bait Opublikowano Poniedziałek o 22:16 Zgłoś Udostępnij Opublikowano Poniedziałek o 22:16 Witam Od dzisiaj wyskakuje mi okno "zoom.exe is using zoom.exe from and unknow publisher. are you sure you want to run this software?" i w autostarcie pojawiło mi się podejrzane: WindowsUpdater.js WindowsDefender.js win.js lokalizacja: C:\Users\bait1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup oraz win.js lokalizacja: C:\ProgramData\win.js Przeniosłem do kosza te pliki, usunąłem z autostartu i usunąłem również: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run XESWOKX6XZ REG_SZ "C:\ProgramData\win.js" dopiero po tym pomyślałem o diagnostyce tutaj 🫣 Addition.txt Shortcut.txt FRST.txt Odnośnik do komentarza
bait Opublikowano 23 godziny temu Autor Zgłoś Udostępnij Opublikowano 23 godziny temu Dzisiaj system alarmował o wirusie: Virus: Win32/Expiro.Ek!MTB Virus: Win32/Expiro.HNW!MTB i infekował każdy plik.exe albo coś podobnego, wszystkie aplikacje przestawały działać. Przywróciłem partycje systemową C: z EaseUS Todo Backup miałem kopie partycji z 11.07.2025. Przywróciłem, tylko teraz czy ten wirus nie siedzi gdzieś na dysku D: lub pendrive gdzie kopiowałem dane w trybie awaryjnym przed wgraniem obrazu partycji. Addition.txt Shortcut.txt FRST.txt Odnośnik do komentarza
Illidan Opublikowano 22 godziny temu Zgłoś Udostępnij Opublikowano 22 godziny temu W logach jest trochę sprzątania, jest i aktywator KMSpico, niby bezpieczny, ale zależnie skąd go pobrałeś i z czym jeszcze wcześniej. Nie wiem czy zaznaczać go do usuwania? Zaleciłbym skorzystanie zamiast niego kupna klucza do Windows na OLX ( ok. 10 zł) lub skorzystania z alternatywy, która nawet Microsoft wspiera. Odnośnik do komentarza
bait Opublikowano 22 godziny temu Autor Zgłoś Udostępnij Opublikowano 22 godziny temu Usuń, faktycznie kupie za te kilka złotych Odnośnik do komentarza
Illidan Opublikowano 22 godziny temu Zgłoś Udostępnij Opublikowano 22 godziny temu Dobrze że masz backup danych, bo wcześniejsza infekcja wygląda na bardzo poważną. Pamiętaj o regularnych backupach. To ratuje tyłek, dosłownie. Zresztą sam sie przekonałeś. Uruchom FRST. Skopiuj zawartość podaną niżej i nigdzie nie wklejaj-FRST sam znajdzie "fixlist" w schowku systemowym. Spoiler Start:: CreateRestorePoint: KMSpico (HKLM\...\{8B29D47F-92E2-4C20-9EE0-F710991F5D7C}_is1) (Version: - ) ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} => -> Brak pliku FirewallRules: [{1BE25D24-59A8-41D3-AA3D-BAC5C4517CDE}] => (Allow) C:\Users\bait1\AppData\Local\Temp\7zS06AD\Installer\hpbcsiInstaller.exe => Brak pliku FirewallRules: [{77511CD6-8AFC-4ABA-B027-123EAB804F7E}] => (Allow) C:\Users\bait1\AppData\Local\Temp\7zS06AD\Installer\hpbcsiInstaller.exe => Brak pliku FirewallRules: [{7B1999DE-184F-48F9-8AB0-B90856BC4905}] => (Allow) C:\Program Files (x86)\BlueStacks X\Cloud Game.exe => Brak pliku HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ograniczenia <==== UWAGA HKLM\Software\Policies\...\system: [EnableSmartScreen] 0 <==== UWAGA AlternateShell: <==== UWAGA GroupPolicy: Ograniczenia ? <==== UWAGA Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA Task: {B054A94C-E1CA-466B-9A8E-BA4C1F52F88C} - System32\Tasks\AutoPico Daily Restart => C:\Program Files\KMSpico\AutoPico.exe [985792 2015-07-22] (@ByELDI -> @ByELDI) [Brak podpisu cyfrowego] Task: {077BA067-7C15-40F0-B22E-C9DC2A54B4A2} - System32\Tasks\Microsoft\Windows\Location\Notifications => %windir%\System32\LocationNotificationWindows.exe (Brak pliku) Task: {F3E6E7ED-A196-4E44-8803-55FAB3AD4E29} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe (Brak pliku) FF ProfilePath: C:\Users\bait1\AppData\Roaming\Mozilla\Firefox\Profiles\3f7gkq7q.default-release [nie znaleziono] <==== UWAGA FF ProfilePath: C:\Users\bait1\AppData\Roaming\Mozilla\Firefox\Profiles\x4xnyrid.default [nie znaleziono] <==== UWAGA S2 Service KMSELDI; C:\Program Files\KMSpico\Service_KMS.exe (Brak pliku) C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMSpico\AutoPico.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMSpico\KMSpico.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMSpico\Log KMSpico.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Age of Wonders 4 [GOG.com]\Age of Wonders 4.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Age of Wonders 4 [GOG.com]\Usuń Age of Wonders 4.lnk C:\Users\bait1\Desktop\Programy\HotA HD.lnk C:\Users\bait1\Desktop\Programy\NapiProjekt.lnk C:\Users\bait1\Desktop\Programy\Tibia.lnk C:\Users\bait1\Desktop\Programy\Stare\BlueStacks.lnk C:\Users\bait1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\d699a6365b7304e0\Paradox Launcher.lnk C:\Users\Public\Desktop\Age of Wonders 4.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMSpico\Uninstall KMSpico.lnk EmptyTemp: End:: Fixlist przeznaczona tylko dla autora tematu! W FRST kliknij opcję "Napraw" (Fix). Pokaż raport "fixlog.txt", który otrzymasz po restarcie komputera. Pobierz dodatkowo "Malwaresbytes" . Przeskanuj nim komputer, usuń jeśli coś zostanie jeszcze wykryte i pokaż raport. Pobierz też darmowy "ADWCleaner" , skanowanie, zanim cos usuniesz, pokaż wpierw log. Co do błędów w systemie, zastanawia mnie to: Cytat ==================== Wadliwe urządzenia w Menedżerze urządzeń ============ Name: SSD 256GB Description: Stacja dysków Class Guid: {4d36e967-e325-11ce-bfc1-08002be10318} Manufacturer: (Standardowe stacje dysków) Service: disk Problem: : This device is disabled. (Code 22) Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions. Masz wyłączony ten dysk? Druga sprawa...to aktualizacja systemu teraz, oprogramowania i sterowników. Masz starszą wersję Windows 11, planujesz aktualizację do 25H2? Tak spróbuj zaktualizować oprogramowanie: Windows – aktualizacja wszystkich aplikacji na raz w Windows 10 / 11 Dobrze by było, ale to już na sam koniec, bo jest uszkodzenie plików systemowych i problem z Secure Boot. Błąd CodeIntegrity - guard64.dll – Windows nie może zweryfikować integralności tego pliku. Może być uszkodzony lub jest złośliwym oprogramowaniem (często maskującym się jako biblioteka). Błąd Secure Boot – Funkcja zabezpieczeń jest wyłączona w BIOSie, przez co Windows nie może chronić systemu przed rootkitami. Czyli najlepiej wpisz w CMD (Admin): sfc /scannow (sprawdzi i naprawi uszkodzone pliki). Komendę potwierdź Enterem na klawiaturze. Po skończeniu wpisz jeszcze: DISM /Online /Cleanup-Image /RestoreHealth. Wejdź do BIOS/UEFI (przy starcie wciskaj F2 lub Del) i włącz Secure Boot (jeśli opcja jest dostępna). Komendy możesz skopiować i wkleić w CMD. No jeszcze na sam koniec, jeśli można tak powiedzieć to aktywator Windows wpierany przez Microsoft, nawet ponoć obsługa techniczna Microsoft go zaleca :-) Microsoft Activation Scripts (MAS) Odnośnik do komentarza
bait Opublikowano 12 godzin temu Autor Zgłoś Udostępnij Opublikowano 12 godzin temu Dysk: tak, tam jest kopia i obraz systemu Reszta nieaktualne gdyż wygrywałem kopie partycji od nowa. Odnośnik do komentarza
bait Opublikowano 12 godzin temu Autor Zgłoś Udostępnij Opublikowano 12 godzin temu Stało się to samo co wcześniej. Wirus rozprzestrzenił się na antywirusa i resztę. Robię od nowa. Bez internetu i od razu będę skanował malwarebytes. Włączyłem securebot Edit: zrobiłem skan malwarebytes usunąłem wszystkie zagrożenia i nie bylo póki co tych fałszywych stron i virusa M0yv. Robiłem później dogłębne skanowanie nie ma nic. Póki co wyłączony internet Scannow - zrobiony DISM /Online /Cleanup-Image /RestoreHealth - zrobione edit2 dodaje logi Czy coś jeszcze mogę zrobić przed włączeniem internetu? adwcleaner.txt fixlog.txt scan.txt Odnośnik do komentarza
Illidan Opublikowano 8 godzin temu Zgłoś Udostępnij Opublikowano 8 godzin temu Pomału, bo sie gubię... Co robisz od nowa? To co "Malwaresbytes" zaznaczył, to w większości COMODO, czyli to fałszywy alarm, te pliki możesz pominąć z nim związane. Natomiast cała reszta w Folderze "AppData" nie wygląda dobrze i w innych miejscach. Wywal tez ten "uTorrent". Nie ufam temu programowi. "Malwaresbytes" zaznaczył tez pliki od Herosów, Nie wiem czemu, czy to jakaś piracka wersja? Jak nie to to zostaw, to też w takim razie fałszywy alarm. Jak wirus się rozprzestrzenił? Możliwe że doszło do konfliktu "Malwaresbytes" VS "Comodo", może to masz na myśli? Najwyżej wyłącz na czas działania "Malwaresbytes" Comodo, dodaj Comodo do białej listy w "Malwaresbytes". Jak używasz "Comodo" wyłącz "Malwaresbytes", on po 14 dniach i tak bedzie skanerem na życzenie. "uTorrent" zastąp może "FrostWire", jest masa innych aplikacji do tego. Teraz przejrzę logi... Fixlog- OK AdwCleaner znalazł jedną rzecz: PUP.Optional.BitDriverUpdater C:\Users\bait1\AppData\Roaming\Bit Guardian Jak to potrzebne to zostaw, nie to usuń. MBAMUI to log ogólny z działania programu, tu widać apka blokuje sporo połączeń. Wysoka liczba wykryć, o bardzo dużo jak na standardowe skanowanie. Sugeruje to, że system jest w znacznym stopniu zainfekowany lub zawiera wiele potencjalnie niechcianych programów (adware, paski narzędzi itp.). Log jest pełen powiadomień WebsiteBlocked (zablokowane połączenia wychodzące). Wskazują one, że procesy na komputerze próbowały łączyć się z złośliwymi domenami (np. ssbzmoy.biz). Sprawdź jeszcze proces "dllhost.exe" to zasadniczy proces Windows, ale fakt, że w logu Malwarebytes jest wymieniany w kontekście podejrzanych połączeń sieciowych, jest mocnym sygnałem, że może być wykorzystywany przez złośliwe oprogramowanie . Oto jak możesz to sprawdzić krok po kroku: Sprawdź, jak uruchamia się proces. Normalny dllhost.exe prawie zawsze jest uruchamiany z konkretnymi argumentami, które mówią mu, co ma robić. Jeśli działa "z pustymi rękami" (bez argumentów), to jest to bardzo podejrzane .Uruchom Menedżera zadań (Ctrl + Shift + Esc). Przejdź do zakładki Szczegóły, znajdź wszystkie procesy dllhost.exe. Kliknij prawym przyciskiem na każdy z nich i wybierz "Właściwości". W oknie, które się pojawi, spójrz na pole "Wiersz polecenia". Normalne: Będzie tam ścieżka do pliku i dodatkowe parametry, np. /Processid:{jakiś-GUID} .Jeśli wiersz polecenia jest krótki i zawiera tylko dllhost.exe lub jest pusty, to tu jest coś nie tak. Kolejne logi... DISM - W skrócie OK Także włączaj internet i testuj działanie systemu jak oczyścisz wszystko w "Malwaresbytes". Odnośnik do komentarza
bait Opublikowano 8 godzin temu Autor Zgłoś Udostępnij Opublikowano 8 godzin temu Wgrałem od nowa obraz systemu i zrobiłem tylko to co w ostatnim poście napisane, więc tamten log z mbamui i reszta są nieaktualne. Usunąłem już. Przepraszam za zamieszanie. Na moje tamten wirus zarażał/podmieniał inne pliki .exe i wszystko przestawało działać dlatego burzył się na antywirusa. Jak po nowym przywróceniu zrobiłem skan to nie ma problemu z Comodo. Wirusa M0yv znalazł mi malwarebytes na dysku z kopią zapasową tylko 1 szt. - usunąłem i skanuje wszystko jeszcze raz. Odnośnik do komentarza
Illidan Opublikowano 8 godzin temu Zgłoś Udostępnij Opublikowano 8 godzin temu No to tak to my do niczego nie dojdziemy....Naprawiamy system, po czym wgrywasz od nowa i tak dalej. Jak nie wiem co jest aktualne, a co nie, zasypujesz mnie logami, po czym wgrywasz system....Jak wgrywasz system od nowa, to zrób najlepiej czystą instalację, a wrażliwe dane przenieś z kopii zapasowej. Odnośnik do komentarza
bait Opublikowano 7 godzin temu Autor Zgłoś Udostępnij Opublikowano 7 godzin temu Przypadkiem - proszę o usunięcie Odnośnik do komentarza
bait Opublikowano 7 godzin temu Autor Zgłoś Udostępnij Opublikowano 7 godzin temu Jeszcze raz, nie wygrywałem od nowa windowsa tylko wgrałem kopie zapasowa - obraz partycji C, dlatego ze ten virus M0yv infekował każdy plik .exe i kazda aplikacja przestawała działać. Na dysku z kopia zapasowa znalazł sie 1 plik zainfekowany wirusem M0yv usunąłem to i wszystko co malwarebyte wykrył. Usunąłem z dysku z kopia cale foldery "kopia dysku C" i "kopia dysku D" gdyż mam świeższa kopie. Zrobiłem głębokie skanowanie malwarebytes i nic nie wykrył teraz. Wykonałem logi. Edit: Na razie nie podłączałem do internetu więc brak aktualizacji windowsa i aplikacji Tworzę kolejny obraz partycji po kopiowaniu danych i porządkach przed podłączeniem internetu (Dysk kopia zapasowa)Malwarebytes Raport ze skanowania niestandardowego 2026-07-15 162522.txt Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
Illidan Opublikowano 6 godzin temu Zgłoś Udostępnij Opublikowano 6 godzin temu Cytat Jeszcze raz, nie wygrywałem od nowa windowsa tylko wgrałem kopie zapasowa Ja wiem, ale to to nic nie zmienia. Tak jak pisałem, to lepiej świeża instalacja i tylko przeniesienie ważnych danych. Ok, nowe logi w nocy dopiero przejrzę. Teraz nie mam na to siły i czasu. Odnośnik do komentarza
bait Opublikowano 3 godziny temu Autor Zgłoś Udostępnij Opublikowano 3 godziny temu 4 godziny temu, Illidan napisał(a): Ja wiem, ale to to nic nie zmienia. Tak jak pisałem, to lepiej świeża instalacja i tylko przeniesienie ważnych danych. Ok, nowe logi w nocy dopiero przejrzę. Teraz nie mam na to siły i czasu. Rozumiem, dziękuje za pomoc. System i aplikacje zaktualizowałem według tego jak pisałeś. Aktywowałem Windowsa tym microsoft-activation-scripts. Malwarebytes już nic nie wykrywa. Wcześniejsze logi są sprzed aktualizacji windowsa, jeśli trzeba nowe to wrzucę. Odnośnik do komentarza
Illidan Opublikowano 1 godzinę temu Zgłoś Udostępnij Opublikowano 1 godzinę temu Tym razem już tylko lekkie sprzątanie. Malwarebytes widać usunął wszystko co trzeba. Uruchom FRST. Skopiuj zawartość podaną niżej i nigdzie nie wklejaj-FRST sam znajdzie "fixlist" w schowku systemowym. Spoiler Start:: CreateRestorePoint: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Heroes of Might and Magic 3 Complete [GOG.com]\Heroes of Might and Magic 3 Complete.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Heroes of Might and Magic 3 Complete [GOG.com]\Narzędzia\Campaign Editor.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Heroes of Might and Magic 3 Complete [GOG.com]\Narzędzia\Map Editor.lnk C:\Users\bait1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Stability Matrix.lnk C:\Users\Public\Desktop\Heroes of Might and Magic 3 Complete.lnk C:\Users\Public\Desktop\HotA HD.lnk CustomCLSID: HKU\S-1-5-21-420650328-1192798164-3798175123-1001_Classes\CLSID\{4386fc53-f772-b2d3-15b0-80753dfa315e}\localserver32 -> "C:\Users\bait1\Desktop\StabilityMatrix.exe" -ToastActivated => Brak pliku FirewallRules: [{F9FB6443-ACC4-40E5-9D3D-BD3A99987BE6}] => (Allow) C:\Users\bait1\AppData\Roaming\uTorrent\uTorrent.exe => Brak pliku FirewallRules: [{A314B956-0643-4DF6-968B-3B957B44B0F7}] => (Allow) C:\Users\bait1\AppData\Roaming\uTorrent\uTorrent.exe => Brak pliku FirewallRules: [UDP Query User{FD6F333F-93DD-4ABE-849B-04D38DC0CCA5}D:\programy\vms\vms.exe] => (Allow) D:\programy\vms\vms.exe => Brak pliku FirewallRules: [TCP Query User{119AD0D4-5B37-4DCB-9EAE-C325F1379777}D:\programy\vms\vms.exe] => (Allow) D:\programy\vms\vms.exe => Brak pliku FirewallRules: [{3B81303A-295D-4886-BEB6-E6A6915B2367}] => (Allow) C:\Users\bait1\AppData\Roaming\uTorrent\uTorrent.exe => Brak pliku FirewallRules: [{14A893EB-0F67-43F2-A60C-8B5B4055097D}] => (Allow) C:\Users\bait1\AppData\Roaming\uTorrent\uTorrent.exe => Brak pliku FirewallRules: [{CF0CDA1A-4862-4843-A4C8-08B446891044}] => (Allow) C:\Program Files (x86)\BlueStacks X\BlueStacksWeb.exe => Brak pliku FirewallRules: [{F7E0D055-B530-4D72-A0C8-FA0BDDCFFAE8}] => (Allow) C:\Program Files\BlueStacks_nxt\HD-Player.exe => Brak pliku FirewallRules: [{02A90AF7-2ACE-4E0F-B0B2-42F5E8B8DB17}] => (Allow) C:\Program Files\BlueStacks_nxt\BlueStacksAppplayerWeb.exe => Brak pliku EmptyTemp: End:: Fixlist przeznaczona tylko dla autora tematu! W FRST kliknij opcję "Napraw" (Fix). Pokaż raport "fixlog.txt", który otrzymasz po restarcie komputera. Odnośnik do komentarza
bait Opublikowano 55 minut temu Autor Zgłoś Udostępnij Opublikowano 55 minut temu Poszło, w załączniku Fixlog.txt Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się