Nawracający trojan, błąd drugiego kursora

[wawawinskol]

Używałam wiele aplikacji takich jak MalwareByte, Kaspersky etc. ale nic nie pomaga. Po jakimś czasie znów pojawiają się problemy. Trwa to już od około 2 tyg.

Addition.txt FRST.txt

[Illidan]

Napisz cos więcej o tych problemach, na czym one polegają? Skąd pewność że to trojan?

[wawawinskol]

Miałam wcześniej (około 2-3 tyg temu) trojana (plik) i ukradli mi 3 konta. Dzisiaj znów coś antywirus wykrył i tak naprawdę to nie wiem co robić. Nawet nie jestem pewna czy to coś w plikach siedzi czy z przeglądarki jakiejś. Próbowałam użyć MalwareByte, Adlice Protect, Hitman Pro i nie tylko. Nie wiem czy już trojan jest na stałe usunięty, ale chciałabym się upewnić, że wszystko jest ok.

[Illidan]

Konta mogli Ci ukraść dlatego że były słabo zabezpieczone hasłem i brak weryfikacji dwuetapowej, tu niekoniecznie musiał być jakiś wirus itp. OK, sprawdzimy w takim razie logi...

[wawawinskol]

Jestem pewna, że to przez wirusa. Udało im się to wszystko zrobić w ciągu 4-6h, coś co wcześniej nie miało miejsca. Ale to już nieważne, odzyskałam najważniejsze konta.

[Illidan]

A ja twierdze że jednak były słabo zabezpieczone, chyba że coś miałaś w systemie co przechwytywało dane, ale nie sądzę. Tak czy siak nie ma co się nad tym rozwodzić, to już nieważne, grunt że udało Ci sie część kont odzyskać. Zabezpiecz lepiej konta i poustawiaj gdzie sie da weryfikacje dwuetapową. Czyli potwierdzanie logowania przez adres e-mail, SMS, czy autenticator od Microsoft, Google.

[wawawinskol]

Dobrze, a jak z logami?

[Illidan]

Wieczorem sprawdzę jak nikt inny tego do tego czasu nie zrobi.

[Illidan]

W plikach tymczasowych jest coś co mi sie nie podoba:

(AO Kaspersky Lab -> AO Kaspersky Lab) C:\Users\Wawid\AppData\Local\Temp\{6b01b94b-ebb8-49d2-8e5b-99588a46743a}\ec599bf6.exe

Tym bardziej że nie widze Kasperskiego zainstalowanego. Nie wiem czy to mogło mieć coś z kradzieżą kont wspólnego. Ale to wygląda na Rootkita, który mógł wykraść konta, więc tak...Uruchom FRST. Skopiuj zawartość podaną niżej i nigdzie nie wklejaj-FRST sam znajdzie "fixlist" w schowku systemowym.

Spoiler

Start::
CreateRestorePoint:
HKLM\...\RunOnce: [2d647dd3-3f86-486b-aad0-6aa70080a4bc] => "C:\Users\Wawid\AppData\Local\Temp\{8c15ec35-7551-4cf0-9eba-f085a4d533c9}\2d647dd3-3f86-486b-aad0-6aa70080a4bc.cmd" (Brak pliku) <==== UWAGA
HKU\S-1-5-21-2806879216-1867013868-2312852237-1001\...\Run: [RiotClient] => C:\Riot Games\Riot Client\RiotClientServices.exe --launch-background-mode (Brak pliku)
Error reading preferences. Please check "Secure Preferences" file for possible corruption. <==== UWAGA
CHR Extension: (Brak nazwy) - C:\Users\Wawid\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2026-03-30] [UpdateUrl:0] <==== UWAGA
CHR Extension: (Brak nazwy) - C:\Users\Wawid\AppData\Local\Google\Chrome\User Data\Default\Extensions\oombnmpbbhbakfpfgdflaajkhicgfaam [2026-03-30] [UpdateUrl:0] <==== UWAGA
S3 MpKsl8bd01ba1; \??\C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{35FBAEA1-6E01-4024-9D75-0F17E9948A77}\MpKslDrv.sys [X]
2026-03-18 16:55 - 2026-03-30 10:51 - 000000214 _____ C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job
CustomCLSID: HKU\S-1-5-21-2806879216-1867013868-2312852237-1001_Classes\CLSID\{6a27a1a9-7be8-1491-04ca-ee68a211c258}\localserver32 -> "C:\Program Files\Google\Play Games\current\service\Service.exe" -ToastActivated => Brak pliku
AlternateDataStreams: C:\WINDOWS\tracing:? [16]
FirewallRules: [TCP Query User{78939DCF-5411-4F26-8EC2-E062988BB924}C:\programdata\wargaming.net\gamecenter\wgc.exe] => (Allow) C:\programdata\wargaming.net\gamecenter\wgc.exe => Brak pliku
FirewallRules: [UDP Query User{29630B14-AD89-47F4-A611-9EA09EF1003D}C:\programdata\wargaming.net\gamecenter\wgc.exe] => (Allow) C:\programdata\wargaming.net\gamecenter\wgc.exe => Brak pliku
FirewallRules: [{73FEF192-4862-432E-87E5-996E642C8ED5}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Brak pliku
FirewallRules: [{1191EFE5-9B10-4B2F-A8DF-76B7763DE4E6}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Brak pliku
FirewallRules: [{C63D2AF9-2BD4-4196-BA64-EAC51BF2AC22}] => (Allow) C:\Program Files (x86)\BlueStacks X\BlueStacksWeb.exe => Brak pliku
FirewallRules: [{D812A16B-DDD1-4057-BE47-3181278B716A}] => (Allow) C:\Program Files (x86)\BlueStacks X\Cloud Game.exe => Brak pliku
FirewallRules: [{A3CD0727-BB26-4948-B330-903BAE596ADC}] => (Allow) C:\Program Files\BlueStacks_nxt\HD-Player.exe => Brak pliku
FirewallRules: [{76C0EF75-CB4B-4937-865C-11DEAD6FBBC8}] => (Allow) C:\Program Files\BlueStacks_nxt\BlueStacksAppplayerWeb.exe => Brak pliku
FirewallRules: [TCP Query User{E7B73996-1FBB-4E68-A10A-53647D0CB43D}C:\program files (x86)\steam\steamapps\common\recroom\recroom.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\recroom\recroom.exe => Brak pliku
FirewallRules: [UDP Query User{74513CC7-AC2C-4BF5-8E0F-833A8A78F54F}C:\program files (x86)\steam\steamapps\common\recroom\recroom.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\recroom\recroom.exe => Brak pliku
FirewallRules: [TCP Query User{00E60EDB-24F9-4162-A66E-50D3347CD5EE}C:\riot games\riot client\riotclientelectron\riot client.exe] => (Allow) C:\riot games\riot client\riotclientelectron\riot client.exe => Brak pliku
FirewallRules: [UDP Query User{1881B05E-779D-4A50-8B3D-4427364EA7A4}C:\riot games\riot client\riotclientelectron\riot client.exe] => (Allow) C:\riot games\riot client\riotclientelectron\riot client.exe => Brak pliku
FirewallRules: [TCP Query User{7A51FF9B-1C4A-4672-A606-51BA9546EE2F}C:\users\wawid\desktop\nightly\citra-qt.exe] => (Allow) C:\users\wawid\desktop\nightly\citra-qt.exe => Brak pliku
FirewallRules: [UDP Query User{9AD766AC-9DA2-4F83-A57C-E86EDB0DD709}C:\users\wawid\desktop\nightly\citra-qt.exe] => (Allow) C:\users\wawid\desktop\nightly\citra-qt.exe => Brak pliku
FirewallRules: [TCP Query User{C78BC1F9-B91D-46B9-85CD-F505B0AF21F7}C:\users\wawid\desktop\tomodachi life\head-mingw\citra-qt.exe] => (Allow) C:\users\wawid\desktop\tomodachi life\head-mingw\citra-qt.exe => Brak pliku
FirewallRules: [UDP Query User{4818588D-C2DD-4B0E-9B48-15518B25D10A}C:\users\wawid\desktop\tomodachi life\head-mingw\citra-qt.exe] => (Allow) C:\users\wawid\desktop\tomodachi life\head-mingw\citra-qt.exe => Brak pliku
FirewallRules: [TCP Query User{3CD2794F-736B-4D4E-A855-6AC4A9BEB8CD}E:\games\gym manager\gymmanager_data\plugins\x86_64\vuplexwebviewchromium\vuplex webview.vuplex] => (Block) E:\games\gym manager\gymmanager_data\plugins\x86_64\vuplexwebviewchromium\vuplex webview.vuplex => Brak pliku
FirewallRules: [UDP Query User{0BBA7CA4-3828-4DEE-91E6-61F20B3AB276}E:\games\gym manager\gymmanager_data\plugins\x86_64\vuplexwebviewchromium\vuplex webview.vuplex] => (Block) E:\games\gym manager\gymmanager_data\plugins\x86_64\vuplexwebviewchromium\vuplex webview.vuplex => Brak pliku
FirewallRules: [{8DD5B5BC-1528-490F-87EB-EC954EAB59B8}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\raceroom racing experience\Game\x64\RRRE64.exe => Brak pliku
FirewallRules: [{2273B9B2-A937-4D92-B25C-4E818B7AE74C}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\raceroom racing experience\Game\x64\RRRE64.exe => Brak pliku
FirewallRules: [{290B63A4-BC30-41EB-83F1-D3E5616CEBF2}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\raceroom racing experience\Game\x64dxvk\RRRE64.exe => Brak pliku
FirewallRules: [{6390ACE7-09D9-45A5-A0D1-9B185F2A11ED}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\raceroom racing experience\Game\x64dxvk\RRRE64.exe => Brak pliku
FirewallRules: [{238226C3-6F79-4FF5-8B96-518EB4860E58}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Project Rogueteers\launcher\rs_launcher.exe => Brak pliku
FirewallRules: [{A8F33527-7956-4B36-B6E2-780C0B09AABC}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Project Rogueteers\launcher\rs_launcher.exe => Brak pliku
FirewallRules: [{37AE8937-27BF-40EB-A70F-04600DBDBB8E}] => (Allow) C:\Program Files\Cakewalk\Shared Utilities\StartPage\CakewalkStartScreen.exe => Brak pliku
FirewallRules: [{CFACCBA1-6113-4295-A3A7-8E02FA5B7F87}] => (Allow) C:\Program Files\Cakewalk\Shared Utilities\StartPage\CakewalkStartScreen.exe => Brak pliku
C:\Users\Wawid\AppData\Local\Temp\{6b01b94b-ebb8-49d2-8e5b-99588a46743a}
C:\WINDOWS\System32\Drivers\b4fcf473.sys
C:\WINDOWS\System32\Drivers\klupd_b4fcf473a_arkmon.sys
C:\WINDOWS\System32\Drivers\klupd_b4fcf473a_klbg.sys
C:\WINDOWS\System32\Drivers\klupd_b4fcf473a_klark.sys
C:\WINDOWS\System32\Drivers\klupd_b4fcf473a_klif.sys
C:\WINDOWS\System32\Drivers\klupd_b4fcf473a_klflt.sys
C:\WINDOWS\System32\Drivers\klupd_b4fcf473a_klhk.sys
C:\WINDOWS\System32\Drivers\klupd_b4fcf473a_klim6.sys
C:\WINDOWS\System32\Drivers\klupd_b4fcf473a_klpd.sys
C:\WINDOWS\System32\Drivers\klupd_b4fcf473a_klwfp.sys
C:\KVRT2020_Data
C:\Users\Wawid\AppData\Roaming\Intel
C:\Users\Wawid\Gigopoxok
EmptyTemp:
End::

 

Fixlist przeznaczona tylko dla autora tematu!

W FRST kliknij opcję "Napraw" (Fix). Pokaż raport  "fixlog.txt", który otrzymasz po restarcie komputera.  Pobierz też darmowy "ADWCleaner" i tak samo, skanowanie, tu zanim coś usuniesz pokaż log ze skanowania.