orzelpolski utworzono 17 marca utworzono 17 marca Cześć, było już na forum o tym. Mianowicie, część z hostów zamienianych było na ip 0.0.0.0 i na niektórych stronach przekierowywalo na jakis ad.doubleclick..... Podmienilem plik hosts i jest ok, ale jeszcze zauważyłem na Operze profile, które nie zakładałem, z uprawnieniami np. do modułów płatności, zmieniłem wszystkie uprawnienia na blokowane, jednak nie potrafie usunac tych uzytkownikow. Moze ktos zobaczyc? Addition.txtAddition.txt FRST.txt
Bromidum komentarz 20 marca komentarz 20 marca (edytowane) @orzelpolski - wybacz za tak długi czas oczekiwania. Zamień Avirę na jakis lepszy pakiet antywirusowy, np. Emsisoft. 1) Uruchom FRST/FRST64.exe, wciśnij kombinację klawiszy ctrl + y. Otworzy się notatnik, do którego wklej zawartość skryptu. Zamknij i zapisz. W FRST kliknij „napraw” → SystemRestore: On CloseProcesses: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ograniczenia <==== UWAGA HKU\S-1-5-21-1767339524-3971758892-3804799160-1001\...\Policies\system: [shell] explorer.exe <==== UWAGA GroupPolicy-Firefox: Ograniczenia <==== UWAGA Task: {39A79815-EBAE-48F3-8A44-CB7378413363} - \AccSys -> Brak pliku <==== UWAGA Task: {C872218D-1BCE-4067-B084-9D51A0CF59B0} - \Fobus.exe -> Brak pliku <==== UWAGA U4 CmdAgent; Brak ImagePath S3 cpuz154; \??\C:\Windows\temp\cpuz154\cpuz154_x64.sys [X] <==== UWAGA S3 cpuz158; \??\C:\Windows\temp\cpuz158\cpuz158_x64.sys [X] <==== UWAGA S3 netprotection_network_filter2; System32\drivers\netprotection_network_filter2.sys [X] U4 npcap_wifi; Brak ImagePath HKLM\...\Run: [] => [X] HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-1767339524-3971758892-3804799160-1001\...\Run: [] => [X] ShortcutTarget: apihost.exe.lnk -> C:\Users\helmut\AppData\Roaming\ACCApi\apihost.exe (Brak pliku) Task: {27AD91C6-433E-46D3-BCB1-8406F14DF9A3} - System32\Tasks\COMODO\COMODO Autostart {D5EFF3B3-E126-4AF6-BCE9-852A72129E10} => "C:\Program Files\COMODO\COMODO Internet Security\cis.exe" --cistrayUI (Brak pliku) Task: {15A9AAE1-ADFA-45D6-96A9-49B39152AAA3} - System32\Tasks\COMODO\COMODO CMC {06A09C0F-DD9C-4191-A670-71115CD78627} => "C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe" --launchSchedule {06A09C0F-DD9C-4191-A670-71115CD78627} (Brak pliku) Task: {8E08BB2C-532C-499F-990D-0498CFC00207} - System32\Tasks\COMODO\COMODO Maintenance {947247B5-026A-4437-9371-770782BE839D} => "C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe" --launchSchedule {947247B5-026A-4437-9371-770782BE839D} (Brak pliku) Task: {4F0A55FF-0E8E-4C45-ACE1-D5B4D5573C41} - System32\Tasks\COMODO\COMODO Scan {F140D794-60B6-4F00-9235-D6457AA25B22} => "C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe" --launchSchedule {F140D794-60B6-4F00-9235-D6457AA25B22} (Brak pliku) Task: {67359B86-66A8-484D-AD3D-BFC6FF5D62EB} - System32\Tasks\COMODO\COMODO Signature Update {B9D5C6F9-17D2-4917-8BD0-614BAA1C6A59} => "C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe" --launchSchedule {B9D5C6F9-17D2-4917-8BD0-614BAA1C6A59} (Brak pliku) Task: {CDEF290F-4CFA-4A38-A961-137C157173E1} - System32\Tasks\COMODO\COMODO Telemetry {18AD3DFA-30C0-4B5F-84F7-F1870B1A4921} => "C:\Program Files\COMODO\COMODO Internet Security\cis.exe" --telemetry (Brak pliku) Task: {94E96754-FB05-46DA-8C1E-C1F72D4EB446} - System32\Tasks\COMODO\COMODO Update {A6D52E4F-569B-4756-B3D8-DF217313DA85} => "C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe" --launchSchedule {A6D52E4F-569B-4756-B3D8-DF217313DA85} (Brak pliku) HKLM-x32\...\Run: [SunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [748624 2023-06-14] (Oracle America, Inc. -> Oracle Corporation) HKU\S-1-5-21-1767339524-3971758892-3804799160-1001\...\Run: [MicrosoftEdgeAutoLaunch_40728129CB66BCE58C6E3AC5F1B92846] => "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --no-startup-window --win-session-start [4060712 2024-03-14] (Microsoft Corporation -> Microsoft Corporation) Task: {AD0985A5-E2D5-4614-8624-47ED3EF69A37} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [1547208 2024-01-31] (Adobe Inc. -> Adobe Inc.) Task: {A102CAA7-0E8F-4900-A04E-3A85F7F578C6} - System32\Tasks\Avira_FallbackUpdater => C:\Windows\system32\sc.exe [72192 2019-12-07] (Microsoft Windows -> Microsoft Corporation) -> start AviraFallbackUpdater Delayed=false HKU\S-1-5-21-1767339524-3971758892-3804799160-1001\...\Run: [Opera Stable] => C:\Users\helmut\AppData\Local\Programs\Opera\launcher.exe [2358688 2024-02-22] (Opera Norway AS -> Opera Software) Task: {AECE4713-AE69-4F81-982C-336A15CEEBF9} - System32\Tasks\CreateExplorerShellUnelevatedTask => C:\Windows\explorer.exe [5154664 2022-09-27] (Microsoft Windows -> Microsoft Corporation) Task: {5842B52C-54F6-488E-831E-DF8B06C05C68} - System32\Tasks\Game_Booster_AutoUpdate => C:\Program Files (x86)\IObit\Game Booster 3\AutoUpdate.exe /AUTORUN (Brak pliku) Task: {E5264005-81A4-4EA2-B829-3A6235BB2F20} - System32\Tasks\Mozilla\Firefox Background Update 308046B0AF4A39CB => C:\Program Files\Mozilla Firefox\firefox.exe [671648 2024-03-13] (Mozilla Corporation -> Mozilla Corporation) -> --MOZ_LOG sync,prependheader,timestamp,append,maxsize:1,Dump:5 --MOZ_LOG_FILE C:\ProgramData\Mozilla-1de4eec8-1241-4177-a864-e594e8d1fb38\updates\308046B0AF4A39CB\backgroundupdate.moz_log --backgroundtask backgroundupdate Task: {BBA3717B-77B0-46F3-8416-F5DF7258B2C0} - System32\Tasks\Mozilla\Firefox Background Update S-1-5-21-1767339524-3971758892-3804799160-1001 308046B0AF4A39CB => C:\Program Files\Mozilla Firefox\firefox.exe [671648 2024-03-13] (Mozilla Corporation -> Mozilla Corporation) -> --MOZ_LOG sync,prependheader,timestamp,append,maxsize:1,Dump:5 --MOZ_LOG_FILE C:\ProgramData\Mozilla-1de4eec8-1241-4177-a864-e594e8d1fb38\updates\308046B0AF4A39CB\backgroundupdate.moz_log --backgroundtask backgroundupdate Task: {59939168-A520-442F-95E9-EB8ED3B48177} - System32\Tasks\Mozilla\Firefox Default Browser Agent 308046B0AF4A39CB => C:\Program Files\Mozilla Firefox\default-browser-agent.exe [34720 2024-03-13] (Mozilla Corporation -> Mozilla Foundation) Task: {CBD2F569-21FC-4063-A699-E001A804BD69} - System32\Tasks\npcapwatchdog => C:\Program Files\Npcap\CheckStatus.bat [815 2022-11-22] () [Brak podpisu cyfrowego] Task: {BB1DC255-646C-4C33-A3EA-FE941C8F1107} - System32\Tasks\Opera scheduled Autoupdate 1697816131 => C:\Users\helmut\AppData\Local\Programs\Opera\launcher.exe [2358688 2024-02-22] (Opera Norway AS -> Opera Software) Edge HKLM-x32\...\Edge\Extension: [caiblelclndcckfafdaggpephhgfpoip] Edge HKLM-x32\...\Edge\Extension: [emgfgdclgfeldebanedpihppahgngnle] CHR HKLM-x32\...\Chrome\Extension: [caljgklbbfbcjjanaijlacgncafpegll] CHR HKLM-x32\...\Chrome\Extension: [ccbpbkebodcjkknkfkpmfeciinhidaeh] CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] Tcpip\Parameters: [DhcpNameServer] 192.168.100.1 Tcpip\..\Interfaces\{7b791b99-4127-4baa-9478-1141206daafe}: [NameServer] 9.9.9.9,8.8.8.8 Tcpip\..\Interfaces\{7b791b99-4127-4baa-9478-1141206daafe}: [DhcpNameServer] 192.168.100.1 Tcpip\..\Interfaces\{7b791b99-4127-4baa-9478-1141206daafe}\1407162747F543: [DhcpNameServer] 62.179.1.62 8.8.8.8 Tcpip\..\Interfaces\{7b791b99-4127-4baa-9478-1141206daafe}\4427577696560596564727F6: [DhcpNameServer] 62.179.1.62 8.8.8.8 Tcpip\..\Interfaces\{7b791b99-4127-4baa-9478-1141206daafe}\B6F6D607371647E247B6: [NameServer] 9.9.9.9,8.8.8.8 Tcpip\..\Interfaces\{7b791b99-4127-4baa-9478-1141206daafe}\B6F6D607371647E247B6: [DhcpNameServer] 192.168.32.1 Tcpip\..\Interfaces\{7b791b99-4127-4baa-9478-1141206daafe}\E4544594143505F445D223E2437484A7D223246655: [DhcpNameServer] 192.168.100.1 HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <==== UWAGA ShellIconOverlayIdentifiers: [� MEGA (Pending)] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => -> Brak pliku ShellIconOverlayIdentifiers: [� MEGA (Synced)] -> {05B38830-F4E9-4329-978B-1DD28605D202} => -> Brak pliku ShellIconOverlayIdentifiers: [� MEGA (Syncing)] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => -> Brak pliku ContextMenuHandlers1: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => -> Brak pliku ContextMenuHandlers2: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => -> Brak pliku ContextMenuHandlers3: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => -> Brak pliku ContextMenuHandlers4: [MEGA (Context menu)] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => -> Brak pliku AlternateDataStreams: C:\Users\helmut\cleaner.exe:MBAM.Zone.Identifier [50] AlternateDataStreams: C:\Users\helmut\Downloads\adwcleaner.exe:MBAM.Zone.Identifier [98] AlternateDataStreams: C:\Users\helmut\Downloads\BleachBit-4.6.0-setup.exe:MBAM.Zone.Identifier [92] AlternateDataStreams: C:\Users\helmut\Downloads\FRST64.exe:MBAM.Zone.Identifier [193] AlternateDataStreams: C:\Users\helmut\Downloads\RogueKiller_setup.exe:MBAM.Zone.Identifier [186] FirewallRules: [{80C91E89-2DCE-4C1A-BF5C-A3F64E84D186}] => (Allow) LPort=5130 FirewallRules: [{C2482361-B2B1-4FBE-A8D2-D2B216AF033C}] => (Allow) LPort=54950 FirewallRules: [{490886AE-DF7B-41DD-A455-89DBB2416E04}] => (Allow) LPort=54955 AV: COMODO Antivirus (Disabled - Up to date) {05BC7AB5-FF0E-71EC-1054-15DA19B62DC7} FW: COMODO Firewall (Disabled) {3D87FB90-B561-70B4-3B0B-BCEFE7656ABC} Hosts: EmptyEventLogs: CMD: DISM.exe /Online /Cleanup-image /Restorehealth CMD: sfc /scannow EmptyTemp: Plik naprawczy przeznaczony jest tylko dla autora wątku! Po wykonaniu skryptu i ponownym uruchomieniu załącz utworzony fixlog.txt Edytowane 20 marca przez Bromidum
orzelpolski komentarz 21 marca Autor komentarz 21 marca (edytowane) NIe ma sprawy, wolę dłużej poczekać niż wcale nie otrzymać odpowiedzi. Zrobiłem co napisałeś, z jednym wyjątkiem. Pierw zapisałem w notatniku a potem zamknąłem I coś jest nie tak, bo bardzo długo naprawiało i nie powinno tak być, ponieważ mam bardzo szybkiego laptopa. Nie widziałem paska postępu naprawy być może dlatego miałem wrażenie że długo naprawia. Zrestartowało samoczynnie komputer i logów nie wydało, nie wiem czy naprawiać jeszcze raz? ======== Zeskanowałem sam ręcznie. FRST_22-03-2024 00.19.22.txt Addition_22-03-2024 00.19.22.txt Edytowane 21 marca przez orzelpolski
Bromidum komentarz 22 marca komentarz 22 marca (edytowane) @orzelpolski Tutaj masz wynik naprawy - C:\Users\helmut\Downloads\Fixlog.txt Długa naprawa wynikała z odbudowania buforu i sprawdzenia integralności plików systemowych. 1) Odinstaluj: Wondershare Filmora. OpenOffice zamień na LibreOffice. W skrypcie usunę pozostałości po Avirze, COMODO. Zmień serwer DNS na Quad9 → https://www.youtube.com/embed/aujUl3yt6nM?autoplay=1 (podstawowy 9.9.9.9, zapasowy 149.112.112.112) Poradnik do Chrome → https://soo.bearblog.dev/chrome/ (zwróć uwagę na rozszerzenia ) 2) Uruchom FRST/FRST64.exe, wciśnij kombinację klawiszy ctrl + y. Otworzy się notatnik, do którego wklej zawartość skryptu. Zamknij i zapisz. W FRST kliknij „napraw” → CloseProcesses: CreateRestorePoint: Task: {0A12FAC9-2C39-4ED6-8DD2-710B77940363} - \Opera scheduled Autoupdate 1697816131 -> Brak pliku <==== UWAGA ShortcutTarget: apihost.exe.lnk -> C:\Users\helmut\AppData\Roaming\ACCApi\apihost.exe (Brak pliku) Startup: C:\Users\helmut\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\apihost.exe.lnk [2024-03-16] HKU\S-1-5-21-1767339524-3971758892-3804799160-1002\...\Run: [MicrosoftEdgeAutoLaunch_78E04D58B36CC53B2F21587EB37E6E5A] => "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --no-startup-window --win-session-start [4060712 2024-03-14] (Microsoft Corporation -> Microsoft Corporation) Task: {441E9D31-9475-49DD-BAF9-2ADB8A22A061} - System32\Tasks\Mozilla\Firefox Background Update S-1-5-21-1767339524-3971758892-3804799160-1001 308046B0AF4A39CB => C:\Program Files\Mozilla Firefox\firefox.exe [671648 2024-03-13] (Mozilla Corporation -> Mozilla Corporation) -> --MOZ_LOG sync,prependheader,timestamp,append,maxsize:1,Dump:5 --MOZ_LOG_FILE C:\ProgramData\Mozilla-1de4eec8-1241-4177-a864-e594e8d1fb38\updates\308046B0AF4A39CB\backgroundupdate.moz_log --backgroundtask backgroundupdate C:\Users\helmut\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\caiblelclndcckfafdaggpephhgfpoip C:\Users\helmut\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\emgfgdclgfeldebanedpihppahgngnle C:\Users\helmut\AppData\Local\BraveSoftware\Brave-Browser\User Data\Default\Extensions\caljgklbbfbcjjanaijlacgncafpegll C:\Users\helmut\AppData\Local\BraveSoftware\Brave-Browser\User Data\Default\Extensions\ccbpbkebodcjkknkfkpmfeciinhidaeh C:\Users\helmut\AppData\Local\BraveSoftware\Brave-Browser\User Data\Default\Extensions\flliilndjeohchalpbbcdekjklbdgfkk 2024-03-17 02:58 - 2024-03-17 02:58 - 000000000 ____D C:\Windows\system32\Tasks\Avira 2024-03-16 23:47 - 2024-03-16 23:47 - 000000000 ____D C:\Users\helmut\AppData\Local\AviraWebView2Cache 2024-03-16 23:40 - 2024-03-16 23:48 - 000000000 ____D C:\Users\helmut\AppData\Local\Avira 2024-03-16 23:37 - 2024-03-17 13:32 - 000000000 ____D C:\Program Files (x86)\Avira 2024-03-16 23:38 - 2021-11-10 10:18 - 000451976 _____ (COMODO) C:\ProgramData\cmdres.dll 2024-03-16 23:10 - 2024-03-16 23:13 - 137266600 _____ (COMODO) C:\Users\helmut\Downloads\cispro_installer.exe 2024-03-16 23:14 - 2024-03-16 23:14 - 000000000 ____D C:\Program Files\COMODO 2024-03-16 23:14 - 2024-03-17 00:39 - 000000000 ____D C:\ProgramData\Comodo 2024-03-16 23:14 - 2024-03-22 00:04 - 000000000 ____D C:\Windows\system32\Tasks\COMODO 2024-03-16 20:56 - 2024-03-16 23:38 - 000001709 _____ C:\Users\helmut\Desktop\Wondershare Filmora 13.lnk 2024-03-16 20:56 - 2024-03-16 20:56 - 000000000 ____D C:\Users\helmut\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wondershare 2024-03-16 20:55 - 2024-03-17 00:39 - 000000000 ____D C:\Users\helmut\AppData\Local\Wondershare 2024-03-16 20:55 - 2024-03-16 23:23 - 000000000 ____D C:\ProgramData\Wondershare Filmora 2024-03-16 20:55 - 2024-03-16 21:00 - 000000000 ____D C:\ProgramData\Wondershare 2024-03-16 20:55 - 2024-03-16 20:57 - 000000000 ____D C:\Users\helmut\AppData\Roaming\Wondershare 2024-03-16 20:37 - 2024-03-16 20:37 - 001995256 _____ C:\Users\helmut\Downloads\filmora-idco_setup_full1901(1).exe 2024-03-16 20:36 - 2024-03-16 20:36 - 001995256 _____ C:\Users\helmut\Downloads\filmora-idco_setup_full1901.exe 2024-03-16 20:36 - 2024-03-16 20:56 - 000000000 ____D C:\Users\Public\Documents\Wondershare 2024-03-17 00:25 - 2024-03-17 00:25 - 000000000 ____D C:\ProgramData\Norton HKLM\...\StartupApproved\Run: => "COMODO Internet Security Installer" HKLM\...\StartupApproved\Run32: => "Wondershare Helper Compact.exe" ContextMenuHandlers1: [EPP] -> {09A47860-11B0-4DA5-AFA5-26D86198A780} => -> Brak pliku ContextMenuHandlers2: [ContextMenu] -> {ee10d625-cc60-30a4-b3df-4b349785be6b} => C:\Program Files (x86)\Avira\Security\Antivirus.ContextMenu\Antivirus.ContextMenu.DLL -> Brak pliku ContextMenuHandlers2: [EPP] -> {09A47860-11B0-4DA5-AFA5-26D86198A780} => -> Brak pliku ContextMenuHandlers3: [ContextMenu] -> {ee10d625-cc60-30a4-b3df-4b349785be6b} => C:\Program Files (x86)\Avira\Security\Antivirus.ContextMenu\Antivirus.ContextMenu.DLL -> Brak pliku ContextMenuHandlers4: [EPP] -> {09A47860-11B0-4DA5-AFA5-26D86198A780} => -> Brak pliku EmptyTemp: Edytowane 22 marca przez Bromidum 1
orzelpolski komentarz 27 marca Autor komentarz 27 marca Siemandero. Bardzo dziekuję za otrzymaną pomoc oraz wsparcie. Uczyniłem to co wskazałęś, lecz nie pamiętam czy wrzuciłem do FIRST do naprawy te linijki naprawcze, mówiąc szczerze byłem pijany jak to robiłem i nie pamiętam wszystkiego dobrze. Dlatego zrobiłem jeszcze raz skan i jak będziesz miał ochotę jeszcze mi pomóc z tym do końca to bardzo podziękuję. Mam juz LibertyOffice czy jak to tam, czytałem, że to nie jest od firmy Apache, więc pewnie faktycznie mniej ad aware i innych takich karaluchów. Dziękuję za zamieszczenie i życzę dużo zdrowia całej TWojej rodzinie. Addition.txt FRST.txt
Bromidum komentarz 27 marca komentarz 27 marca To wszystko. By usunąć wszystkie pliki/foldery utworzone przez FRST oraz narzędzie jako takie, zmień nazwę pliku FRST/FRST64.exe na uninstall.exe i uruchom ten plik. Procedura wymaga ponownego uruchomienia urządzenia. 1
orzelpolski komentarz 27 marca Autor komentarz 27 marca Bromidum, ok! Dziękuję. Już wiem jak powstają botnety, pobierasz oprogramowanie P2P za free z różnymi dodatkami i tak powstają całe sieci botnetów
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.