Kreska 85 utworzono 14 maja utworzono 14 maja Witam, Bardzo rzadko korzystam z laptopa chociaż systematycznie go czyszczę. Mam nortona (pełna wersja), spybota, AdwCleaner i Malwarebytes. Nie instalowałam żadnego oprogramowania jakiś czas już, jedynie aktualizacje Windows Update. Wczoraj bardzo powoli włączał się laptop. Sprawdziłam czy coś się do niego nie zaplątało. Przeczyściłam go wszystkim co miałam i jedynie Malwarebytes podał mi informacje (przy aktualizacji sygnatury wirusów): failed: host not found. Mimo to skanowałam i wyszło mi 6 Trojan.FakeMS. Usunęłam je. Znowu przeskanowałam: usunął ale nadal była informacja o hoście. Zastanawiałam się czy nie miałam starej wersji. Poszperałam po necie. Ale na stronie Malwarebytes nie mogłam ściągnąć tego programu (chyba go już nie ma). Czy to możliwe, że firma nie aktualizuje już tego programu a mnie zaktualizowało starą sygnaturę?czy to tzw. trojan fałszywie pozytywny? Zaznaczam że moja wiedza na temat komputerów jest bardzo prosta i ogólna:) Dziękuję i Pozdrawiam
Bromidum komentarz 14 maja komentarz 14 maja (edytowane) SpyBot to potencjalnie niepożądana aplikacja. Odinstaluj ją. Najpewniej masz też problem z hosts/DNS. 1) RogueKiller Anti Malware - https://www.adlice.com/roguekiller/#alt_download Zalecane pobranie wersji przenośnej (portable). Przed uruchomieniem pełnego skanowania należy włączyć w ustawieniach bezsygnaturowy „moduł MaIPE (BETA)”; opcjonalnie „skanuj z pełną wydajnością” (ustawienia → ustawienia skanowania). 2) Podrzuć logi FRST - https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/, które wygenerujesz w programie opcją „skanuj”. Powstałe pliki tekstowe „frst.txt” oraz „addition.txt” udostępnij na forum jako załącznik.
Bromidum komentarz 17 maja komentarz 17 maja Nie mogę pobrać logów. Załącz je na pastebinie - https://pastebin.com/
Bromidum komentarz 19 maja komentarz 19 maja (edytowane) 1) Odinstaluj: - Microsoft Silverlight - AdBlock Zamienniki: - WPS Office (możesz zamienić na LibreOffice ) - Absolute Uninstaller I Revo Uninstaller (możesz zamienić na GeekUninstaller) 2) Uruchom FRST/FRST64.exe, wciśnij kombinację klawiszy ctrl + y. Otworzy się notatnik, do którego wklej zawartość skryptu. Zamknij i zapisz. W FRST kliknij „napraw” → CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-171645121-325608834-1885081881-1001\...\Run: [MicrosoftEdgeAutoLaunch_121FB5285017CD5337FF6820981C17BA] => "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --no-startup-window --win-session-start [4081192 2024-05-14] (Microsoft Corporation -> Microsoft Corporation) HKU\S-1-5-21-171645121-325608834-1885081881-1001\...\Run: [GoogleChromeAutoLaunch_059CF66619EA6FC1E0052E2C4DA43B47] => "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --no-startup-window /prefetch:5 [2790176 2024-05-10] (Google LLC -> Google LLC) HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA Task: {841702C9-7AC5-4A5A-86C9-27C9E573DE11} - System32\Tasks\AdwCleaner_onReboot => C:\Users\top30\Desktop\Oczyszczanie\adwcleaner_8.0.6.exe /r (Brak pliku) Task: {9547B663-2052-4D75-AABB-CE3C9A96C8AA} - System32\Tasks\Apple Diagnostics => C:\Users\top30\AppData\Local\Microsoft\WindowsApps\eReporter-AppX.exe [0 2024-02-19] () [symlink -> ] Task: {A11E250A-946B-4B63-8845-5793BB8531A8} - System32\Tasks\klcp_update => C:\Program Files (x86)\K-Lite Codec Pack\Tools\CodecTweakTool.exe [2113024 2024-04-10] () [Brak podpisu cyfrowego] Task: {3A361B4F-70B4-4622-98CF-E6747810528F} - System32\Tasks\Microsoft\Office\Office Automatic Updates 2.0 => C:\Program Files\Common Files\Microsoft Shared\ClickToRun\OfficeC2RClient.exe [28436048 2024-05-07] (Microsoft Corporation -> Microsoft Corporation) Task: {EEC110A4-B639-408A-86A1-1A02EA7465AE} - System32\Tasks\Microsoft\Office\Office ClickToRun Service Monitor => C:\Program Files\Common Files\Microsoft Shared\ClickToRun\OfficeC2RClient.exe [28436048 2024-05-07] (Microsoft Corporation -> Microsoft Corporation) Task: {93FAE548-6BCC-414B-9F0F-3259BFE9614F} - System32\Tasks\Microsoft\Office\Office Feature Updates => C:\Program Files\Microsoft Office\root\Office16\sdxhelper.exe [309936 2024-05-09] (Microsoft Corporation -> Microsoft Corporation) Task: {6500D326-0BD9-443C-85A7-989E86DAEFA2} - System32\Tasks\Microsoft\Office\Office Feature Updates Logon => C:\Program Files\Microsoft Office\root\Office16\sdxhelper.exe [309936 2024-05-09] (Microsoft Corporation -> Microsoft Corporation) Task: {4B91BAC5-8EB1-4179-B835-B91FB4F5611E} - System32\Tasks\Microsoft\Office\Office Performance Monitor => C:\Program Files\Microsoft Office\root\vfs\ProgramFilesCommonX64\Microsoft Shared\OFFICE16\operfmon.exe [168928 2024-05-09] (Microsoft Corporation -> Microsoft Corporation) Task: {CCDFC0B8-01A3-4E74-A820-4F13F51D269E} - System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser => %SystemRoot%\System32\MbaeParserTask.exe (Brak pliku) Task: {291BAA4D-FB01-469F-9F60-1D32C6D01A4B} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\MusUx_LogonUpdateResults => %systemroot%\system32\MusNotification.exe LogonUpdateResults (Brak pliku) Task: {09DAE85A-8FCC-4151-A84B-A03ED8AEDCF5} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_AC => %systemroot%\system32\MusNotification.exe /RunOnAC ReadyToReboot (Brak pliku) Task: {D39BCCC3-A853-492E-8508-7954B4D5AFBB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_Battery => %systemroot%\system32\MusNotification.exe /RunOnBattery ReadyToReboot (Brak pliku) Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe (Brak pliku) Task: {C47869D5-4E8E-46D6-9C23-2C79201AC60C} - System32\Tasks\Norton Security Ultra\Norton Security Ultra Autofix => C:\Program Files\Norton Security\Engine\22.20.2.57\SymErr.exe /ui (Brak pliku) Task: {0D7295C0-31B9-4C8B-BED0-F9C9B7A741BF} - System32\Tasks\Norton Security Ultra\Norton Security Ultra Error Analyzer => C:\Program Files\Norton Security\Engine\22.20.2.57\SymErr.exe /analyze (Brak pliku) Task: {12FC1130-74A6-47BC-A0AC-C719B4F17D0A} - System32\Tasks\Norton Security Ultra\Norton Security Ultra Error Processor => C:\Program Files\Norton Security\Engine\22.20.2.57\SymErr.exe /submit (Brak pliku) Task: {845120E1-F39F-40C6-95B2-E174D76F669F} - System32\Tasks\Norton Security\Norton Security Autofix => C:\Program Files\Norton Security\Engine\22.20.5.39\SymErr.exe /ui (Brak pliku) Task: {FFC09320-5805-46E0-9F0A-62BAF99FC59F} - System32\Tasks\Norton Security\Norton Security Error Analyzer => C:\Program Files\Norton Security\Engine\22.20.5.39\SymErr.exe /analyze (Brak pliku) Task: {D937FEAF-DC4F-486D-B125-F669F5B95D14} - System32\Tasks\Norton Security\Norton Security Error Processor => C:\Program Files\Norton Security\Engine\22.20.5.39\SymErr.exe /submit (Brak pliku) Task: {DEB0D24C-548B-430D-A3BB-045ACE447391} - System32\Tasks\Oem\AcerJumpstartTask => "C:\Program Files (x86)\Acer\Acer Jumpstart\hermes.exe" /default (Brak pliku) Task: {7A497FDA-63F1-4155-A8B3-0236B3DA86B9} - System32\Tasks\WpsExternal_top30_20240508224232 => C:\Users\top30\AppData\Local\Kingsoft\WPS Office\12.2.0.16909\office6\wpscloudsvr.exe [980880 2024-05-08] (Zhuhai Kingsoft Office Software Co., Ltd. -> Zhuhai Kingsoft Office Software Co.,Ltd) -> /wpscloudlaunch /run_plugin /plugin_name=ktaskschdtool /plugin_entry=ktaskschdtool.dll /task=wpsexternal /launchtask /ver=1.0 /start_from=task_external Task: {463A116F-74E4-4745-89EF-64277BB1E2F1} - System32\Tasks\WpsUpdateTask_top30 => C:\Users\top30\AppData\Local\Kingsoft\WPS Office\12.2.0.16909\office6\wpsupdate.exe [1531280 2024-05-08] (Zhuhai Kingsoft Office Software Co., Ltd. -> Zhuhai Kingsoft Office Software Co.,Ltd) Tcpip\Parameters: [DhcpNameServer] 192.168.0.1 Tcpip\..\Interfaces\{37fa67e1-138f-4329-9940-a841024c0398}: [DhcpNameServer] 192.168.0.1 Tcpip\..\Interfaces\{37fa67e1-138f-4329-9940-a841024c0398}: [DhcpDomain] home Tcpip\..\Interfaces\{37fa67e1-138f-4329-9940-a841024c0398}\55053434345414939323: [DhcpNameServer] 192.168.0.1 Tcpip\..\Interfaces\{37fa67e1-138f-4329-9940-a841024c0398}\55053434345414939323: [DhcpDomain] home Tcpip\..\Interfaces\{d2a69ba1-fd6c-4abd-8cd5-c016cdf8e7b3}: [DhcpNameServer] 192.168.0.1 Tcpip\..\Interfaces\{d2a69ba1-fd6c-4abd-8cd5-c016cdf8e7b3}: [DhcpDomain] home Edge DefaultSearchURL: Default -> hxxps://nortonsafe.search.ask.com/web?omnisearch=yes&q={searchTerms} Edge DefaultSearchKeyword: Default -> nortonsafe Edge DefaultSuggestURL: Default -> hxxps://ss-sym.search.ask.com/ss?limit=10&li=ff&hl=pl&q={searchTerms} C:\Users\top30\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\bdaafgjhhjkdplpffldcncdignokfkbo C:\Users\top30\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\ikkagnliefbhcdgnnhfidhhbocdhkdeb C:\Users\top30\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\ndcileolkflehcjpmjnfbnaibdcgglog C:\Users\top30\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\okplngpklcjmpdemleibnhidjihcobef FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\eset_security_config_overlay.js [2020-03-22] CHR DefaultSearchURL: Default -> hxxps://searchsafe.norton.com/search?omnisearch=yes&q={searchTerms} CHR DefaultSearchKeyword: Default -> Norton CHR DefaultSuggestURL: Default -> hxxps://ss-sym.search.ask.com/ss?limit=10&li=ff&hl=pl&q={searchTerms} C:\Users\top30\AppData\Local\Google\Chrome\User Data\Default\Extensions\fnpbeacklnhmkkilekogeiekaglbmmka C:\Users\top30\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom C:\Users\top30\AppData\Local\Google\Chrome\User Data\Default\Extensions\mhffmephdchhhbfjmdpoaldedhhdanbn CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] CHR HKLM-x32\...\Chrome\Extension: [ofoeigeaodhbjogdigckajfhjbonaofg] 2024-05-15 07:16 - 2020-05-13 16:17 - 000000000 ____D C:\Program Files (x86)\Spybot - Search & Destroy 2 2024-05-15 06:58 - 2020-05-13 16:17 - 000000000 ____D C:\ProgramData\Spybot - Search & Destroy C:\Program Files (x86)\IObit AV: Spybot - Search and Destroy (Disabled - Out of date) {F77C7796-45C4-531E-0DAE-B4A8229B11C8} AV: ESET Security (Disabled - Up to date) {885D845F-AF19-0124-FECE-FFF49D00F440} FW: ESET Zapora (Enabled) {B066057A-E576-007C-D591-56C163D3B33B} ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} => -> Brak pliku ContextMenuHandlers1: [SDECon32] -> {44176360-2BBF-4EC1-93CE-384B8681A0BC} => -> Brak pliku ContextMenuHandlers1: [SDECon64] -> {44176360-2BBF-4EC1-93CE-384B8681A0BC} => -> Brak pliku ContextMenuHandlers2: [SDECon32] -> {44176360-2BBF-4EC1-93CE-384B8681A0BC} => -> Brak pliku ContextMenuHandlers2: [SDECon64] -> {44176360-2BBF-4EC1-93CE-384B8681A0BC} => -> Brak pliku ContextMenuHandlers6: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} => -> Brak pliku ContextMenuHandlers6: [SDECon32] -> {44176360-2BBF-4EC1-93CE-384B8681A0BC} => -> Brak pliku ContextMenuHandlers6: [SDECon64] -> {44176360-2BBF-4EC1-93CE-384B8681A0BC} => -> Brak pliku AlternateDataStreams: C:\Users\top30\OneDrive\Pulpit\ausetup.exe:MBAM.Zone.Identifier [118] AlternateDataStreams: C:\Users\top30\OneDrive\Pulpit\FRST64.exe:MBAM.Zone.Identifier [240] AlternateDataStreams: C:\Users\top30\OneDrive\Pulpit\mojelacze.url:com.dropbox.attrs [54] SearchScopes: HKU\S-1-5-21-171645121-325608834-1885081881-1001 -> DefaultScope {460AE0CD-784B-4AD1-A2CD-6BF20E208AD2} URL = SearchScopes: HKU\S-1-5-21-171645121-325608834-1885081881-1001 -> {460AE0CD-784B-4AD1-A2CD-6BF20E208AD2} URL = BHO: Skype for Business Browser Helper -> {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} -> C:\Program Files\Microsoft Office\root\Office16\OCHelper.dll [2024-04-04] (Microsoft Corporation -> Microsoft Corporation) BHO-x32: Norton Password Manager -> {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} -> C:\Program Files\Norton Security\Engine32\22.22.9.11\coIEPlg.dll => Brak pliku Toolbar: HKLM-x32 - Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Norton Security\Engine32\22.22.9.11\coIEPlg.dll Brak pliku EmptyEventLogs: Hosts: CMD: DISM.exe /Online /Cleanup-image /Restorehealth CMD: sfc /scannow EmptyTemp: Plik naprawczy przeznaczony jest tylko dla autora wątku! Po wykonaniu skryptu i ponownym uruchomieniu załącz utworzony fixlog.txt 3) Dodatkowe porady Zmień serwer DNS na Quad9 → https://www.youtube.com/embed/aujUl3yt6nM?autoplay=1 (podstawowy 9.9.9.9, zapasowy 149.112.112.112) Aby sprawdzić czy poprawnie skonfigurowałeś serwer DNS odwiedź stronę https://on.quad9.net Poradnik do Chrome → https://soo.bearblog.dev/chrome/ (zwróć uwagę na rozszerzenia, zamień AdBlocka na uBlock Origin).
Kreska 85 komentarz 19 maja Autor komentarz 19 maja Aplikacje, które miałam usunęłam a proponowane zainstalowałam Norton uznał program FRST.exe za bezpieczny po czym gdy chcę wykonać polecony skrypt usuwa mi ten program i skrypt uznając go za niebezpieczny. Używam WIFI, Ethernet mam wyłączony. Czy mogę zmienić serwer DNS w WIFI?
Bromidum komentarz 19 maja komentarz 19 maja (edytowane) Na czas wykonania skryptu należy wyłączyć osłony antywirusa. To wynik fałszywie dodatni. Tak, należy ustawić na Wi-Fi. Czy RogueKiller znalazł jakieś niepożądane elementy?
Kreska 85 komentarz 19 maja Autor komentarz 19 maja Fixlog.txt Wykrył coś z Amazonem, ale usunęłam to
Bromidum komentarz 19 maja komentarz 19 maja Jest poprawa? Można stworzyć nowe logi FRST celem kontroli.
Rekomendowana odpowiedź Bromidum komentarz 20 maja Rekomendowana odpowiedź komentarz 20 maja W takim razie to wszystko. By usunąć wszystkie pliki/foldery utworzone przez FRST oraz narzędzie jako takie, zmień nazwę pliku FRST/FRST64.exe na uninstall.exe i uruchom ten plik. Procedura wymaga ponownego uruchomienia urządzenia.
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.