Skocz do zawartości

zawirusowany PC ??


Rekomendowane odpowiedzi

Witam, chciałem pobrać trainera do gry ..., no i się  zaczęło aby go uruchomić musiałem wyłączyć windows defendera ...,  po ponownym uruchomieniu komputer zaczął się dziwnie zachowywać .. np przy wyłączaniu dzieje się coś takiego załączam zdjęcie, zostałem automatycznie wylogowany ze wszystkiego co jest połączone z google w celu ochrony, w komunikatach windows defender widziałem powiadomienia o zablokowanych i usuwanych wirusach  programach działających na rzecz innych osób. Załączam skan z FRST,  czy to jest do odratowania ?, czy pozostaje mi format ?,  mogę normalnie korzystać z PC ale obawiam się ze nie jest do końca taki jaki był przed zainstalowaniem wirusa...

20230104_210240.jpg

Addition.txt FRST.txt Shortcut.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Tylko kosmetyka:

Uruchom FRST. 
Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) - FRST sam znajdzie "fixlist" w schowku systemowym

Spoiler

START::
Task: {7CDB190A-C472-47CF-A67B-DF42FDA70F17} - System32\Tasks\GoogleUpdateTaskMachineQC => C:\Users\Bolo\Google\Chrome\updater.exe  <==== UWAGA
C:\Users\Bolo\Google\Chrome\updater.exe
C:\Windows\Minidump\*.dmp
EmptyEventLogs: 
Hosts:
EmptyTemp:
END::


W FRST kliknij na Fix (NAPRAW).

 

jessi

 

Odnośnik do komentarza

okej, zrobiłem tak   uruchomiłem FRST --> skopiowałem ten ten tekst CTRL+C  i w FRST kliknąłem napraw  po całej operacji komputer uruchomił się sam ponownie to wszystko ?, dzisiaj przy włączeniu PC defender od razu poinformował mnie o wirusach itd ze 3 sztuki kazałem je usunąć, czy jest jakiś program albo sposób aby się  upewnić, że na PC nie ma żadnych keylogerów czy programów za pomocą których ktoś ma wgląd do mojego PC ?

Odnośnik do komentarza

Defender ma rację usuwając  pliki , bo w tej lokalizacji (C:\Users\Bolo\ ) nie powinno być żadnych plików *.exe

 

Uruchom FRST. 
Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) - FRST sam znajdzie "fixlist" w schowku systemowym

Spoiler

START::
C:\Users\Bolo\*.exe
Task: {B019CC54-6760-45B2-9B29-BE901E5A3886} - System32\Tasks\svcupdater => C:\Users\Bolo\AppData\Roaming\Win32Sync\svcupdater.exe [792811008 2023-01-02] () [Brak podpisu cyfrowego]
C:\Users\Bolo\AppData\Roaming\Win32Sync\svcupdater.exe
EmptyTemp:
END::


W FRST kliknij na Fix (NAPRAW).

 

Możesz jeszcze użyć MBAMDezynfekcja: zbiór narzędzi usuwających - Dział pomocy doraźnej - Fixitpc.pl

 

 

jessi

Odnośnik do komentarza
Cytat

 

==================== Hosts - zawartość: =========================

(Użycie dyrektywy Hosts: w fixlist spowoduje reset pliku Hosts.)

2019-12-07 10:14 - 2023-01-06 12:13 - 000000027 _____ C:\Windows\system32\drivers\etc\hosts
127.0.0.1       localhost

 

Plik "hosts" jest w porządku, więc nie wiem, dlaczego Defender widzi w nim coś, czego nie ma.

===============

Cytat

"BEDaisy" => serwis nie został odblokowany. <==== UWAGA
HKLM\SYSTEM\ControlSet001\Services\BEDaisy => \??\C:\Program Files (x86)\Common Files\BattlEye\BEDaisy.sys <==== UWAGA (Rootkit!/Zablokowana usługa)

Znasz to?

============

 

Uruchom FRST. 
Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) - FRST sam znajdzie "fixlist" w schowku systemowym

Spoiler

START::
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ograniczenia <==== UWAGA
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ograniczenia <==== UWAGA
Unlock: HKLM\SYSTEM\ControlSet001\Services\BEDaisy
END::


W FRST kliknij na Fix (NAPRAW).

 

jessi

Odnośnik do komentarza

Tak battleye to program który jest w grach i wykrywa hakerów cziterów itd, tylko ten trainer który zainstalowałem pewnie miał jakoś pominąć  tego Battleye, jeżeli jest taka potrzeba można ten Battleye usunąć  jeśli to coś niedobrego a w razie wu gra doinstaluje brakujący plik  czy coś ?. czy PC jest bezpieczny teraz? 

 

Odnośnik do komentarza
Cytat

Produkt Program antywirusowy Microsoft Defender wykrył złośliwe oprogramowanie lub inne potencjalnie niechciane oprogramowanie.
(...)
Nazwa: SettingsModifier:Win32/PossibleHostsFileHijack
(...)
Ścieżka: file:_C:\Windows\System32\drivers\etc\hosts
(...)
Nazwa procesu: C:\Users\Bolo\Downloads\FRST64.exe

oraz:

Cytat

Produkt Program antywirusowy Microsoft Defender wykrył złośliwe oprogramowanie lub inne potencjalnie niechciane oprogramowanie.
(....)
Nazwa: SettingsModifier:Win32/PossibleHostsFileHijack
(...)
Ścieżka: file:_C:\Windows\System32\drivers\etc\hosts
(...)
Nazwa procesu: C:\Program Files\NVIDIA Corporation\NVIDIA GeForce Experience\NVIDIA Notification.exe

Sam popatrz, gdzie Defender wykrył tego "HostsFileHijack".

O ile wykrycie w FRST można zrozumieć (bo FRST przy usuwaniu dostał ode mnie komendę Hosts: - czyli usunięcia zarażonego pliku HOSTS, i wstawienia normalnego pliku HOSTS - więc zarażony plik jest w Kwarantannie FRST i pewnie Defender wykrywa to w tej Kwarantannie), to wykrywanie  tego "HostsFileHijack" w NVIDIA GeForce jest zupełnie niezrozumiałe.

 

jessi

 

Odnośnik do komentarza
  • 2 miesiące temu...
Cytat

S2 wuauserv; C:\Windows\system32\svchost.exe [55320 2022-07-20] (Microsoft Windows Publisher -> Microsoft Corporation) <==== UWAGA (Brak ServiceDLL)
S2 wuauserv; C:\Windows\SysWOW64\svchost.exe [46504 2022-07-20] (Microsoft Windows Publisher -> Microsoft Corporation) <==== UWAGA (Brak ServiceDLL)

Windows Update nie może zadziałać, bo w Rejestrze w kluczu usługi "wuauserv"  brak lub jest zły adres *.dll

 

---------

Cytat

S2 UsoSvc; C:\Windows\system32\svchost.exe [55320 2022-07-20] (Microsoft Windows Publisher -> Microsoft Corporation) <==== UWAGA (Brak ServiceDLL)
S2 UsoSvc; C:\Windows\SysWOW64\svchost.exe [46504 2022-07-20] (Microsoft Windows Publisher -> Microsoft Corporation) <==== UWAGA (Brak ServiceDLL)

Podobnie jest z tą usługą.

-----

.

Uruchom FRST. 
Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) - FRST sam znajdzie "fixlist" w schowku systemowym

Spoiler

START::
StartRegedit:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv\Parameters]
"ServiceDll"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,\
  00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  77,00,75,00,61,00,75,00,65,00,6e,00,67,00,2e,00,64,00,6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\UsoSvc\Parameters]
"ServiceDll"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,\
  00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  75,00,73,00.6F,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00
EndRegedit:

EmptyEventLogs: 
EmptyTemp:
END::


W FRST kliknij na Fix (NAPRAW).

 

Napisz, czy to dało jakiś efekt?

 

jessi
 

Odnośnik do komentarza

Zrób nowy log z FRST - bez Addition.txt, i bez Shortcut.txt.

Dodatkowo:

Zrób log z Farbar Service Scanner >http://download.bleepingcomputer.com/farbar/FSS.exe (do skanowania zaznacz wszystko)

.

Uruchom FRST.
W polu SEARCH (SZUKAJ) wklej:

Cytat

wuauserv; usosvc;

kliknij na przycisk "Search Registry" (Szukaj w Rejestrze).
Raport z tego będzie tam, gdzie jest FRST.

 

jessi

Odnośnik do komentarza
Cytat

 

===================== Rezultaty wyszukiwania dla " usosvc" ==========

====== Koniec  Szukaj ======

 

Wygląda na to, że usługa "usosvc" u Ciebie nie istnieje.

Trzeba by ją całkowicie odbudować.

Problem w tym, że mam System WIN 7, a na tym systemie ta usługa nie jest potrzebna.

Potrzebna jest tylko na WIN 10.

cytat ze strony: Lista usług Windows 10 - Tutoriale | Artykuły | Recenzje - Fixitpc.pl

Spoiler

Update Orchestrator Service | Usługa koordynatora aktualizacji [wcześniej Update Orchestrator Service for Windows Update]

[Zmodyfikowana w Wersji 1903. Polska nazwa dodana w Wersji 2004.]
R2 UsoSvc; C:\WINDOWS\system32\usosvc.dll [567296 2021-03-11] (Microsoft Windows -> Microsoft Corporation)

[W starszych Wersjach usługa kieruje na usocore.dll]

R2 UsoSvc; C:\WINDOWS\system32\usocore.dll [887808 2019-05-28] (Microsoft Windows -> Microsoft Corporation)

 .

Może przypadkiem trafi tu ktoś mający WIN10 i udosatępni ten klucz?

Bez niego nic tu nie wymyślę.

 

jessi
 

Odnośnik do komentarza

to jak to się zadziało, że u mnie czegoś brakuje, czy to możliwe, że jakieś złośliwe oprogramowanie usunęło ten element  ?, czyli jestem uziemiony nie mogę updatować systemu itd ?, chciałem pobrać sterownik do adaptera bluetooth, żeby pograć bezprzewodowo na padzie,  no i nie działa ten transmiter, pomyślałem żeby updatować system no i okazało się, że jest problem ..

Odnośnik do komentarza

Zdobyłam już klucze "usosvc".

Uruchom FRST. 
Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) - FRST sam znajdzie "fixlist" w schowku systemowym

Spoiler

START::

StartRegedit:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsoSvc]
"DelayedAutoStart"=dword:00000001
"DependOnService"=hex(7):72,00,70,00,63,00,73,00,73,00,00,00,00,00
"Description"="@%systemroot%\\system32\\usosvc.dll,-102"
"DisplayName"="@%systemroot%\\system32\\usosvc.dll,-101"
"ErrorControl"=dword:00000001
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
  00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00
"ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\
  74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,20,00,2d,00,70,00,00,\
  00
"ObjectName"="LocalSystem"
"PreshutdownTimeout"=dword:0036ee80
"RequiredPrivileges"=hex(7):53,00,65,00,41,00,75,00,64,00,69,00,74,00,50,00,72,\
  00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,\
  65,00,61,00,74,00,65,00,47,00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,\
  00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,65,00,\
  61,00,74,00,65,00,50,00,61,00,67,00,65,00,46,00,69,00,6c,00,65,00,50,00,72,\
  00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,54,00,63,00,\
  62,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,\
  00,41,00,73,00,73,00,69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,\
  79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\
  00,67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,\
  6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\
  00,00,00,53,00,65,00,49,00,6e,00,63,00,72,00,65,00,61,00,73,00,65,00,51,00,\
  75,00,6f,00,74,00,61,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\
  00,00,00,53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,\
  72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,44,00,65,\
  00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\
  00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,00,76,\
  00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,74,00,\
  6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,\
  00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,00,74,00,79,00,50,00,72,00,\
  69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,54,00,61,00,6b,\
  00,65,00,4f,00,77,00,6e,00,65,00,72,00,73,00,68,00,69,00,70,00,50,00,72,00,\
  69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,4c,00,6f,00,61,\
  00,64,00,44,00,72,00,69,00,76,00,65,00,72,00,50,00,72,00,69,00,76,00,69,00,\
  6c,00,65,00,67,00,65,00,00,00,53,00,65,00,4d,00,61,00,6e,00,61,00,67,00,65,\
  00,56,00,6f,00,6c,00,75,00,6d,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,\
  65,00,67,00,65,00,00,00,53,00,65,00,53,00,79,00,73,00,74,00,65,00,6d,00,45,\
  00,6e,00,76,00,69,00,72,00,6f,00,6e,00,6d,00,65,00,6e,00,74,00,50,00,72,00,\
  69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,65,\
  00,61,00,74,00,65,00,53,00,79,00,6d,00,62,00,6f,00,6c,00,69,00,63,00,4c,00,\
  69,00,6e,00,6b,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,\
  00,53,00,65,00,49,00,6e,00,63,00,72,00,65,00,61,00,73,00,65,00,42,00,61,00,\
  73,00,65,00,50,00,72,00,69,00,6f,00,72,00,69,00,74,00,79,00,50,00,72,00,69,\
  00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00
"ServiceSidType"=dword:00000001
"Start"=dword:00000002
"Type"=dword:00000020

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsoSvc\Parameters]
"ServiceDll"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,\
  00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  75,00,73,00,6f,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00
"ServiceDllUnloadOnStop"=dword:00000001
"ServiceMain"="ServiceMain"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsoSvc\Security]
"Security"=hex:01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,\
  05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,\
EndRegedit:
Reboot:
END::

 


W FRST kliknij na Fix (NAPRAW).

 

Usługa powinna zacząć działać, (o ile masz potrzebne do tego pliki systemowe - przede wszystkim C:\WINDOWS\system32\usosvc.dll ).

Usługa jest ustawiona na: Automatyczny (opóźniony start).

 

jessi

 

 

Odnośnik do komentarza

Uruchom FRST. 
Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) - FRST sam znajdzie "fixlist" w schowku systemowym

Spoiler

START::
CMD: net stop wuauserv
CMD: net stop cryptSvc
CMD: net stop bits
CMD: net stop msiserver
CMD: ren C:\Windows\SoftwareDistribution SoftwareDistribution.old
CMD: ren C:\Windows\System32\catroot2 Catroot2.old
CMD: net start wuauserv
CMD: net start cryptSvc
CMD: net start bits
CMD: net start msiserver
Reboot:
END::


W FRST kliknij na Fix (NAPRAW).

.

Usługa Windows Update nadal może wyświetlać stary komunikat błędu 0x80080005, ale wystarczy wcisnąć przycisk „Ponów próbę”, aby odświeżyć widok.

 

jessi

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...