Skocz do zawartości

WindowsUpdater.js / WindowsDefender.js / win.js


bait

Rekomendowane odpowiedzi

Witam

 

Od dzisiaj wyskakuje mi okno "zoom.exe is using zoom.exe from and unknow publisher. are you sure you want to run this software?"

 

i w autostarcie pojawiło mi się podejrzane:

WindowsUpdater.js

WindowsDefender.js

win.js

lokalizacja: C:\Users\bait1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

oraz 

win.js

lokalizacja:  C:\ProgramData\win.js

 

Przeniosłem do kosza te pliki, usunąłem z autostartu i usunąłem również:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run XESWOKX6XZ REG_SZ "C:\ProgramData\win.js"

 

dopiero po tym pomyślałem o diagnostyce tutaj 🫣

 

Addition.txt Shortcut.txt FRST.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Dzisiaj system alarmował o wirusie:

Virus: Win32/Expiro.Ek!MTB
Virus: Win32/Expiro.HNW!MTB
i infekował każdy plik.exe albo coś podobnego, wszystkie aplikacje przestawały działać.  

Przywróciłem partycje systemową C: z EaseUS Todo Backup miałem kopie partycji z 11.07.2025. Przywróciłem, tylko teraz czy ten wirus nie siedzi gdzieś na dysku D: lub pendrive gdzie kopiowałem dane w trybie awaryjnym przed wgraniem obrazu partycji.
 

Addition.txt Shortcut.txt FRST.txt

Odnośnik do komentarza

Dobrze że masz backup danych, bo wcześniejsza infekcja wygląda na bardzo poważną. Pamiętaj o regularnych backupach. To ratuje tyłek, dosłownie. Zresztą sam sie przekonałeś.

Uruchom FRST. Skopiuj zawartość podaną niżej i nigdzie nie wklejaj-FRST sam znajdzie "fixlist" w schowku systemowym.

Spoiler

Start::
CreateRestorePoint:
KMSpico (HKLM\...\{8B29D47F-92E2-4C20-9EE0-F710991F5D7C}_is1) (Version:  - )
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Brak pliku
FirewallRules: [{1BE25D24-59A8-41D3-AA3D-BAC5C4517CDE}] => (Allow) C:\Users\bait1\AppData\Local\Temp\7zS06AD\Installer\hpbcsiInstaller.exe => Brak pliku
FirewallRules: [{77511CD6-8AFC-4ABA-B027-123EAB804F7E}] => (Allow) C:\Users\bait1\AppData\Local\Temp\7zS06AD\Installer\hpbcsiInstaller.exe => Brak pliku
FirewallRules: [{7B1999DE-184F-48F9-8AB0-B90856BC4905}] => (Allow) C:\Program Files (x86)\BlueStacks X\Cloud Game.exe => Brak pliku
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ograniczenia <==== UWAGA
HKLM\Software\Policies\...\system: [EnableSmartScreen] 0 <==== UWAGA
AlternateShell:  <==== UWAGA
GroupPolicy: Ograniczenia ? <==== UWAGA
Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA
Task: {B054A94C-E1CA-466B-9A8E-BA4C1F52F88C} - System32\Tasks\AutoPico Daily Restart => C:\Program Files\KMSpico\AutoPico.exe [985792 2015-07-22] (@ByELDI -> @ByELDI) [Brak podpisu cyfrowego]
Task: {077BA067-7C15-40F0-B22E-C9DC2A54B4A2} - System32\Tasks\Microsoft\Windows\Location\Notifications => %windir%\System32\LocationNotificationWindows.exe  (Brak pliku)
Task: {F3E6E7ED-A196-4E44-8803-55FAB3AD4E29} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Brak pliku)
FF ProfilePath: C:\Users\bait1\AppData\Roaming\Mozilla\Firefox\Profiles\3f7gkq7q.default-release [nie znaleziono] <==== UWAGA
FF ProfilePath: C:\Users\bait1\AppData\Roaming\Mozilla\Firefox\Profiles\x4xnyrid.default [nie znaleziono] <==== UWAGA
S2 Service KMSELDI; C:\Program Files\KMSpico\Service_KMS.exe (Brak pliku)
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMSpico\AutoPico.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMSpico\KMSpico.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMSpico\Log KMSpico.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Age of Wonders 4 [GOG.com]\Age of Wonders 4.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Age of Wonders 4 [GOG.com]\Usuń Age of Wonders 4.lnk
C:\Users\bait1\Desktop\Programy\HotA HD.lnk
C:\Users\bait1\Desktop\Programy\NapiProjekt.lnk
C:\Users\bait1\Desktop\Programy\Tibia.lnk
C:\Users\bait1\Desktop\Programy\Stare\BlueStacks.lnk
C:\Users\bait1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\d699a6365b7304e0\Paradox Launcher.lnk
C:\Users\Public\Desktop\Age of Wonders 4.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMSpico\Uninstall KMSpico.lnk
EmptyTemp:
End::

Fixlist przeznaczona tylko dla autora tematu!

W FRST kliknij opcję "Napraw" (Fix). Pokaż raport  "fixlog.txt", który otrzymasz po restarcie komputera. Pobierz dodatkowo "Malwaresbytes" . Przeskanuj nim komputer, usuń jeśli coś zostanie jeszcze wykryte i pokaż raport. Pobierz też darmowy "ADWCleaner" , skanowanie, zanim cos usuniesz, pokaż wpierw log.

Co do błędów w systemie, zastanawia mnie to:

Cytat

==================== Wadliwe urządzenia w Menedżerze urządzeń ============
Name: SSD 256GB
Description: Stacja dysków
Class Guid: {4d36e967-e325-11ce-bfc1-08002be10318}
Manufacturer: (Standardowe stacje dysków)
Service: disk
Problem: : This device is disabled. (Code 22)
Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions.

Masz wyłączony ten dysk?

Druga sprawa...to aktualizacja systemu teraz, oprogramowania i sterowników. Masz starszą wersję Windows 11, planujesz aktualizację do 25H2? Tak spróbuj zaktualizować oprogramowanie:

Windows – aktualizacja wszystkich aplikacji na raz w Windows 10 / 11

Dobrze by było, ale to już na sam koniec, bo jest uszkodzenie plików systemowych i problem z Secure Boot. Błąd CodeIntegrity - guard64.dll – Windows nie może zweryfikować integralności tego pliku. Może być uszkodzony lub jest złośliwym oprogramowaniem (często maskującym się jako biblioteka). Błąd Secure Boot – Funkcja zabezpieczeń jest wyłączona w BIOSie, przez co Windows nie może chronić systemu przed rootkitami.

Czyli najlepiej wpisz w CMD (Admin):

sfc /scannow (sprawdzi i naprawi uszkodzone pliki). Komendę potwierdź Enterem na klawiaturze.
Po skończeniu wpisz jeszcze:

DISM /Online /Cleanup-Image /RestoreHealth.
Wejdź do BIOS/UEFI (przy starcie wciskaj F2 lub Del) i włącz Secure Boot (jeśli opcja jest dostępna).

Komendy możesz skopiować i wkleić w CMD.

No jeszcze na sam koniec, jeśli można tak powiedzieć to aktywator Windows wpierany przez Microsoft, nawet ponoć obsługa techniczna Microsoft go zaleca :-)

Microsoft Activation Scripts (MAS)

 

Odnośnik do komentarza

Stało się to samo co wcześniej. Wirus rozprzestrzenił się na antywirusa i resztę. Robię od nowa. Bez internetu i od razu będę skanował malwarebytes. Włączyłem securebot 

IMG20260715125506.jpg

 

 

Edit: zrobiłem skan malwarebytes usunąłem wszystkie zagrożenia i nie bylo póki co tych fałszywych stron i virusa M0yv. Robiłem później dogłębne skanowanie nie ma nic. Póki co wyłączony internet 

 

Scannow - zrobiony 

DISM /Online /Cleanup-Image /RestoreHealth - zrobione

 

edit2 dodaje logi 

 

Czy coś jeszcze mogę zrobić przed włączeniem internetu?

 

adwcleaner.txt fixlog.txt scan.txt

dism.txt

Odnośnik do komentarza

Pomału, bo sie gubię...

Co robisz od nowa?

To co "Malwaresbytes" zaznaczył, to w większości COMODO, czyli to fałszywy alarm, te pliki możesz pominąć z nim związane. Natomiast cała reszta w Folderze "AppData" nie wygląda dobrze i w innych miejscach. Wywal tez ten "uTorrent". Nie ufam temu programowi. "Malwaresbytes" zaznaczył tez pliki od Herosów, Nie wiem czemu, czy to jakaś piracka wersja? Jak nie to to zostaw, to też w takim razie fałszywy alarm.

Jak wirus się rozprzestrzenił? Możliwe że doszło do konfliktu "Malwaresbytes" VS "Comodo", może to masz na myśli? Najwyżej wyłącz na czas działania "Malwaresbytes" Comodo, dodaj Comodo do białej listy w "Malwaresbytes". Jak używasz "Comodo" wyłącz "Malwaresbytes", on po 14 dniach i tak bedzie skanerem na życzenie.

"uTorrent" zastąp może "FrostWire", jest masa innych aplikacji do tego.

Teraz przejrzę logi...

Fixlog- OK

AdwCleaner znalazł jedną rzecz:

PUP.Optional.BitDriverUpdater   C:\Users\bait1\AppData\Roaming\Bit Guardian

Jak to potrzebne to zostaw, nie to usuń.

MBAMUI to log ogólny z działania programu, tu widać apka blokuje sporo połączeń. Wysoka liczba wykryć, o bardzo dużo jak na standardowe skanowanie. Sugeruje to, że system jest w znacznym stopniu zainfekowany lub zawiera wiele potencjalnie niechcianych programów (adware, paski narzędzi itp.). Log jest pełen powiadomień WebsiteBlocked (zablokowane połączenia wychodzące). Wskazują one, że procesy na komputerze próbowały łączyć się z złośliwymi domenami (np. ssbzmoy.biz).

Sprawdź jeszcze proces "dllhost.exe" to zasadniczy proces Windows, ale fakt, że w logu Malwarebytes jest wymieniany w kontekście podejrzanych połączeń sieciowych, jest mocnym sygnałem, że może być wykorzystywany przez złośliwe oprogramowanie . Oto jak możesz to sprawdzić krok po kroku:

Sprawdź, jak uruchamia się proces. Normalny dllhost.exe prawie zawsze jest uruchamiany z konkretnymi argumentami, które mówią mu, co ma robić. Jeśli działa "z pustymi rękami" (bez argumentów), to jest to bardzo podejrzane .Uruchom Menedżera zadań (Ctrl + Shift + Esc). Przejdź do zakładki Szczegóły, znajdź wszystkie procesy dllhost.exe. Kliknij prawym przyciskiem na każdy z nich i wybierz "Właściwości". W oknie, które się pojawi, spójrz na pole "Wiersz polecenia". Normalne: Będzie tam ścieżka do pliku i dodatkowe parametry, np. /Processid:{jakiś-GUID} .Jeśli wiersz polecenia jest krótki i zawiera tylko dllhost.exe lub jest pusty, to tu jest coś nie tak.  

Kolejne logi...

DISM - W skrócie OK

Także włączaj internet i testuj działanie systemu jak oczyścisz wszystko w "Malwaresbytes".

Odnośnik do komentarza

Wgrałem od nowa obraz systemu i zrobiłem tylko to co w ostatnim poście napisane, więc tamten log z mbamui i reszta są nieaktualne. Usunąłem już. Przepraszam za zamieszanie.  

 

Na moje tamten wirus zarażał/podmieniał inne pliki .exe i wszystko przestawało działać dlatego burzył się na antywirusa. Jak po nowym przywróceniu zrobiłem skan to nie ma problemu z Comodo.

 

Wirusa M0yv znalazł mi malwarebytes na dysku z kopią zapasową tylko 1 szt. - usunąłem i skanuje wszystko jeszcze raz.

Odnośnik do komentarza

Jeszcze raz, nie wygrywałem od nowa windowsa tylko wgrałem kopie zapasowa - obraz partycji C, dlatego ze ten virus M0yv infekował każdy plik .exe i kazda aplikacja przestawała działać. Na dysku z kopia zapasowa znalazł sie 1 plik zainfekowany wirusem M0yv usunąłem to i wszystko co malwarebyte wykrył. Usunąłem z dysku z kopia cale foldery "kopia dysku C" i "kopia dysku D" gdyż mam świeższa kopie. Zrobiłem głębokie skanowanie malwarebytes i nic nie wykrył teraz. Wykonałem logi.

 

Edit: Na razie nie podłączałem do internetu więc brak aktualizacji windowsa i aplikacji

 

Tworzę kolejny obraz partycji po kopiowaniu danych i porządkach przed podłączeniem internetu

1.png 2.png 3..png

(Dysk kopia zapasowa)Malwarebytes Raport ze skanowania niestandardowego 2026-07-15 162522.txt Addition.txt FRST.txt Shortcut.txt

Odnośnik do komentarza
2 godziny temu, Illidan napisał(a):

Ja wiem, ale to to nic nie zmienia. Tak jak pisałem, to lepiej świeża instalacja i tylko przeniesienie ważnych danych. Ok,  nowe logi w nocy dopiero przejrzę. Teraz nie mam na to siły i czasu.

Rozumiem, dziękuje za pomoc.

System i aplikacje zaktualizowałem według tego jak pisałeś. Aktywowałem Windowsa tym microsoft-activation-scripts. Malwarebytes już nic nie wykrywa. Wcześniejsze logi są sprzed aktualizacji, jeśli trzeba nowe to wrzucę.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   1 użytkownik

×
×
  • Dodaj nową pozycję...