Kapipixel utworzono 19 sierpnia utworzono 19 sierpnia Cześć, przychodze, z bardzo nieciekawą sytuacja, a mianowicie gdy próbuje coś wpisać, w chrome czy edge przenosi mnie do jakiegoś smart trading shop. Czy to jest wirus? A vast nic nie wykrywa. Proszę o szybka reakcje. Z góry dziękuję I przepraszam za taką jakość zdjęć.
toska78 komentarz 19 sierpnia komentarz 19 sierpnia Zrób i podaj logi z narzędzia FRST link bo tak to można wróżyć z fusów. Te przekierowania są jak wpisujesz hasła w wyszukiwarce google?
Kapipixel komentarz 19 sierpnia Autor komentarz 19 sierpnia @toska78 jakie logi? Chodzi o to że gdy w chromie i edge gdy wpisuje np iphone 15 to przenosi mnie do tej strony, w Google tego nie ma
toska78 komentarz 19 sierpnia komentarz 19 sierpnia Jakie logi? W linku masz opisane jak użyć FRST do wykonania logów. Nie powinno tak przekierowywać jeśli hasła wpisujesz na pasku adresu. Zakładam że to nie kwestia jakiegoś rozszerzenia do przeglądarki. Sprawdzałeś to? 1
Kapipixel komentarz 19 sierpnia Autor komentarz 19 sierpnia @toska78 ogólnie, to tak, zainstalowałem malwarebytes i wykryło pliki, miedzy innymi nazwane trojan. Pod wpływem emocji odrazu Nacionalem przycisk przeniesienia do kwarantanny, I wszystko wróciło do normy, teraz kwestia, jeśli umiesz to proszę wytłumacz mi jak usunąć pliki które są w kwarantannie, gdzie to wogule się znajduje, na dysku? 1
toska78 komentarz 19 sierpnia komentarz 19 sierpnia No na dysku, przecież nie w chmurze. Malwarebytes tworzy na pewno swój folder z plikami kwarantanny ale gdzie konkretnie to nie podam bo nie mam go zainstalowanego. Nie ma czegoś takiego jak przejrzyj/otwórz plik/i kwarantanny w opcjach narzędzia?
Anawa komentarz 20 sierpnia komentarz 20 sierpnia Informacja o kwarantannie: https://www.malwarebytes.com/pl/glossary/quarantine W programie powinna być możliwość usunięcia tych plików.
Bromidum komentarz 20 sierpnia komentarz 20 sierpnia (edytowane) @Kapipixel Dobrze byłoby jakbyś dostarczył logów FRST, które zostały podlinkowane wcześniej. Pozwoli to na stworzenie skryptu, który wykona odpowiednią naprawę. Pliki podczas przenoszenia do kwarantanny są unieszkodliwione, dlatego nie ma potrzeby ich usuwania (nawet po usunięciu programu). Wykonaj skan RogueKiller Anti Malware - https://www.adlice.com/roguekiller/#alt_download Zalecane pobranie wersji przenośnej (portable). Przed uruchomieniem pełnego skanowania należy włączyć w ustawieniach bezsygnaturowy „moduł MaIPE (BETA)”; opcjonalnie „skanuj z pełną wydajnością” (ustawienia → ustawienia skanowania). Zobacz i zastosuj się do poradnika Chrome → https://soo.bearblog.dev/chrome/ 1
Kapipixel komentarz 21 sierpnia Autor komentarz 21 sierpnia Cześć, zrobiłem te logi, jeśli masz czas to zajrzyj i proszę wyjaśnij mi co jest nie tak. Z góry dzięki Addition.txt FRST.txt
Rekomendowana odpowiedź Ten post jest popularny. Bromidum komentarz 21 sierpnia Rekomendowana odpowiedź Ten post jest popularny. komentarz 21 sierpnia (edytowane) @Kapipixel 1) Z poziomu panelu sterowania odinstaluj następujące dwa programy: - Safer Web od Reason Cybersecurity Inc. - WebAdvisor firmy McAfee 2) Dodatkowo proponuję Tobie usuniecie: Avast Free Antivirus, AVG TuneUp, NVIDIA GeForce Experience. Za Avasta proponuję Bitdefender Free lub na 180 dni polski pakiet mks_vir Internet Security. 3) Uruchom FRST/FRST64.exe, wciśnij kombinację klawiszy ctrl + y. Otworzy się notatnik, do którego wklej zawartość skryptu. Zamknij i zapisz. W FRST kliknij „napraw” → CloseProcesses: CreateRestorePoint: HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA HKLM\SOFTWARE\Policies\Microsoft\Edge: Ograniczenia <==== UWAGA HKLM-x32\...\Run: [HPUsageTrackingLEDM] => "C:\Program Files (x86)\HP\HP UT LEDM\bin\hppusg.exe" "C:\Program Files (x86)\HP\HP UT LEDM\" [0 0000-00-00] () <==== UWAGA [zerobajtowy plik/folder] HKLM\...\Run: [TuneupUI.exe] => C:\Program Files\AVG\TuneUp\TuneupUI.exe [10390856 2024-08-16] (AVG Technologies USA, LLC -> AVG Technologies CZ, s.r.o.) HKLM-x32\...\Run: [SunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [750680 2023-12-19] (Oracle America, Inc. -> Oracle Corporation) HKU\S-1-5-21-571908995-1372485771-3999680532-1002\...\Run: [MicrosoftEdgeAutoLaunch_27ED335B8288CC12925978259C693AD3] => "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --no-startup-window --win-session-start [3814952 2024-08-14] (Microsoft Corporation -> Microsoft Corporation) HKU\S-1-5-21-571908995-1372485771-3999680532-1002\...\Run: [Opera GX Stable] => C:\Users\kapip\AppData\Local\Programs\Opera GX\opera.exe [1511840 2024-08-19] (Opera Norway AS -> Opera Software) HKU\S-1-5-21-571908995-1372485771-3999680532-1002\...\Run: [Opera GX Browser Assistant] => C:\Users\kapip\AppData\Local\Programs\Opera GX\assistant\browser_assistant.exe [3291288 2021-02-01] (Opera Software AS -> Opera Software) HKU\S-1-5-21-571908995-1372485771-3999680532-1002\...\Run: [Overwolf] => D:\Kapi\overwolf\OverwolfLauncher.exe [1832968 2024-08-05] (Overwolf Ltd -> Overwolf Ltd.) HKU\S-1-5-21-571908995-1372485771-3999680532-1002\...\Run: [com.messenger] => "C:\Users\kapip\AppData\Local\Programs\Messenger\Messenger.exe" messenger://openAtLogin (Brak pliku) Task: {BF5A9563-F482-465E-B892-B80BB6DFFCDB} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\Avast Software\Overseer\overseer.exe [2144664 2023-08-08] (Avast Software s.r.o. -> Avast Software) Task: {72047F2B-EC1D-4FA0-8E82-81DC16DA1D48} - System32\Tasks\AVG\AVG TuneUp BugReport => C:\Program Files\AVG\TuneUp\AvBugReport.exe [5854536 2024-08-16] (AVG Technologies USA, LLC -> AVG Technologies CZ, s.r.o.) -> --send "dumps|report" --silent --product 74 --programpath "C:\Program Files\AVG\TuneUp\Setup\.." --configpath "C:\Program Files\AVG\TuneUp\Setup" --path "C:\ProgramData\AVG\TuneUp\log" --path "C:\ProgramData\AVG\Icarus\Logs" --logpath "C:\ProgramData\AVG\TuneUp\log" --guid 5b9e37c3-f8a4-4a2b-9e39-7 (dane wartości zawierają 11 znaków więcej). Task: {45D23935-35A4-413B-B3DD-E03FAC9A354F} - System32\Tasks\AVG\AVG TuneUp Update => C:\Program Files\Common Files\AVG\Icarus\avg-tu\icarus.exe [8065352 2024-08-07] (AVG Technologies USA, LLC -> Gen Digital Inc.) Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe (Brak pliku) Task: {CCDFC0B8-01A3-4E74-A820-4F13F51D269E} - System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser => %SystemRoot%\System32\MbaeParserTask.exe (Brak pliku) Task: {C178E360-C78A-417E-8ED0-B0878393DB77} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_AC => %systemroot%\system32\MusNotification.exe /RunOnAC RebootDialog (Brak pliku) Task: {50E56EF9-6261-4ED6-BA04-3FEF8870404E} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_Battery => %systemroot%\system32\MusNotification.exe /RunOnBattery RebootDialog (Brak pliku) Task: {E765783B-1494-40FA-AE84-8645F25D507C} - System32\Tasks\Opera GX scheduled assistant Autoupdate 1695115649 => C:\Users\kapip\AppData\Local\Programs\Opera GX\launcher.exe [1511840 2024-08-19] (Opera Norway AS -> Opera Software) -> --scheduledautoupdate --component-name=assistant --component-path="C:\Users\kapip\AppData\Local\Programs\Opera GX\assistant" $(Arg0) Task: {73626324-8A8A-4697-AEAC-C5B58FFBA477} - System32\Tasks\Opera GX scheduled Autoupdate 1694537830 => C:\Users\kapip\AppData\Local\Programs\Opera GX\autoupdate\opera_autoupdate.exe [5779360 2024-08-14] (Opera Norway AS -> Opera Software) Task: {CB9442FE-5C79-4811-8C8A-EA0FE0D0430E} - System32\Tasks\Overwolf Updater Task => C:\Program Files (x86)\Common Files\Overwolf\OverwolfUpdater.exe [2370056 2024-08-05] (Overwolf Ltd -> Overwolf LTD) -> D:\Kapi\overwolf\/RunningFrom Schedule Task: C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job => C:\WINDOWS\explorer.exe Tcpip\Parameters: [DhcpNameServer] 192.168.0.1 Tcpip\..\Interfaces\{ac4723eb-8af4-410f-b69b-c52838eb3834}: [DhcpNameServer] 172.16.0.1 Tcpip\..\Interfaces\{e0334a08-7d95-45a7-9d72-a9dcfbcae7ff}: [DhcpNameServer] 192.168.0.1 Tcpip\..\Interfaces\{e914bd26-a390-4464-a275-2fcce3501a1f}: [DhcpNameServer] 192.168.0.1 Tcpip\..\Interfaces\{e914bd26-a390-4464-a275-2fcce3501a1f}: [DhcpDomain] home C:\Users\kapip\AppData\Local\Google\Chrome\User Data\Default\Extensions\fheoggkfdfchfphceeifdbepaooicaho CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] S3 EAAntiCheat; system32\drivers\eaanticheat.sys [X] S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X] R2 McAfee WebAdvisor; C:\Program Files\McAfee\WebAdvisor\ServiceHost.exe [937296 2024-08-16] (McAfee, LLC -> McAfee, LLC) HKU\S-1-5-21-571908995-1372485771-3999680532-1002\Software\Classes\regfile: <==== UWAGA HKU\S-1-5-21-571908995-1372485771-3999680532-1002\Software\Classes\.reg: => <==== UWAGA HKU\S-1-5-21-571908995-1372485771-3999680532-1002\Software\Classes\.bat: => <==== UWAGA HKU\S-1-5-21-571908995-1372485771-3999680532-1002\Software\Classes\.cmd: => <==== UWAGA AlternateDataStreams: C:\ProgramData\catcache3.bin:0C23A85016 [5162] AlternateDataStreams: C:\ProgramData\DisplaySessionContainer1.log:F107EE40EF [5162] AlternateDataStreams: C:\ProgramData\DisplaySessionContainer1.log_backup1:2DD1EC5C91 [5162] AlternateDataStreams: C:\ProgramData\DisplaySessionContainer2.log:CCB2353F35 [5162] AlternateDataStreams: C:\ProgramData\DisplaySessionContainer3.log:8A1F56CED6 [5162] AlternateDataStreams: C:\ProgramData\DisplaySessionContainer4.log:3B2EC2BDEF [5162] AlternateDataStreams: C:\ProgramData\DisplaySessionContainer5.log:84BD5AAA09 [5162] AlternateDataStreams: C:\ProgramData\NvcDispCorePlugin.log:AAE9D2281E [5162] AlternateDataStreams: C:\ProgramData\NvcDispCorePlugin.log_backup1:E79F04DA79 [5162] AlternateDataStreams: C:\ProgramData\NVDisplay.ContainerLocalSystem.log:5ACBC90093 [5162] AlternateDataStreams: C:\ProgramData\NVDisplay.ContainerLocalSystem.log_backup1:A416BDA264 [5162] AlternateDataStreams: C:\ProgramData\NVDisplayContainerWatchdog.log:204739A7F2 [5162] AlternateDataStreams: C:\ProgramData\NVDisplayContainerWatchdog.log_backup1:C3CA1050CA [5162] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [5162] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avast Free Antivirus.lnk:21661D084B [5162] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AVG TuneUp.lnk:0693B56324 [5162] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Badlion Client.lnk:8BD81608B2 [5162] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [5162] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [5162] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Feather Launcher.lnk:FBDA9CAD7D [5162] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk:8096E45125 [5162] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes.lnk:C5D586BE93 [5162] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Edge.lnk:E77773B271 [5162] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\paint.net.lnk:C629424870 [5162] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk:F20EF51E1F [5162] AlternateDataStreams: C:\Users\kapip\Downloads\FRST64.exe:MBAM.Zone.Identifier [193] AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [2920] HKU\S-1-5-21-571908995-1372485771-3999680532-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://petrosoft.pl HKU\S-1-5-21-571908995-1372485771-3999680532-1002\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://petrosoft.pl 2024-07-23 13:41 - 2024-07-26 18:09 - 000000000 ____D C:\Users\kapip\AppData\Local\BitTorrentHelper 2024-07-23 13:40 - 2024-08-19 23:21 - 000000000 ____D C:\Users\kapip\AppData\Roaming\utorrent 2024-07-23 13:41 - 2024-07-30 09:59 - 000000000 ____D C:\Users\kapip\AppData\Roaming\ReasonLabs 2024-07-23 13:41 - 2024-07-30 09:59 - 000000000 ____D C:\ProgramData\ReasonLabs 2024-07-23 13:40 - 2024-07-30 09:59 - 000000000 ____D C:\Program Files\ReasonLabs 2024-07-23 13:41 - 2024-07-23 13:41 - 000054144 _____ (Reason CyberSecurity Inc.) C:\WINDOWS\system32\Drivers\rsDwf.sys 2024-07-23 13:40 - 2024-07-23 13:40 - 000000000 ____D C:\ProgramData\McAfee 2024-07-23 13:40 - 2024-07-23 13:40 - 000000000 ____D C:\Program Files\McAfee CMD: netsh advfirewall reset CMD: DISM.exe /Online /Cleanup-image /Restorehealth CMD: sfc /scannow EmptyEventLogs: EmptyTemp: Plik naprawczy przeznaczony jest tylko dla autora wątku! Po wykonaniu skryptu i ponownym uruchomieniu załącz utworzony fixlog.txt 4) Zmień serwer DNS na Quad9 → https://www.youtube.com/embed/aujUl3yt6nM?autoplay=1 (podstawowy 9.9.9.9, zapasowy 149.112.112.112) Aby sprawdzić czy poprawnie skonfigurowałeś serwer DNS odwiedź stronę https://on.quad9.net 2
Kapipixel komentarz 22 sierpnia Autor komentarz 22 sierpnia @Bromidum Dzięki, zrobiłem wszystko co napisałeś, a na dole przesyłam fixlock.txt Fixlog.txt
Bromidum komentarz 22 sierpnia komentarz 22 sierpnia To wszystko. Oznacz post, który był dla Ciebie pomocny. By usunąć wszystkie pliki/foldery utworzone przez FRST oraz narzędzie jako takie, zmień nazwę pliku FRST/FRST64.exe na uninstall.exe i uruchom ten plik. Procedura wymaga ponownego uruchomienia urządzenia. 1
Kapipixel komentarz 23 sierpnia Autor komentarz 23 sierpnia @Bromidum Dzięki, nie wiem co bym zrobił gdyby nie Ty 1
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.