Prośba o sprawdzenie logów, wyników skanowania

[Prośba o sprawdzenie logów, wyników skanowania]

Mam tylko ten pierwszy klucz Security .. Drugiego nie ma.

To dobrze - tylko jeden z tych kluczy powinien być (drugi jest chyba tylko w Systemie VISTA). I w okienku po prawej stronie, po "Autostart" powinno być pusto. Jeśli tak jest, to OK.

Choć ja dalej nie wiem, co jest "nie tak" z tym Centrum Zabezpieczeń.

Ale to rozgryzie @Picasso.

 

F.

[Prośba o sprawdzenie logów, wyników skanowania]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A} /v AutoStart /t REG_SZ

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{FD6905CE-952F-41F1-9A6F-135D9C6622CC} /v AutoStart /t REG_SZ

Czy masz któryś z tych kluczy w Rejestrze?

 

F.

[Prośba o sprawdzenie logów, wyników skanowania]

nie jestem pewny gdzie zrobiłem błąd, że to się tak posypało dziwnie.

To wina infekcji, a nie Twoja - ta infekcja zawsze tak robi, to nic nowego.

 

F.

[Prośba o sprawdzenie logów, wyników skanowania]

Wyskoczyło kilka logów, że nie może usunąć.

Tego się spodziewałam, bo AVG ma specjalne zabezpieczenia.

AVG powinno się usuwać tylko przy pomocy AVG Remover - https://www.avg.com/pl-pl/utilities

 

F.

[Prośba o sprawdzenie logów, wyników skanowania]

Skoro nie masz AVG, to:

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

HKLM\...\Run: [AVGUI.exe] => "C:\Program Files\AVG\Antivirus\AvLaunch.exe" /gui

HKLM-x32\...\Run: [AVGUI.exe] => "C:\Program Files\AVG\Antivirus\AvLaunch.exe" /gui

RemoveDirectory: C:\Program Files\AVG

HKLM\...\Policies\Explorer: [HideSCAHealth] 0

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA

Task: {FE4BF221-F99B-4554-B2A6-13128B013DEC} - System32\Tasks\AVG\Overseer => C:\Program Files\Common Files\AVG\Overseer\overseer.exe [1692296 2020-02-28] (AVG Technologies USA, LLC -> AVG Technologies)

RemoveDirectory: C:\Program Files\Common Files\AVG

CHR Extension: (AVG SafePrice | Porównania, promocje, kupony) - C:\Users\monte\AppData\Local\Google\Chrome\User Data\Default\Extensions\mbckjcfnjmoiinpgddefodcighgikkgn [2020-01-02]

S2 AVG Antivirus; "C:\Program Files\AVG\Antivirus\AVGSvc.exe" [X]

S3 avgbIDSAgent; "C:\Program Files\AVG\Antivirus\aswidsagent.exe" [X]

C:\Windows\system32\avgBoot.exe

R0 avgArDisk; C:\Windows\System32\drivers\avgArDisk.sys [37928 2020-02-26] (AVG Technologies USA, LLC -> AVG Technologies CZ, s.r.o.)

R1 avgArPot; C:\Windows\System32\drivers\avgArPot.sys [206160 2020-02-26] (AVG Technologies USA, LLC -> AVG Technologies CZ, s.r.o.)

R1 avgbidsdriver; C:\Windows\System32\drivers\avgbidsdriver.sys [271704 2020-02-26] (AVG Technologies USA, LLC -> AVG Technologies CZ, s.r.o.)

R0 avgbidsh; C:\Windows\System32\drivers\avgbidsh.sys [207192 2020-02-26] (AVG Technologies USA, LLC -> AVG Technologies CZ, s.r.o.)

R0 avgbuniv; C:\Windows\System32\drivers\avgbuniv.sys [64344 2020-02-26] (AVG Technologies USA, LLC -> AVG Technologies CZ, s.r.o.)

R0 avgElam; C:\Windows\System32\drivers\avgElam.sys [16520 2020-02-26] (Microsoft Windows Early Launch Anti-malware Publisher -> AVG Technologies CZ, s.r.o.)

R1 avgKbd; C:\Windows\System32\drivers\avgKbd.sys [43560 2020-02-26] (AVG Technologies USA, LLC -> AVG Technologies CZ, s.r.o.)

R2 avgMonFlt; C:\Windows\System32\drivers\avgMonFlt.sys [175472 2020-02-26] (AVG Technologies USA, LLC -> AVG Technologies CZ, s.r.o.)

R1 avgRdr; C:\Windows\System32\drivers\avgRdr2.sys [111144 2020-02-26] (AVG Technologies USA, LLC -> AVG Technologies CZ, s.r.o.)

R0 avgRvrt; C:\Windows\System32\drivers\avgRvrt.sys [84096 2020-02-26] (AVG Technologies USA, LLC -> AVG Technologies CZ, s.r.o.)

R1 avgSnx; C:\Windows\System32\drivers\avgSnx.sys [849256 2020-02-26] (AVG Technologies USA, LLC -> AVG Technologies CZ, s.r.o.)

R1 avgSP; C:\Windows\System32\drivers\avgSP.sys [459168 2020-02-26] (AVG Technologies USA, LLC -> AVG Technologies CZ, s.r.o.)

R2 avgStm; C:\Windows\System32\drivers\avgStm.sys [235280 2020-02-26] (AVG Technologies USA, LLC -> AVG Technologies CZ, s.r.o.)

R0 avgVmm; C:\Windows\System32\drivers\avgVmm.sys [316840 2020-02-26] (AVG Technologies USA, LLC -> AVG Technologies CZ, s.r.o.)

EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

EDIT:

Centrum Zabezpieczeń chyba powinno wyglądać inaczej

Z logu FRST wynika, że Centrum Zabezpieczeń nie jest ukryte:

HKLM\...\Policies\Explorer: [HideSCAHealth] 0

Być może jest uszkodzone, ale ja nie wiem, jak to naprawić.

W ostateczności możesz zarejestrować się na forum https://www.fixitpc.pl/

i napisać Prywatną Wiadomość do https://www.fixitpc.pl/profile/2-picasso/

(Ona na razie z powodu choroby nie pomaga na oficjalnym forum, ale czasem pomaga poprzez Prywatne Wiadomości).

To najlepszy fachowiec w sprawie WINDOWS.

 

F.

[Prośba o sprawdzenie logów, wyników skanowania]

Masz AVG, więc Windows Defender jest przez niego zablokowany, nic na to nie poradzisz.

 

Błąd z "StartupCheckLibrary.dll" wynika z tego, że w dalszym ciągu jest szkodliwe Zaplanowane Zadanie.

Spróbujemy je jeszcze raz usunąć

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

Task: {578DFE5C-90CA-45B8-83C0-BDC0E1BF88DF} - System32\Tasks\Microsoft\Windows\Application Experience\StartupCheckLibrary => rundll32.exe StartupCheckLibrary.dll,DllMainRunLibrary <==== UWAGA

S2 AVG Antivirus; "C:\Program Files\AVG\Antivirus\AVGSvc.exe" [X]

S3 avgbIDSAgent; "C:\Program Files\AVG\Antivirus\aswidsagent.exe" [X]

EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

Zrób nowy log FRST.

 

F.

[Prośba o sprawdzenie logów, wyników skanowania]

Zrób nowy log FSS, oraz nowy log FRST - bez Addition, i bez Shortcut.

 

F.

[Prośba o sprawdzenie logów, wyników skanowania]

Sądząc po tym logu, to powinno już być OK.

 

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

StartRegedit:

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender]

"DisableAntiSpyware"=dword:00000000

 

Reboot:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

Security Center:

============

 

wscsvc Service is not running.

Masz nieuruchomioną usługę "wscsvc" , (czyli Centrum Zabezpieczeń)!

 

F.

[Prośba o sprawdzenie logów, wyników skanowania]

no tak, nie jest wesoło.

 

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

StartRegedit:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv\Parameters]
"ServiceDll"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,\
 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
 77,00,75,00,61,00,75,00,65,00,6e,00,67,00,2e,00,64,00,6c,00,6c,00,00,00
"ServiceMain"="WUServiceMain"
"ServiceDllUnloadOnStop"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend]
"DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
 6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00
"Start"=dword:00000002
"Type"=dword:00000020
"Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-1176"
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00
"ObjectName"="LocalSystem"
"ServiceSidType"=dword:00000001
"RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\
 00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\
 65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\
 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\
 74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\
 00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\
 69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\
 00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\
 6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\
 00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\
 53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,\
 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,\
 72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,\
 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,\
 69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,\
 00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\
 00,00
"DelayedAutoStart"=dword:00000001
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters]
"ServiceDllUnloadOnStop"=dword:00000001
"ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\
 00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\
 20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\
 00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security]
"Security"=hex:01,00,14,80,dc,00,00,00,e8,00,00,00,14,00,00,00,30,00,00,00,02,\
 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
 00,00,02,00,ac,00,06,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\
 05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\
 00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\
 84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\
 00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\
 05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\
 04,00,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,\
 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0]
"Type"=dword:00000005
"Action"=dword:00000001
"GUID"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender]
"DisableAntiSpyware"=dword:00000000 

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender]
"DisableAntiSpyware"=dword:00000000

EndRegedit:

Reboot:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

Zrób nowy log FSS.

 

F.

[Prośba o sprawdzenie logów, wyników skanowania]

na razie muszę odejść od komputera.

 

w logu FRST.rxt jest coś "nie tak" z Windows Update, więc dodatkowo:

Zrób log z Farbar Service Scanner >http://download.bleepingcomputer.com/farbar/FSS.exe (do skanowania zaznacz wszystko).

 

F.

[Prośba o sprawdzenie logów, wyników skanowania]

pytanie czy jakoś można przywrócić te pliki czyste czy czeka mnie wtedy decyzja żeby żyć z komunikatami przy uruchamianiu czy format lepiej?

wróć do mojego poprzedniego postu

 

To, że pliki udają, że są z Microsoftu, nie oznacza, że mogą być w ogóle dobre - w tym przypadku to są podróbki, a nie pliki Microsoftu.

 

F.

[Prośba o sprawdzenie logów, wyników skanowania]

1) Wszystko, co wykrył MBAM, jest naprawdę do usunięcia!

 

2) Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

C:\Windows\system32\winrmsrv.exe

Task: {303A849A-303A-43E7-B4C8-D4536038FFE9} - System32\Tasks\Microsoft\Windows\WDI\SrvHost => rundll32.exe winscomrssrv.dll,SrvMainHost <==== UWAGA

Task: {321D8664-2432-4EAC-B26C-368F6AD116BB} - Brak ścieżki do pliku

Task: {88EEEADD-9DA5-4BE3-AC21-6CE6C3300B2A} - Brak ścieżki do pliku

Task: {932D9380-DD8F-44DA-B57C-13188D80A78B} - System32\Tasks\Microsoft\Windows\Wininet\Winlogui => winlogui.exe <==== UWAGA

Task: {FA72058F-319C-444A-8007-4E95B452BBEE} - Brak ścieżki do pliku

S2 AVG Antivirus; "C:\Program Files\AVG\Antivirus\AVGSvc.exe" [X]

S3 avgbIDSAgent; "C:\Program Files\AVG\Antivirus\aswidsagent.exe" [X]

S2 AvgWscReporter; "C:\Program Files\AVG\Antivirus\wsc_proxy.exe" /runassvc /rpcserver [X]

S3 cpuz140; \??\C:\Windows\TEMP\cpuz140\cpuz140_x64.sys [X]

R4 PsBoot; system32\Drivers\PsBoot.sys [X]

2020-03-30 12:12 - 2020-03-30 12:12 - 002619392 _____ (Microsoft Corporation) C:\Windows\system32\StartupCheckLibrary.dll

2020-03-30 12:12 - 2020-03-30 12:12 - 000731136 _____ (Microsoft Corporation) C:\Windows\system32\winrmsrv.exe

2020-03-30 12:12 - 2020-03-30 12:12 - 000681472 _____ (Microsoft Corporation) C:\Windows\system32\winscomrssrv.dll

FirewallRules: [{2E35ADBE-2E55-4473-A2EC-AAC4284CA38D}] => (Allow) C:\Users\monte\AppData\Roaming\BitTorrent\BitTorrent.exe Brak pliku

FirewallRules: [{F77028C1-A678-48F5-948A-9BEC9AC94B90}] => (Allow) C:\Users\monte\AppData\Roaming\BitTorrent\BitTorrent.exe Brak pliku

HKLM\...\Winlogon: [userinit] C:\Windows\SysWOW64\userinit.exe, <==== UWAGA

KLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA

Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}

HKU\S-1-5-21-3906150058-3056905894-2365537362-1001\...\Run: [AdobeBridge] => [X]

HKU\S-1-5-21-3906150058-3056905894-2365537362-1001\...\Run: [GalaxyClient] => [X]

FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA

Task: {0B09503F-7613-4ECE-952E-75E203693EB1} - System32\Tasks\Microsoft\Windows\Windows Error Reporting\winrmsrv => C:\Windows\system32\winrmsrv.exe [731136 2020-03-30] (Microsoft Corporation) [brak podpisu cyfrowego] <==== UWAGA

FirewallRules: [{06EB5E1D-B106-41B7-AF6A-5E052717B0E2}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe Brak pliku

FirewallRules: [TCP Query User{D9BD9B4E-6DB0-4F7A-9611-784CBBC09BA8}C:\program files (x86)\origin games\apex\r5apex.exe] => (Allow) C:\program files (x86)\origin games\apex\r5apex.exe Brak pliku

FirewallRules: [uDP Query User{15090B8D-371B-4A70-AAF0-BBB94E472B3C}C:\program files (x86)\origin games\apex\r5apex.exe] => (Allow) C:\program files (x86)\origin games\apex\r5apex.exe Brak pliku

FirewallRules: [TCP Query User{CD610294-EB50-4503-B5B4-4C496937E581}D:\games\world_of_tanks_eu\worldoftanks.exe] => (Allow) D:\games\world_of_tanks_eu\worldoftanks.exe Brak pliku

FirewallRules: [uDP Query User{C5DDCE65-22BC-41B8-B477-AC6F0997D26E}D:\games\world_of_tanks_eu\worldoftanks.exe] => (Allow) D:\games\world_of_tanks_eu\worldoftanks.exe Brak pliku

FirewallRules: [TCP Query User{10D21491-EE0D-4C19-B004-139885B2AAC9}C:\program files\epic games\forhonor\forhonor.exe] => (Allow) C:\program files\epic games\forhonor\forhonor.exe Brak pliku

FirewallRules: [uDP Query User{CD872C49-EAF3-49FD-A5C3-9A0F53D7D156}C:\program files\epic games\forhonor\forhonor.exe] => (Allow) C:\program files\epic games\forhonor\forhonor.exe Brak pliku

FirewallRules: [TCP Query User{3734DD33-A227-4EC2-9B4E-82105005DC07}C:\games\world_of_tanks_ct\win32\worldoftanks.exe] => (Allow) C:\games\world_of_tanks_ct\win32\worldoftanks.exe Brak pliku

FirewallRules: [uDP Query User{46168711-AC7A-4319-8428-00295F01F1BE}C:\games\world_of_tanks_ct\win32\worldoftanks.exe] => (Allow) C:\games\world_of_tanks_ct\win32\worldoftanks.exe Brak pliku

FirewallRules: [{DB32F8E4-9444-466E-84D3-6BB775539BB6}] => (Allow) C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\games\Tom Clancy's Rainbow Six Siege\RainbowSix_BE.exe Brak pliku

FirewallRules: [{03BF1E4B-0A5C-44F5-97A5-64009AF097CB}] => (Allow) C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\games\Tom Clancy's Rainbow Six Siege\RainbowSix_BE.exe Brak pliku

FirewallRules: [{701653FD-992A-4C13-930E-AD6DF7D34BFD}] => (Allow) C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\games\Tom Clancy's Rainbow Six Siege\RainbowSix.exe Brak pliku

FirewallRules: [{ED4594D8-EAE6-4FDE-BCAF-F0E60F2EBCE7}] => (Allow) C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\games\Tom Clancy's Rainbow Six Siege\RainbowSix.exe Brak pliku

FirewallRules: [{AADC7B99-E68B-4FCF-AB1C-8BE9F3ED933E}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\3DMark\bin\x86\3DMark.exe Brak pliku

FirewallRules: [{11327995-280A-4153-A376-97FC187B2478}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\3DMark\bin\x86\3DMark.exe Brak pliku

FirewallRules: [{2111A9B8-0851-40CD-B4CD-64F050D0BB0D}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\3DMark\bin\x64\3DMark.exe Brak pliku

FirewallRules: [{7F9DB291-8204-45BD-90D4-D9B9367DFB35}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\3DMark\bin\x64\3DMark.exe Brak pliku

FirewallRules: [TCP Query User{6131C4B9-4DFF-4DFF-B97A-9F993BC2F3AD}C:\games\subnauticazero\subnauticazero.exe] => (Allow) C:\games\subnauticazero\subnauticazero.exe Brak pliku

FirewallRules: [uDP Query User{04D16B08-6D19-483F-861A-CFF0A29CC9A7}C:\games\subnauticazero\subnauticazero.exe] => (Allow) C:\games\subnauticazero\subnauticazero.exe Brak pliku

EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

F.

[Dinoraptzor]

No i pupa. Nie działają u mnie linki. W ogóle wklejto.pl nie działa (ta witryna jest nieosiągalna) Sprawdzane na Operze i IE bo na Edge to w ogóle nie mam sieci wtf

Tak, "wklejto" na razie nie działa.

W tej sytuacji:

pod postem, w którym piszesz, jest sekcja ZAŁĄCZNIKI.

Skorzystaj z tej opcji.

 

F.

[Dinoraptzor]

------------->>@Qyss

 

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

HKU\S-1-5-21-408166983-2489051989-1733966794-1002\...\Run: [Tom] => cmd.exe /c start www.dinoraptzor.org

Task: {74472213-921E-49D0-9A1E-43CAA490156D} - System32\Tasks\Tom => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Tom /t REG_SZ /d "cmd.exe /c start www.dinoraptzor.org"

Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA

FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA

Task: {2E5D7176-6192-4D05-AB83-1DEF243E97CC} - System32\Tasks\{1ACD691E-980E-47CA-A74A-32FBFAEBAE4E} => C:\WINDOWS\system32\pcalua.exe -a "D:\Games\League of Legends\lol.launcher.exe" -d "D:\Games\League of Legends\"

Task: {33917BD2-8CA4-4469-A6FE-3CB9A84B6656} - System32\Tasks\WINshell Event Logging => C:\Users\Tom\AppData\Local\Temp\Dscp1.exe <==== UWAGA

Task: {5B02021C-4513-4168-83D9-EEBB27C9F3C3} - System32\Tasks\{FF1AA32F-1773-48C9-AB27-E1E26C195E3C} => C:\WINDOWS\system32\pcalua.exe -a "D:\Games\League of Legends\lol.launcher.exe" -d "D:\Games\League of Legends\"

Task: {F6E78A3F-841B-4A58-A2A5-58120A0F38F8} - System32\Tasks\WINshell Event Notification => C:\Users\Tom\AppData\Local\Temp\SBCint2.exe <==== UWAGA

S3 mdf16; \??\C:\Users\Tom\AppData\Local\Temp\mdf16.sys [X] <==== UWAGA

S3 mvd23; \??\C:\Users\Tom\AppData\Local\Temp\mvd23.sys [X] <==== UWAGA

RemoveDirectory: C:\Users\Tom\Downloads\FRST-OlderVersion

C:\Users\Tom\Downloads\ntfdpkidzkngh.txt

C:\WINDOWS\Minidump\*.dmp

EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

Napisz, czy problem znikł?

 

F.

[Dinoraptzor]

------------>>@roger09

 

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

HKU\S-1-5-21-767862680-1310546566-393169197-1000\...\Run: [Radek] => cmd.exe /c start www.dinoraptzor.org

Task: {4F8E9A03-9715-4C39-9292-8F3D6B344E9F} - System32\Tasks\Radek => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Radek /t REG_SZ /d "cmd.exe /c start www.dinoraptzor.org"

Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}

HKU\S-1-5-18\...\RunOnce: [sPReview] => "C:\Windows\System32\SPReview\SPReview.exe" /sp:1 /errorfwlink:"hxxp://go.microsoft.com/fwlink/?LinkID=122915" /build:7601

FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA

EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

Napisz, czy problem znikł?

 

Ta infekcja jest przyklejona do jakiejś gry, ale nie pamiętam, do której konkretnie.

 

F.

[Dinoraptzor]

----------->>@ponury1988

 

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

HKU\S-1-5-21-2573067201-1100051317-1591141559-1000\...\Run: [Żabek] => explorer.exe hxxp://dinoraptzor.org <==== UWAGA

Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}

FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA

Task: {5B20A61A-8727-4507-ACCA-FFDD57DA9BEF} - System32\Tasks\{848C80C6-C3E6-4789-9624-B1B46958FEA6} => C:\Windows\system32\pcalua.exe -a I:\SETUP.EXE -d I:\

FF Session Restore: Mozilla\Firefox\Profiles\n1q8lbxm.default-1585302358912 -> [funkcja włączona]

S3 GENERICDRV; \??\C:\Program Files (x86)\MSI\Live Update\amifldrv64.sys [X]

S3 MSICDSetup; \??\G:\CDriver64.sys [X]

S3 NTIOLib_1_0_C; \??\G:\NTIOLib_X64.sys [X]

FirewallRules: [sPPSVC-In-TCP] => (Allow) %SystemRoot%\system32\sppsvc.exe Brak pliku

FirewallRules: [sPPSVC-In-TCP-NoScope] => (Allow) %SystemRoot%\system32\sppsvc.exe Brak pliku

FirewallRules: [{A7B117A4-35E5-42E2-A2DE-25176FE8C1EC}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe Brak pliku

FirewallRules: [{83CCC658-30F7-4B98-9797-4CD84A784AD7}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe Brak pliku

HOSTS:

EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

Napisz, czy problem znikł?

 

===========================================

Error: (03/28/2020 08:55:18 AM) (Source: WinMgmt) (EventID: 10) (User: )

Description: Event filter with query "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" could not be reactivated in namespace "//./root/CIMV2" because of error 0x80041003. Events cannot be delivered through this filter until the problem is corrected.

Ściągnij MicrosoftFixit50688.msi stąd > http://www.mediafire.com/download/6hwcm6b77098cbb/MicrosoftFixit50688.msi

i go uruchom jako Administator.

 

F.

[Prośba o sprawdzenie - logi]

W logach nie ma niczego podejrzanego.

Tylko drobna kosmetyka:

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

FirewallRules: [{6C075680-CFE6-4E07-8988-21B38825CF54}] => (Allow) C:\CHWILOWE\Origin\Games\Need For Speed Heat\NeedForSpeedHeatTrial.exe Brak pliku

FirewallRules: [{B252AF0E-7D3A-4BED-BF99-6EF0FAA97A61}] => (Allow) C:\CHWILOWE\Origin\Games\Need For Speed Heat\NeedForSpeedHeatTrial.exe Brak pliku

FirewallRules: [{50499933-5B3B-4103-92F5-C62BD69A02CC}] => (Allow) C:\CHWILOWE\Origin\Games\Need For Speed Heat\NeedForSpeedHeat.exe Brak pliku

FirewallRules: [{0BC19926-4B8A-4D75-B1E1-0FF92706EABD}] => (Allow) C:\CHWILOWE\Origin\Games\Need For Speed Heat\NeedForSpeedHeat.exe Brak pliku

FirewallRules: [TCP Query User{BAE92A58-EB4E-4300-80D1-E0A51E6FFAB1}C:\soldat\soldat.exe] => (Allow) C:\soldat\soldat.exe Brak pliku

FirewallRules: [uDP Query User{E13C9216-A05F-439F-8945-56FF0E9A23A3}C:\soldat\soldat.exe] => (Allow) C:\soldat\soldat.exe Brak pliku

FirewallRules: [{7F3D4E7B-50CF-4C88-9DB9-A8C7D0E68F33}] => (Allow) C:\Program Files (x86)\Tunngle\TnglCtrl.exe Brak pliku

FirewallRules: [{26666E60-168A-424D-B33A-AE3C5FA32143}] => (Allow) C:\Program Files (x86)\Tunngle\TnglCtrl.exe Brak pliku

FirewallRules: [{F5971F3B-DC4F-4D8E-AE16-CBE6DBA72E83}] => (Allow) C:\Program Files (x86)\Tunngle\Tunngle.exe Brak pliku

FirewallRules: [{E5E243C9-6B0E-4305-8642-E4F9D4409BF2}] => (Allow) C:\Program Files (x86)\Tunngle\Tunngle.exe Brak pliku

FirewallRules: [{F1852A74-C872-43CE-B6E8-8CF52DC389F2}] => (Block) C:\homm 3 complete\h3hota hd.exe Brak pliku

FirewallRules: [{F23E879B-CB96-468B-A7E0-EBF86FC792F8}] => (Block) C:\homm 3 complete\h3hota hd.exe Brak pliku

S4 WMS; C:\Windows\wmu3\ZeroConfigService.exe [X]

Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}

EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

F.

[laptop mi się zawiesz]

W logu nie ma niczego podejrzanego.

 

F.

[Dinoraptzor]

------------->>@Art91xD

 

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

HKU\S-1-5-21-1163371121-3595806224-583274164-1004\...\Run: [Asterix] => explorer.exe hxxp://dinoraptzor.org <==== UWAGA

Task: {A90DDCBB-0F4C-4317-8A5E-6DD30166A1C3} - System32\Tasks\Asterix => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Asterix /t REG_SZ /d "explorer.exe hxxp://dinoraptzor.org" <==== UWAGA

HKU\S-1-5-21-1163371121-3595806224-583274164-1004\...\Winlogon: [shell] C:\Windows\explorer.exe [3229696 2016-08-29] (Microsoft Windows -> Microsoft Corporation) <==== UWAGA

Task: {3888FCA6-85DF-4CD5-B873-2F67110DC927} - System32\Tasks\{4437D7C0-E600-4C19-AA8B-3C71B90D4205} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\ASIO4ALL v2\uninstall.exe"

searchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =

SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =

SearchScopes: HKLM -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = hxxp://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF

SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =

SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =

SearchScopes: HKLM-x32 -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = hxxp://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF

SearchScopes: HKU\S-1-5-21-1163371121-3595806224-583274164-1004 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =

SearchScopes: HKU\S-1-5-21-1163371121-3595806224-583274164-1004 -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = hxxp://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF

S3 GamesAppService; "C:\Program Files (x86)\WildTangent Games\App\GamesAppService.exe" [X]

S2 HP Health Check Service; "C:\Program Files (x86)\Hewlett-Packard\HP Health Check\hphc_service.exe" [X]

S2 HPClientSvc; "C:\Program Files\Hewlett-Packard\HP Client Services\HPClientServices.exe" [X]

Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}

S3 ALSysIO; \??\C:\Users\Asterix\AppData\Local\Temp\ALSysIO64.sys [X] <==== UWAGA

S3 clwvd; system32\DRIVERS\clwvd.sys [X]

HKU\S-1-5-21-1163371121-3595806224-583274164-1004\Software\Classes\regfile: regedit.exe "%1" <==== UWAGA

EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

Napisz, czy problem znikł?

 

Masz zainstalowaną przestarzałą wersję Javy.

Zainstaluj nowszą, bezpieczniejszą wersję, wg tej strony:

https://www.fixitpc.pl/topic/5-dezynfekcja-kroki-finalizujące-temat/?tab=comments#comment-179769

Wybierz pobieranie z "java.com, bo tam nie ma potrzeby logowania się.

 

Podczas instalacji dopilnuj, by ta nowa wersja Javy odinstalowała stare wersje, które teraz masz.

 

==============================================

Error: (03/25/2020 09:07:19 PM) (Source: WinMgmt) (EventID: 10) (User: )

Description: Event filter with query "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" could not be reactivated in namespace "//./root/CIMV2" because of error 0x80041003. Events cannot be delivered through this filter until the problem is corrected.

Ściągnij MicrosoftFixit50688.msi stąd > http://www.mediafire.com/download/6hwcm6b77098cbb/MicrosoftFixit50688.msi

i go uruchom jako Administator.

 

F.

[Dinoraptzor]

----------->>@rafalo233

 

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

HKU\S-1-5-21-1286797810-3775105085-1133284429-1001\...\Run: [Rafalo] => explorer.exe hxxp://dinoraptzor.org <==== UWAGA

Task: {A15B70A6-79EB-4774-A244-5AFB5838F9D3} - System32\Tasks\Rafalo => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Rafalo /t REG_SZ /d "explorer.exe hxxp://dinoraptzor.org" <==== UWAGA

Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}

EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

Napisz, czy problem znikł?

 

F.

[Chrome-problem z .xyz]

każdy log oddzielnie wklejaj, potem na dole po lewej klik na "Dodaj", potem podajesz link tu na forum, i potem wklejasz tekst drugiego logu, itd.

 

F.

[Chrome-problem z .xyz]

Jakoś nie chce mi się uwierzyć, że posiadacz komputera nie potrafi korzystać z funkcji:

"zaznacz tekst",

z prawokliku "kopiuj",

z prawokliku "wklej"

 

F.

[Dinoraptzor]

---------------->>@gramziol

 

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

RemoveDirectory: C:\Users\gramz\Downloads\FRST-OlderVersion

FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA

Task: {E1E803E0-0DAC-47E1-83FC-90162C6DC6FE} - System32\Tasks\gramz => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v gramz /t REG_SZ /d "cmd.exe /c start www.dinoraptzor.org"

Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}

GroupPolicy: Ograniczenia ? <==== UWAGA

EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

Napisz, czy problem znikł?

 

F.

[Chrome-problem z .xyz]

mógłbyś podpowiedzieć jak i gdzie wrzucić frst.txt oraz addition.txt przeskanowałem i mam je razem w jednym folderze

Np.

Logi (tekst) wklejaj na http://wklejto.pl/, a w poście daj tylko linki.(czyli skopiuj adres z paska adresów)

[Dinoraptzor]

------------->>@Rvn10

 

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

HKU\S-1-5-21-63831111-2181059775-4247894396-1001\...\Run: [19880] => explorer.exe hxxp://dinoraptzor.org <==== UWAGA

Task: {591003F3-1E2A-437C-A05E-CEC7F134FAA1} - System32\Tasks\19880 => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v 19880 /t REG_SZ /d "explorer.exe hxxp://dinoraptzor.org" <==== UWAGA

S3 EuGdiDrv; \SystemRoot\system32\EuGdiDrv.sys [X]

S3 RTCore64; \??\C:\PROGRA~2\MSI Afterburner\RTCore64.sys [X]

Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}

BootExecute:

GroupPolicy-x32: Ograniczenia ? <==== UWAGA

EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

Napisz, czy problem znikł?

 

F.