Dinoraptzor

[Smecioh17 0]

Cześć,

Proszę o pomoc z logami

 

http://www.wklejto.pl/799930

http://www.wklejto.pl/799932

http://www.wklejto.pl/799933

 

Dzięki bardzo!

[filutka78 11]

---------->>@Smecioh17

 

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

HKU\S-1-5-21-3094569494-1962743577-1057424194-1001\...\Run: [tomas] => explorer.exe hxxp://dinoraptzor.org <==== UWAGA

Task: {545A7A30-BFBA-4BCF-A1CF-8F123D07F53F} - System32\Tasks\tomas => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v tomas /t REG_SZ /d "explorer.exe hxxp://dinoraptzor.org" <==== UWAGA

Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}

SearchScopes: HKU\S-1-5-21-3094569494-1962743577-1057424194-1001 -> DefaultScope {14A05676-1850-43F7-BE70-C37AAA2CD878} URL =

SearchScopes: HKU\S-1-5-21-3094569494-1962743577-1057424194-1001 -> {14A05676-1850-43F7-BE70-C37AAA2CD878} URL =

FF Session Restore: Mozilla\Firefox\Profiles\j5tkv00r.default -> [funkcja włączona]

C:\Users\tomas\Downloads\pkofenvjcovwkwp.txt

EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

Napisz, czy problem znikł?

 

F.

Edytowane 12 Stycznia 2020 przez filutka78

[Smecioh17 0]

---------->>@Smecioh17

 

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

 

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

Napisz, czy problem znikł?

 

F.

 

Problem znikł, dzięki bardzo za pomoc!

[squaren 0]

Witam, napotkałem się z tym samym problemem, niby strona mi się już nie włącza ponieważ usunąłem wpis przez który się uruchamiała w regedit aczkolwiek wolę dmuchać na zimne i mieć pewność że nic już nie zagraża mojemu komputerowi... Mam także pytanie, jeśli wcześniej używana była przeglądarka która włączała się przez tego wirusa i wchodziłem na niej na stronę banku, logowałem się, to czy powinienem zmienić hasło do konta?

 

Wyniki skanowania FRST: http://www.wklejto.pl/800329

[filutka78 11]

------------>>@squaren

 

Oprócz "dinoraptzor" masz też inną ruską infekcję.

 

Do usunięcia "dinoraptzor" nie wystarczy usuwanie klucza autostartu, konieczne jest też usunięcie Zaplanowanego Zadania, które właśnie odtwarza od nowa taki klucz przy każdym uruchomieniu komputera.

 

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

Task: {C8D8BE85-0A38-47C6-87ED-D15547D07DA8} - System32\Tasks\Adrian => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Adrian /t REG_SZ /d "explorer.exe hxxp://dinoraptzor.org" <==== UWAGA

2020-01-11 16:32 - 2020-01-11 16:32 - 000002604 _____ C:\WINDOWS\system32\Tasks\Adrian

 

StartRegedit:

Windows Registry Editor Version 5.00

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

"Adrian"=-

EndRegedit:

 

CHR StartupUrls: Default -> "hxxp://do-search.com/?type=hp&ts=1433515639&z=4d8a695ad3edb50ad89fb5cg4zcccc2w4g0w7qaz5o&from=cor&uid=WDCXWD2500KS-00MJB0_WD-WCANKF57968679686"

S3 mracsvc; C:\Windows\System32\mracsvc.exe [18534552 2019-10-30] (Mail.Ru LLC -> LLC Mail.Ru)

S3 mracdrv; C:\WINDOWS\System32\drivers\mracdrv.sys [17770920 2019-10-30] (Mail.Ru LLC -> LLC Mail.Ru)

C:\WINDOWS\System32\drivers\mracdrv.sys

C:\Windows\System32\mracsvc.exe

Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}

ShortcutTarget: $McRebootA5E6DEAA56$.lnk -> (Brak pliku)

EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

Napisz, czy problem znikł?

 

wchodziłem na niej na stronę banku, logowałem się, to czy powinienem zmienić hasło do konta?

W przypadku "dinoraptzor" nie ma potrzeby zmiany hasła.

W przypadku "mrac*" też raczej nie ma potrzeby, ale tu nie mam 100% pewności, bo to szpiegowska infekcja. Zajmuje się szpiegowaniem, ale nigdy nie słyszałam, by z tego szpiegowania wynikły problemy z bankiem.

 

F.

Edytowane 14 Stycznia 2020 przez filutka78

[Kamykus 0]

Dzień dobry, proszę o pomoc.

 

http://www.wklejto.pl/800404

[filutka78 11]

---------->>@Kamykus

 

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

HKU\S-1-5-21-227877537-1079115585-4188078760-1001\...\Run: [Kamil] => explorer.exe hxxp://dinoraptzor.org <==== UWAGA

Task: {979F202D-A5C9-4509-A4A9-4FD55D41C21E} - System32\Tasks\Kamil => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Kamil /t REG_SZ /d "explorer.exe hxxp://dinoraptzor.org" <==== UWAGA

Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}

Task: {BCDC66ED-852D-419C-BFA7-4607A788211D} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku <==== UWAGA

FF user.js: detected! => C:\Users\Kamil\AppData\Roaming\Mozilla\Firefox\Profiles\yyeyi53k.default-1569738650274\user.js [2019-10-30]

C:\Users\Kamil\Downloads\Search.txt

C:\Users\Kamil\Downloads\SearchReg.txt

CMD: attrib /d /s -r -s -h C:\FOUND.*

CMD: for /d %f in (C:\FOUND.*) do rd /s /q "%f"

EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

Napisz, czy problem znikł?

 

F.

Edytowane 14 Stycznia 2020 przez filutka78

[squaren 0]

------------>>@squaren

 

Napisz, czy problem znikł?

 

 

W przypadku "dinoraptzor" nie ma potrzeby zmiany hasła.

W przypadku "mrac*" też raczej nie ma potrzeby, ale tu nie mam 100% pewności, bo to szpiegowska infekcja. Zajmuje się szpiegowaniem, ale nigdy nie słyszałam, by z tego szpiegowania wynikły problemy z bankiem.

 

F.

 

Chyba znikł Tzn już niby po tym usunięciu w regedicie nie zauważałem żadnych problemów aczkolwiek tak właśnie czułem że to za mało do usunięcia wirusa z komputera, a tu proszę okazało się że jeszcze 2 był.

Naprawdę dzięki wielkie za pomoc, w internecie dużo szukałem i nic nie działało a tu proszę, wystarczyło poprosić o pomoc na forum <3

[Kamykus 0]

---------->>@Kamykus

 

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

 

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

Napisz, czy problem znikł?

 

F.

 

Znikł. Dziękuję!

[seba51 0]

Witam mam i ja

http://www.wklejto.pl/800626

http://www.wklejto.pl/800627

Edytowane 14 Stycznia 2020 przez seba51

[filutka78 11]

------------->>@seba51

 

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

HKU\S-1-5-21-3396498334-3111906509-4247249750-1001\...\Run: [seba] => explorer.exe hxxp://dinoraptzor.org <==== UWAGA

Task: {9AB45EA4-BC23-445C-B1C4-01889AC60ED2} - System32\Tasks\Seba => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Seba /t REG_SZ /d "explorer.exe hxxp://dinoraptzor.org" <==== UWAGA

Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}

FF Session Restore: Mozilla\Firefox\Profiles\88ou6hi9.default-release -> [funkcja włączona]

S3 ALSysIO; \??\C:\Users\Seba\AppData\Local\Temp\ALSysIO64.sys [X] <==== UWAGA

U3 aswbdisk; Brak ImagePath

S3 cpuz149; \??\C:\Windows\temp\cpuz149\cpuz149_x64.sys [X]

S3 HWiNFO32; \??\C:\Users\Seba\AppData\Local\Temp\HWiNFO64A.SYS [X] <==== UWAGA

EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

Napisz, czy problem znikł?

 

F.

Edytowane 14 Stycznia 2020 przez filutka78

[seba51 0]

------------->>@seba51

 

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

 

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

Napisz, czy problem znikł?

 

F.

 

dziala dzieki

[adrian.korn 0]

Dzień dobry Forumowicze,

 

Używam dziś laptopa narzeczonej, a tu wita mnie omawiany w temacie problem.

 

Proszę o pomoc.

 

Wklejki:

http://www.wklejto.pl/800734 ,

http://www.wklejto.pl/800735 .

 

Przy okazji chciałbym spytać czy jest na forum instrukcja pomoc jak poruszać się w scanach z FRST i jak reagować w razie infekcji?

 

Z góry dziękuje

[filutka78 11]

------------>>@adrian.korn

 

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

HKU\S-1-5-21-1811271979-2870885939-4021567489-1001\...\Run: [Agat] => explorer.exe hxxp://dinoraptzor.org <==== UWAGA

Task: {2864415D-B41E-47AA-A7DB-089BA96F7BFA} - System32\Tasks\Agat => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Agat /t REG_SZ /d "explorer.exe hxxp://dinoraptzor.org" <==== UWAGA

Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}

GroupPolicy: Ograniczenia ? <==== UWAGA

GroupPolicyScripts: Ograniczenia <==== UWAGA

Task: {0814350F-49EB-491A-BCF6-A750DF2CFAE0} - Brak ścieżki do pliku

Task: {1C668D24-AAFE-46A9-8330-F69E3A92F762} - Brak ścieżki do pliku

Task: {415FA126-DD5F-4082-8924-2AC48508DEC2} - Brak ścieżki do pliku

Task: {4EC5CC23-B3FD-4FDA-B103-51A171D2A57E} - Brak ścieżki do pliku

Task: {AB662649-9FC8-4CB4-B7A9-BC410329FE56} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku <==== UWAGA

Task: {C1EBEC59-D8A5-4A7B-ABA7-A048685FB984} - Brak ścieżki do pliku

Task: {CABAD86E-EF08-4ED5-B187-3C1C19BFBA05} - Brak ścieżki do pliku

SearchScopes: HKU\S-1-5-21-1811271979-2870885939-4021567489-1001 -> DefaultScope {B35E4486-9ACD-42C2-ABF2-D1AAABAE9BD4} URL =

SearchScopes: HKU\S-1-5-21-1811271979-2870885939-4021567489-1001 -> {4907D32D-8387-4C4B-ADBA-6681A0FD65B1} URL =

BHO: Brak nazwy -> {0ddcea2a-7b00-4349-8acb-af7ba6da251f} -> Brak pliku

BHO: Brak nazwy -> {13D67BB7-DB5F-48AA-884D-7A5D94168509} -> Brak pliku

BHO-x32: Brak nazwy -> {0ddcea2a-7b00-4349-8acb-af7ba6da251f} -> Brak pliku

BHO-x32: Brak nazwy -> {13D67BB7-DB5F-48AA-884D-7A5D94168509} -> Brak pliku

FF Extension: (Brak nazwy) - C:\Program Files (x86)\McAfee\SiteAdvisor\saffplg.xpi [nie znaleziono]

FirewallRules: [{AC3D0C66-857F-4D3B-8D6E-8011B34C7528}] => (Allow) C:\Program Files (x86)\Apowersoft\Video Download Capture 6\rtmpsrv.exe Brak pliku

FirewallRules: [{857D88C0-6835-4936-9477-F61E9C9B3C04}] => (Allow) C:\Program Files (x86)\Apowersoft\Video Download Capture 6\rtmpsrv.exe Brak pliku

FirewallRules: [{926F11CC-B43E-4038-8824-97C0F03F8EAC}] => (Allow) C:\Program Files (x86)\Apowersoft\Video Download Capture 6\Video Download Capture 6.exe Brak pliku

FirewallRules: [{2C27F0B0-E26E-4096-95E2-0C78DF935D34}] => (Allow) C:\Program Files (x86)\Apowersoft\Video Download Capture 6\Video Download Capture 6.exe Brak pliku

FirewallRules: [{B04ADD66-6774-41C1-BA77-DA1B0AED1882}] => (Allow) C:\Program Files\FlightGear 2018.3.1\bin\fgcom.exe Brak pliku

FirewallRules: [{57027C6C-1E0F-4B9C-8CBF-3F857A8594DD}] => (Allow) C:\Program Files\FlightGear 2018.3.1\bin\fgfs.exe Brak pliku

FirewallRules: [{77047FE5-5BE3-46C4-9880-2EDCA9AD130E}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe Brak pliku

FirewallRules: [{8AC8DBB9-67F8-4893-9E37-F362EE8F7E93}] => (Allow) C:\Program Files (x86)\Nero\Nero TuneItUp\TuneItUp.exe Brak pliku

FirewallRules: [{F98BF933-8338-4D6E-9068-839E2921C2D9}] => (Allow) C:\Program Files (x86)\Nero\Nero TuneItUp\TuneItUp.exe Brak pliku

EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

 

Napisz, czy problem znikł?

 

Opis FRST:

https://www.fixitpc.pl/topic/23904-frst-tutorial-obs%C5%82ugi-farbar-recovery-scan-tool/

 

F.

Edytowane 15 Stycznia 2020 przez filutka78

[adrian.korn 0]

@filutka51

 

Zadziałało, bardzo dziękuję za zaklęcie oraz materiał do zdobywania wiedzy

 

Pozdrawiam

[hosearakdiomorales 0]

Witam.

U mnie pojawia się ostatnio strona http://metagmae.org/page/ . Wyskoczyła mi informacja w antywirusie, że wykryto próbę ataku i plik przeniosło do kwarantanny, jednak następnego dnia zaczęła się pojawiać na starcie ta strona. Proszę o pomoc w jej usunięciu.

 

Pozdrawiam.

[Gość]

Witam.

U mnie pojawia się ostatnio strona http://metagmae.org/page/ . Wyskoczyła mi informacja w antywirusie, że wykryto próbę ataku i plik przeniosło do kwarantanny, jednak następnego dnia zaczęła się pojawiać na starcie ta strona. Proszę o pomoc w jej usunięciu.

 

Pozdrawiam.

Potrzebne logi z FRST.

[hosearakdiomorales 0]

Zapomniałem, mój błąd. Wklejam pliki pojedynczo bo są za duże a mam tylko 100KB.

 

Następny

 

Ostatni

[Gość]

Zapomniałem, mój błąd. Wklejam pliki pojedynczo bo są za duże a mam tylko 100KB.

 

Następny

 

Ostatni

Uruchom FRST a następnie (poprzez skrót klawiszowy CTRL + Y) otwórz notatnik systemowy. Wklej w nim poniższą zawartość:

 

CloseProcesses:
(GOLD CLICK LIMITED -> Gold Click Ltd) C:\Program Files (x86)\ProxyGate\Cloud.exe
(GOLD CLICK LIMITED -> Gold Click Ltd) C:\Program Files (x86)\ProxyGate\PGChk.exe
C:\Program Files (x86)\ProxyGate
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Brak pliku
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Brak pliku
ContextMenuHandlers5: [Gadgets] -> {6B9228DA-9C15-419e-856C-19E768A13BDC} =>  -> Brak pliku
FirewallRules: [{F0ADAFC8-AFEC-427E-AD7D-08048A514E52}] => (Allow) D:\Anthem\STAR WARS Battlefront II\starwarsbattlefrontii_trial.exe Brak pliku
FirewallRules: [{DA4D4D66-D892-4F23-B318-7BC94859A8FA}] => (Allow) D:\Anthem\STAR WARS Battlefront II\starwarsbattlefrontii_trial.exe Brak pliku
FirewallRules: [{F1A335FF-0CD1-4581-9285-0693FB818551}] => (Allow) D:\Anthem\STAR WARS Battlefront II\starwarsbattlefrontii.exe Brak pliku
FirewallRules: [{6F9AD798-B223-4138-ADDF-4989987A080D}] => (Allow) D:\Anthem\STAR WARS Battlefront II\starwarsbattlefrontii.exe Brak pliku
FirewallRules: [{85E8AF52-546C-4F58-B7D9-04F945ED9E65}] => (Allow) C:\WINDOWS\TEMP\rlab142X.tmp\lsass.exe Brak pliku
FirewallRules: [{2FB43685-25A6-445A-BC1E-E5F090CB885F}] => (Allow) C:\WINDOWS\TEMP\rlab142X.tmp\lsass.exe Brak pliku
FirewallRules: [{25657BCD-78B8-4582-B0D4-3B18EEA0B156}] => (Allow) C:\WINDOWS\TEMP\nfrv575A.tmp\svchost.exe Brak pliku
FirewallRules: [{17971F93-110F-4BD1-BAF4-6C4D4285E17B}] => (Allow) C:\WINDOWS\TEMP\nfrv575A.tmp\svchost.exe Brak pliku
FirewallRules: [{16DDFE20-9DF4-4941-97B6-3EBE90A734C8}] => (Allow) C:\WINDOWS\TEMP\rlab142X.tmp\lsass.exe Brak pliku
FirewallRules: [{52BC4D66-EC2F-46E1-973E-37E1D9A8D0D6}] => (Allow) C:\WINDOWS\TEMP\rlab142X.tmp\lsass.exe Brak pliku
FirewallRules: [{79368C91-30F3-4367-8B87-EBCFB2A2DEB0}] => (Allow) C:\WINDOWS\TEMP\nfrv575A.tmp\svchost.exe Brak pliku
FirewallRules: [{BDFEEBC6-B74B-4E3E-850A-DDD65D31B5FC}] => (Allow) C:\WINDOWS\TEMP\nfrv575A.tmp\svchost.exe Brak pliku
FirewallRules: [{741C7470-B37F-4C81-A7DE-1A6CEB25A3CF}] => (Allow) C:\WINDOWS\TEMP\rlab142X.tmp\lsass.exe Brak pliku
FirewallRules: [{28B9F4BD-03B8-4FED-BCB6-7E3D99BC3990}] => (Allow) C:\WINDOWS\TEMP\rlab142X.tmp\lsass.exe Brak pliku
FirewallRules: [{394EC904-AC76-4A19-B0B7-B1A0DF2BB210}] => (Allow) C:\WINDOWS\TEMP\nfrv575A.tmp\svchost.exe Brak pliku
FirewallRules: [{2A416F0E-AA37-429A-8D71-38C0F768D029}] => (Allow) C:\WINDOWS\TEMP\nfrv575A.tmp\svchost.exe Brak pliku
FirewallRules: [{11DA94E7-E6A6-4480-9A2F-AEF59446C2CE}] => (Allow) C:\WINDOWS\TEMP\rlab142X.tmp\lsass.exe Brak pliku
FirewallRules: [{1CC8C292-FADD-45FC-82B6-F0B09E22EEF0}] => (Allow) C:\WINDOWS\TEMP\rlab142X.tmp\lsass.exe Brak pliku
FirewallRules: [{7AE75061-41AF-4950-9FB3-2DA66B5A9736}] => (Allow) C:\WINDOWS\TEMP\nfrv575A.tmp\svchost.exe Brak pliku
FirewallRules: [{A20B0D88-4ACD-408D-8CCC-1C6AEA1BA48C}] => (Allow) C:\WINDOWS\TEMP\nfrv575A.tmp\svchost.exe Brak pliku
FirewallRules: [{08AE29A2-13EB-4A8B-A2FA-609B12783FCC}] => (Allow) C:\WINDOWS\TEMP\rlab142X.tmp\lsass.exe Brak pliku
FirewallRules: [{DC319E4C-F661-4037-BBFF-8E6E04AB0905}] => (Allow) C:\WINDOWS\TEMP\rlab142X.tmp\lsass.exe Brak pliku
FirewallRules: [{6E33853D-199A-45EA-B7A3-0FBD6D819AF1}] => (Allow) C:\WINDOWS\TEMP\nfrv575A.tmp\svchost.exe Brak pliku
FirewallRules: [{D24BB30E-3B1A-4B5A-9F1E-6DCD3DEAE111}] => (Allow) C:\WINDOWS\TEMP\nfrv575A.tmp\svchost.exe Brak pliku
FirewallRules: [{BFC1AE53-97FE-41E9-A8C1-007DDE00B206}] => (Allow) C:\WINDOWS\TEMP\rlab142X.tmp\lsass.exe Brak pliku
FirewallRules: [{A1FD8F5C-E42D-4D3A-96B2-1502AC246E0E}] => (Allow) C:\WINDOWS\TEMP\rlab142X.tmp\lsass.exe Brak pliku
FirewallRules: [{C3EBDE0F-B681-4C21-90D1-786DC2A902EE}] => (Allow) C:\WINDOWS\TEMP\nfrv575A.tmp\svchost.exe Brak pliku
FirewallRules: [{3E132F90-F4A6-4DC9-B660-12EAC02C639E}] => (Allow) C:\WINDOWS\TEMP\nfrv575A.tmp\svchost.exe Brak pliku
FirewallRules: [{53BA525F-F72B-400A-9516-5323EC0705E3}] => (Allow) C:\WINDOWS\TEMP\rlab142X.tmp\lsass.exe Brak pliku
FirewallRules: [{ED3FA0FD-E8B8-4AE8-984C-6199C04AA71E}] => (Allow) C:\WINDOWS\TEMP\rlab142X.tmp\lsass.exe Brak pliku
FirewallRules: [{40165064-0083-42C3-AC15-ADF7B9E105BB}] => (Allow) C:\WINDOWS\TEMP\nfrv575A.tmp\svchost.exe Brak pliku
FirewallRules: [{226E9A8E-2E71-4785-A330-C77B1690A761}] => (Allow) C:\WINDOWS\TEMP\nfrv575A.tmp\svchost.exe Brak pliku
FirewallRules: [{A7204BB5-FE6D-4821-9E74-2BDDF245F78D}] => (Allow) C:\WINDOWS\TEMP\rlab142X.tmp\lsass.exe Brak pliku
FirewallRules: [{0C143F81-AB9D-4C23-967F-BD139C35883D}] => (Allow) C:\WINDOWS\TEMP\rlab142X.tmp\lsass.exe Brak pliku
HKU\S-1-5-19\...\Winlogon: [shell] C:\WINDOWS\explorer.exe [4413936 2019-11-13] (Microsoft Windows -> Microsoft Corporation) <==== UWAGA
HKU\S-1-5-20\...\Winlogon: [shell] C:\WINDOWS\explorer.exe [4413936 2019-11-13] (Microsoft Windows -> Microsoft Corporation) <==== UWAGA
HKU\S-1-5-21-3008666031-1864671521-4281122416-1000\...\Run: [Jastrząbki] => explorer.exe hxxp://dinoraptzor.org <==== UWAGA
HKU\S-1-5-21-3008666031-1864671521-4281122416-1000\...\Winlogon: [shell] C:\WINDOWS\explorer.exe [4413936 2019-11-13] (Microsoft Windows -> Microsoft Corporation) <==== UWAGA
HKU\S-1-5-18\...\Winlogon: [shell] C:\WINDOWS\explorer.exe [4413936 2019-11-13] (Microsoft Windows -> Microsoft Corporation) <==== UWAGA
Task: {2A98AE6E-00FA-42FE-8F3C-C37927A34488} - System32\Tasks\nv4drv => C:\WINDOWS\system32\config\systemprofile\AppData\Roaming\Microsoft\steam.vbe [143660 2020-01-16] (Odmowa dostępu)  [brak podpisu cyfrowego] (Odmowa dostępu) <==== UWAGA
Task: {8DDD73F1-BAC6-4C64-8C53-17299567B37A} - System32\Tasks\VDrive => C:\WINDOWS\system32\config\systemprofile\AppData\Roaming\steampch\db.vbe [5755 2018-12-31] () [brak podpisu cyfrowego] <==== UWAGA
Task: {C8177293-6D0E-4B29-AC62-8E43D848C75E} - System32\Tasks\Jastrząbki => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Jastrząbki /t REG_SZ /d "explorer.exe hxxp://dinoraptzor.org" <==== UWAGA
SearchScopes: HKU\S-1-5-21-3008666031-1864671521-4281122416-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxps://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IESR02&pc=UE00
SearchScopes: HKU\S-1-5-21-3008666031-1864671521-4281122416-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxps://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IESR02&pc=UE00
S2 pgt_svc; C:\Program Files (x86)\ProxyGate\MainService.exe [2285664 2017-02-22] (GOLD CLICK LIMITED -> Gold Click Ltd) <==== UWAGA
C:\Users\Jastrząbki\AppData\Roaming\*.*
EmptyTemp:

Poprzez skrót klawiszowy CTRL + S (albo przez Plik -> Zapisz) zapisz zmiany w notatniku a następnie w FRST kliknij na Napraw. Na zakończenie naprawy FRST poprosi o restart systemu.

[hosearakdiomorales 0]

Dziękuję działa.

[McMicy 0]

Dzień dobry. Proszę o pomoc z Dinoraptzorem. Wklejam aktualne logi z FRSTa. Proszę o usunięcie wirusa i jeśli można o usunięcie zbędnych plików.

Linki:

FRST: http://www.wklejto.pl/805301

Addition: http://www.wklejto.pl/805302

Shortcut: http://www.wklejto.pl/805303

 

Z góry dziękuję za pomoc

Edytowane 29 Stycznia 2020 przez McMicy

[Gość]

Proszę o usunięcie wirusa i jeśli można o usunięcie zbędnych plików.

Odinstaluj przez Panel Sterowania Akamai NetSession Interface.

 

Uruchom FRST a następnie (poprzez skrót klawiszowy CTRL + Y) otwórz notatnik systemowy. Wklej w nim poniższą zawartość:

 

CloseProcesses:
CustomCLSID: HKU\S-1-5-21-1253175496-1533506191-386299733-1000_Classes\CLSID\{9FBA1E11-455C-4499-8C34-BABB1DF85598}\InprocServer32 -> C:\Users\Łukasz\AppData\Local\MyComGames\NPMyComDetector.dll => Brak pliku
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [baiduAntivirusIconLock] -> {0A93904A-BB1E-4a0c-9753-B57B9AE272CC} =>  -> Brak pliku
ContextMenuHandlers1: [AIMP] -> [CC]{1F77B17B-F531-44DB-ACA4-76ABB5010A28} =>  -> Brak pliku
ContextMenuHandlers1: [baidu_Scan] -> [CC]{0A93904A-BB1E-4a0c-9753-B57B9AE272CB} =>  -> Brak pliku
ContextMenuHandlers2: [baidu_Scan] -> [CC]{0A93904A-BB1E-4a0c-9753-B57B9AE272CB} =>  -> Brak pliku	
ContextMenuHandlers3: [00avast] -> [CC]{472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
ContextMenuHandlers4: [AIMP] -> [CC]{1F77B17B-F531-44DB-ACA4-76ABB5010A28} =>  -> Brak pliku
ContextMenuHandlers6: [baidu_Scan] -> [CC]{0A93904A-BB1E-4a0c-9753-B57B9AE272CB} =>  -> Brak pliku
AlternateDataStreams: C:\ProgramData\TEMP:3B71D0B4 [126]
AlternateDataStreams: C:\ProgramData\TEMP:4FC01C57 [128]
AlternateDataStreams: C:\ProgramData\TEMP:55B41E6A [140]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\D93ED2C4.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\D93ED2C4.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service"
MSCONFIG\startupreg: MyComGames => "C:\Users\Łukasz\AppData\Local\MyComGames\MyComGames.exe" -autostart
MSCONFIG\startupreg: Akamai NetSession Interface => "C:\Users\Łukasz\AppData\Local\Akamai\netsession_win.exe"
FirewallRules: [{FD1B211E-0762-42BD-A822-9CC452CC2B88}] => (Allow) C:\Users\Łukasz\AppData\Local\Akamai\netsession_win.exe (Akamai Technologies, Inc. -> Akamai Technologies, Inc.)
FirewallRules: [{EE94DFF1-8313-4208-8FD8-269B9E4BA977}] => (Allow) C:\Users\Łukasz\AppData\Local\Akamai\netsession_win.exe (Akamai Technologies, Inc. -> Akamai Technologies, Inc.)
FirewallRules: [TCP Query User{52B857A0-3E74-4E41-A8DF-528953A6C2B5}C:\users\łukasz\appdata\local\akamai\netsession_win.exe] => (Block) C:\users\łukasz\appdata\local\akamai\netsession_win.exe (Akamai Technologies, Inc. -> Akamai Technologies, Inc.)
FirewallRules: [uDP Query User{8FB086F5-E731-44D4-A6B7-687115154B09}C:\users\łukasz\appdata\local\akamai\netsession_win.exe] => (Block) C:\users\łukasz\appdata\local\akamai\netsession_win.exe (Akamai Technologies, Inc. -> Akamai Technologies, Inc.)
FirewallRules: [{73FBCFB1-D009-4EB1-8046-339D57BE8451}] => (Allow) C:\Program Files\Farming Simulator 2015\FarmingSimulator2015.exe Brak pliku
FirewallRules: [{D4C99BF2-AED2-4F19-884B-B2E28302F368}] => (Allow) C:\Program Files\Farming Simulator 2015\FarmingSimulator2015.exe Brak pliku
FirewallRules: [{D10503A5-88D6-4B85-B3AC-81C67FC99615}] => (Allow) C:\Program Files\Farming Simulator 2015\x86\FarmingSimulator2015Game.exe Brak pliku
FirewallRules: [{6181675C-2F4B-4D1C-922E-3B8CA20AFD09}] => (Allow) C:\Program Files\Farming Simulator 2015\x86\FarmingSimulator2015Game.exe Brak pliku
FirewallRules: [{FA20BFD3-3FC1-458A-A99C-44E929E9588E}] => (Allow) C:\Program Files\Farming Simulator 2015\x64\FarmingSimulator2015Game.exe Brak pliku
FirewallRules: [{BE9302C7-1EA6-446D-95D8-955D52BCDAEE}] => (Allow) C:\Program Files\Farming Simulator 2015\x64\FarmingSimulator2015Game.exe Brak pliku
FirewallRules: [TCP Query User{81D85B6F-0EE2-44BE-8F8B-C659EDBE83C3}C:\program files\farming simulator 2015\dedicatedserver.exe] => (Allow) C:\program files\farming simulator 2015\dedicatedserver.exe Brak pliku
FirewallRules: [uDP Query User{3854323A-6C8F-4DFF-97A8-CE5BB440F08A}C:\program files\farming simulator 2015\dedicatedserver.exe] => (Allow) C:\program files\farming simulator 2015\dedicatedserver.exe Brak pliku
FirewallRules: [TCP Query User{6357746C-ED94-4DF5-881E-87A6D35A37AE}C:\program files\farming simulator 2015\x86\farmingsimulator2015game.exe] => (Allow) C:\program files\farming simulator 2015\x86\farmingsimulator2015game.exe Brak pliku
FirewallRules: [uDP Query User{80DE1A88-F3D7-4919-AEB5-8BFD2F4DF3D5}C:\program files\farming simulator 2015\x86\farmingsimulator2015game.exe] => (Allow) C:\program files\farming simulator 2015\x86\farmingsimulator2015game.exe Brak pliku
FirewallRules: [{E7158F30-FB77-400A-BA26-542F11046636}] => (Allow) C:\Users\Łukasz\AppData\Local\MyComGames\MyComGames.exe Brak pliku
FirewallRules: [{349139C6-02A2-4164-A6F9-162630F29E49}] => (Allow) C:\Users\Łukasz\AppData\Local\MyComGames\MyComGames.exe Brak pliku
FirewallRules: [TCP Query User{1C44CFC8-E14F-487B-8662-4C3393B2C395}C:\users\łukasz\appdata\local\mycomgames\mycomgames.exe] => (Block) C:\users\łukasz\appdata\local\mycomgames\mycomgames.exe Brak pliku
FirewallRules: [uDP Query User{BC2C07C9-9E1A-411A-A8CB-D3E22947285F}C:\users\łukasz\appdata\local\mycomgames\mycomgames.exe] => (Block) C:\users\łukasz\appdata\local\mycomgames\mycomgames.exe Brak pliku
FirewallRules: [{AE7BD90F-DC73-4E3A-B025-38098CABFB35}] => (Allow) C:\Users\Łukasz\AppData\Local\MyComGames\MyComGames.exe Brak pliku
FirewallRules: [{DDB7A58A-284B-4664-9DB5-1963DE8107C0}] => (Allow) C:\Users\Łukasz\AppData\Local\MyComGames\MyComGames.exe Brak pliku
FirewallRules: [TCP Query User{087E68D9-D671-4596-B187-67C9A8470453}D:\mygames\armored warfare mycom\bin32\armoredwarfare.exe] => (Allow) D:\mygames\armored warfare mycom\bin32\armoredwarfare.exe Brak pliku
FirewallRules: [uDP Query User{2AE8F906-CEAD-433C-A255-76C54E40424C}D:\mygames\armored warfare mycom\bin32\armoredwarfare.exe] => (Allow) D:\mygames\armored warfare mycom\bin32\armoredwarfare.exe Brak pliku
FirewallRules: [{00DCC5A4-C6EC-44A6-B2EE-789AC009540C}] => (Allow) C:\Program Files\NVIDIA Corporation\NvContainer\NvContainer.exe Brak pliku
FirewallRules: [{F8B09237-E8A8-4400-96EB-D5E582C75035}] => (Allow) C:\Program Files\NVIDIA Corporation\NvContainer\NvContainer.exe Brak pliku
FirewallRules: [{61D61428-E043-42F9-8CF3-DBB4DE4F981D}] => (Allow) C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamer.exe Brak pliku
FirewallRules: [{689678C3-5AE3-4414-8F28-6F75263BDFE2}] => (Allow) C:\Program Files\NVIDIA Corporation\NvStreamSrv\nvstreamer.exe Brak pliku
FirewallRules: [{51442B36-39F7-42CE-9C11-0D1812A18364}] => (Allow) D:\MyGames\Armored Warfare MyCom\bin32\AwMycom32bitWindowsWarning.exe Brak pliku
FirewallRules: [{CA554DB8-D6A9-4582-90B8-5B31D4277BD8}] => (Allow) D:\MyGames\Armored Warfare MyCom\bin32\AwMycom32bitWindowsWarning.exe Brak pliku
FirewallRules: [TCP Query User{46B8F2FE-8BCD-4589-AEE3-724DBD7EF02D}D:\games\sniper - ghost warrior 2\bin32\sniperghostwarrior2.exe] => (Allow) D:\games\sniper - ghost warrior 2\bin32\sniperghostwarrior2.exe Brak pliku
FirewallRules: [uDP Query User{DDEE7E43-C265-4858-90F9-75ED1D8B0489}D:\games\sniper - ghost warrior 2\bin32\sniperghostwarrior2.exe] => (Allow) D:\games\sniper - ghost warrior 2\bin32\sniperghostwarrior2.exe Brak pliku
FirewallRules: [{9059E453-2EFF-4329-8DAC-129F078773FC}] => (Allow) D:\Games\GTX Box Team\Call of Duty Black Ops\BlackOps.exe Brak pliku
FirewallRules: [{2993C9A9-8C2F-45BF-9802-9EBD79AF7C39}] => (Allow) D:\Games\GTX Box Team\Call of Duty Black Ops\BlackOps.exe Brak pliku
HKU\S-1-5-18\...\RunOnce: [sPReview] => "C:\Windows\System32\SPReview\SPReview.exe" /sp:1 /errorfwlink:"hxxp://go.microsoft.com/fwlink/?LinkID=122915" /build:7601
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA
Task: {073CEE36-CA56-4BB2-ADC4-9053BF976041} - System32\Tasks\{8B96E38D-6DCC-4848-8059-CCFCBC600CC6} => C:\Windows\system32\pcalua.exe -a "C:\Program Files\MonitorDriver\MonSetup.exe" -d C:\Users\Łukasz\Desktop
Task: {098CF9C1-0685-44DE-8497-BFDD99CA06AD} - System32\Tasks\{B1CD6F20-CD24-44A2-BB1C-EDF66D080AA7} => C:\Users\Łukasz\Desktop\Sniper Elite 3.exe
Task: {147E3FA3-028F-446B-AE66-C88138D571A5} - System32\Tasks\{72A9D1B1-FAF1-474A-B75B-4AC32764AEA0} => C:\Windows\system32\pcalua.exe -a E:\NVSETUP.exe -d E:\
Task: {24DB1EEA-14B4-4A22-8DF0-57CF2370B6B0} - System32\Tasks\{2C385B06-8CDF-47CF-8D7F-1F0A658BA4D8} => C:\Windows\system32\pcalua.exe -a H:\install.exe -d H:\
Task: {250F7332-93DB-49AA-AF12-9B0E4F061DC5} - System32\Tasks\{66279970-58F5-4916-A974-8D210D248C56} => C:\Users\Łukasz\Desktop\Sniper Elite 3.exe
Task: {272758CF-C2E5-4DF5-8F11-5F450A1083F1} - System32\Tasks\{9A9B3E34-DDE6-4457-B794-AFFC3E49121D} => C:\Windows\system32\pcalua.exe -a C:\Users\Łukasz\Desktop\MinecraftZyczu.exe -d C:\Users\Łukasz\Desktop
Task: {2757552F-02BD-43FC-8E29-C39BA957FEC9} - System32\Tasks\{24E787CF-ECE2-411A-9BE1-885863EAA0AE} => C:\Windows\system32\pcalua.exe -a "D:\Games\Sniper Elite 3\_CommonRedist\vcredist\2010\vcredist_x86.exe" -d "D:\Games\Sniper Elite 3\_CommonRedist\vcredist\2010"
Task: {279C3C06-5553-49D0-98F0-F4C5B5BD565B} - System32\Tasks\{C8891F1E-48EA-4688-A331-68B79DAC1DF2} => C:\Windows\system32\pcalua.exe -a K:\Windows\Sterowniki\TL-WN422G_v2_100611\Setup.exe -d K:\Windows\Sterowniki\TL-WN422G_v2_100611
Task: {2BF3DD6F-F8BD-4E27-9547-06960CF0AE0A} - System32\Tasks\{BBC98E72-121C-43FC-81B3-2EA6D8DD69F2} => C:\Windows\system32\pcalua.exe -a "K:\Telefon LG G3s\Oprogramowanie\LG Mobile Support Tool.exe" -d "K:\Telefon LG G3s\Oprogramowanie"
Task: {2D3DC73D-76FC-42E5-87CE-50BE7EFDC16E} - System32\Tasks\Łukasz => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Łukasz /t REG_SZ /d "explorer.exe hxxp://dinoraptzor.org" <==== UWAGA
Task: {34CC9161-E7EE-451B-AB37-642A2921A1AC} - System32\Tasks\{B7FD0B47-AAA5-44C5-9AC7-D67E3105A0BA} => C:\Windows\system32\pcalua.exe -a C:\Windows\IsUn0415.exe -c -f"C:\Program Files\Szkola podstawowa klasa 5 - Historia\Uninst.isu" -c"C:\Program Files\Szkola podstawowa klasa 5 - Historia\UninstallProject.dll"
Task: {45CC1DCA-28B0-459E-A337-F6DB1C4FE158} - System32\Tasks\{44980E1A-B873-4DAF-9D14-90940471134D} => C:\Windows\system32\pcalua.exe -a "F:\Do windows\USB\Rescue2 USB.exe" -d "F:\Do windows\USB"
Task: {492F1FD0-980B-4646-A2C3-2BA7BE5D0045} - System32\Tasks\{39673423-A129-4EE6-82F1-26C1CADD3523} => C:\Windows\system32\pcalua.exe -a J:\MinecraftZyczu.exe -d J:\
Task: {4B05ABC1-A1E1-47D5-A09D-E5495E88A84D} - System32\Tasks\{39DC8DC8-3135-4BCA-B04F-3B7443BA4B15} => C:\Windows\system32\pcalua.exe -a "C:\Program Files\4Media\Video Cutter 2\Uninstall.exe"
Task: {3BB82CC6-C963-437A-854A-562B95BC9CDF} - System32\Tasks\{0490B5AF-B668-4C5F-8E53-F692B171826A} => "c:\program files\internet explorer\iexplore.exe" hxxp://ui.skype.com/ui/0/6.1.0.129.272/en/abandoninstall?page=tsMain
Task: {4B72B1D4-A98B-4653-A883-0208416A1F1E} - System32\Tasks\{0CDA1B0A-64B8-4996-875F-D6F9618759EF} => "c:\program files\google\chrome\application\chrome.exe" hxxp://ui.skype.com/ui/0/6.14.0.104/pl/go/help.faq.installer?LastError=1618
Task: {5A5C4F5B-EC4E-4BF9-9125-24859CEFF99C} - System32\Tasks\{7B5D2951-3574-44E7-8438-38F5760FC74F} => C:\Windows\system32\pcalua.exe -a C:\Users\Łukasz\AppData\Local\Temp\Temp1_Besiege.zip\Besiege.exe <==== UWAGA
Task: {5E310427-77B6-4018-9BD5-CF1DEFCB497A} - System32\Tasks\{B4160282-431F-4881-B8D7-9E4ECFB0E602} => "c:\program files\internet explorer\iexplore.exe" hxxp://ui.skype.com/ui/0/5.10.0.116/pl/abandoninstall?page=tsBing
RemoveDirectory: C:\Users\Łukasz\AppData\Local\Temp\Temp1_Besiege.zip
Task: {6B60B666-6AC7-49F2-8423-ED55156DDA69} - System32\Tasks\{F67FFF2A-9A70-4D28-8DB0-8577ADD02E38} => C:\Users\Łukasz\Desktop\Sniper Elite 3.exe
Task: {6C9F44FE-86E6-4E31-8602-7492323E68D9} - System32\Tasks\{78DC1285-FE81-4CBD-A60B-FC0C6782EF2B} => C:\Users\Łukasz\Desktop\Sniper Elite 3.exe
Task: {7B8DB5B0-E447-4921-827F-C23D1ABEE7E6} - System32\Tasks\{2BE1CF90-CBD6-4981-B253-CCBCE1EED818} => "c:\program files\internet explorer\iexplore.exe" hxxp://ui.skype.com/ui/0/5.10.0.116/en/abandoninstall?page=tsMain
Task: {83D61341-7F6C-4BA8-B4B1-795723193B28} - System32\Tasks\{CFE24117-C942-4547-9276-CA93B1295D7B} => C:\Windows\system32\pcalua.exe -a "C:\Program Files\Silver Style Entertainment\The Fall - Last Days of Gaia\setup_res\uninstall.exe"
Task: {8CC446CF-2AD4-4BB1-94B6-E7D9C94F1AEF} - System32\Tasks\{2490E994-67E2-4304-B54F-3166E4081D6C} => C:\Users\Łukasz\Desktop\Sniper Elite 3.exe
Task: {9EA51F9B-F2A6-4D4A-836C-A9EC4846FA38} - System32\Tasks\{9DB94C9E-962F-471C-A714-E24BE1D99B34} => C:\Windows\system32\pcalua.exe -a J:\MinecraftZyczu.exe -d J:\
Task: {BA318906-7BD5-4496-A3B3-81093CF987D6} - System32\Tasks\{21155AB9-E5A1-4100-9562-50193CB6D7CF} => C:\Windows\system32\pcalua.exe -a C:\ProgramData\LGMOBILEAX\B2C_Client\B2CAppUninstall.exe -d C:\ProgramData\LGMOBILEAX\B2C_Client
Task: {C69455E3-0CDE-474E-BF61-EC53D2AC6FCC} - System32\Tasks\{84C1E713-EC0C-4207-86A3-52D37CFA0376} => "c:\program files\google\chrome\application\chrome.exe" hxxp://ui.skype.com/ui/0/6.16.64.105/pl/abandoninstall?page=tsBing
Task: {D521CCEB-9719-477C-9643-E2F87D464FFA} - System32\Tasks\{B6F58E3F-3A5B-42E7-9E73-F8C2E7C18456} => C:\Windows\system32\pcalua.exe -a C:\Users\Łukasz\AppData\Local\Temp\Temp1_GamingCenter_0.0.1.14.zip\GamingCenter_0.0.1.14\0.0.1.14\setup(x64).exe <==== UWAGA
RemoveDirectory: C:\Users\Łukasz\AppData\Local\Temp\Temp1_GamingCenter_0.0.1.14.zip
Task: {DAA5AE68-CA40-47D8-A4CE-F40CB76375BB} - System32\Tasks\{ED284FBE-2B31-479C-B5FB-51BB9A6C6408} => C:\Windows\system32\pcalua.exe -a F:\Pobrane\lecholechominisecobdver13_10_2009andusbdrivers.exe -d F:\Pobrane
Task: {DD2B41D9-C086-4AEF-B3D5-F7D2B1AD2B58} - System32\Tasks\{2D151174-931C-4043-89AE-A8406253D56B} => C:\Windows\system32\pcalua.exe -a "C:\Program Files\InstallShield Installation Information\{0FFC48C5-C74B-498E-B908-74CB44D30E32}\setup.exe" -c -runfromtemp -l0x0415
Task: {DE35CAD8-2E39-4460-B0D9-243C06EEF8EF} - System32\Tasks\{90C945E8-A85C-49E3-AB1F-235D071933DB} => C:\Windows\system32\pcalua.exe -a C:\Users\Łukasz\Downloads\chromeinstall-8u91.exe
Task: {E1E13D07-2EB5-42F2-98D7-940D124B2A77} - System32\Tasks\{5E8E44AB-A1FE-4E74-9F44-B5D1EC0C05B9} => C:\Users\Łukasz\Desktop\Sniper Elite 3.exe
Task: {EF375A8A-85AF-4A33-98C4-925E444F810E} - System32\Tasks\{3D4D486B-913F-4036-BE67-5868EBCC193C} => "c:\program files\google\chrome\application\chrome.exe" hxxp://ui.skype.com/ui/0/6.7.0.102/pl/go/help.faq.installer?LastError=1618
Task: {F957C12A-BFF9-4567-8C3E-0CFE9040DC31} - System32\Tasks\{07D80F7A-3FBE-4324-9831-2D1CC0232AFD} => C:\Windows\system32\pcalua.exe -a C:\Users\Łukasz\AppData\Local\Temp\Temp2_LGSmartPhone_ModemlinkDUNDrive_WHQL_ML_Ver_1.0.zip\LGSmartPhone_ModemlinkDUNDrive_WHQL_ML_Ver_1.0.exe <==== UWAGA
RemoveDirectory: C:\Users\Łukasz\AppData\Local\Temp\Temp2_LGSmartPhone_ModemlinkDUNDrive_WHQL_ML_Ver_1.0.zip
SearchScopes: HKU\S-1-5-21-1253175496-1533506191-386299733-1000 -> {FD63BF63-BFFF-4B8F-9D26-4267DF7F17DD} URL = hxxp://www.google.com/custom?q={searchTerms}&sa.x=0&sa.y=0&safe=active&client=pub-3794288947762788&forid=1&channel=1975384696&ie=UTF-8&oe=UTF-8&hl=en&cof=GALT%3A%23008000%3BGL%3A1%3BDIV%3A%23336699%3BVLC%3A663399%3BAH%3Acenter%3BBGC%3AFFFFFF%3BLBGC%3A336699%3BALC%3A0000FF%3BLC%3A0000FF%3BT%3A000000%3BGFNT%3A0000FF%3BGIMP%3A0000FF%3BFORID%3A1
Toolbar: HKU\S-1-5-21-1253175496-1533506191-386299733-1000 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  Brak pliku
FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku]
FF HKU\S-1-5-21-1253175496-1533506191-386299733-1000\...\SeaMonkey\Extensions: [mozilla_cc2@internetdownloadmanager.com] - C:\Program Files\Internet Download Manager\idmmzcc2.xpi => nie znaleziono
CHR HKLM\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CHR HKU\S-1-5-21-1253175496-1533506191-386299733-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [apdfllckaahabafndbhieahigkjlhalf] - C:\Users\UKASZ~1\AppData\Local\Google\Drive\user_default\apdfllckaahabafndbhieahigkjlhalf_live.crx <nie znaleziono>
CHR HKU\S-1-5-21-1253175496-1533506191-386299733-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh]
S2 VillanovaUpdateHlp; C:\Windows\System32\svchost.exe [20992 2009-07-14] (Microsoft Windows -> Microsoft Corporation) <==== UWAGA (Brak ServiceDLL)
S3 aswTap; C:\Windows\System32\DRIVERS\aswTap.sys [38984 2014-08-07] (AVAST Software a.s. -> The OpenVPN Project)
S4 AhnFlt2K; \??\C:\Windows\system32\drivers\AhnFlt2K.sys [X]
S4 AhnRec2K; \??\C:\Windows\system32\drivers\AhnRec2K.sys [X]
S3 AndnetBus; system32\DRIVERS\lgandnetbus.sys [X]
S3 AndNetDiag; system32\DRIVERS\lgandnetdiag.sys [X]
S3 ANDNetModem; system32\DRIVERS\lgandnetmodem.sys [X]
S4 AppProtectEx; \??\C:\Windows\System32\drivers\AppProtectEx.sys [X]
S4 BprotectEx; \??\C:\Windows\System32\drivers\BprotectEx.sys [X]
S4 cpuz137; \??\C:\Users\UKASZ~1\AppData\Local\Temp\cpuz137\cpuz137_x32.sys [X] <==== UWAGA
S4 cpuz141; \??\C:\Users\UKASZ~1\AppData\Local\Temp\cpuz141\cpuz141_x32.sys [X] <==== UWAGA
S4 efavdrv; \??\C:\Windows\system32\drivers\efavdrv.sys [X]
S4 GPUZ; \??\C:\Windows\TEMP\GPUZ.sys [X]
S3 MSICDSetup; \??\F:\CDriver.sys [X]
S4 NTIOLib_1_0_C; \??\F:\NTIOLib.sys [X]
S4 NTIOLib_MSIClock_CC; \??\C:\Program Files\MSI\Command Center\ClockGen\NTIOLib.sys [X]
S4 NTIOLib_MSICOMM_CC; \??\C:\Program Files\MSI\Command Center\NTIOLib.sys [X]
S4 NTIOLib_MSICPU_CC; \??\C:\Program Files\MSI\Command Center\CPU\NTIOLib.sys [X]
S4 NTIOLib_MSIDDR_CC; \??\C:\Program Files\MSI\Command Center\DDR\NTIOLib.sys [X]
S4 NTIOLib_MSIFrequency_CC; \??\C:\Program Files\MSI\Command Center\ClockGen\CPU_Frequency\NTIOLib.sys [X]
S4 NTIOLib_MSISMB_CC; \??\C:\Program Files\MSI\Command Center\SMBus\NTIOLib.sys [X]
S4 NTIOLib_MSISuperIO_CC; \??\C:\Program Files\MSI\Command Center\SuperIO\NTIOLib.sys [X]
S4 nvvad_WaveExtensible; system32\drivers\nvvad32v.sys [X]
S4 nvvhci; system32\DRIVERS\nvvhci.sys [X]
U4 Partizan; system32\drivers\Partizan.sys [X]
S4 PCFApiUtil; \??\C:\Program Files\PC Faster\5.1.0.0\PCFApiUtil.sys [X]
C:\Users\Łukasz\AppData\Roaming\*.*
C:\Program Files\*.tmp
EmptyTemp:

Poprzez skrót klawiszowy CTRL + S (albo przez Plik -> Zapisz) zapisz zmiany w notatniku a następnie w FRST kliknij na Napraw. Na zakończenie naprawy FRST poprosi o restart systemu.

Edytowane 29 Stycznia 2020 przez Gość

[Szczypek91 0]

Witam,

Mogę również prosić o pomoc z dinoraptzorem? Niby pousuwałem z rejestru i ze skrótów, ale dalej mi wyskakuje. Co więcej za każdym razem w regedit pojawia się na nowo i w koło macieju

 

FRST:

http://www.wklejto.pl/805353

 

Z góry dzięki!

Edytowane 29 Stycznia 2020 przez Szczypek91

[filutka78 11]

------------>>@Szczypek91

 

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

HKU\S-1-5-21-3109432889-3750981603-674367485-1001\...\Run: [szczypek] => explorer.exe hxxp://dinoraptzor.org <==== UWAGA

Task: {1C48896A-6B24-49FE-88AB-2DB5DD7BF5D2} - System32\Tasks\Szczypek => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Szczypek /t REG_SZ /d "explorer.exe hxxp://dinoraptzor.org" <==== UWAGA

Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}

HKU\S-1-5-21-3109432889-3750981603-674367485-1001\...\Run: [AdobeBridge] => [X]

GroupPolicy: Ograniczenia ? <==== UWAGA

Task: {7C4BBCA9-3FFE-48A1-ADF7-1BD03FFAE708} - System32\Tasks\{A2CA0919-4715-447B-A6B8-846980A2919A} => C:\Windows\system32\pcalua.exe -a "D:\Program Files (x86)\cdp.pl\Deponia\unins000.exe"

Task: {AC98ECCF-44B2-4141-B57B-A3AC35CD7BBE} - System32\Tasks\{F30D3640-D16B-4EA7-812A-1C8813FCE339} => C:\Windows\system32\pcalua.exe -a "D:\Program Files\shit\Garena Plus\uninst.exe" -d "D:\Program Files\shit\Garena Plus"

S3 BRDriver64_1_3_3_E02B25FC; \??\C:\ProgramData\BitRaider\support\1.3.3\E02B25FC\BRDriver64.sys [X]

S3 gkernel; \??\C:\Users\Szczypek\AppData\Local\Temp\gkernel.sys [X] <==== UWAGA

EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

Napisz, czy problem znikł?

 

C:\Users\Szczypek\Downloads\FRST-OlderVersion

Usuń poprzez SHIFT+DEL.

 

Java\jre1.8.0_231

Uaktualnij Javę, wg strony https://www.fixitpc.pl/topic/5-dezynfekcja-kroki-finalizuj%C4%85ce-temat/?tab=comments#comment-179769

Pobieraj z "java.com", bo na "oracle.com" trzeba się rejestrować.

 

F.

[McMicy 0]

Jednak pomogła. Tak, odinstalowałem to Akamai jednak. System sie nawet oczyścił i lata lepiej. Wielkie dzięki