jessica
-
Postów
4 099 -
Dołączył
-
Ostatnia wizyta
Odpowiedzi opublikowane przez jessica
-
-
Cytat
Pisze z drugiego konta bo tamto się zablokowało
Jesteś jednym z wielu tysięcy użytkowników, którzy popełnili ten sam błąd: zaszyfrowałeś laptop "bitlockerem".
Stąd blokada.
Nie da się tego błędu naprawić, i tak jak tysiące innych użytkowników, musisz się z tym pogodzić.
W tej sytuacji ewentualna infekcja BIOS nie ma już żadnego znaczenia.
jessi
-
Cytat
08:47:56.0272 0x3494 ================ Scan MBR ==================================
08:47:56.0274 0x3494 [ 5FB38429D5D77768867C76DCBDB35194 ] \Device\Harddisk0\DR0
08:47:56.0313 0x3494 \Device\Harddisk0\DR0 - okMBR jest OK.
jessi
-
Uruchom FRST.
Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!)SpoilerSTART::
HKU\.DEFAULT\Software\Classes\exefile: "%1" %* <==== UWAGA
HKU\.DEFAULT\Software\Classes\.exe: exefile => "%1" %* <==== UWAGA
HKU\S-1-5-21-3647009587-3880035555-2794837538-1001\Software\Classes\exefile: "%1" %* <==== UWAGA
HKU\S-1-5-21-3647009587-3880035555-2794837538-1001\Software\Classes\.exe: exefile => "%1" %* <==== UWAGA
C:\Users\szymo\AppData\Roaming\Microsoft\Libs\sihost64.exe
C:\Users\szymo\AppData\Roaming\Microsoft\Telemetry\sihost32.exe
HKU\S-1-5-21-3647009587-3880035555-2794837538-1001\...\Run: [ZoomE] => C:\Users\szymo\ZoomE.exe [2071552 2022-01-30] (Loudplay) [Brak podpisu cyfrowego] <==== UWAGA
HKU\S-1-5-21-3647009587-3880035555-2794837538-1001\...\Run: [ZoomX] => C:\Users\szymo\ZoomX.exe [2267136 2022-01-30] (Loudplay) [Brak podpisu cyfrowego] <==== UWAGA
C:\Users\szymo\ZoomE.exe
C:\Users\szymo\ZoomX.exe
Task: {4EB011B6-CC99-4A5B-9FF7-58A081B26517} - System32\Tasks\TiniTask => C:\Users\Default\Links\pluginsd.js [91978 2022-01-29] () [Brak podpisu cyfrowego]
Task: {79319205-185C-4B83-8EAA-CD3A22A97B7A} - System32\Tasks\TinyTask => C:\Users\Default\Links\plugins.js [79202 2022-01-29] () [Brak podpisu cyfrowego]
S3 ALSysIO; C:\Users\szymo\AppData\Local\Temp\ALSysIO64.sys [47240 2022-01-30] (ALCPU (Arthur Liberman) -> Arthur Liberman) <==== UWAGA
S3 iobit_monitor_server2021; \??\C:\Program Files (x86)\IObit\Advanced SystemCare\drivers\Monitor_win10_x64.sys [X]
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:
END::W FRST kliknij na Fix (NAPRAW).
jessi
-
Bardziej prawdopodobna mogłaby być infekcja "mbr" dysku twardego.
Może zrób log z TDSSKiller > https://www.fixitpc.pl/topic/8-dezynfekcja-zbiór-narzędzi-usuwających/
jessi
-
Cytat
bo to raczej nie jest rozwiaznie problemu
Tak, prawidłowym rozwiązaniem jest tylko skontaktowanie się z twórcami tej gry, by usunęli z niej tę usterkę.
jessi
-
Jeśli ten plik pojawia się przy jakiejś grze, to pozbądź się tej gry.
jessi
-
Czyli nie masz w ogóle pliku "enltrc.txt" w Rejestrze, co oznacza, że taki plik nie istnieje też rzeczywistości.
-
Jeśli uważasz, że BIOS jest do niczego, to oddaj komputer do jakiegoś serwisu naprawczego, niech go wymienią, oraz niech wymienią dysk twardy.
jessi
-
można użyć spirytusu, ale czy to opłacalne?
-
Nie widzę tu żadnej infekcji.
W dolnej części logu Addition.txt nie widzę też niczego, co mogłoby być przyczyną problemów.
Tylko kosmetyka:
Uruchom FRST.
Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!)SpoilerSTART::
HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe <==== UWAGA
HKLM\...\Winlogon: [Userinit] C:\Windows\system32\userinit.exe,c:\Program Files (x86)\HP\HP ProtectTools Security Manager\Bin\DPAgent.exe, <==== UWAGA
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA
HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:
END::W FRST kliknij na Fix (NAPRAW).
jessi
-
Sądząc po nowych logach, to powinno już być OK.
jessi
-
Uruchom FRST.
Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!)SpoilerSTART::
C:\Users\ryho\AppData\Roaming\.dllbackups\data\modules\dll-propagation\dll-propagation_2.9.8.exe
RemoveDirectory: C:\Users\ryho\AppData\Roaming\.dllbackups\data\modules\dll-host
RemoveDirectory: C:\Users\ryho\AppData\Roaming\.dllbackups
RemoveDirectory: C:\Users\ryho\AppData\Roaming\dllservices
Task: {9B5788A4-59E6-450B-97FE-651E99F03B04} - System32\Tasks\PowerENGAGE => Command(1): msiexec -> /f {400A01BF-E908-4393-BD39-31E386377BDA} /quiet /qn
Task: {9B5788A4-59E6-450B-97FE-651E99F03B04} - System32\Tasks\PowerENGAGE => Command(2): PowerENGAGE.exe -> scheduled-run
FirewallRules: [TCP Query User{16BE0ADA-188D-4F39-82AD-4B641A4F0C17}C:\users\ryho\appdata\local\temp\1xq0mkkmtm0ytel1jnxj2x0arfp\dll-propagation.exe] => (Block) C:\users\ryho\appdata\local\temp\1xq0mkkmtm0ytel1jnxj2x0arfp\dll-propagation.exe (Microsoft Corporation) [Brak podpisu cyfrowego]
FirewallRules: [UDP Query User{8EEF8452-2D69-48F2-859D-EC0974A63B9E}C:\users\ryho\appdata\local\temp\1xq0mkkmtm0ytel1jnxj2x0arfp\dll-propagation.exe] => (Block) C:\users\ryho\appdata\local\temp\1xq0mkkmtm0ytel1jnxj2x0arfp\dll-propagation.exe (Microsoft Corporation) [Brak podpisu cyfrowego]
HKLM-x32\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe (Brak pliku)
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
hKU\S-1-5-21-1367152738-2495264418-1203898016-1001\...\Run: [electron.app.dllservices] => C:\Users\ryho\AppData\Roaming\.dllbackups\dllservices.exe [63924677 2022-01-14] (Microsoft Corporation) [Brak podpisu cyfrowego] [Plik w użyciu] <==== UWAGA
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:
END::W FRST kliknij na Fix (NAPRAW).
Zrób nowe logi FRST.
jessi
-
Jest ruska infekcja, ale ona na pewno nie powoduje problemu z "cmd".
Trudno zgadnąć, co jest powodem problemu.
Na wszelki wypadek usuniemy kilka nietypowych Zaplanowanych Zadań, może któreś z nich jest powodem?
Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!)
SpoilerSTART::
S3 mracdrv; C:\WINDOWS\System32\drivers\mracdrv1.sys [19767024 2020-11-29] (Mail.Ru LLC -> LLC Mail.Ru)
S3 mracsvc; C:\WINDOWS\System32\mracsvc.exe [20536992 2020-11-29] (Mail.Ru LLC -> LLC Mail.Ru)
C:\WINDOWS\System32\drivers\mracdrv1.sys
C:\WINDOWS\System32\mracsvc.exe
Task: {F0D32113-C5D1-4DCC-8B67-0DB7BAF7D285} - System32\Tasks\ContentManagement => C:\Users\Pc\AppData\Roaming\Unarchiver\Unarchiver.exe (Brak pliku) <==== UWAGA
Task: {CCDFC0B8-01A3-4E74-A820-4F13F51D269E} - System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser => C:\WINDOWS\System32\MbaeParserTask.exe (Brak pliku)
Task: {A1294AE6-4B06-4BAD-95BA-8B5208F899B2} - System32\Tasks\TaskbarX LENOVO-LEGION-YPc => explorer.exe taskbarx:"-tbs=1 -color=0;0;0;50 -tpop=100 -tsop=100 -as=quadeasein -obas=cubiceaseinout -tbr=0 -asp=300 -ptbo=0 -stbo=0 -cib=1 -lr=400 -oblr=400 -sr=0 -sr2=0 -sr3=0 -ftotc=1 -rzbt=1 "
Task: {9AE9659F-B928-486A-8CF5-477D4AE5A8F4} - System32\Tasks\S-1-5-21-1425477404-2470572201-1755276120-1001\DataSenseLiveTileTask => C:\WINDOWS\System32\DataUsageLiveTileTask.exe (Brak pliku)
Task: {7BE183A4-6D9B-47D2-96BF-48F1D4BDA3A2} - Brak ścieżki do pliku
Task: {74BCD4B9-24B3-42DB-A0F5-1DB12A606111} - System32\Tasks\PCIeBusQueue => "wevtutil.exe" cl System
Task: {5A87555E-44C7-4692-AACE-0DEA7EF5EF4C} - System32\Tasks\PCIeBus => "wevtutil.exe" cl Application
Task: {525CCA0F-D087-47FD-A5C1-6F985B371F7E} - System32\Tasks\Lenovo\ImController\Plugins\LenovoSystemUpdatePlugin_WeeklyTask => %windir%\System32\reg.exe add hklm\SOFTWARE\Lenovo\SystemUpdatePlugin\scheduler /v start /t reg_dword /d 1 /f /reg:32
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
BHO-x32: Brak nazwy -> {A82250B1-B910-4597-891E-90D39B0CFC3D}' -> Brak pliku
BHO: Brak nazwy -> {A82250B1-B910-4597-891E-90D39B0CFC3D}' -> Brak pliku
FirewallRules: [{79F9EDBF-18AE-4DE1-A754-C18DC2583495}] => (Block) C:\users\pc\appdata\local\programs\opera gx\75.0.3969.285\opera.exe => Brak pliku
FirewallRules: [{C9E1A24C-4244-4725-9FF7-23D29D1E99A9}] => (Block) C:\users\pc\appdata\local\programs\opera gx\75.0.3969.285\opera.exe => Brak pliku
FirewallRules: [UDP Query User{E6E9F0FE-4430-4DF3-B362-DE7D154D4780}C:\users\pc\appdata\local\programs\opera gx\73.0.3856.415\opera.exe] => (Allow) C:\users\pc\appdata\local\programs\opera gx\73.0.3856.415\opera.exe => Brak pliku
FirewallRules: [TCP Query User{998F089E-B520-4963-AEF5-B017E1168ADF}C:\users\pc\appdata\local\programs\opera gx\73.0.3856.415\opera.exe] => (Allow) C:\users\pc\appdata\local\programs\opera gx\73.0.3856.415\opera.exe => Brak pliku
FirewallRules: [UDP Query User{F96A6D7A-09E2-4552-A9FB-66D80E16E6F9}C:\program files (x86)\droidcam\droidcamapp.exe] => (Allow) C:\program files (x86)\droidcam\droidcamapp.exe => Brak pliku
FirewallRules: [TCP Query User{9BF89722-DDA7-4D9C-957F-8712C3232BE5}C:\program files (x86)\droidcam\droidcamapp.exe] => (Allow) C:\program files (x86)\droidcam\droidcamapp.exe => Brak pliku
FirewallRules: [UDP Query User{C437470C-4E64-4D31-A92E-B5BC36D923F8}C:\users\pc\appdata\local\programs\opera gx\72.0.3815.459\opera.exe] => (Allow) C:\users\pc\appdata\local\programs\opera gx\72.0.3815.459\opera.exe => Brak pliku
FirewallRules: [TCP Query User{4EAAB3AE-C526-4CBA-882B-A84643E6D415}C:\users\pc\appdata\local\programs\opera gx\72.0.3815.459\opera.exe] => (Allow) C:\users\pc\appdata\local\programs\opera gx\72.0.3815.459\opera.exe => Brak pliku
FirewallRules: [UDP Query User{028F1186-388B-489E-9EE1-D45AE7804A54}C:\users\pc\appdata\local\programs\opera gx\72.0.3815.450\opera.exe] => (Allow) C:\users\pc\appdata\local\programs\opera gx\72.0.3815.450\opera.exe => Brak pliku
FirewallRules: [TCP Query User{F1AC3F0F-C37B-4F00-9C5A-085ED69277AC}C:\users\pc\appdata\local\programs\opera gx\72.0.3815.450\opera.exe] => (Allow) C:\users\pc\appdata\local\programs\opera gx\72.0.3815.450\opera.exe => Brak pliku
FirewallRules: [UDP Query User{33A4DFB9-F8A7-42C1-ABCC-C1EC4248112F}C:\users\pc\appdata\local\programs\opera gx\71.0.3770.456\opera.exe] => (Allow) C:\users\pc\appdata\local\programs\opera gx\71.0.3770.456\opera.exe => Brak pliku
FirewallRules: [TCP Query User{0BF9ECB8-569E-4AD6-945A-C960D70E7C1F}C:\users\pc\appdata\local\programs\opera gx\71.0.3770.456\opera.exe] => (Allow) C:\users\pc\appdata\local\programs\opera gx\71.0.3770.456\opera.exe => Brak pliku
FirewallRules: [UDP Query User{BD83D121-80A0-45D0-9561-21AABE237493}C:\users\pc\appdata\local\programs\opera gx\71.0.3770.310\opera.exe] => (Allow) C:\users\pc\appdata\local\programs\opera gx\71.0.3770.310\opera.exe => Brak pliku
FirewallRules: [TCP Query User{FFC40314-F059-4EEA-B4FC-F354D3703887}C:\users\pc\appdata\local\programs\opera gx\71.0.3770.310\opera.exe] => (Allow) C:\users\pc\appdata\local\programs\opera gx\71.0.3770.310\opera.exe => Brak pliku
FirewallRules: [UDP Query User{B00CC4F3-F6DF-4389-A17B-0488F4424984}C:\users\pc\appdata\local\programs\opera gx\71.0.3770.302\opera.exe] => (Allow) C:\users\pc\appdata\local\programs\opera gx\71.0.3770.302\opera.exe => Brak pliku
FirewallRules: [TCP Query User{AD100BCA-5018-4231-AF91-B51221D22C66}C:\users\pc\appdata\local\programs\opera gx\71.0.3770.302\opera.exe] => (Allow) C:\users\pc\appdata\local\programs\opera gx\71.0.3770.302\opera.exe => Brak pliku
HOSTS:
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:
END::W FRST kliknij na Fix (NAPRAW).
Napisz, czy to coś dało?
jessi
-
Cytat
Czy za jakiś czas może tak być że zabraknie w sklepach tradycyjnych żarówek takich ze szkła z pręcikiem w środku
W moim mieście już od wielu lat nie ma w sprzedaży tradycyjnych żarówek.
Nawiasem mówiąc tradycyjne żarówki też emitują m.in. niebieskie promienie, więc są też szkodliwe dla wzroku.
jessi
-
Lampy LED nie zagrażają oczom, jeśli są wykonane zgodnie z normami technicznymi, w tym dotyczącymi bezpieczeństwa fotobiologicznego (PN-EN 62471:2010).
Niestety w sprzedaży jest dużo żarówek nie spełniających tych norm.
Zwykły klient nie ma szans na sprawdzenie, czy dana żarówka spełnia normy, czy też tylko udaje, że spełnia.
jessi
-
Cytat
coś z certyfikatami
Przeważnie wynika to złego ustawienia daty systemowej, ale u Ciebie widzę, że data jest prawidłowa - nie wiem więc, z czego jest ten problem z certyfikatami.
Uruchom FRST.
Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!)SpoilerSTART::
HKLM\...\Winlogon: [Userinit] C:\Windows\SysWOW64\userinit.exe, <==== UWAGA
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
Task: {2B4234EF-9EC6-41BB-8152-DB14C7CE8075} - Brak ścieżki do pliku
Task: {701F5063-212B-4ED7-8156-72F31F4F5D4D} - Brak ścieżki do pliku
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <==== UWAGA
FF Session Restore: Mozilla\Firefox\Profiles\35hx2igv.default -> [funkcja włączona]
URLSearchHook: [S-1-5-21-3773730119-867695352-343840697-1002] UWAGA => Brak domyślnego URLSearchHook
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:
END::W FRST kliknij na Fix (NAPRAW).
jessi
-
To nie porada,, tylko stwierdzenie faktu.
jessi
-
Aha, czyli pozostało tylko sformatowanie dysku i wgranie Systemu od nowa.
jessi
-
Cytat
==================== Punkty Przywracania systemu =========================
12-01-2022 10:17:14 Windows Update
Jeśli problem powstał po 12 stycznia, to zrób zwykłe "Przywracanie Systemu" do tego powyższego punktu Przywracania.
jessi
-
W logach nie widzę niczego podejrzanego.
Uruchom FRST.
Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!)SpoilerSTART::
StartRegedit:
Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"
EndRegedit:Reboot:
END::W FRST kliknij na Fix (NAPRAW).
Napisz, czy się poprawiło?
jessi
-
a więc chyba jednak coś było, skoro się usunęło.
jessi
-
Nie widzę tu żadnej infekcji.
Kosmetyka:
Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:SpoilerRemoveDirectory: C:\Users\krzys\Downloads\FRST-OlderVersion
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
HKU\S-1-5-21-3626314819-3055522888-3283797281-1001\...\Run: [LM___SCE] => C:\Program Files (x86)\Lexmark\StatusCenter\LM___SCE.EX (Brak pliku)
ShortcutTarget: Crack do Virtual Serial Port Driver 10.lnk -> C:\Program Files (x86)\Virtual Serial Port Driver 10\Crack\vspdpro.exe (Brak pliku)
ShortcutTarget: Instrukcja instalacji.lnk -> C:\Program Files (x86)\Virtual Serial Port Driver 10\Instrukcja instalacji.txt (Brak pliku)
S2 StarWindServiceAE; C:\Program Files (x86)\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe [X]
S2 WirelessKB850NotificationService; %SystemRoot%\system32\WirelessKB850NotificationService.exe [X]
ShortcutWithArgument: C:\Users\krzys\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google LLC) -> --load-extension="C:\ProgramData\Wxdu\Vdhqia\6AE88D5F"
ShortcutWithArgument: C:\Users\krzys\Desktop\YouTube.lnk -> C:\Program Files\Google\Chrome\Application\chrome_proxy.exe (Google LLC) -> --profile-directory="Profile 1" --app-id=agimnkijcaahngcdmfeangaknmldooml
ShortcutWithArgument: C:\Users\krzys\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\Chrome Remote Desktop.lnk -> C:\Program Files\Google\Chrome\Application\chrome_proxy.exe (Google LLC) -> --profile-directory="Profile 1" --app-id=efmjfjelnicpmdcmfikempdhlmainjcb
ShortcutWithArgument: C:\Users\krzys\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\Chromebook Recovery Utility (1).lnk -> C:\Program Files\Google\Chrome\Application\chrome_proxy.exe (Google LLC) -> --profile-directory="Profile 5" --app-id=jndclpdbaamdhonoechobihbbiimdgai
ShortcutWithArgument: C:\Users\krzys\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\Chromebook Recovery Utility.lnk -> C:\Program Files\Google\Chrome\Application\chrome_proxy.exe (Google LLC) -> --profile-directory="Profile 1" --app-id=jndclpdbaamdhonoechobihbbiimdgai
ShortcutWithArgument: C:\Users\krzys\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\Google Hangouts.lnk -> C:\Program Files\Google\Chrome\Application\chrome_proxy.exe (Google LLC) -> --profile-directory="Profile 5" --app-id=knipolnnllmklapflnccelgolnpehhpl
ShortcutWithArgument: C:\Users\krzys\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\VXG Media Player.lnk -> C:\Program Files\Google\Chrome\Application\chrome_proxy.exe (Google LLC) -> --profile-directory="Profile 1" --app-id=hncknjnnbahamgpjoafdebabmoamcnni
ShortcutWithArgument: C:\Users\krzys\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\Vysor (1).lnk -> C:\Program Files\Google\Chrome\Application\chrome_proxy.exe (Google LLC) -> --profile-directory="Profile 5" --app-id=gidgenkbbabolejbgbpnhbimgjbffefm
ShortcutWithArgument: C:\Users\krzys\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\Vysor.lnk -> C:\Program Files\Google\Chrome\Application\chrome_proxy.exe (Google LLC) -> --profile-directory="Profile 1" --app-id=gidgenkbbabolejbgbpnhbimgjbffefm
ShortcutWithArgument: C:\Users\krzys\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\YouTube.lnk -> C:\Program Files\Google\Chrome\Application\chrome_proxy.exe (Google LLC) -> --profile-directory="Profile 1" --app-id=agimnkijcaahngcdmfeangaknmldooml
ShortcutWithArgument: C:\Users\krzys\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google LLC) -> --load-extension="C:\ProgramData\Wxdu\Vdhqia\6AE88D5F"
ShortcutWithArgument: C:\Users\krzys\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google LLC) -> --load-extension="C:\ProgramData\Wxdu\Vdhqia\6AE88D5F"
ShortcutWithArgument: C:\Users\krzys\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google LLC) -> --profile-directory="Profile 1 --load-extension="C:\ProgramData\Wxdu\Vdhqia\6AE88D5F"
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:Na klawiaturze naciśnij jednocześnie CTRL + S.
W FRST kliknij na Fix (NAPRAW).jessi
-
Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:SpoilerHKU\S-1-5-21-1801939095-826057253-3178289900-1001\...\Run: [WEHHRB8F7I] => C:\Users\szymo\AppData\Roaming\info.js [72310 2021-08-25] () [Brak podpisu cyfrowego]
HKU\S-1-5-21-1801939095-826057253-3178289900-1001\...\Run: [electron.app.dllservices] => C:\Users\szymo\AppData\Roaming\.dllbackups\dllruntime.exe [63924677 2022-01-08] (Microsoft Corporation) [Brak podpisu cyfrowego]
Startup: C:\Users\szymo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\info.js [2021-08-25] () [Brak podpisu cyfrowego]
GroupPolicy: Ograniczenia ? <==== UWAGA
Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA
Task: {A2C08717-62F4-4495-A7D9-9A3247CD35B5} - System32\Tasks\anydesk => C:\Users\szymo\AppData\Roaming\info.js [72310 2021-08-25] () [Brak podpisu cyfrowego]
RemoveDirectory: C:\Users\szymo\AppData\Roaming\dll-propagation
RemoveDirectory: C:\Users\szymo\AppData\Roaming\dllservicesRemoveDirectory: C:\Users\szymo\AppData\Roaming\.dllbackups
HKU\S-1-5-21-1801939095-826057253-3178289900-1001\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1
S3 cpuz145; Brak ImagePath
S3 HWiNFO_162; Brak ImagePath
S3 HWiNFO_165; Brak ImagePath
S3 ALSysIO; \??\C:\Users\szymo\AppData\Local\Temp\ALSysIO64.sys [X] <==== UWAGA
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:Na klawiaturze naciśnij jednocześnie CTRL + S.
W FRST kliknij na Fix (NAPRAW).jessi
-
Nie widzę tu infekcji.
Tylko kosmetyka:
Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:SpoilerTask: {221BDD5B-F1AD-4F46-9D55-3403E6202464} - System32\Tasks\e-pity2016a_styczen => C:\Program Files (x86)\e-file\e-pity\Assets\signxml.exe notify 1 31.01.2018 (Brak pliku)
Task: {2C3BE66D-7957-497D-A4D9-5B504DF5F8BB} - System32\Tasks\{3BC2D321-5B01-4A6F-937F-4C06456FF86A} => C:\Windows\system32\pcalua.exe -a "D:\drv\hp deskjet 800_ploter\HPDesignjet800PrinterSeries.exe" -d "D:\drv\hp deskjet 800_ploter"
Task: {03632DDB-15A2-4E1A-A2D2-146375453F63} - System32\Tasks\{67A07831-027F-4EB9-A69A-EE281A15E330} => D:\PRZETARGI\__PRZETARGI\ZP_26_2013-04-11_LUBARTOW_REWIT RYNKU ETAP II\4-2013-Załącznik Nr 7.exe (Brak pliku)
Task: {CC60C15F-C9F2-4864-8119-EA6E03E81463} - System32\Tasks\{4D2E7B70-56F8-4BDD-90ED-2925D4A43E36} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\KOPRINET\Rodos_demo 7\deinst.exe" -d "C:\Program Files (x86)\KOPRINET\Rodos_demo 7"
Task: {E4884D6C-4EE2-4890-9B6F-26C29F04D3FF} - System32\Tasks\e-pity2016a_kwiecien => C:\Program Files (x86)\e-file\e-pity\Assets\signxml.exe notify 2 30.04.2018 (Brak pliku)
FF Extension: (NoScript) - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\ob1g130o.default\Extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}.xpi [2022-01-11]
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\antibeacon.js [2021-12-27] <==== UWAGA (Linkuje do pliku *.cfg)
FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\firefox.cfg [2013-06-03] <==== UWAGA
CHR HKLM-x32\...\Chrome\Extension: [caljgklbbfbcjjanaijlacgncafpegll]
CHR HKLM-x32\...\Chrome\Extension: [ccbpbkebodcjkknkfkpmfeciinhidaeh]
CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk]
S2 Avg; "C:\Program Files (x86)\AVG\Browser\Update\AVGBrowserUpdate.exe" /svc [X]
R3 QDrive; \??\C:\Users\user\AppData\Local\Temp\QDrive.sys [X] <==== UWAGA
2021-12-22 09:35 - 2021-12-22 09:53 - 000000000 ____D C:\Users\user\AppData\Local\Safer-Networking Ltd
2021-12-22 09:35 - 2021-12-22 09:35 - 000000000 ____D C:\Windows\system32\Tasks\Safer-Networking
2021-12-22 09:35 - 2021-12-22 09:35 - 000000000 ____D C:\Safer-Networking Ltd
2021-12-22 09:35 - 2021-12-22 09:35 - 000000000 ____D C:\Program Files (x86)\Safer-Networking Ltd
2021-12-22 09:34 - 2021-12-27 13:56 - 000000000 ____D C:\Program Files (x86)\Spybot - Search & Destroy 2
2021-12-22 09:34 - 2021-12-27 13:55 - 000000000 ____D C:\ProgramData\Spybot - Search & Destroy
HOSTS:
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:Na klawiaturze naciśnij jednocześnie CTRL + S.
W FRST kliknij na Fix (NAPRAW).jessi
Infekcja biosu
w Dział pomocy doraźnej
Opublikowano
Czy w Trybie Awaryjnym da się uruchomić laptopa?
Jeśli tak, to spróbuj zrobić zwykłe "Przywracanie Systemu" do najbardziej odległego w czasie punktu przywracania.
W sprawie BIOS już pisałam, że musisz oddać laptop do jakiegoś serwisu naprawczego.
jessi