bolec Opublikowano 5 Stycznia 2023 Zgłoś Udostępnij Opublikowano 5 Stycznia 2023 Witam, chciałem pobrać trainera do gry ..., no i się zaczęło aby go uruchomić musiałem wyłączyć windows defendera ..., po ponownym uruchomieniu komputer zaczął się dziwnie zachowywać .. np przy wyłączaniu dzieje się coś takiego załączam zdjęcie, zostałem automatycznie wylogowany ze wszystkiego co jest połączone z google w celu ochrony, w komunikatach windows defender widziałem powiadomienia o zablokowanych i usuwanych wirusach programach działających na rzecz innych osób. Załączam skan z FRST, czy to jest do odratowania ?, czy pozostaje mi format ?, mogę normalnie korzystać z PC ale obawiam się ze nie jest do końca taki jaki był przed zainstalowaniem wirusa... Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
jessica Opublikowano 5 Stycznia 2023 Zgłoś Udostępnij Opublikowano 5 Stycznia 2023 Tylko kosmetyka: Uruchom FRST. Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) - FRST sam znajdzie "fixlist" w schowku systemowym Spoiler START:: Task: {7CDB190A-C472-47CF-A67B-DF42FDA70F17} - System32\Tasks\GoogleUpdateTaskMachineQC => C:\Users\Bolo\Google\Chrome\updater.exe <==== UWAGA C:\Users\Bolo\Google\Chrome\updater.exe C:\Windows\Minidump\*.dmp EmptyEventLogs: Hosts: EmptyTemp: END:: W FRST kliknij na Fix (NAPRAW). jessi Odnośnik do komentarza
bolec Opublikowano 6 Stycznia 2023 Autor Zgłoś Udostępnij Opublikowano 6 Stycznia 2023 okej, zrobiłem tak uruchomiłem FRST --> skopiowałem ten ten tekst CTRL+C i w FRST kliknąłem napraw po całej operacji komputer uruchomił się sam ponownie to wszystko ?, dzisiaj przy włączeniu PC defender od razu poinformował mnie o wirusach itd ze 3 sztuki kazałem je usunąć, czy jest jakiś program albo sposób aby się upewnić, że na PC nie ma żadnych keylogerów czy programów za pomocą których ktoś ma wgląd do mojego PC ? Odnośnik do komentarza
jessica Opublikowano 6 Stycznia 2023 Zgłoś Udostępnij Opublikowano 6 Stycznia 2023 Defender ma rację usuwając pliki , bo w tej lokalizacji (C:\Users\Bolo\ ) nie powinno być żadnych plików *.exe Uruchom FRST. Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) - FRST sam znajdzie "fixlist" w schowku systemowym Spoiler START:: C:\Users\Bolo\*.exe Task: {B019CC54-6760-45B2-9B29-BE901E5A3886} - System32\Tasks\svcupdater => C:\Users\Bolo\AppData\Roaming\Win32Sync\svcupdater.exe [792811008 2023-01-02] () [Brak podpisu cyfrowego] C:\Users\Bolo\AppData\Roaming\Win32Sync\svcupdater.exe EmptyTemp: END:: W FRST kliknij na Fix (NAPRAW). Możesz jeszcze użyć MBAM > Dezynfekcja: zbiór narzędzi usuwających - Dział pomocy doraźnej - Fixitpc.pl jessi Odnośnik do komentarza
bolec Opublikowano 6 Stycznia 2023 Autor Zgłoś Udostępnij Opublikowano 6 Stycznia 2023 zrobione, defender dalej coś widzi Odnośnik do komentarza
jessica Opublikowano 6 Stycznia 2023 Zgłoś Udostępnij Opublikowano 6 Stycznia 2023 Zrób nowe logi FRST jessi Odnośnik do komentarza
bolec Opublikowano 6 Stycznia 2023 Autor Zgłoś Udostępnij Opublikowano 6 Stycznia 2023 Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
jessica Opublikowano 6 Stycznia 2023 Zgłoś Udostępnij Opublikowano 6 Stycznia 2023 Cytat ==================== Hosts - zawartość: ========================= (Użycie dyrektywy Hosts: w fixlist spowoduje reset pliku Hosts.) 2019-12-07 10:14 - 2023-01-06 12:13 - 000000027 _____ C:\Windows\system32\drivers\etc\hosts 127.0.0.1 localhost Plik "hosts" jest w porządku, więc nie wiem, dlaczego Defender widzi w nim coś, czego nie ma. =============== Cytat "BEDaisy" => serwis nie został odblokowany. <==== UWAGA HKLM\SYSTEM\ControlSet001\Services\BEDaisy => \??\C:\Program Files (x86)\Common Files\BattlEye\BEDaisy.sys <==== UWAGA (Rootkit!/Zablokowana usługa) Znasz to? ============ Uruchom FRST. Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) - FRST sam znajdzie "fixlist" w schowku systemowym Spoiler START:: HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ograniczenia <==== UWAGA HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ograniczenia <==== UWAGA Unlock: HKLM\SYSTEM\ControlSet001\Services\BEDaisy END:: W FRST kliknij na Fix (NAPRAW). jessi Odnośnik do komentarza
bolec Opublikowano 7 Stycznia 2023 Autor Zgłoś Udostępnij Opublikowano 7 Stycznia 2023 Tak battleye to program który jest w grach i wykrywa hakerów cziterów itd, tylko ten trainer który zainstalowałem pewnie miał jakoś pominąć tego Battleye, jeżeli jest taka potrzeba można ten Battleye usunąć jeśli to coś niedobrego a w razie wu gra doinstaluje brakujący plik czy coś ?. czy PC jest bezpieczny teraz? Odnośnik do komentarza
jessica Opublikowano 7 Stycznia 2023 Zgłoś Udostępnij Opublikowano 7 Stycznia 2023 Wg mnie - jest OK. Odnośnik do komentarza
bolec Opublikowano 10 Stycznia 2023 Autor Zgłoś Udostępnij Opublikowano 10 Stycznia 2023 cały czas siedzi jakiś filehijack Odnośnik do komentarza
jessica Opublikowano 10 Stycznia 2023 Zgłoś Udostępnij Opublikowano 10 Stycznia 2023 Cytat Produkt Program antywirusowy Microsoft Defender wykrył złośliwe oprogramowanie lub inne potencjalnie niechciane oprogramowanie. (...) Nazwa: SettingsModifier:Win32/PossibleHostsFileHijack (...) Ścieżka: file:_C:\Windows\System32\drivers\etc\hosts (...) Nazwa procesu: C:\Users\Bolo\Downloads\FRST64.exe oraz: Cytat Produkt Program antywirusowy Microsoft Defender wykrył złośliwe oprogramowanie lub inne potencjalnie niechciane oprogramowanie. (....) Nazwa: SettingsModifier:Win32/PossibleHostsFileHijack (...) Ścieżka: file:_C:\Windows\System32\drivers\etc\hosts (...) Nazwa procesu: C:\Program Files\NVIDIA Corporation\NVIDIA GeForce Experience\NVIDIA Notification.exe Sam popatrz, gdzie Defender wykrył tego "HostsFileHijack". O ile wykrycie w FRST można zrozumieć (bo FRST przy usuwaniu dostał ode mnie komendę Hosts: - czyli usunięcia zarażonego pliku HOSTS, i wstawienia normalnego pliku HOSTS - więc zarażony plik jest w Kwarantannie FRST i pewnie Defender wykrywa to w tej Kwarantannie), to wykrywanie tego "HostsFileHijack" w NVIDIA GeForce jest zupełnie niezrozumiałe. jessi Odnośnik do komentarza
bolec Opublikowano 25 Marca 2023 Autor Zgłoś Udostępnij Opublikowano 25 Marca 2023 Witam, nie wiem czy przez te wirusy nie stało się coś z windows update ?, tzn sam zauważyłem, że dawno nie było aktualizacji .., i np nie mogę pobrać aplikacji z microsoft store ... FRST.txtAddition.txt Odnośnik do komentarza
jessica Opublikowano 25 Marca 2023 Zgłoś Udostępnij Opublikowano 25 Marca 2023 Cytat S2 wuauserv; C:\Windows\system32\svchost.exe [55320 2022-07-20] (Microsoft Windows Publisher -> Microsoft Corporation) <==== UWAGA (Brak ServiceDLL) S2 wuauserv; C:\Windows\SysWOW64\svchost.exe [46504 2022-07-20] (Microsoft Windows Publisher -> Microsoft Corporation) <==== UWAGA (Brak ServiceDLL) Windows Update nie może zadziałać, bo w Rejestrze w kluczu usługi "wuauserv" brak lub jest zły adres *.dll --------- Cytat S2 UsoSvc; C:\Windows\system32\svchost.exe [55320 2022-07-20] (Microsoft Windows Publisher -> Microsoft Corporation) <==== UWAGA (Brak ServiceDLL) S2 UsoSvc; C:\Windows\SysWOW64\svchost.exe [46504 2022-07-20] (Microsoft Windows Publisher -> Microsoft Corporation) <==== UWAGA (Brak ServiceDLL) Podobnie jest z tą usługą. ----- . Uruchom FRST. Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) - FRST sam znajdzie "fixlist" w schowku systemowym Spoiler START:: StartRegedit: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv\Parameters] "ServiceDll"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,75,00,61,00,75,00,65,00,6e,00,67,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\UsoSvc\Parameters] "ServiceDll"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 75,00,73,00.6F,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 EndRegedit: EmptyEventLogs: EmptyTemp: END:: W FRST kliknij na Fix (NAPRAW). Napisz, czy to dało jakiś efekt? jessi Odnośnik do komentarza
bolec Opublikowano 26 Marca 2023 Autor Zgłoś Udostępnij Opublikowano 26 Marca 2023 Cześć, dzięki za szybką reakcję, pc chyba nie uzyskał pożądanego efektu Windows update cały czas w myśli, na koniec jest taki komunikat. Odnośnik do komentarza
jessica Opublikowano 26 Marca 2023 Zgłoś Udostępnij Opublikowano 26 Marca 2023 Zrób nowy log z FRST - bez Addition.txt, i bez Shortcut.txt. Dodatkowo: Zrób log z Farbar Service Scanner >http://download.bleepingcomputer.com/farbar/FSS.exe (do skanowania zaznacz wszystko) . Uruchom FRST. W polu SEARCH (SZUKAJ) wklej: Cytat wuauserv; usosvc; kliknij na przycisk "Search Registry" (Szukaj w Rejestrze). Raport z tego będzie tam, gdzie jest FRST. jessi Odnośnik do komentarza
bolec Opublikowano 26 Marca 2023 Autor Zgłoś Udostępnij Opublikowano 26 Marca 2023 zrobione FRST.txt SearchReg.txt FSS.txt Odnośnik do komentarza
jessica Opublikowano 26 Marca 2023 Zgłoś Udostępnij Opublikowano 26 Marca 2023 Cytat ===================== Rezultaty wyszukiwania dla " usosvc" ========== ====== Koniec Szukaj ====== Wygląda na to, że usługa "usosvc" u Ciebie nie istnieje. Trzeba by ją całkowicie odbudować. Problem w tym, że mam System WIN 7, a na tym systemie ta usługa nie jest potrzebna. Potrzebna jest tylko na WIN 10. cytat ze strony: Lista usług Windows 10 - Tutoriale | Artykuły | Recenzje - Fixitpc.pl Spoiler Update Orchestrator Service | Usługa koordynatora aktualizacji [wcześniej Update Orchestrator Service for Windows Update] [Zmodyfikowana w Wersji 1903. Polska nazwa dodana w Wersji 2004.] R2 UsoSvc; C:\WINDOWS\system32\usosvc.dll [567296 2021-03-11] (Microsoft Windows -> Microsoft Corporation) [W starszych Wersjach usługa kieruje na usocore.dll] R2 UsoSvc; C:\WINDOWS\system32\usocore.dll [887808 2019-05-28] (Microsoft Windows -> Microsoft Corporation) . Może przypadkiem trafi tu ktoś mający WIN10 i udosatępni ten klucz? Bez niego nic tu nie wymyślę. jessi Odnośnik do komentarza
bolec Opublikowano 26 Marca 2023 Autor Zgłoś Udostępnij Opublikowano 26 Marca 2023 to jak to się zadziało, że u mnie czegoś brakuje, czy to możliwe, że jakieś złośliwe oprogramowanie usunęło ten element ?, czyli jestem uziemiony nie mogę updatować systemu itd ?, chciałem pobrać sterownik do adaptera bluetooth, żeby pograć bezprzewodowo na padzie, no i nie działa ten transmiter, pomyślałem żeby updatować system no i okazało się, że jest problem .. Odnośnik do komentarza
jessica Opublikowano 27 Marca 2023 Zgłoś Udostępnij Opublikowano 27 Marca 2023 Zdobyłam już klucze "usosvc". Uruchom FRST. Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) - FRST sam znajdzie "fixlist" w schowku systemowym Spoiler START:: StartRegedit: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsoSvc] "DelayedAutoStart"=dword:00000001 "DependOnService"=hex(7):72,00,70,00,63,00,73,00,73,00,00,00,00,00 "Description"="@%systemroot%\\system32\\usosvc.dll,-102" "DisplayName"="@%systemroot%\\system32\\usosvc.dll,-101" "ErrorControl"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,20,00,2d,00,70,00,00,\ 00 "ObjectName"="LocalSystem" "PreshutdownTimeout"=dword:0036ee80 "RequiredPrivileges"=hex(7):53,00,65,00,41,00,75,00,64,00,69,00,74,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,\ 65,00,61,00,74,00,65,00,47,00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,65,00,\ 61,00,74,00,65,00,50,00,61,00,67,00,65,00,46,00,69,00,6c,00,65,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,54,00,63,00,\ 62,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,\ 00,41,00,73,00,73,00,69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,\ 79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\ 00,67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,\ 6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,49,00,6e,00,63,00,72,00,65,00,61,00,73,00,65,00,51,00,\ 75,00,6f,00,74,00,61,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,\ 72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,44,00,65,\ 00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\ 00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,00,76,\ 00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,74,00,\ 6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,\ 00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,00,74,00,79,00,50,00,72,00,\ 69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,54,00,61,00,6b,\ 00,65,00,4f,00,77,00,6e,00,65,00,72,00,73,00,68,00,69,00,70,00,50,00,72,00,\ 69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,4c,00,6f,00,61,\ 00,64,00,44,00,72,00,69,00,76,00,65,00,72,00,50,00,72,00,69,00,76,00,69,00,\ 6c,00,65,00,67,00,65,00,00,00,53,00,65,00,4d,00,61,00,6e,00,61,00,67,00,65,\ 00,56,00,6f,00,6c,00,75,00,6d,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,\ 65,00,67,00,65,00,00,00,53,00,65,00,53,00,79,00,73,00,74,00,65,00,6d,00,45,\ 00,6e,00,76,00,69,00,72,00,6f,00,6e,00,6d,00,65,00,6e,00,74,00,50,00,72,00,\ 69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,65,\ 00,61,00,74,00,65,00,53,00,79,00,6d,00,62,00,6f,00,6c,00,69,00,63,00,4c,00,\ 69,00,6e,00,6b,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,\ 00,53,00,65,00,49,00,6e,00,63,00,72,00,65,00,61,00,73,00,65,00,42,00,61,00,\ 73,00,65,00,50,00,72,00,69,00,6f,00,72,00,69,00,74,00,79,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00 "ServiceSidType"=dword:00000001 "Start"=dword:00000002 "Type"=dword:00000020 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsoSvc\Parameters] "ServiceDll"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 75,00,73,00,6f,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 "ServiceDllUnloadOnStop"=dword:00000001 "ServiceMain"="ServiceMain" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsoSvc\Security] "Security"=hex:01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,\ 05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,\ EndRegedit: Reboot: END:: W FRST kliknij na Fix (NAPRAW). Usługa powinna zacząć działać, (o ile masz potrzebne do tego pliki systemowe - przede wszystkim C:\WINDOWS\system32\usosvc.dll ). Usługa jest ustawiona na: Automatyczny (opóźniony start). jessi Odnośnik do komentarza
bolec Opublikowano 28 Marca 2023 Autor Zgłoś Udostępnij Opublikowano 28 Marca 2023 Działa !!!!!! dzięki Jesii Odnośnik do komentarza
bolec Opublikowano 28 Marca 2023 Autor Zgłoś Udostępnij Opublikowano 28 Marca 2023 a jak mam to rozumieć ? tzn poczekać ?czy coś jeszcze mu szkodzi ? Odnośnik do komentarza
jessica Opublikowano 28 Marca 2023 Zgłoś Udostępnij Opublikowano 28 Marca 2023 Uruchom FRST. Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) - FRST sam znajdzie "fixlist" w schowku systemowym Spoiler START:: CMD: net stop wuauserv CMD: net stop cryptSvc CMD: net stop bits CMD: net stop msiserver CMD: ren C:\Windows\SoftwareDistribution SoftwareDistribution.old CMD: ren C:\Windows\System32\catroot2 Catroot2.old CMD: net start wuauserv CMD: net start cryptSvc CMD: net start bits CMD: net start msiserver Reboot: END:: W FRST kliknij na Fix (NAPRAW). . Usługa Windows Update nadal może wyświetlać stary komunikat błędu 0x80080005, ale wystarczy wcisnąć przycisk „Ponów próbę”, aby odświeżyć widok. jessi Odnośnik do komentarza
bolec Opublikowano 28 Marca 2023 Autor Zgłoś Udostępnij Opublikowano 28 Marca 2023 klikam ponów próbę, nadal to samo Odnośnik do komentarza
jessica Opublikowano 28 Marca 2023 Zgłoś Udostępnij Opublikowano 28 Marca 2023 Szkoda. Nie mam już pomysłów, więc albo pogódź się z sytuacją, albo zmień dysk twardy na inny i wgraj System od nowa, albo kup nowy komputer. Ta ostatnie opcja jest najlepsza, ale jest zbyt droga. jessi Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się