elitehugo Opublikowano Niedziela o 17:02 Zgłoś Udostępnij Opublikowano Niedziela o 17:02 Przeinstalowywałem system już wiele razy, i po czasie zawsze zaczynały się dziać dziwne rzeczy. mam wrażenie że system jest mocno zainfekowany i automatyczne się wirusy odtwarzają po instalacji na nowo systemu. pisze na forum ponieważ już rozkładam ręce. Właśnie wrzuciłem kilka plików i widzę że tu jest chyba poważnie, albo jestem przewrażliwiony. Proszę o kogoś kumatego o analizę i pomoc w ogarnięciu tego bajzlu . https://www.hybrid-analysis.com/sample/b642acb81dd557412c8982e2dee1c2b3f997a1bcd4fe605599c9d84abac117c6?environmentId=140 https://www.hybrid-analysis.com/sample/debf356074d2fc196f25ff89c767099427a9854c3a7d3138c3a70cf17d5ac89e?environmentId=140 https://www.hybrid-analysis.com/sample/2c8ba5934773ad1b34a984481bf8f3de188e7e8f93e3e01aaa87731b0acf32b4?environmentId=140 https://www.hybrid-analysis.com/sample/3c653b13438497d5ed8f1a0f7f24c14c0ec9ffc7e324135c29eb591bf1aaea94?environmentId=140 FRST.txt Addition.txt Odnośnik do komentarza
Illidan Opublikowano wczoraj o 00:25 Zgłoś Udostępnij Opublikowano wczoraj o 00:25 Może powiedz coś więcej? Jakie to dziwne rzeczy się dzieją? System instalowany na nowo, wiec jak niby się te wirusy mają replikować? Co robisz takiego, że niby zaraz świeżo instalowany system Ci siada? W logach nie ma nic, poza brakiem sterowników praktycznie do większości podzespołów. Co masz za komputer? Może po instalacji systemu, jeszcze aktualizacje zrób, jak tego nie robiłeś wcześniej, np. podczas instalacji Windows. No i dobrze by było zainstalować wszystkie potrzebne sterowniki. Pokaż mi screen z Menadżer urządzeń komputera jeszcze. Sprzątanie w FRST. Uruchom FRST. Skopiuj zawartość podaną niżej i nigdzie nie wklejaj-FRST sam znajdzie "fixlist" w schowku systemowym. Spoiler Start:: CreateRestorePoint: CustomCLSID: HKU\S-1-5-21-1756150111-2802529415-702398888-1000_Classes\CLSID\{86ca1aa0-34aa-4e8b-a509-50c905bae2a2}\InprocServer32 -> => Brak pliku AlternateDataStreams: C:\Users\bobko\Desktop\GoInterruptPolicy.exe:MBAM.Zone.Identifier [630] AlternateDataStreams: C:\Users\bobko\Downloads\amd_chipset_software_7.06.02.123.exe:MBAM.Zone.Identifier [138] AlternateDataStreams: C:\Users\bobko\Downloads\amd_raid_software_2.20.19.037.exe:MBAM.Zone.Identifier [135] AlternateDataStreams: C:\Users\bobko\Downloads\DiscordSetup.exe:MBAM.Zone.Identifier [155] AlternateDataStreams: C:\Users\bobko\Downloads\EFRCSetup.exe:MBAM.Zone.Identifier [85] AlternateDataStreams: C:\Users\bobko\Downloads\GenericNahimicRestoreTool_v1.0.1.exe:MBAM.Zone.Identifier [211] AlternateDataStreams: C:\Users\bobko\Downloads\revosetup.exe:MBAM.Zone.Identifier [177] StartupDir: <==== UWAGA Task: {C92D80C3-DF92-48F2-B4D1-F2E7DA221C40} - \MSIAfterburner -> Brak pliku <==== UWAGA Task: {F3E6E7ED-A196-4E44-8803-55FAB3AD4E29} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe (Brak pliku) Tcpip\..\Interfaces\{b88d64c8-60f6-4276-ba0c-fc259ca7f45b}: [DhcpNameServer] 192.168.43.1 2025-06-20 22:04 - 2025-06-20 22:07 - 000000214 _____ C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job 2025-06-20 11:15 - 2025-06-20 11:15 - 000003656 _____ C:\WINDOWS\system32\Tasks\CreateExplorerShellUnelevatedTask EmptyTemp: End:: Fixlist przeznaczona tylko dla autora tematu! W FRST kliknij opcję "Napraw" (Fix). Pokaż raport "fixlog.txt", który otrzymasz po restarcie komputera. Odnośnik do komentarza
elitehugo Opublikowano 17 godzin temu Autor Zgłoś Udostępnij Opublikowano 17 godzin temu 9 godzin temu, Illidan napisał(a): Może powiedz coś więcej? Jakie to dziwne rzeczy się dzieją? System instalowany na nowo, wiec jak niby się te wirusy mają replikować? Co robisz takiego, że niby zaraz świeżo instalowany system Ci siada? W logach nie ma nic, poza brakiem sterowników praktycznie do większości podzespołów. Co masz za komputer? Może po instalacji systemu, jeszcze aktualizacje zrób, jak tego nie robiłeś wcześniej, np. podczas instalacji Windows. No i dobrze by było zainstalować wszystkie potrzebne sterowniki. Pokaż mi screen z Menadżer urządzeń komputera jeszcze. Sprzątanie w FRST. Uruchom FRST. Skopiuj zawartość podaną niżej i nigdzie nie wklejaj-FRST sam znajdzie "fixlist" w schowku systemowym. Pokaż ukrytą zawartość Start:: CreateRestorePoint: CustomCLSID: HKU\S-1-5-21-1756150111-2802529415-702398888-1000_Classes\CLSID\{86ca1aa0-34aa-4e8b-a509-50c905bae2a2}\InprocServer32 -> => Brak pliku AlternateDataStreams: C:\Users\bobko\Desktop\GoInterruptPolicy.exe:MBAM.Zone.Identifier [630] AlternateDataStreams: C:\Users\bobko\Downloads\amd_chipset_software_7.06.02.123.exe:MBAM.Zone.Identifier [138] AlternateDataStreams: C:\Users\bobko\Downloads\amd_raid_software_2.20.19.037.exe:MBAM.Zone.Identifier [135] AlternateDataStreams: C:\Users\bobko\Downloads\DiscordSetup.exe:MBAM.Zone.Identifier [155] AlternateDataStreams: C:\Users\bobko\Downloads\EFRCSetup.exe:MBAM.Zone.Identifier [85] AlternateDataStreams: C:\Users\bobko\Downloads\GenericNahimicRestoreTool_v1.0.1.exe:MBAM.Zone.Identifier [211] AlternateDataStreams: C:\Users\bobko\Downloads\revosetup.exe:MBAM.Zone.Identifier [177] StartupDir: <==== UWAGA Task: {C92D80C3-DF92-48F2-B4D1-F2E7DA221C40} - \MSIAfterburner -> Brak pliku <==== UWAGA Task: {F3E6E7ED-A196-4E44-8803-55FAB3AD4E29} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe (Brak pliku) Tcpip\..\Interfaces\{b88d64c8-60f6-4276-ba0c-fc259ca7f45b}: [DhcpNameServer] 192.168.43.1 2025-06-20 22:04 - 2025-06-20 22:07 - 000000214 _____ C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job 2025-06-20 11:15 - 2025-06-20 11:15 - 000003656 _____ C:\WINDOWS\system32\Tasks\CreateExplorerShellUnelevatedTask EmptyTemp: End:: Fixlist przeznaczona tylko dla autora tematu! W FRST kliknij opcję "Napraw" (Fix). Pokaż raport "fixlog.txt", który otrzymasz po restarcie komputera. Sterowniki są w porządku "tak mi się wydaje" niektóre urządzenia są powyłączane. Ostatnim razem jak instalowałem system na nowo to np. nie mogłem zaktualizować systemu. albo wyskakujące na chwilkę okienka cmd. Zmieniające się ustawienia w windows. niedziałające opcje przywracania systemu. Miałem pełno różnych BSODÓW z różnych powodów na pewno jednym z nich był wirus Bad system config info , samo szyfrujące się dyski. miałem nawet epizod że wogóle się nie dało dostać do systemu. Teraz używam tylko konta lokalnego, problemy po części mogły sprawiać deinstalacje programów zaszytych w systemie win 11. Nie doczytałem o schowku systemowym ;P wkleiłem do pliku fixlist.txt na pulpicie i uruchomiłem napraw. Fixlog.txt Przywróciłem tweak systemu na stare menu kontekstowe {86ca1aa0-34aa-4e8b-a509-50c905bae2a2}\InprocServer32 Odnośnik do komentarza
Illidan Opublikowano 11 godzin temu Zgłoś Udostępnij Opublikowano 11 godzin temu Ok, tylko że nie wszystkie problemy z systemem to wirus, zacznijmy od tego. "Bad Config" itp. to błąd Windows, spowodowany awarią sprzętową lub sterownika, lub brakiem tego sterownika. Tak samo to, co wyżej wkleiłeś, te odnośniki do informacji o plikach, to też nie wirusy, tylko komponenty oprogramowania. Także na 95% to niezainfekowane pliki, tylko pewnie problemy z tymi komponentami systemu i oprogramowania. Zobaczmy też, w jakim stanie masz dysk twardy, bo jak jest w złej kondycji, to większość problemów może być jego winą. Pobierz darmowy program "CrystalDiskInfo" i po jego uruchomieniu, powiększ okno programu, tak aby były widoczne w nim wszystkie parametry dysku twardego, zrób screen tego okna i pokaż je na forum. Uaktualnij też wszystkie sterowniki w systemie. Spróbuj metody automatycznej, zobacz do tego celu jedną z dwóch darmowych aplikacji, albo "Snappy Driver Instaler" lub "DriverCloud", te aplikacje przeskanują komputer i wyszukają potrzebne sterowniki do instalacji i pobrania. Wyszukają brakujące jak i nowsze wersje. Co do szyfrowania dysku...to mam wrażenie, że nie chodzi o wirusa, tylko zabezpieczenie Windows, po prostu pewnie po wgraniu systemu od nowa Windows nie chciał Cię dopuścić do plików ze starego systemu i trzeba było, pewnie przejąc uprawnienia do tych plików? Mam rację? Problemem może być też uszkodzona wersja Windows 11... Nie wiem, co masz za instalkę, nie wiem, czy niemodyfikowana i z jakiego źródła? No i czy sam nie za bardzo coś modyfikujesz w systemie, że on pada? Przywrócenie starego menu kontekstowego nic nie zepsuje, ale czy robisz jeszcze jakieś modyfikacje? W "FRST" wszystko zrobione, zrób mi jeszcze teraz nowe logi, log główny i tylko dodatkowy "Addition.txt". Odnośnik do komentarza
elitehugo Opublikowano 5 godzin temu Autor Zgłoś Udostępnij Opublikowano 5 godzin temu Wszystkie sterowniki mam aktualne oprócz Karty Ethernet której nie używam, korzystam z Wifi na PCIE. Windows już nowszych aktualizacji nie znajdował, pomimo że niektóre nowsze wersje znajdowałem w katalogu microsoft update... Staram się nie ściągać sterowników z dziwnych stronek i programów sciągających automatycznie. Zawsze dbam o to aby po reinstalacji systemu instalować sterowniki najaktualniejsze na "czysto" z pewnych źródeł. Źródło windowsa: https://www.microsoft.com/pl-pl/software-download/windows11 Dużo i mojej winy w poprzednich instalacjach to muszę przyznać, po przesiadce z Win 10 na Win 11 nastawiałem się na postawienie świeżego systemu bez zbędnych procesów i usług w tle, w czym ten system nie pomaga :D , poznałem więcej zależności ale nie do końca jeszcze wiem co mi jest zbędne. 😅 zastosowałem komende cmd żeby odinstalować widżety "winget uninstall "windows web experience pack" zastanawiam się jeszcze nad odinstalowaniem w ten sam sposób One Drive/ Przeglądarkę Edge/ Copilot/ Devhome / GameBar/Family safety/ Teams / Xbox ale nie wiem czy nie popsuje znowu czymś takim systemu i coś np. nie będzie z tego powodu działać tak jak powinno. Aktualnie po wciśnięciu kombinacji klawiszy CTRL+ALT+DEL wyświetla ekran na sekundę i nagle ekran staje się czarny ale przesuwając strzałką w dół 4 razy i naciskając ENTER uruchamiam menadżera zadań i ekran powraca. Czy to może być wina samego windowsa ? czy jakiegoś ustawienia, a może to niedawno zaktualizowane sterowniki ze strony NVIDIA są zbugowane? kiedyś też zdarzyła mi się taka przypadłość ale jak wyszły nowe sterowniki od Nvidia to pamiętam że wszystko wróciło do normy. Mam 2 monitory, a z tego co kojarzę to kiedyś gdzieś widziałem wzmiankę że windows coś zmieniał w funkcjonowaniu Wielu ekranów. Aktualnie wyłączona instalacja automatyczna sterowników z windows update. Skonfigurowane zasady, aby windows sam mi nie śmiecił. Sam decyduję kiedy aktualizuję sterowniki. FRST.txt Addition.txt a te wpisy? niektóre mnie niepokoją, niektórych nie używam a inne to irytujące mnie procesy w tle i chciałbym się tego pozbyć aczkolwiek ja się nie znam ^^ ale specjalista mógłby okiem rzucić. HKLM\Software\Microsoft\Active Setup\Installed Components: [{8A69D345-D564-463c-AFF1-A69D9E530F96}] -> C:\Program Files\Google\Chrome\Application\137.0.7151.120\Installer\chrmstp.exe [2025-06-20] (Google LLC -> Google LLC) Task: {AF8BF452-B263-4AF0-9D8A-FEC3F23EE293} - \CreateExplorerShellUnelevatedTask -> Brak pliku <==== UWAGA Task: {D0A8BA14-69FA-458D-96CA-506F10882E26} - System32\Tasks\GoogleSystem\GoogleUpdater\GoogleUpdaterTaskSystem138.0.7194.0{81F2E45D-A05B-4AFC-A73E-264C372A034E} => C:\Program Files (x86)\Google\GoogleUpdater\138.0.7194.0\updater.exe [6070368 2025-05-22] (Google LLC -> Google LLC) Task: {5004217A-256C-482B-B8EF-D7087CC5012C} - System32\Tasks\Microsoft\Windows\Hotpatch\Monitoring => C:\WINDOWS\system32\cmd.exe [376832 2025-06-20] (Microsoft Windows -> Microsoft Corporation) -> /d /c %systemroot%\system32\hpatchmonTask.cmd Task: {16D7A1D7-9DA6-4B44-A705-E481637DBE2F} - System32\Tasks\OneDrive Startup Task-S-1-5-21-1756150111-2802529415-702398888-1000 => C:\Users\bobko\AppData\Local\Microsoft\OneDrive\25.095.0518.0002\OneDriveLauncher.exe [684344 2025-06-20] (Microsoft Corporation -> Microsoft Corporation) Edge Extension: (Edge relevant text changes) - C:\Users\bobko\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\jmjflgjpcpepeafmmgdpfkogkghcpiha [2025-06-20] CHR Extension: (Full Screen Weather) - C:\Users\bobko\AppData\Local\Google\Chrome\User Data\Default\Extensions\fkkaebihfmbofclegkcfkkemepfehibg [2025-06-20] Środowisko uruchomieniowe Microsoft Edge WebView2 (HKLM-x32\...\Microsoft EdgeWebView) (Version: 137.0.3296.93 - Microsoft Corporation) Hidden FirewallRules: [{971BFBEE-33AF-4020-B70C-D6BF7CBA33FC}] => (Allow) C:\Program Files\WindowsApps\MSTeams_25153.1010.3727.5483_x64__8wekyb3d8bbwe\ms-teams.exe (Microsoft Corporation -> Microsoft Corporation) FirewallRules: [{8AA9CA99-888C-484C-9ABC-53511C590791}] => (Allow) C:\Program Files\WindowsApps\MSTeams_25153.1010.3727.5483_x64__8wekyb3d8bbwe\ms-teams.exe (Microsoft Corporation -> Microsoft Corporation) \\?\Volume{aaec672f-941d-4194-9e90-9629f314df5f}\ () (Fixed) (Total:0.64 GB) (Free:0.06 GB) NTFS \\?\Volume{79c3655f-0b38-4571-be92-101580e76278}\ () (Fixed) (Total:0.09 GB) (Free:0.06 GB) FAT32 a to co to ? oraz mam na dysku cos takiego jak partycja odzyskiwania 652 Mb Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się