Lite\DiscSoftBusServiceLite.exe" [X]
    S4 rtop; "c:\program files\bytefence\rtop\bin\rtop_svc.exe" [X] <==== UWAGA
    S4 TorchCrashHandler; C:\Users\Kamil\AppData\Local\Torch\Update\TorchCrashHandler.exe [X] <==== UWAGA
    S4 VBoxGuest; VBoxGuest [X]
    S4 VBoxMouse; VBoxMouse [X]
    S4 VBoxService; VBoxService [X]
    S4 VBoxSF; VBoxSF [X]
    S4 VBoxVideo; VBoxVideo [X]
    S4 VBoxWddm; VBoxWddm [X]
    R3 Winmon; C:\Windows\System32\drivers\Winmon.sys [0 0000-00-00] () <==== UWAGA [zerobajtowy plik/folder]
    R3 WinmonFS; C:\Windows\System32\drivers\WinmonFS.sys [0 0000-00-00] (Windows (R) Win 7 DDK provider) <==== UWAGA [zerobajtowy plik/folder]
    R1 WinmonProcessMonitor; C:\Windows\System32\drivers\WinmonProcessMonitor.sys [13312 2022-06-24] () [Brak podpisu cyfrowego] <==== UWAGA
    S3 BDFM; system32\DRIVERS\bdfm.sys [X]
    S1 bdfwfpf; \??\C:\Program Files\Common Files\BitDefender\BitDefender Firewall\bdfwfpf.sys [X]
    U4 dmwappushservice; Brak ImagePath
    2022-06-24 07:00 - 2022-06-24 07:00 - 000001111 _____ C:\Users\Kamil\_readme.txt
    2022-06-24 07:00 - 2022-06-24 07:00 - 000000559 _____ C:\Users\Kamil\AppData\Local\bowsakkdestx.txt
    2022-06-24 07:00 - 2022-06-24 07:00 - 000000000 ____D C:\Users\Kamil\AppData\Local\AdvinstAnalytics
    2022-06-24 07:00 - 2022-06-24 07:00 - 000000000 ____D C:\Program Files (x86)\AW Manager
    RemoveDirectory: C:\Users\Kamil\AppData\Roaming\yeK6c
    RemoveDirectory:  C:\Users\Kamil\AppData\Roaming\XJAdSbyZeCa
    RemoveDirectory:  C:\Users\Kamil\AppData\Roaming\Tn5anP7nWf
    RemoveDirectory:  C:\Users\Kamil\AppData\Local\6f074d0d-ce1c-4517-b2a3-0e84aa7fa024
    C:\Users\Kamil\AppData\Roaming\Vybysana
    C:\Users\Kamil\AppData\Local\bowsakkdestx.txt
    FirewallRules: [{771FB86B-1AA6-4E16-ADBF-7BD9A055AA33}] => (Allow) C:\Windows\rss\csrss.exe () [Brak podpisu cyfrowego]
    FirewallRules: [TCP Query User{2674FACE-885A-41E0-874E-6CC01EAEE48B}C:\gry\call of duty black ops iii\blackops3.exe] => (Allow) C:\gry\call of duty black ops iii\blackops3.exe => Brak pliku
    FirewallRules: [UDP Query User{FA779432-AFF2-495A-AA68-BFEDA7108476}C:\gry\call of duty black ops iii\blackops3.exe] => (Allow) C:\gry\call of duty black ops iii\blackops3.exe => Brak pliku
    FirewallRules: [TCP Query User{4F42AF2B-20DD-4D35-AD32-0A5345A3F7AF}C:\call of duty black ops iii\blackops3.exe] => (Allow) C:\call of duty black ops iii\blackops3.exe => Brak pliku
    FirewallRules: [UDP Query User{049D8321-28BA-4D0C-AE4A-218DEE7A25E7}C:\call of duty black ops iii\blackops3.exe] => (Allow) C:\call of duty black ops iii\blackops3.exe => Brak pliku
    FirewallRules: [TCP Query User{2B3ED157-EFD4-4DFB-A9D7-B4130BADCF3E}F:\nba2k12.exe] => (Allow) F:\nba2k12.exe => Brak pliku
    FirewallRules: [UDP Query User{D55EE749-2A61-4366-99D8-C31F7F5AA3F6}F:\nba2k12.exe] => (Allow) F:\nba2k12.exe => Brak pliku
    FirewallRules: [TCP Query User{F2A7F0AF-7C85-4B8D-B702-BD102DFFE2B6}C:\gry\nba.2k12-3dm\nba2k12.exe] => (Allow) C:\gry\nba.2k12-3dm\nba2k12.exe => Brak pliku
    FirewallRules: [UDP Query User{6D24592D-D9E9-419D-ACED-1F945F8DCBDB}C:\gry\nba.2k12-3dm\nba2k12.exe] => (Allow) C:\gry\nba.2k12-3dm\nba2k12.exe => Brak pliku
    EmptyEventLogs:
    EmptyTemp:
    END::


    W FRST kliknij na Fix (NAPRAW).

     

    Zrób nowe logi FRST.

     

    Zrób jakiś plik *.doc.

    Zobacz, czy też się zaraz zaszyfruje?

     

    jessi

     

     

  19. Prośba o sprawdzenie logów

    w Dział pomocy doraźnej

    Opublikowano

    Nie widzę tu żadnej infekcji.

     

    Tylko kosmetyka:

    Uruchom FRST.
    Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!)

    Spoiler

    START::
    HKLM\...\Run: [RtHDVCpl] => "C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe" -s (Brak pliku)
    GroupPolicy: Ograniczenia ? <==== UWAGA
    GroupPolicy-Firefox: Ograniczenia <==== UWAGA
    Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA
    BHO-x32: Brak nazwy -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> Brak pliku
    EmptyEventLogs:
    EmptyTemp:
    END::


    W FRST kliknij na Fix (NAPRAW).

     

    ------------------

    Spoiler

    Java 8 Update 171 (64-bit) (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F64180171F0}) (Version: 8.0.1710.11 - Oracle Corporation)
    Java 8 Update 171 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F32180171F0}) (Version: 8.0.1710.11 - Oracle Corporation)
    Java 8 Update 172 (64-bit) (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F64180172F0}) (Version: 8.0.1720.11 - Oracle Corporation)
    Java 8 Update 201 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F32180201F0}) (Version: 8.0.2010.9 - Oracle Corporation)
    Java 8 Update 202 (64-bit) (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F64180202F0}) (Version: 8.0.2020.8 - Oracle Corporation)
    Java SE Development Kit 8 Update 161 (64-bit) (HKLM\...\{64A3A4F4-B792-11D6-A78A-00B0D0180161}) (Version: 8.0.1610.12 - Oracle Corporation)
    Java SE Development Kit 8 Update 172 (64-bit) (HKLM\...\{64A3A4F4-B792-11D6-A78A-00B0D0180172}) (Version: 8.0.1720.11 - Oracle Corporation)
    Java SE Development Kit 8 Update 202 (64-bit) (HKLM\...\{64A3A4F4-B792-11D6-A78A-00B0D0180202}) (Version: 8.0.2020.8 - Oracle Corporation)

    Masz zainstalowanych kilka wersji Javy.

    Przy najbliższej aktualizacji Javy zezwól na usunięcie starych wersji Javy.

     

    jessi

  22. zdalnie odpalony plik przez przeglądarkę (exploit?)

    w Dział pomocy doraźnej

    Opublikowano

    W logach nie widzę niczego podejrzanego.

     

    Kosmetyka:

    Uruchom FRST.
    Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!)

    Spoiler

    START::
    HKU\S-1-5-21-102882877-487944184-3783934408-1001\...\RunOnce: [Delete Cached Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q "C:\Users\Dell\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe" (Brak pliku)
    HKU\S-1-5-21-102882877-487944184-3783934408-1001\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q "C:\Users\Dell\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Brak pliku)
    HKU\S-1-5-21-102882877-487944184-3783934408-1001\...\RunOnce: [Uninstall 22.099.0508.0001] => C:\Windows\system32\cmd.exe /q /c rmdir /s /q "C:\Users\Dell\AppData\Local\Microsoft\OneDrive\22.099.0508.0001" (Brak pliku)
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk
    RemoveDirectory: C:\Users\Dell\Downloads\FRST-OlderVersion
    EmptyEventLogs:
    EmptyTemp:
    END::


    W FRST kliknij na Fix (NAPRAW).

     

    jessi

  23. Defender nie daje rady

    w Dział pomocy doraźnej

    Opublikowano

    Jeszcze coś:

    Uruchom FRST. 
    Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!

    Spoiler

    START::
    Task: {B8919267-9CEF-4A28-A315-34B795E5D8DE} - System32\Tasks\Service\Diagnostic => C:\Users\Mati\AppData\Roaming\ServiceGet\Gamevadu.exe [893608 2022-06-12] (AutoIt Consulting Ltd -> AutoIt Team) -> "C:\Users\Mati\AppData\Roaming\ServiceGet\Gamevadu.dat" <==== UWAGA
    RemoveDirectory: C:\Users\Mati\AppData\Roaming\ServiceGet
    END::


    W FRST kliknij na Fix (NAPRAW).

     

    jessi

  25. Zainfekowany dll - propagation

    w Dział pomocy doraźnej

    Opublikowano

    Masz też ruską infekcję.

     

    Uruchom FRST.
    Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!)

    Spoiler

    START::
    HKU\S-1-5-21-2114928705-1177048781-237462739-1001\...\Run: [electron.app.dllservices] => C:\Users\Marcin\AppData\Roaming\.dllbackups\dllservices.exe [63101989 2022-05-26] (Microsoft Corporation) [Brak podpisu cyfrowego] [Plik w użyciu]
    HKU\S-1-5-21-2114928705-1177048781-237462739-1001\...\Run: [electron.app.services] => C:\Users\Marcin\AppData\Roaming\.dllbackups\dllruntime.exe [63160117 2022-05-26] (Microsoft Corporation) [Brak podpisu cyfrowego] [Plik w użyciu]
    RemoveDirectory: C:\Users\xxx\AppData\Roaming\dllservices
    RemoveDirectory: C:\Users\xxx\AppData\Roaming\dll-propagation
    RemoveDirectory: C:\Users\Marcin\AppData\Roaming\.dllbackups
    HKU\S-1-5-21-2114928705-1177048781-237462739-1001\...\Policies\Explorer: []
    Task: {2139B8AF-3394-45E0-92C0-33B3D690286C} - System32\Tasks\e-pity2017_kwiecien => C:\Program Files (x86)\e-file\e-pity\Assets\signxml.exe notify 2 30.04.2019 (Brak pliku)
    Task: {352E6CA0-7314-4DF4-89C4-682368D80D57} - System32\Tasks\Microsoft\Windows\Workplace Join\Automatic-Workplace-Join => C:\WINDOWS\System32\AutoWorkplace.exe join (Brak pliku)
    Task: {3EE371E2-6855-4CE5-894E-85A3A960E503} - System32\Tasks\e-pity2017_styczen => C:\Program Files (x86)\e-file\e-pity\Assets\signxml.exe notify 1 31.01.2019 (Brak pliku)
    S3 mracsvc; C:\WINDOWS\System32\mracsvc.exe [18534552 2020-01-01] (Mail.Ru LLC -> LLC Mail.Ru)
    S3 mracdrv; C:\WINDOWS\System32\drivers\mracdrv.sys [17770920 2020-01-01] (Mail.Ru LLC -> LLC Mail.Ru)
    C:\WINDOWS\System32\mracsvc.exe
    C:\WINDOWS\System32\drivers\mracdrv.sys
    C:\Program Files (x86)\ymnqli4pw8.dat
    EmptyEventLogs:
    EmptyTemp:
    END::


    W FRST kliknij na Fix (NAPRAW).

     

    Napisz, czy problem znikł?

     

    jessi

×
×
  • Dodaj nową pozycję...