p373r11 utworzono 23 września 2022 utworzono 23 września 2022 witam jestem tu od niedawna i mam problem z wyskakujacym oknem podczas wlaczania pc, mialem trojana ale juz sobie z nim czesciowo poradzilem . mam logi do sprawdzenia bardzo prosze o pomoc https://pastebin.com/tKChaGeu https://pastebin.com/zKf97V22 https://pastebin.com/PQpbMhWC z gory dziekuje
Gawel komentarz 23 września 2022 komentarz 23 września 2022 Kolego nawet nie miałeś chęci przejrzeć forum, gdzie jest odpowiedni temat. https://www.forumpc.pl/forum/11-bezpieczeństwo/ 1
Rekomendowana odpowiedź Bromidum komentarz 24 września 2022 Rekomendowana odpowiedź komentarz 24 września 2022 (edytowane) @p373r11 1) Odinstaluj: - WebAdvisor firmy McAfee - NVIDIA GeForce Experience Dodatkowo: zmień serwer DNS na Quad9 → https://www.youtube.com/embed/aujUl3yt6nM?autoplay=1 (podstawowy 9.9.9.9, zapasowy 149.112.112.112) Poradnik Chrome → https://soo.bearblog.dev/chrome/ 2)Wykonaj skan: - RogueKiller Anti Malware Zalecane pobranie wersji przenośnej (portable). Przed uruchomieniem pełnego skanowania należy włączyć w ustawieniach bezsygnaturowy „moduł MaIPE (BETA)”; opcjonalnie „skanuj z pełną wydajnością” (ustawienia → ustawienia skanowania). - Emsisoft Emergency KIT Przed rozpoczęciem skanowania wykonaj aktualizację sygnatur, następnie wybierz „malware skan”. Upewnij się, że wykrywanie potencjalnie niechcianych programów (PNP) jest włączone. Raporty z pracy skanera znajdują się w lokacji C:\EEK\Reports. Przenośny skaner Emsisoftu pozostaw do okresowych skanowań swojego urządzenia. 3) Uruchom FRST/FRST64.exe, wciśnij kombinację klawiszy ctrl + y. Otworzy się notatnik, do którego wklej zawartość skryptu. Zamknij i zapisz. W FRST kliknij „napraw” → CreateRestorePoint: CloseProcesses: AV: Total AV (Enabled - Up to date) {0567E33F-93C9-11B5-891D-90A37AEB2766} HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ograniczenia <==== UWAGA HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ograniczenia <==== UWAGA HKU\S-1-5-21-3738553593-3204888550-2598028333-1001\...\Run: [ProductAuthenticationService] => C:\Users\Piotrek\AppData\Roaming\ProductAuthenticationService\pas.exe [1003024 2021-04-24] (DVJ LIMITED -> DVJ LIMITED) <==== UWAGA HKU\S-1-5-21-3738553593-3204888550-2598028333-1001\...\Run: [SteamServerBrowser] => C:\Users\Piotrek\AppData\Roaming\SteamServerBrowser\SteamServerBrowser.exe [289304 2021-05-17] (Lyrha Software Technologies Inc. -> ) HKU\S-1-5-21-3738553593-3204888550-2598028333-1001\...\Run: [Opera GX Browser Assistant] => C:\Users\Piotrek\AppData\Local\Programs\Opera GX\assistant\browser_assistant.exe [3291288 2021-02-01] (Opera Software AS -> Opera Software) HKU\S-1-5-21-3738553593-3204888550-2598028333-1001\...\Run: [com.blitz.app] => C:\Users\Piotrek\AppData\Local\Programs\Blitz\Blitz.exe --autostart (Brak pliku) HKU\S-1-5-21-3738553593-3204888550-2598028333-1001\...\Run: [MicrosoftEdgeAutoLaunch_14B5DD0FC211E844E1188991F649EF49] => "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --no-startup-window --win-session-start /prefetch:5 [3795360 2022-09-15] (Microsoft Corporation -> Microsoft Corporation) HKU\S-1-5-21-3738553593-3204888550-2598028333-1001\...\MountPoints2: {26835256-9592-11ec-9a86-b42e99e467ea} - "E:\HiSuiteDownLoader.exe" HKU\S-1-5-21-3738553593-3204888550-2598028333-1001\...\MountPoints2: {a491674e-7052-11eb-9a0d-0224056a0a77} - "E:\setup.exe" HKU\S-1-5-21-3738553593-3204888550-2598028333-1001\...\MountPoints2: {fe5cc419-b495-11eb-9a3f-0224056a0a77} - "D:\autorun.exe" ShortcutTarget: DiskBenchmark.lnk -> C:\Users\Piotrek\AppData\Roaming\MicrosoftWindowsFirewall\launch.vbs () [Brak podpisu cyfrowego] ShortcutTarget: epic.lnk -> C:\Users\Piotrek\AppData\Roaming\MicrosoftWindowsFirewall\epic.vbs (Brak pliku) Task: {05F8FF81-556F-47DA-8053-E3A8DBCA3E87} - System32\Tasks\Microsoft\Office\Office Feature Updates => C:\Program Files (x86)\Microsoft Office\root\Office16\sdxhelper.exe [113560 2022-09-16] (Microsoft Corporation -> Microsoft Corporation) Task: {10109886-F3A3-4DA4-BFC0-33E4D5F338E4} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentLogOn2016 => C:\Program Files (x86)\Microsoft Office\root\Office16\msoia.exe [6602752 2022-09-16] (Microsoft Corporation -> Microsoft Corporation) Task: {619E0FFB-437E-40DE-BEBC-A8976E937506} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentFallBack2016 => C:\Program Files (x86)\Microsoft Office\root\Office16\msoia.exe [6602752 2022-09-16] (Microsoft Corporation -> Microsoft Corporation) Task: {2B0D48C8-D361-402D-9D0D-3E355D8651CE} - System32\Tasks\Microsoft\Office\Office Automatic Updates 2.0 => C:\Program Files\Common Files\Microsoft Shared\ClickToRun\OfficeC2RClient.exe [23709120 2022-09-16] (Microsoft Corporation -> Microsoft Corporation) Task: {F1C9EC36-750A-4D30-A7EE-344D6D5088AE} - System32\Tasks\Microsoft\Office\Office Feature Updates Logon => C:\Program Files (x86)\Microsoft Office\root\Office16\sdxhelper.exe [113560 2022-09-16] (Microsoft Corporation -> Microsoft Corporation) Task: {3BA13D53-31C7-4A0B-835C-E1F22D18CDB9} - System32\Tasks\Opera GX scheduled Autoupdate 1623780416 => C:\Users\Piotrek\AppData\Local\Programs\Opera GX\launcher.exe [2474440 2022-09-16] (Opera Norway AS -> Opera Software) Task: {4BC6AD25-9F9D-4081-83DA-C2B36DA7A4F8} - System32\Tasks\Opera scheduled Autoupdate 1613547263 => C:\Users\Piotrek\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (Brak pliku) Task: {86925311-B2F6-4FFF-A1A6-05B9C218ED3E} - System32\Tasks\Opera GX scheduled assistant Autoupdate 1624285158 => C:\Users\Piotrek\AppData\Local\Programs\Opera GX\launcher.exe [2474440 2022-09-16] (Opera Norway AS -> Opera Software) -> --scheduledautoupdate --component-name=assistant --component-path="C:\Users\Piotrek\AppData\Local\Programs\Opera GX\assistant" $(Arg0) Task: {F2AAA38F-AEF4-4135-9E4F-5FC36FAC71D9} - System32\Tasks\Overwolf Updater Task => C:\Program Files (x86)\Common Files\Overwolf\OverwolfUpdater.exe [2577752 2022-08-04] (Overwolf Ltd -> Overwolf LTD) Tcpip\Parameters: [DhcpNameServer] 192.168.82.20 Tcpip\..\Interfaces\{06566612-ba0f-4888-8c73-29538d852874}: [DhcpNameServer] 192.168.187.145 Tcpip\..\Interfaces\{145397e5-196a-465f-a7af-5fae103ae556}: [DhcpNameServer] 192.168.42.129 Tcpip\..\Interfaces\{62fd7477-8705-43ac-9ca8-9eac473970a6}: [DhcpNameServer] 192.168.1.1 Tcpip\..\Interfaces\{7a3b7bb5-3361-42cf-8d59-e590be8cd8df}: [DhcpNameServer] 192.168.82.20 Tcpip\..\Interfaces\{d1e34baf-3c60-4519-ab48-64627c07b7ec}: [DhcpNameServer] 192.168.42.129 C:\Users\Piotrek\AppData\Local\Google\Chrome\User Data\Default\Extensions\fheoggkfdfchfphceeifdbepaooicaho C:\Users\Piotrek\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\fheoggkfdfchfphceeifdbepaooicaho C:\Users\Piotrek\AppData\Local\Google\Chrome\User Data\Profile 3\Extensions\fheoggkfdfchfphceeifdbepaooicaho C:\Users\Piotrek\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\fheoggkfdfchfphceeifdbepaooicaho CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] CHR DefaultSearchURL: Profile 3 -> hxxps://pl.search.yahoo.com/search?fr=mcafee_uninternational&type=E210PL91105G91640&p={searchTerms} CHR DefaultSearchKeyword: Profile 3 -> mcafee R2 avgntflt; C:\WINDOWS\System32\DRIVERS\avgntflt.sys [208176 2022-06-23] (Avira Operations GmbH & Co. KG -> Avira Operations GmbH & Co. KG) R1 avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [197176 2022-06-23] (Avira Operations GmbH & Co. KG -> Avira Operations GmbH & Co. KG) R1 avkmgr; C:\WINDOWS\system32\DRIVERS\avkmgr.sys [46704 2022-06-23] (Avira Operations GmbH & Co. KG -> Avira Operations GmbH & Co. KG) 2022-09-19 09:38 - 2022-09-22 10:53 - 000000000 ____D C:\Users\Piotrek\AppData\Roaming\MicrosoftWindowsFirewall 2022-09-21 13:28 - 2022-06-23 15:03 - 000208176 _____ (Avira Operations GmbH & Co. KG) C:\WINDOWS\system32\Drivers\avgntflt.sys 2022-09-21 13:28 - 2022-06-23 15:03 - 000197176 _____ (Avira Operations GmbH & Co. KG) C:\WINDOWS\system32\Drivers\avipbb.sys 2022-09-21 13:28 - 2022-06-23 15:03 - 000046704 _____ (Avira Operations GmbH & Co. KG) C:\WINDOWS\system32\Drivers\avkmgr.sys BHO: McAfee WebAdvisor -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> C:\Program Files\McAfee\WebAdvisor\x64\IEPlugin.dll [2022-07-20] (McAfee, LLC -> McAfee, LLC) BHO-x32: McAfee WebAdvisor -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> C:\Program Files\McAfee\WebAdvisor\win32\IEPlugin.dll [2022-07-20] (McAfee, LLC -> McAfee, LLC) AlternateDataStreams: C:\Users\Piotrek\Dane aplikacji:00e481b5e22dbe1f649fcddd505d3eb7 [394] AlternateDataStreams: C:\Users\Piotrek\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394] AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [2622] IE trusted site: HKU\S-1-5-21-3738553593-3204888550-2598028333-1001\...\sharepoint.com -> hxxps://pzsplegionowo-files.sharepoint.com Shortcut: C:\Users\Piotrek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DiskBenchmark.lnk -> C:\Users\Piotrek\AppData\Roaming\MicrosoftWindowsFirewall\launch.vbs () Shortcut: C:\Users\Piotrek\Desktop\zdrowo walniety folder\Tor Browser\Start Tor Browser.lnk -> C:\Users\Piotrek\Desktop\Tor Browser\Browser\firefox.exe (Brak pliku) Shortcut: C:\Users\Piotrek\Desktop\gry2\Messenger.lnk -> [LF"4BEM84V[APPSIS1SPSU(Ly9K-]%FACEBOOK.317180B0BB486_8xx8rvfyw5nnt}6FACEBOOK.317180B0BB486_950.7.118.0_x64__8xx8rvfyw5nnte)FACEBOOK.317180B0BB486_8xx8rvfyw5nnt!AppSC:\Program Files\WindowsApps\FACEBOOK.317180B0BB486_950.7.118.0_x64__8xx8rvfyw5nnt HiItSFyS1SPSMԆi<D*TMassets\Square150x150Logo.pngIassets\Square44x44Logo.pngIassets\Wide310x150Logo.pngx!%Messenger11SPSmDpHH@.=xdA1SPS0%G`%Messenger-1SPSwlE[([8װ'1SPSC@:s-d8Microsoft.Windows.StartMenuExperienceHost_cw5n1h2txyewya] (Brak pliku) Shortcut: C:\Users\Piotrek\Desktop\gry2\Origin.lnk -> C:\Program Files (x86)\Origin\Origin.exe (Brak pliku) Shortcut: C:\Users\Piotrek\Desktop\gry2\valheim — skrót .lnk -> C:\Users\Piotrek\Desktop\Valheim-\Valheim\valheim.exe (Brak pliku) Shortcut: C:\Users\Piotrek\AppData\Roaming\MicrosoftWindowsFirewall\DiskBenchmark.lnk -> C:\Users\nerfi\AppData\Roaming\MicrosoftWindowsFirewall\launch.vbs (Brak pliku) Shortcut: C:\Users\Piotrek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Tor Browser.lnk -> C:\Users\Piotrek\Desktop\Tor Browser\Browser\firefox.exe (Brak pliku) Shortcut: C:\Users\Piotrek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\Deinstalacja programu War Thunder.lnk -> C:\Users\Piotrek\AppData\Local\WarThunder\unins000.exe (Brak pliku) Shortcut: C:\Users\Piotrek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\Replays.lnk -> C:\Users\Piotrek\AppData\Local\WarThunder\Replays (Brak pliku) Shortcut: C:\Users\Piotrek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wargaming.net\World_of_Warships\Odinstaluj World_of_Warships.lnk -> C:\Games\World_of_Warships\wgc_api.exe (Brak pliku) Shortcut: C:\Users\Piotrek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wargaming.net\World_of_Warships\World_of_Warships.lnk -> C:\Games\World_of_Warships\wgc_api.exe (Brak pliku) Shortcut: C:\Users\Piotrek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\epic.lnk -> C:\Users\Piotrek\AppData\Roaming\MicrosoftWindowsFirewall\epic.vbs (Brak pliku) CMD: netsh advfirewall reset EmptyEventLogs: EmptyTemp: Po wykonaniu skryptu i ponownym uruchomieniu załącz utworzony fixlog.txt 1
p373r11 komentarz 24 września 2022 Autor komentarz 24 września 2022 @Bromidum o to chodzilo?? Rezultat naprawy Farbar Recovery Scan Tool (x64) Wersja: 30-08-2022 Uruchomiony przez Piotrek (24-09-2022 21:53:10) Run:1 Uruchomiony z C:\Users\Piotrek\Desktop Załadowane profile: Piotrek Tryb startu: Normal ============================================== fixlist - zawartość: ***************** CreateRestorePoint: CloseProcesses: AV: Total AV (Enabled - Up to date) {0567E33F-93C9-11B5-891D-90A37AEB2766} HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ograniczenia <==== UWAGA HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ograniczenia <==== UWAGA HKU\S-1-5-21-3738553593-3204888550-2598028333-1001\...\Run: [ProductAuthenticationService] => C:\Users\Piotrek\AppData\Roaming\ProductAuthenticationService\pas.exe [1003024 2021-04-24] (DVJ LIMITED -> DVJ LIMITED) <==== UWAGA HKU\S-1-5-21-3738553593-3204888550-2598028333-1001\...\Run: [SteamServerBrowser] => C:\Users\Piotrek\AppData\Roaming\SteamServerBrowser\SteamServerBrowser.exe [289304 2021-05-17] (Lyrha Software Technologies Inc. -> ) HKU\S-1-5-21-3738553593-3204888550-2598028333-1001\...\Run: [Opera GX Browser Assistant] => C:\Users\Piotrek\AppData\Local\Programs\Opera GX\assistant\browser_assistant.exe [3291288 2021-02-01] (Opera Software AS -> Opera Software) HKU\S-1-5-21-3738553593-3204888550-2598028333-1001\...\Run: [com.blitz.app] => C:\Users\Piotrek\AppData\Local\Programs\Blitz\Blitz.exe --autostart (Brak pliku) HKU\S-1-5-21-3738553593-3204888550-2598028333-1001\...\Run: [MicrosoftEdgeAutoLaunch_14B5DD0FC211E844E1188991F649EF49] => "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --no-startup-window --win-session-start /prefetch:5 [3795360 2022-09-15] (Microsoft Corporation -> Microsoft Corporation) HKU\S-1-5-21-3738553593-3204888550-2598028333-1001\...\MountPoints2: {26835256-9592-11ec-9a86-b42e99e467ea} - "E:\HiSuiteDownLoader.exe" HKU\S-1-5-21-3738553593-3204888550-2598028333-1001\...\MountPoints2: {a491674e-7052-11eb-9a0d-0224056a0a77} - "E:\setup.exe" HKU\S-1-5-21-3738553593-3204888550-2598028333-1001\...\MountPoints2: {fe5cc419-b495-11eb-9a3f-0224056a0a77} - "D:\autorun.exe" ShortcutTarget: DiskBenchmark.lnk -> C:\Users\Piotrek\AppData\Roaming\MicrosoftWindowsFirewall\launch.vbs () [Brak podpisu cyfrowego] ShortcutTarget: epic.lnk -> C:\Users\Piotrek\AppData\Roaming\MicrosoftWindowsFirewall\epic.vbs (Brak pliku) Task: {05F8FF81-556F-47DA-8053-E3A8DBCA3E87} - System32\Tasks\Microsoft\Office\Office Feature Updates => C:\Program Files (x86)\Microsoft Office\root\Office16\sdxhelper.exe [113560 2022-09-16] (Microsoft Corporation -> Microsoft Corporation) Task: {10109886-F3A3-4DA4-BFC0-33E4D5F338E4} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentLogOn2016 => C:\Program Files (x86)\Microsoft Office\root\Office16\msoia.exe [6602752 2022-09-16] (Microsoft Corporation -> Microsoft Corporation) Task: {619E0FFB-437E-40DE-BEBC-A8976E937506} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentFallBack2016 => C:\Program Files (x86)\Microsoft Office\root\Office16\msoia.exe [6602752 2022-09-16] (Microsoft Corporation -> Microsoft Corporation) Task: {2B0D48C8-D361-402D-9D0D-3E355D8651CE} - System32\Tasks\Microsoft\Office\Office Automatic Updates 2.0 => C:\Program Files\Common Files\Microsoft Shared\ClickToRun\OfficeC2RClient.exe [23709120 2022-09-16] (Microsoft Corporation -> Microsoft Corporation) Task: {F1C9EC36-750A-4D30-A7EE-344D6D5088AE} - System32\Tasks\Microsoft\Office\Office Feature Updates Logon => C:\Program Files (x86)\Microsoft Office\root\Office16\sdxhelper.exe [113560 2022-09-16] (Microsoft Corporation -> Microsoft Corporation) Task: {3BA13D53-31C7-4A0B-835C-E1F22D18CDB9} - System32\Tasks\Opera GX scheduled Autoupdate 1623780416 => C:\Users\Piotrek\AppData\Local\Programs\Opera GX\launcher.exe [2474440 2022-09-16] (Opera Norway AS -> Opera Software) Task: {4BC6AD25-9F9D-4081-83DA-C2B36DA7A4F8} - System32\Tasks\Opera scheduled Autoupdate 1613547263 => C:\Users\Piotrek\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (Brak pliku) Task: {86925311-B2F6-4FFF-A1A6-05B9C218ED3E} - System32\Tasks\Opera GX scheduled assistant Autoupdate 1624285158 => C:\Users\Piotrek\AppData\Local\Programs\Opera GX\launcher.exe [2474440 2022-09-16] (Opera Norway AS -> Opera Software) -> --scheduledautoupdate --component-name=assistant --component-path="C:\Users\Piotrek\AppData\Local\Programs\Opera GX\assistant" $(Arg0) Task: {F2AAA38F-AEF4-4135-9E4F-5FC36FAC71D9} - System32\Tasks\Overwolf Updater Task => C:\Program Files (x86)\Common Files\Overwolf\OverwolfUpdater.exe [2577752 2022-08-04] (Overwolf Ltd -> Overwolf LTD) Tcpip\Parameters: [DhcpNameServer] 192.168.82.20 Tcpip\..\Interfaces\{06566612-ba0f-4888-8c73-29538d852874}: [DhcpNameServer] 192.168.187.145 Tcpip\..\Interfaces\{145397e5-196a-465f-a7af-5fae103ae556}: [DhcpNameServer] 192.168.42.129 Tcpip\..\Interfaces\{62fd7477-8705-43ac-9ca8-9eac473970a6}: [DhcpNameServer] 192.168.1.1 Tcpip\..\Interfaces\{7a3b7bb5-3361-42cf-8d59-e590be8cd8df}: [DhcpNameServer] 192.168.82.20 Tcpip\..\Interfaces\{d1e34baf-3c60-4519-ab48-64627c07b7ec}: [DhcpNameServer] 192.168.42.129 C:\Users\Piotrek\AppData\Local\Google\Chrome\User Data\Default\Extensions\fheoggkfdfchfphceeifdbepaooicaho C:\Users\Piotrek\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\fheoggkfdfchfphceeifdbepaooicaho C:\Users\Piotrek\AppData\Local\Google\Chrome\User Data\Profile 3\Extensions\fheoggkfdfchfphceeifdbepaooicaho C:\Users\Piotrek\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\fheoggkfdfchfphceeifdbepaooicaho CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] CHR DefaultSearchURL: Profile 3 -> hxxps://pl.search.yahoo.com/search?fr=mcafee_uninternational&type=E210PL91105G91640&p={searchTerms} CHR DefaultSearchKeyword: Profile 3 -> mcafee R2 avgntflt; C:\WINDOWS\System32\DRIVERS\avgntflt.sys [208176 2022-06-23] (Avira Operations GmbH & Co. KG -> Avira Operations GmbH & Co. KG) R1 avipbb; C:\WINDOWS\system32\DRIVERS\avipbb.sys [197176 2022-06-23] (Avira Operations GmbH & Co. KG -> Avira Operations GmbH & Co. KG) R1 avkmgr; C:\WINDOWS\system32\DRIVERS\avkmgr.sys [46704 2022-06-23] (Avira Operations GmbH & Co. KG -> Avira Operations GmbH & Co. KG) 2022-09-19 09:38 - 2022-09-22 10:53 - 000000000 ____D C:\Users\Piotrek\AppData\Roaming\MicrosoftWindowsFirewall 2022-09-21 13:28 - 2022-06-23 15:03 - 000208176 _____ (Avira Operations GmbH & Co. KG) C:\WINDOWS\system32\Drivers\avgntflt.sys 2022-09-21 13:28 - 2022-06-23 15:03 - 000197176 _____ (Avira Operations GmbH & Co. KG) C:\WINDOWS\system32\Drivers\avipbb.sys 2022-09-21 13:28 - 2022-06-23 15:03 - 000046704 _____ (Avira Operations GmbH & Co. KG) C:\WINDOWS\system32\Drivers\avkmgr.sys BHO: McAfee WebAdvisor -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> C:\Program Files\McAfee\WebAdvisor\x64\IEPlugin.dll [2022-07-20] (McAfee, LLC -> McAfee, LLC) BHO-x32: McAfee WebAdvisor -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> C:\Program Files\McAfee\WebAdvisor\win32\IEPlugin.dll [2022-07-20] (McAfee, LLC -> McAfee, LLC) AlternateDataStreams: C:\Users\Piotrek\Dane aplikacji:00e481b5e22dbe1f649fcddd505d3eb7 [394] AlternateDataStreams: C:\Users\Piotrek\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394] AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [2622] IE trusted site: HKU\S-1-5-21-3738553593-3204888550-2598028333-1001\...\sharepoint.com -> hxxps://pzsplegionowo-files.sharepoint.com Shortcut: C:\Users\Piotrek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DiskBenchmark.lnk -> C:\Users\Piotrek\AppData\Roaming\MicrosoftWindowsFirewall\launch.vbs () Shortcut: C:\Users\Piotrek\Desktop\zdrowo walniety folder\Tor Browser\Start Tor Browser.lnk -> C:\Users\Piotrek\Desktop\Tor Browser\Browser\firefox.exe (Brak pliku) Shortcut: C:\Users\Piotrek\Desktop\gry2\Messenger.lnk -> [LF"4BEM84V[APPSIS1SPSU(Ly9K-]%FACEBOOK.317180B0BB486_8xx8rvfyw5nnt}6FACEBOOK.317180B0BB486_950.7.118.0_x64__8xx8rvfyw5nnte)FACEBOOK.317180B0BB486_8xx8rvfyw5nnt!AppSC:\Program Files\WindowsApps\FACEBOOK.317180B0BB486_950.7.118.0_x64__8xx8rvfyw5nnt HiItSFyS1SPSMԆi<D*TMassets\Square150x150Logo.pngIassets\Square44x44Logo.pngIassets\Wide310x150Logo.pngx!%Messenger11SPSmDpHH@.=xdA1SPS0%G`%Messenger-1SPSwlE[([8װ'1SPSC@:s-d8Microsoft.Windows.StartMenuExperienceHost_cw5n1h2txyewya] (Brak pliku) Shortcut: C:\Users\Piotrek\Desktop\gry2\Origin.lnk -> C:\Program Files (x86)\Origin\Origin.exe (Brak pliku) Shortcut: C:\Users\Piotrek\Desktop\gry2\valheim — skrót .lnk -> C:\Users\Piotrek\Desktop\Valheim-\Valheim\valheim.exe (Brak pliku) Shortcut: C:\Users\Piotrek\AppData\Roaming\MicrosoftWindowsFirewall\DiskBenchmark.lnk -> C:\Users\nerfi\AppData\Roaming\MicrosoftWindowsFirewall\launch.vbs (Brak pliku) Shortcut: C:\Users\Piotrek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Tor Browser.lnk -> C:\Users\Piotrek\Desktop\Tor Browser\Browser\firefox.exe (Brak pliku) Shortcut: C:\Users\Piotrek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\Deinstalacja programu War Thunder.lnk -> C:\Users\Piotrek\AppData\Local\WarThunder\unins000.exe (Brak pliku) Shortcut: C:\Users\Piotrek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\Replays.lnk -> C:\Users\Piotrek\AppData\Local\WarThunder\Replays (Brak pliku) Shortcut: C:\Users\Piotrek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wargaming.net\World_of_Warships\Odinstaluj World_of_Warships.lnk -> C:\Games\World_of_Warships\wgc_api.exe (Brak pliku) Shortcut: C:\Users\Piotrek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wargaming.net\World_of_Warships\World_of_Warships.lnk -> C:\Games\World_of_Warships\wgc_api.exe (Brak pliku) Shortcut: C:\Users\Piotrek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\epic.lnk -> C:\Users\Piotrek\AppData\Roaming\MicrosoftWindowsFirewall\epic.vbs (Brak pliku) CMD: netsh advfirewall reset EmptyEventLogs: EmptyTemp: ̩ ***************** Punkt przywracania został pomyślnie utworzony. Procesy zostały pomyślnie zamknięte. "AV: Total AV (Enabled - Up to date) {0567E33F-93C9-11B5-891D-90A37AEB2766}" => pomyślnie usunięto HKLM\SOFTWARE\Microsoft\Windows Defender\\"DisableAntiSpyware"="0" => Wartość pomyślnie przywrócono HKLM\SOFTWARE\Microsoft\Windows Defender\\"DisableAntiVirus"="0" => Wartość pomyślnie przywrócono "HKU\S-1-5-21-3738553593-3204888550-2598028333-1001\Software\Microsoft\Windows\CurrentVersion\Run\\ProductAuthenticationService" => pomyślnie usunięto "HKU\S-1-5-21-3738553593-3204888550-2598028333-1001\Software\Microsoft\Windows\CurrentVersion\Run\\SteamServerBrowser" => pomyślnie usunięto "HKU\S-1-5-21-3738553593-3204888550-2598028333-1001\Software\Microsoft\Windows\CurrentVersion\Run\\Opera GX Browser Assistant" => pomyślnie usunięto "HKU\S-1-5-21-3738553593-3204888550-2598028333-1001\Software\Microsoft\Windows\CurrentVersion\Run\\com.blitz.app" => nie znaleziono "HKU\S-1-5-21-3738553593-3204888550-2598028333-1001\Software\Microsoft\Windows\CurrentVersion\Run\\MicrosoftEdgeAutoLaunch_14B5DD0FC211E844E1188991F649EF49" => pomyślnie usunięto HKU\S-1-5-21-3738553593-3204888550-2598028333-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{26835256-9592-11ec-9a86-b42e99e467ea} => pomyślnie usunięto HKU\S-1-5-21-3738553593-3204888550-2598028333-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a491674e-7052-11eb-9a0d-0224056a0a77} => pomyślnie usunięto HKU\S-1-5-21-3738553593-3204888550-2598028333-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{fe5cc419-b495-11eb-9a3f-0224056a0a77} => pomyślnie usunięto "C:\Users\Piotrek\AppData\Roaming\MicrosoftWindowsFirewall\launch.vbs" => nie znaleziono "C:\Users\Piotrek\AppData\Roaming\MicrosoftWindowsFirewall\epic.vbs" => nie znaleziono "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{05F8FF81-556F-47DA-8053-E3A8DBCA3E87}" => pomyślnie usunięto "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{05F8FF81-556F-47DA-8053-E3A8DBCA3E87}" => pomyślnie usunięto C:\WINDOWS\System32\Tasks\Microsoft\Office\Office Feature Updates => pomyślnie przeniesiono "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Office\Office Feature Updates" => pomyślnie usunięto "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{10109886-F3A3-4DA4-BFC0-33E4D5F338E4}" => pomyślnie usunięto "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{10109886-F3A3-4DA4-BFC0-33E4D5F338E4}" => pomyślnie usunięto C:\WINDOWS\System32\Tasks\Microsoft\Office\OfficeTelemetryAgentLogOn2016 => pomyślnie przeniesiono "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Office\OfficeTelemetryAgentLogOn2016" => pomyślnie usunięto "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{619E0FFB-437E-40DE-BEBC-A8976E937506}" => pomyślnie usunięto "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{619E0FFB-437E-40DE-BEBC-A8976E937506}" => pomyślnie usunięto C:\WINDOWS\System32\Tasks\Microsoft\Office\OfficeTelemetryAgentFallBack2016 => pomyślnie przeniesiono "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Office\OfficeTelemetryAgentFallBack2016" => pomyślnie usunięto "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{2B0D48C8-D361-402D-9D0D-3E355D8651CE}" => pomyślnie usunięto "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{2B0D48C8-D361-402D-9D0D-3E355D8651CE}" => pomyślnie usunięto C:\WINDOWS\System32\Tasks\Microsoft\Office\Office Automatic Updates 2.0 => pomyślnie przeniesiono "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Office\Office Automatic Updates 2.0" => pomyślnie usunięto "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{F1C9EC36-750A-4D30-A7EE-344D6D5088AE}" => pomyślnie usunięto "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F1C9EC36-750A-4D30-A7EE-344D6D5088AE}" => pomyślnie usunięto C:\WINDOWS\System32\Tasks\Microsoft\Office\Office Feature Updates Logon => pomyślnie przeniesiono "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Office\Office Feature Updates Logon" => pomyślnie usunięto "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{3BA13D53-31C7-4A0B-835C-E1F22D18CDB9}" => pomyślnie usunięto "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{3BA13D53-31C7-4A0B-835C-E1F22D18CDB9}" => pomyślnie usunięto C:\WINDOWS\System32\Tasks\Opera GX scheduled Autoupdate 1623780416 => pomyślnie przeniesiono "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Opera GX scheduled Autoupdate 1623780416" => pomyślnie usunięto "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{4BC6AD25-9F9D-4081-83DA-C2B36DA7A4F8}" => pomyślnie usunięto "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{4BC6AD25-9F9D-4081-83DA-C2B36DA7A4F8}" => pomyślnie usunięto C:\WINDOWS\System32\Tasks\Opera scheduled Autoupdate 1613547263 => pomyślnie przeniesiono "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Opera scheduled Autoupdate 1613547263" => pomyślnie usunięto "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{86925311-B2F6-4FFF-A1A6-05B9C218ED3E}" => pomyślnie usunięto "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{86925311-B2F6-4FFF-A1A6-05B9C218ED3E}" => pomyślnie usunięto C:\WINDOWS\System32\Tasks\Opera GX scheduled assistant Autoupdate 1624285158 => pomyślnie przeniesiono "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Opera GX scheduled assistant Autoupdate 1624285158" => pomyślnie usunięto "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{F2AAA38F-AEF4-4135-9E4F-5FC36FAC71D9}" => pomyślnie usunięto "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F2AAA38F-AEF4-4135-9E4F-5FC36FAC71D9}" => pomyślnie usunięto C:\WINDOWS\System32\Tasks\Overwolf Updater Task => pomyślnie przeniesiono "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Overwolf Updater Task" => pomyślnie usunięto "HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\\DhcpNameServer" => pomyślnie usunięto "HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{06566612-ba0f-4888-8c73-29538d852874}\\DhcpNameServer" => pomyślnie usunięto "HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{145397e5-196a-465f-a7af-5fae103ae556}\\DhcpNameServer" => pomyślnie usunięto "HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{62fd7477-8705-43ac-9ca8-9eac473970a6}\\DhcpNameServer" => pomyślnie usunięto "HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{7a3b7bb5-3361-42cf-8d59-e590be8cd8df}\\DhcpNameServer" => pomyślnie usunięto "HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{d1e34baf-3c60-4519-ab48-64627c07b7ec}\\DhcpNameServer" => pomyślnie usunięto "C:\Users\Piotrek\AppData\Local\Google\Chrome\User Data\Default\Extensions\fheoggkfdfchfphceeifdbepaooicaho" => nie znaleziono C:\Users\Piotrek\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\fheoggkfdfchfphceeifdbepaooicaho => pomyślnie przeniesiono C:\Users\Piotrek\AppData\Local\Google\Chrome\User Data\Profile 3\Extensions\fheoggkfdfchfphceeifdbepaooicaho => pomyślnie przeniesiono C:\Users\Piotrek\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\fheoggkfdfchfphceeifdbepaooicaho => pomyślnie przeniesiono HKLM\SOFTWARE\Google\Chrome\Extensions\fheoggkfdfchfphceeifdbepaooicaho => nie znaleziono HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\fheoggkfdfchfphceeifdbepaooicaho => nie znaleziono "Chrome DefaultSearchURL" => nie znaleziono "Chrome DefaultSearchKeyword" => nie znaleziono avgntflt => Nie można zatrzymać usługi. HKLM\System\CurrentControlSet\Services\avgntflt => pomyślnie usunięto avgntflt => serwis pomyślnie usunięto avipbb => Usługa pomyślnie zatrzymana. HKLM\System\CurrentControlSet\Services\avipbb => pomyślnie usunięto avipbb => serwis pomyślnie usunięto avkmgr => Nie można zatrzymać usługi. HKLM\System\CurrentControlSet\Services\avkmgr => pomyślnie usunięto avkmgr => serwis pomyślnie usunięto C:\Users\Piotrek\AppData\Roaming\MicrosoftWindowsFirewall => pomyślnie przeniesiono C:\WINDOWS\system32\Drivers\avgntflt.sys => pomyślnie przeniesiono C:\WINDOWS\system32\Drivers\avipbb.sys => pomyślnie przeniesiono C:\WINDOWS\system32\Drivers\avkmgr.sys => pomyślnie przeniesiono HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B164E929-A1B6-4A06-B104-2CD0E90A88FF} => nie znaleziono HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B164E929-A1B6-4A06-B104-2CD0E90A88FF} => nie znaleziono C:\Users\Piotrek\Dane aplikacji => ":00e481b5e22dbe1f649fcddd505d3eb7" ADS pomyślnie usunięto "C:\Users\Piotrek\AppData\Roaming" => ":00e481b5e22dbe1f649fcddd505d3eb7" ADS nie znaleziono. C:\Users\Public\Shared Files => ":VersionCache" ADS pomyślnie usunięto HKU\S-1-5-21-3738553593-3204888550-2598028333-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\sharepoint.com => pomyślnie usunięto C:\Users\Piotrek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DiskBenchmark.lnk => pomyślnie przeniesiono "C:\Users\Piotrek\Desktop\zdrowo walniety folder\Tor Browser\Start Tor Browser.lnk" => nie znaleziono C:\Users\Piotrek\Desktop\gry2\Messenger.lnk => pomyślnie przeniesiono "C:\Users\Piotrek\Desktop\gry2\Origin.lnk" => nie znaleziono "C:\Users\Piotrek\Desktop\gry2\valheim — skrót .lnk" => nie znaleziono "C:\Users\Piotrek\AppData\Roaming\MicrosoftWindowsFirewall\DiskBenchmark.lnk" => nie znaleziono "C:\Users\Piotrek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Tor Browser.lnk" => nie znaleziono "C:\Users\Piotrek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\Deinstalacja programu War Thunder.lnk" => nie znaleziono "C:\Users\Piotrek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\Replays.lnk" => nie znaleziono "C:\Users\Piotrek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wargaming.net\World_of_Warships\Odinstaluj World_of_Warships.lnk" => nie znaleziono "C:\Users\Piotrek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wargaming.net\World_of_Warships\World_of_Warships.lnk" => nie znaleziono "C:\Users\Piotrek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\epic.lnk" => nie znaleziono ========= netsh advfirewall reset ========= Ok. ========= Koniec CMD: ========= =========== EmptyEventLogs: ========== 1100 Event logs cleared. ================================ =========== EmptyTemp: ========== FlushDNS => ukończone BITS transfer queue => 0 B DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 218031521 B Java, Discord, Steam htmlcache => 997184590 B Windows/system/drivers => 272369051 B Edge => 0 B Chrome => 424058629 B Firefox => 0 B Opera => 11602239 B Temp, IE cache, history, cookies, recent: Default => 0 B ProgramData => 0 B Public => 0 B systemprofile => 432946496 B systemprofile32 => 432947753 B LocalService => 433468903 B NetworkService => 433468903 B Piotrek => 941264533 B RecycleBin => 0 B EmptyTemp: => 4.3 GB danych tymczasowych Usunięto. ================================ System wymagał restartu. ==== Koniec Fixlog 21:55:38 ====
Bromidum komentarz 24 września 2022 komentarz 24 września 2022 (edytowane) Tak, skrypt wykonał się pomyślnie. Zawartość folderu "C:\Users\Piotrek\AppData\Roaming\MicrosoftWindowsFirewall" musiała zostać usunięta wcześniej przez RogueKillera/EEK. 1) By usunąć wszystkie pliki/foldery utworzone przez FRST oraz narzędzie jako takie, zmień nazwę pliku FRST/FRST64.exe na uninstall.exe i uruchom ten plik. Procedura wymaga ponownego uruchomienia urządzenia.
p373r11 komentarz 24 września 2022 Autor komentarz 24 września 2022 (edytowane) @Bromidum mam problem wydaje mi sie ze z tym trojanem poniewaz laguje mi gry i mam spadki fpsow
Bromidum komentarz 24 września 2022 komentarz 24 września 2022 (edytowane) Załącz zatem nowe logi FRST do kontroli. Czy skanery RogueKiller i Emsisoft Emergency KIT odnalazły jakieś elementy? Dodatkowo wykonaj czystą instalację sterownika graficznego: Cytuj Pobierz najnowszą wersję sterownika do swojej karty graficznej → https://www.nvidia.pl/Download/index.aspx?lang=pl Wykonaj instalację nieekspresową → czysta instalacja. Nie zgadzaj się na dodatkowy komponent GeForce Experience. 1
p373r11 komentarz 24 września 2022 Autor komentarz 24 września 2022 (edytowane) @Bromidum emisoft emergency nie chce dzialac a roguekiller nic nie wykryl pobralem plik instalacyjny mks vir tylko wyskakuje mi powiadomienie ze jest juz zainstalowany pakiet arcabit emisoft tez nic nie wykryl
Bromidum komentarz 25 września 2022 komentarz 25 września 2022 (edytowane) Arcabit i mks_vir należy do tego samego producenta. Skoro skanery nic nie wykrywają, to problemem nie jest infekcja. Przeinstalowałeś sterownik graficzny zgodnie z załączoną instrukcją? Może pliki gry wymagają naprawy lub ponownej instalacji? 1
p373r11 komentarz 26 września 2022 Autor komentarz 26 września 2022 Odinstalowalem gre i zainstalowalem ponownie wszytsko dziala jak nalezy pc czysty jak laza dziekuje bardzo dam najj 1
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.