x-kom hosting

Przejrzenie logow FRST po ręcznym czyszczeniu z wondershare filmora HELPER

orzelpolski

orzelpolski

utworzono
utworzono

Cześć, było już na forum o tym. Mianowicie, część z hostów zamienianych było na ip 0.0.0.0 i na niektórych stronach przekierowywalo na jakis ad.doubleclick..... Podmienilem plik hosts i jest ok, ale jeszcze zauważyłem na Operze profile, które nie zakładałem, z uprawnieniami np. do modułów płatności, zmieniłem wszystkie uprawnienia na blokowane, jednak nie potrafie usunac tych uzytkownikow. Moze ktos zobaczyc?

 

 Addition.txtAddition.txt

 

 

 

FRST.txt

 

Bromidum

Bromidum

komentarz
komentarz (edytowane)

@orzelpolski - wybacz za tak długi czas oczekiwania. :) 
Zamień Avirę na jakis lepszy pakiet antywirusowy, np. Emsisoft. 

 

1) Uruchom FRST/FRST64.exe, wciśnij kombinację klawiszy ctrl + y. Otworzy się notatnik, do którego wklej zawartość skryptu. Zamknij i zapisz. W FRST kliknij „napraw” →
 

SystemRestore: On
CloseProcesses:
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ograniczenia <==== UWAGA
HKU\S-1-5-21-1767339524-3971758892-3804799160-1001\...\Policies\system: [shell] explorer.exe <==== UWAGA
GroupPolicy-Firefox: Ograniczenia <==== UWAGA
Task: {39A79815-EBAE-48F3-8A44-CB7378413363} - \AccSys -> Brak pliku <==== UWAGA
Task: {C872218D-1BCE-4067-B084-9D51A0CF59B0} - \Fobus.exe -> Brak pliku <==== UWAGA
U4 CmdAgent; Brak ImagePath
S3 cpuz154; \??\C:\Windows\temp\cpuz154\cpuz154_x64.sys [X] <==== UWAGA
S3 cpuz158; \??\C:\Windows\temp\cpuz158\cpuz158_x64.sys [X] <==== UWAGA
S3 netprotection_network_filter2; System32\drivers\netprotection_network_filter2.sys [X]
U4 npcap_wifi; Brak ImagePath
HKLM\...\Run: [] => [X]
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-1767339524-3971758892-3804799160-1001\...\Run: [] => [X]
ShortcutTarget: apihost.exe.lnk -> C:\Users\helmut\AppData\Roaming\ACCApi\apihost.exe (Brak pliku)
Task: {27AD91C6-433E-46D3-BCB1-8406F14DF9A3} - System32\Tasks\COMODO\COMODO Autostart {D5EFF3B3-E126-4AF6-BCE9-852A72129E10} => "C:\Program Files\COMODO\COMODO Internet Security\cis.exe"  --cistrayUI (Brak pliku)
Task: {15A9AAE1-ADFA-45D6-96A9-49B39152AAA3} - System32\Tasks\COMODO\COMODO CMC {06A09C0F-DD9C-4191-A670-71115CD78627} => "C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe"  --launchSchedule {06A09C0F-DD9C-4191-A670-71115CD78627} (Brak pliku)
Task: {8E08BB2C-532C-499F-990D-0498CFC00207} - System32\Tasks\COMODO\COMODO Maintenance {947247B5-026A-4437-9371-770782BE839D} => "C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe"  --launchSchedule {947247B5-026A-4437-9371-770782BE839D} (Brak pliku)
Task: {4F0A55FF-0E8E-4C45-ACE1-D5B4D5573C41} - System32\Tasks\COMODO\COMODO Scan {F140D794-60B6-4F00-9235-D6457AA25B22} => "C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe"  --launchSchedule {F140D794-60B6-4F00-9235-D6457AA25B22} (Brak pliku)
Task: {67359B86-66A8-484D-AD3D-BFC6FF5D62EB} - System32\Tasks\COMODO\COMODO Signature Update {B9D5C6F9-17D2-4917-8BD0-614BAA1C6A59} => "C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe"  --launchSchedule {B9D5C6F9-17D2-4917-8BD0-614BAA1C6A59} (Brak pliku)
Task: {CDEF290F-4CFA-4A38-A961-137C157173E1} - System32\Tasks\COMODO\COMODO Telemetry {18AD3DFA-30C0-4B5F-84F7-F1870B1A4921} => "C:\Program Files\COMODO\COMODO Internet Security\cis.exe"  --telemetry (Brak pliku)
Task: {94E96754-FB05-46DA-8C1E-C1F72D4EB446} - System32\Tasks\COMODO\COMODO Update {A6D52E4F-569B-4756-B3D8-DF217313DA85} => "C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe"  --launchSchedule {A6D52E4F-569B-4756-B3D8-DF217313DA85} (Brak pliku)
HKLM-x32\...\Run: [SunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [748624 2023-06-14] (Oracle America, Inc. -> Oracle Corporation)
HKU\S-1-5-21-1767339524-3971758892-3804799160-1001\...\Run: [MicrosoftEdgeAutoLaunch_40728129CB66BCE58C6E3AC5F1B92846] => "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --no-startup-window --win-session-start [4060712 2024-03-14] (Microsoft Corporation -> Microsoft Corporation)
Task: {AD0985A5-E2D5-4614-8624-47ED3EF69A37} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [1547208 2024-01-31] (Adobe Inc. -> Adobe Inc.)
Task: {A102CAA7-0E8F-4900-A04E-3A85F7F578C6} - System32\Tasks\Avira_FallbackUpdater => C:\Windows\system32\sc.exe [72192 2019-12-07] (Microsoft Windows -> Microsoft Corporation) -> start AviraFallbackUpdater Delayed=false
HKU\S-1-5-21-1767339524-3971758892-3804799160-1001\...\Run: [Opera Stable] => C:\Users\helmut\AppData\Local\Programs\Opera\launcher.exe [2358688 2024-02-22] (Opera Norway AS -> Opera Software)
Task: {AECE4713-AE69-4F81-982C-336A15CEEBF9} - System32\Tasks\CreateExplorerShellUnelevatedTask => C:\Windows\explorer.exe [5154664 2022-09-27] (Microsoft Windows -> Microsoft Corporation)
Task: {5842B52C-54F6-488E-831E-DF8B06C05C68} - System32\Tasks\Game_Booster_AutoUpdate => C:\Program Files (x86)\IObit\Game Booster 3\AutoUpdate.exe  /AUTORUN (Brak pliku)
Task: {E5264005-81A4-4EA2-B829-3A6235BB2F20} - System32\Tasks\Mozilla\Firefox Background Update 308046B0AF4A39CB => C:\Program Files\Mozilla Firefox\firefox.exe [671648 2024-03-13] (Mozilla Corporation -> Mozilla Corporation) -> --MOZ_LOG sync,prependheader,timestamp,append,maxsize:1,Dump:5 --MOZ_LOG_FILE C:\ProgramData\Mozilla-1de4eec8-1241-4177-a864-e594e8d1fb38\updates\308046B0AF4A39CB\backgroundupdate.moz_log --backgroundtask backgroundupdate
Task: {BBA3717B-77B0-46F3-8416-F5DF7258B2C0} - System32\Tasks\Mozilla\Firefox Background Update S-1-5-21-1767339524-3971758892-3804799160-1001 308046B0AF4A39CB => C:\Program Files\Mozilla Firefox\firefox.exe [671648 2024-03-13] (Mozilla Corporation -> Mozilla Corporation) -> --MOZ_LOG sync,prependheader,timestamp,append,maxsize:1,Dump:5 --MOZ_LOG_FILE C:\ProgramData\Mozilla-1de4eec8-1241-4177-a864-e594e8d1fb38\updates\308046B0AF4A39CB\backgroundupdate.moz_log --backgroundtask backgroundupdate
Task: {59939168-A520-442F-95E9-EB8ED3B48177} - System32\Tasks\Mozilla\Firefox Default Browser Agent 308046B0AF4A39CB => C:\Program Files\Mozilla Firefox\default-browser-agent.exe [34720 2024-03-13] (Mozilla Corporation -> Mozilla Foundation)
Task: {CBD2F569-21FC-4063-A699-E001A804BD69} - System32\Tasks\npcapwatchdog => C:\Program Files\Npcap\CheckStatus.bat [815 2022-11-22] () [Brak podpisu cyfrowego]
Task: {BB1DC255-646C-4C33-A3EA-FE941C8F1107} - System32\Tasks\Opera scheduled Autoupdate 1697816131 => C:\Users\helmut\AppData\Local\Programs\Opera\launcher.exe [2358688 2024-02-22] (Opera Norway AS -> Opera Software)
Edge HKLM-x32\...\Edge\Extension: [caiblelclndcckfafdaggpephhgfpoip]
Edge HKLM-x32\...\Edge\Extension: [emgfgdclgfeldebanedpihppahgngnle]
CHR HKLM-x32\...\Chrome\Extension: [caljgklbbfbcjjanaijlacgncafpegll]
CHR HKLM-x32\...\Chrome\Extension: [ccbpbkebodcjkknkfkpmfeciinhidaeh]
CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk]
Tcpip\Parameters: [DhcpNameServer] 192.168.100.1
Tcpip\..\Interfaces\{7b791b99-4127-4baa-9478-1141206daafe}: [NameServer] 9.9.9.9,8.8.8.8
Tcpip\..\Interfaces\{7b791b99-4127-4baa-9478-1141206daafe}: [DhcpNameServer] 192.168.100.1
Tcpip\..\Interfaces\{7b791b99-4127-4baa-9478-1141206daafe}\1407162747F543: [DhcpNameServer] 62.179.1.62 8.8.8.8
Tcpip\..\Interfaces\{7b791b99-4127-4baa-9478-1141206daafe}\4427577696560596564727F6: [DhcpNameServer] 62.179.1.62 8.8.8.8
Tcpip\..\Interfaces\{7b791b99-4127-4baa-9478-1141206daafe}\B6F6D607371647E247B6: [NameServer] 9.9.9.9,8.8.8.8
Tcpip\..\Interfaces\{7b791b99-4127-4baa-9478-1141206daafe}\B6F6D607371647E247B6: [DhcpNameServer] 192.168.32.1
Tcpip\..\Interfaces\{7b791b99-4127-4baa-9478-1141206daafe}\E4544594143505F445D223E2437484A7D223246655: [DhcpNameServer] 192.168.100.1
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <==== UWAGA
ShellIconOverlayIdentifiers: [� MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [� MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [� MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} =>  -> Brak pliku
ContextMenuHandlers1: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} =>  -> Brak pliku
ContextMenuHandlers2: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} =>  -> Brak pliku
ContextMenuHandlers3: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} =>  -> Brak pliku
ContextMenuHandlers4: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} =>  -> Brak pliku
AlternateDataStreams: C:\Users\helmut\cleaner.exe:MBAM.Zone.Identifier [50]
AlternateDataStreams: C:\Users\helmut\Downloads\adwcleaner.exe:MBAM.Zone.Identifier [98]
AlternateDataStreams: C:\Users\helmut\Downloads\BleachBit-4.6.0-setup.exe:MBAM.Zone.Identifier [92]
AlternateDataStreams: C:\Users\helmut\Downloads\FRST64.exe:MBAM.Zone.Identifier [193]
AlternateDataStreams: C:\Users\helmut\Downloads\RogueKiller_setup.exe:MBAM.Zone.Identifier [186]
FirewallRules: [{80C91E89-2DCE-4C1A-BF5C-A3F64E84D186}] => (Allow) LPort=5130
FirewallRules: [{C2482361-B2B1-4FBE-A8D2-D2B216AF033C}] => (Allow) LPort=54950
FirewallRules: [{490886AE-DF7B-41DD-A455-89DBB2416E04}] => (Allow) LPort=54955
AV: COMODO Antivirus (Disabled - Up to date) {05BC7AB5-FF0E-71EC-1054-15DA19B62DC7}
FW: COMODO Firewall (Disabled) {3D87FB90-B561-70B4-3B0B-BCEFE7656ABC}
Hosts:
EmptyEventLogs:
CMD: DISM.exe /Online /Cleanup-image /Restorehealth
CMD: sfc /scannow 
EmptyTemp:

Plik naprawczy przeznaczony jest tylko dla autora wątku!


Po wykonaniu skryptu i ponownym uruchomieniu załącz utworzony fixlog.txt  

Edytowane przez Bromidum
orzelpolski

orzelpolski

komentarz
  • Autor
komentarz (edytowane)

NIe ma sprawy, wolę dłużej poczekać niż wcale nie otrzymać odpowiedzi.

 

Zrobiłem co napisałeś, z jednym wyjątkiem. Pierw zapisałem w notatniku a potem zamknąłem :)

 

I coś jest nie tak, bo bardzo długo naprawiało i nie powinno tak być, ponieważ mam bardzo szybkiego laptopa. Nie widziałem paska postępu naprawy być może dlatego miałem wrażenie że długo naprawia.

 

Zrestartowało samoczynnie komputer i logów nie wydało, nie wiem czy naprawiać jeszcze raz?

========

Zeskanowałem sam ręcznie.

FRST_22-03-2024 00.19.22.txt Addition_22-03-2024 00.19.22.txt

Edytowane przez orzelpolski
Bromidum

Bromidum

komentarz
komentarz (edytowane)

@orzelpolski

Tutaj masz wynik naprawy - C:\Users\helmut\Downloads\Fixlog.txt

Długa naprawa wynikała z odbudowania buforu i sprawdzenia integralności plików systemowych.

 

1) Odinstaluj: Wondershare Filmora. OpenOffice zamień na LibreOffice.

W skrypcie usunę pozostałości po Avirze, COMODO.

 

Zmień serwer DNS na Quad9 → https://www.youtube.com/embed/aujUl3yt6nM?autoplay=1 (podstawowy 9.9.9.9, zapasowy 149.112.112.112) 

 

Poradnik do Chrome → https://soo.bearblog.dev/chrome/ (zwróć uwagę na rozszerzenia :))

 

2) Uruchom FRST/FRST64.exe, wciśnij kombinację klawiszy ctrl + y. Otworzy się notatnik, do którego wklej zawartość skryptu. Zamknij i zapisz. W FRST kliknij „napraw” →
 

CloseProcesses:
CreateRestorePoint:
Task: {0A12FAC9-2C39-4ED6-8DD2-710B77940363} - \Opera scheduled Autoupdate 1697816131 -> Brak pliku <==== UWAGA
ShortcutTarget: apihost.exe.lnk -> C:\Users\helmut\AppData\Roaming\ACCApi\apihost.exe (Brak pliku)
Startup: C:\Users\helmut\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\apihost.exe.lnk [2024-03-16]
HKU\S-1-5-21-1767339524-3971758892-3804799160-1002\...\Run: [MicrosoftEdgeAutoLaunch_78E04D58B36CC53B2F21587EB37E6E5A] => "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --no-startup-window --win-session-start [4060712 2024-03-14] (Microsoft Corporation -> Microsoft Corporation)
Task: {441E9D31-9475-49DD-BAF9-2ADB8A22A061} - System32\Tasks\Mozilla\Firefox Background Update S-1-5-21-1767339524-3971758892-3804799160-1001 308046B0AF4A39CB => C:\Program Files\Mozilla Firefox\firefox.exe [671648 2024-03-13] (Mozilla Corporation -> Mozilla Corporation) -> --MOZ_LOG sync,prependheader,timestamp,append,maxsize:1,Dump:5 --MOZ_LOG_FILE C:\ProgramData\Mozilla-1de4eec8-1241-4177-a864-e594e8d1fb38\updates\308046B0AF4A39CB\backgroundupdate.moz_log --backgroundtask backgroundupdate
C:\Users\helmut\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\caiblelclndcckfafdaggpephhgfpoip
C:\Users\helmut\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\emgfgdclgfeldebanedpihppahgngnle
C:\Users\helmut\AppData\Local\BraveSoftware\Brave-Browser\User Data\Default\Extensions\caljgklbbfbcjjanaijlacgncafpegll
C:\Users\helmut\AppData\Local\BraveSoftware\Brave-Browser\User Data\Default\Extensions\ccbpbkebodcjkknkfkpmfeciinhidaeh
C:\Users\helmut\AppData\Local\BraveSoftware\Brave-Browser\User Data\Default\Extensions\flliilndjeohchalpbbcdekjklbdgfkk
2024-03-17 02:58 - 2024-03-17 02:58 - 000000000 ____D C:\Windows\system32\Tasks\Avira
2024-03-16 23:47 - 2024-03-16 23:47 - 000000000 ____D C:\Users\helmut\AppData\Local\AviraWebView2Cache
2024-03-16 23:40 - 2024-03-16 23:48 - 000000000 ____D C:\Users\helmut\AppData\Local\Avira
2024-03-16 23:37 - 2024-03-17 13:32 - 000000000 ____D C:\Program Files (x86)\Avira
2024-03-16 23:38 - 2021-11-10 10:18 - 000451976 _____ (COMODO) C:\ProgramData\cmdres.dll
2024-03-16 23:10 - 2024-03-16 23:13 - 137266600 _____ (COMODO) C:\Users\helmut\Downloads\cispro_installer.exe
2024-03-16 23:14 - 2024-03-16 23:14 - 000000000 ____D C:\Program Files\COMODO
2024-03-16 23:14 - 2024-03-17 00:39 - 000000000 ____D C:\ProgramData\Comodo
2024-03-16 23:14 - 2024-03-22 00:04 - 000000000 ____D C:\Windows\system32\Tasks\COMODO
2024-03-16 20:56 - 2024-03-16 23:38 - 000001709 _____ C:\Users\helmut\Desktop\Wondershare Filmora 13.lnk
2024-03-16 20:56 - 2024-03-16 20:56 - 000000000 ____D C:\Users\helmut\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wondershare
2024-03-16 20:55 - 2024-03-17 00:39 - 000000000 ____D C:\Users\helmut\AppData\Local\Wondershare
2024-03-16 20:55 - 2024-03-16 23:23 - 000000000 ____D C:\ProgramData\Wondershare Filmora
2024-03-16 20:55 - 2024-03-16 21:00 - 000000000 ____D C:\ProgramData\Wondershare
2024-03-16 20:55 - 2024-03-16 20:57 - 000000000 ____D C:\Users\helmut\AppData\Roaming\Wondershare
2024-03-16 20:37 - 2024-03-16 20:37 - 001995256 _____ C:\Users\helmut\Downloads\filmora-idco_setup_full1901(1).exe
2024-03-16 20:36 - 2024-03-16 20:36 - 001995256 _____ C:\Users\helmut\Downloads\filmora-idco_setup_full1901.exe
2024-03-16 20:36 - 2024-03-16 20:56 - 000000000 ____D C:\Users\Public\Documents\Wondershare
2024-03-17 00:25 - 2024-03-17 00:25 - 000000000 ____D C:\ProgramData\Norton
HKLM\...\StartupApproved\Run: => "COMODO Internet Security Installer"
HKLM\...\StartupApproved\Run32: => "Wondershare Helper Compact.exe"
ContextMenuHandlers1: [EPP] -> {09A47860-11B0-4DA5-AFA5-26D86198A780} =>  -> Brak pliku
ContextMenuHandlers2: [ContextMenu] -> {ee10d625-cc60-30a4-b3df-4b349785be6b} => C:\Program Files (x86)\Avira\Security\Antivirus.ContextMenu\Antivirus.ContextMenu.DLL -> Brak pliku
ContextMenuHandlers2: [EPP] -> {09A47860-11B0-4DA5-AFA5-26D86198A780} =>  -> Brak pliku
ContextMenuHandlers3: [ContextMenu] -> {ee10d625-cc60-30a4-b3df-4b349785be6b} => C:\Program Files (x86)\Avira\Security\Antivirus.ContextMenu\Antivirus.ContextMenu.DLL -> Brak pliku
ContextMenuHandlers4: [EPP] -> {09A47860-11B0-4DA5-AFA5-26D86198A780} =>  -> Brak pliku
EmptyTemp:

 

 

 

Edytowane przez Bromidum
  • Dziękuję 1
orzelpolski

orzelpolski

komentarz
  • Autor
komentarz

Siemandero.

 

Bardzo dziekuję za otrzymaną pomoc oraz wsparcie.  Uczyniłem to co wskazałęś, lecz nie pamiętam czy wrzuciłem do FIRST do naprawy te linijki naprawcze, mówiąc szczerze byłem pijany jak to robiłem i nie pamiętam wszystkiego dobrze. Dlatego zrobiłem jeszcze raz skan i jak będziesz miał ochotę jeszcze mi pomóc z tym do końca to bardzo podziękuję.

 


Mam juz LibertyOffice czy jak to tam, czytałem, że to nie jest od firmy Apache, więc pewnie faktycznie mniej ad aware i innych takich karaluchów.

 

Dziękuję za zamieszczenie i życzę dużo zdrowia całej TWojej rodzinie.

 

 

 

 

Addition.txt FRST.txt

Bromidum

Bromidum

komentarz
komentarz

To wszystko. :) 

 

By usunąć wszystkie pliki/foldery utworzone przez FRST oraz narzędzie jako takie, zmień nazwę pliku FRST/FRST64.exe na uninstall.exe i uruchom ten plik. Procedura wymaga ponownego uruchomienia urządzenia. 

  • Super 1
orzelpolski

orzelpolski

komentarz
  • Autor
komentarz

Bromidum, ok! Dziękuję.

 

Już wiem jak powstają botnety, pobierasz oprogramowanie P2P za free z różnymi dodatkami i tak powstają całe sieci botnetów :) 

 

 

 

 

Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!

Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.

Zadaj pytanie bez logowania
Przejdź do listy tematów
×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Strona wykorzystuje pliki cookies w celu prawidłowego świadczenia usług i wygody użytkowników. Warunki przechowywania i dostępu do plików cookies możesz zmienić w ustawieniach przeglądarki.

  Akceptuję