Komputer zaczął wolniej chodzi, parę dodatkowych programów

Dla specjalistów Bezpieczeństwo
#1

hej,

komputer od jakiegos czasu zwolnil oraz czesto zaczyna wrzucac go na wieksze obroty. Dodatkowo nie moge usunac uTorrenta oraz SAntivirus Realtime Protection Lite. Daje logi z FRST. Jesli mam wykonac rowniez skany programami Malwarebytes, Kaspersky, GMER lub AdwCleaner to prosze o informacje.

FRST: Rezultaty skanowania Farbar Recovery Scan Tool (FRST) (x64) Wersja: 11-12-2022 - Pastebin.com
Addition: Rezultaty skanu uzupełniającego Farbar Recovery Scan Tool (x64) Wersja: 11-12-20 - Pastebin.com
Shortcut: Rezultat skanowania skrótów użytkowników (x64) Wersja: 11-12-2022Uruchomiony p - Pastebin.com

Pozdrawiam

#2

Witaj na forum Dobre Programy.

Na wstępie muszę poinformować Ciebie, że używasz aktywatora KMSpico.
Prosiłbym abyś go odinstalował lub oznaczył go do usunięcia po wykryciu przez skanery.

Odinstaluj:

  • µTorrent (zamień na otwartoźródłowy zamiennik pozbawiony reklam - qBittorent)
  • Avast Update Helper (pojawi się po wykonaniu fixlisty, oznacza także pozostałości Avasta)
  • NVIDIA GeForce Experience (jeśli nie korzystasz z jego funkcji to możesz go odinstalować)
  • SAntivirus Realtime Protection Lite (jeśli jest możliwe jego usunięcie)

Reason VPN - sam zainstalowałeś?
Użyteczne może być narzędzie GeekUninstaller.

Zanim przygotuję fixlistę wykonaj profilaktyczne skanowanie:

  • RogueKiller Anti Malware
    Zalecane pobranie wersji przenośnej (portable). Przed uruchomieniem pełnego skanowania należy włączyć w ustawieniach bezsygnaturowy „moduł MaIPE (BETA)”; opcjonalnie „skanuj z pełną wydajnością” (ustawienia → ustawienia skanowania).

  • Malwarebytes Anti-Malware
    Upewnij się, że przed skanowaniem zostało zaznaczone: skanuj w poszukiwaniu rootkitów, skanuj archiwa, użyj sztucznej inteligencji. Opcje te odnajdziesz w ustawieniach → bezpieczeństwo → opcje skanowania.

  • AdwCleaner
    Po skończonym skanowaniu pomiń linie oznaczone jako preinstalowane. Resztę odnalezionych elementów przenieś do kwarantanny.

Daj znać jeśli któryś ze skanerów wykryje zagrożenie - najlepiej umieść zrzut ekranu (screen). :wink:

#3

Uruchom FRST/FRST64.exe, wciśnij kombinację klawiszy ctrl + y. Otworzy się notatnik, do którego wklej zawartość skryptu. Zamknij i zapisz. W FRST kliknij „napraw” →

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-2970018744-2904546846-411606314-1003\...\Run: [uTorrent] => "C:\Users\Przemek\AppData\Roaming\uTorrent\uTorrent.exe"  /MINIMIZED (Brak pliku)
HKU\S-1-5-21-2970018744-2904546846-411606314-1003\...\Run: [ut] => "C:\Users\Przemek\AppData\Roaming\uTorrent\uTorrent.exe"  /MINIMIZED (Brak pliku)
HKU\S-1-5-21-2970018744-2904546846-411606314-1003\...\Run: [MicrosoftEdgeAutoLaunch_D4540563087EDD8D8834D17886016F5B] => "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --no-startup-window --win-session-start /prefetch:5 [3877280 2022-12-08] (Microsoft Corporation -> Microsoft Corporation)
HKLM\Software\Microsoft\Active Setup\Installed Components: [{8A69D345-D564-463c-AFF1-A69D9E530F96}] -> C:\Program Files (x86)\Google\Chrome\Application\108.0.5359.100\Installer\chrmstp.exe [2022-12-15] (Google LLC -> Google LLC)
HKLM\Software\...\Authentication\Credential Providers: [{C885AA15-1764-4293-B82A-0586ADD46B35}] -> 
Task: {0600DD45-FAF2-4131-A006-0B17509B9F78} - System32\Tasks\Microsoft\Windows\Application Experience\Microsoft Compatibility Appraiser => %windir%\system32\sc.exe start InventorySvc
Task: {09CB7765-38A4-4CC0-835C-554184EF300C} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentFallBack2016 => D:\Program Files\Microsoft Office\Office16\msoia.exe [416432 2015-07-31] (Microsoft Corporation -> Microsoft Corporation)
Task: {119C7C66-EE5D-426C-8E8F-DB1DB451EFE0} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office16\OLicenseHeartbeat.exe [316632 2015-07-31] (Microsoft Corporation -> Microsoft Corporation)
Task: {1765F502-DF29-463B-85C5-794C171181E3} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\MusUx_LogonUpdateResults => C:\WINDOWS\system32\MusNotification.exe LogonUpdateResults (Brak pliku)
Task: {2A5BFB28-4C00-4264-B5DC-BDC06EA5C533} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot => C:\WINDOWS\system32\MusNotification.exe ReadyToReboot (Brak pliku)
Task: {7E0C565D-54EF-48E0-AB41-13A24B248E58} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentLogOn2016 => D:\Program Files\Microsoft Office\Office16\msoia.exe [416432 2015-07-31] (Microsoft Corporation -> Microsoft Corporation)
Task: {9690B247-D412-40BC-8CBB-CCF2211BE80A} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_Battery => C:\WINDOWS\system32\MusNotification.exe /RunOnBattery ReadyToReboot (Brak pliku)
Task: {99125284-1584-4CE0-8E1C-27AB73247F2A} - System32\Tasks\NVIDIA GeForce Experience SelfUpdate_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} => C:\Program Files\NVIDIA Corporation\NVIDIA GeForce Experience\NVIDIA GeForce Experience.exe [3342376 2022-10-17] (Nvidia Corporation -> NVIDIA Corporation)
Task: {C3D930B8-12D0-496F-AED8-CAEE991ABC34} - System32\Tasks\S-1-5-21-2970018744-2904546846-411606314-1003\DataSenseLiveTileTask => C:\WINDOWS\System32\DataUsageLiveTileTask.exe (Brak pliku)
Task: {CA00C0C1-4D3F-479E-93E8-3BC54E4A5035} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\MusUx_UpdateInterval => C:\WINDOWS\system32\MusNotification.exe Display (Brak pliku)
Task: {CCDFC0B8-01A3-4E74-A820-4F13F51D269E} - System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser => C:\WINDOWS\System32\MbaeParserTask.exe (Brak pliku)
Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => C:\WINDOWS\system32\MusNotification.exe (Brak pliku)
Task: {E9DB74CF-51FF-427D-B5EF-626E799A9E6A} - System32\Tasks\CreateExplorerShellUnelevatedTask => C:\WINDOWS\explorer.exe /NoUACCheck
Task: {F5330406-815D-4ACA-ABDF-F531889888FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_AC => C:\WINDOWS\system32\MusNotification.exe /RunOnAC ReadyToReboot (Brak pliku)
Tcpip\Parameters: [DhcpNameServer] 192.168.0.1
Tcpip\..\Interfaces\{631c94e2-50ec-48fa-ba1e-e4423b7ec7cd}: [DhcpNameServer] 192.168.0.1
Tcpip\..\Interfaces\{9dc3789e-44e2-4b90-9236-d36d59fe01c7}: [DhcpNameServer] 192.168.0.1
Edge HomeButtonPage: HKU\S-1-5-21-2970018744-2904546846-411606314-1003 -> hxxps://nl.search.yahoo.com/yhs/web?hspart=omr&hsimp=yhs-001&type=87fjnhltxzm001420&param1=y6bdVFVIsvuYsgEClQfz8NEPSp4FWG51g5cOG5gIsG4iDiizWxgZJradb3yL1kGjB1BZ8riDGYBLgvhLEsQJoDDmnsmpMbw2sVvBoFwR35QHOeAgMmQsRR5q%2FIntRxFZ2MetNQv1uBXSQEy50q2To%2FDfGAlbUBQRBuf%2F%2BrlzLbFYZu0sTBUdhR2mcBJhBr3ie%2FBB6IQvUvdcLEuIfrn7hHirNNxX7kvc%2BRDNKdJfAXdj3FVVAClPjr6CKJ7sESjn8fUwhZGbMrjpKnuR4mySZU5VZp%2FKNnzsU38vGcBYatEIbVsuQgPMZ8hUnAsWcQ2Jn6YzOgVJXl%2FF%2FU6%2FrNI12eLi3XZC3WDwzas0B8RpTUapN19Gs5hn5%2B95RPhx9r%2FjbMALjOMEFFL3IMnvwDzhkA%3D%3D
Edge Extension: (Brak nazwy) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [nie znaleziono]
Edge Extension: (Brak nazwy) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [nie znaleziono]
Edge Extension: (Brak nazwy) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [nie znaleziono]
Edge Extension: (Tłumacz dla Microsoft Edge) -> MicrosoftTranslate_MicrosoftTranslatorforMicrosoftEdge_8wekyb3d8bbwe => C:\Program Files\WindowsApps\Microsoft.TranslatorforMicrosoftEdge_0.91.51.0_neutral__8wekyb3d8bbwe [nie znaleziono]
Edge Extension: (Brak nazwy) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [nie znaleziono]
Edge HomePage: Default -> hxxps://go.microsoft.com/fwlink/p/?LinkId=619797&pc=UE01&ocid=UE01DHP
Edge DefaultSearchURL: Default -> hxxps://manageyoursearch.com/?q={searchTerms}
Edge DefaultSuggestURL: Default -> hxxps://manageyoursearch.com/suggest?q={searchTerms}
Edge HKLM\...\Edge\Extension: [meckckfjnfnimlomkemnhcoonjfpbcoh]
Edge HKU\S-1-5-21-2970018744-2904546846-411606314-1003\SOFTWARE\Microsoft\Edge\Extensions\...\Edge\Extension: [meckckfjnfnimlomkemnhcoonjfpbcoh]
Edge HKLM-x32\...\Edge\Extension: [meckckfjnfnimlomkemnhcoonjfpbcoh]
FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\local-settings.js [2016-04-04] <==== UWAGA (Linkuje do pliku *.cfg)
FF ExtraCheck: C:\Program Files\mozilla firefox\mozilla.cfg [2019-08-27] <==== UWAGA
S3 EAAntiCheat; system32\drivers\eaanticheat.sys [X]
S1 WinSetupMon; system32\DRIVERS\WinSetupMon.sys [X]
C:\Users\Przemek\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\meckckfjnfnimlomkemnhcoonjfpbcoh
C:\Users\Przemek\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom
C:\Program Files (x86)\SAntivirus
C:\Program Files (x86)\Digital Communications\SAntivirus
C:\ProgramData\SAntivirus
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SAntivirus
2022-12-15 18:44 - 2022-12-15 18:44 - 000000000 ___RD C:\Users\Przemek\Documents\Microsoft.SecHealthUI_8wekyb3d8bbwe!SecHealthUI
2022-12-15 18:41 - 2021-05-26 22:14 - 000000000 ____D C:\Users\Przemek\AppData\Local\Avast Software
2022-12-15 18:41 - 2020-04-01 16:50 - 000000000 ____D C:\ProgramData\Avast Software
2022-12-15 18:23 - 2022-10-07 23:45 - 000002588 _____ C:\WINDOWS\system32\Tasks\CreateExplorerShellUnelevatedTask
2021-06-26 17:18 - 2018-11-15 12:36 - 003229424 _____ () C:\Users\Przemek\AppData\Roaming\KMSpico-setup.exe
AS: Avast Antivirus (Enabled - Up to date) {5078598A-1FA2-C888-AA5F-A9C66537DB12}
Avast Update Helper (HKLM-x32\...\{19C3AB22-3718-4E4D-B203-242F5001565B}) (Version: 1.8.1579.3 - AVAST Software) Hidden
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [6424]
SearchScopes: HKLM -> DefaultScope {215EFAA7-E64F-48FA-9A85-F169F72F2BA2} URL = hxxps://nl.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wsg_fjnhltxzm_20_14_ssg00&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dnl%26pa%3Dwincy%26cd%3D2XzuyEtN2Y1L1QzuyEtByByE0EtD0BzzzyzytC0C0AtDtB0DtN0D0Tzu0StAtDtCtAtN1L2XzuyEtFyCtCtFtDtFtCzyzztN1L1Czu1BtCtN1L1G1B1V1N2Y1L1Qzu2SyC0F0BtDyDyCyCtDtGtC0FyByEtGtA0F0D0FtGtD0EyEyDtGyEtD0AzyyDtBtDtC0E0ByDtC2QtN1M1F1B2Z1V1N2Y1L1Qzu2StByB1O1OzztByEtAtGtDtB1P1StGyEtBtC1QtG1S1Ozy1TtGzy1R1TtBtB1S1P1O1SyB1OyB2QtN0A0LzuyEtN1B2Z1V1T1S1NzutN1Q2Z1B1P1RzutCyDzzyDyByDyCtCyDyE%26cr%3D1179069635%26a%3Dwsg_fjnhltxzm_20_14_ssg00%26os_ver%3D10.0%26os%3DWindows%2B10%2BHome&p={searchTerms}
SearchScopes: HKLM -> {215EFAA7-E64F-48FA-9A85-F169F72F2BA2} URL = hxxps://nl.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wsg_fjnhltxzm_20_14_ssg00&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dnl%26pa%3Dwincy%26cd%3D2XzuyEtN2Y1L1QzuyEtByByE0EtD0BzzzyzytC0C0AtDtB0DtN0D0Tzu0StAtDtCtAtN1L2XzuyEtFyCtCtFtDtFtCzyzztN1L1Czu1BtCtN1L1G1B1V1N2Y1L1Qzu2SyC0F0BtDyDyCyCtDtGtC0FyByEtGtA0F0D0FtGtD0EyEyDtGyEtD0AzyyDtBtDtC0E0ByDtC2QtN1M1F1B2Z1V1N2Y1L1Qzu2StByB1O1OzztByEtAtGtDtB1P1StGyEtBtC1QtG1S1Ozy1TtGzy1R1TtBtB1S1P1O1SyB1OyB2QtN0A0LzuyEtN1B2Z1V1T1S1NzutN1Q2Z1B1P1RzutCyDzzyDyByDyCtCyDyE%26cr%3D1179069635%26a%3Dwsg_fjnhltxzm_20_14_ssg00%26os_ver%3D10.0%26os%3DWindows%2B10%2BHome&p={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {215EFAA7-E64F-48FA-9A85-F169F72F2BA2} URL = hxxps://nl.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wsg_fjnhltxzm_20_14_ssg00&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dnl%26pa%3Dwincy%26cd%3D2XzuyEtN2Y1L1QzuyEtByByE0EtD0BzzzyzytC0C0AtDtB0DtN0D0Tzu0StAtDtCtAtN1L2XzuyEtFyCtCtFtDtFtCzyzztN1L1Czu1BtCtN1L1G1B1V1N2Y1L1Qzu2SyC0F0BtDyDyCyCtDtGtC0FyByEtGtA0F0D0FtGtD0EyEyDtGyEtD0AzyyDtBtDtC0E0ByDtC2QtN1M1F1B2Z1V1N2Y1L1Qzu2StByB1O1OzztByEtAtGtDtB1P1StGyEtBtC1QtG1S1Ozy1TtGzy1R1TtBtB1S1P1O1SyB1OyB2QtN0A0LzuyEtN1B2Z1V1T1S1NzutN1Q2Z1B1P1RzutCyDzzyDyByDyCtCyDyE%26cr%3D1179069635%26a%3Dwsg_fjnhltxzm_20_14_ssg00%26os_ver%3D10.0%26os%3DWindows%2B10%2BHome&p={searchTerms}
SearchScopes: HKLM-x32 -> {215EFAA7-E64F-48FA-9A85-F169F72F2BA2} URL = hxxps://nl.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wsg_fjnhltxzm_20_14_ssg00&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dnl%26pa%3Dwincy%26cd%3D2XzuyEtN2Y1L1QzuyEtByByE0EtD0BzzzyzytC0C0AtDtB0DtN0D0Tzu0StAtDtCtAtN1L2XzuyEtFyCtCtFtDtFtCzyzztN1L1Czu1BtCtN1L1G1B1V1N2Y1L1Qzu2SyC0F0BtDyDyCyCtDtGtC0FyByEtGtA0F0D0FtGtD0EyEyDtGyEtD0AzyyDtBtDtC0E0ByDtC2QtN1M1F1B2Z1V1N2Y1L1Qzu2StByB1O1OzztByEtAtGtDtB1P1StGyEtBtC1QtG1S1Ozy1TtGzy1R1TtBtB1S1P1O1SyB1OyB2QtN0A0LzuyEtN1B2Z1V1T1S1NzutN1Q2Z1B1P1RzutCyDzzyDyByDyCtCyDyE%26cr%3D1179069635%26a%3Dwsg_fjnhltxzm_20_14_ssg00%26os_ver%3D10.0%26os%3DWindows%2B10%2BHome&p={searchTerms}
SearchScopes: HKU\S-1-5-21-2970018744-2904546846-411606314-1003 -> {2f23ab71-4ac6-41f2-a955-ea576e553146} URL = hxxps://nl.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wsg_fjnhltxzm_20_14_ssg00&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dnl%26pa%3Dwincy%26cd%3D2XzuyEtN2Y1L1QzuyEtByByE0EtD0BzzzyzytC0C0AtDtB0DtN0D0Tzu0StAtDtCtAtN1L2XzuyEtFyCtCtFtDtFtCzyzztN1L1Czu1BtCtN1L1G1B1V1N2Y1L1Qzu2SyC0F0BtDyDyCyCtDtGtC0FyByEtGtA0F0D0FtGtD0EyEyDtGyEtD0AzyyDtBtDtC0E0ByDtC2QtN1M1F1B2Z1V1N2Y1L1Qzu2StByB1O1OzztByEtAtGtDtB1P1StGyEtBtC1QtG1S1Ozy1TtGzy1R1TtBtB1S1P1O1SyB1OyB2QtN0A0LzuyEtN1B2Z1V1T1S1NzutN1Q2Z1B1P1RzutCyDzzyDyByDyCtCyDyE%26cr%3D1179069635%26a%3Dwsg_fjnhltxzm_20_14_ssg00%26os_ver%3D10.0%26os%3DWindows%2B10%2BHome&p={searchTerms}
HKU\S-1-5-21-2970018744-2904546846-411606314-1003\...\StartupApproved\Run: => "AvastBrowserAutoLaunch_6C9879648CF2F48E1E5544FCE5A0A353"
HKU\S-1-5-21-2970018744-2904546846-411606314-1003\...\StartupApproved\Run: => "ut"
HKU\S-1-5-21-2970018744-2904546846-411606314-1003\...\StartupApproved\Run: => "utweb"
HKU\S-1-5-21-2970018744-2904546846-411606314-1003\...\StartupApproved\Run: => "uTorrent"
FirewallRules: [UDP Query User{02F7DC1D-32A0-4399-A973-7E158537369F}C:\users\przemek\appdata\local\programs\opera\opera.exe] => (Allow) C:\users\przemek\appdata\local\programs\opera\opera.exe => Brak pliku
FirewallRules: [TCP Query User{BE679060-621D-4B26-B11E-B0076765E21C}C:\users\przemek\appdata\local\programs\opera\opera.exe] => (Allow) C:\users\przemek\appdata\local\programs\opera\opera.exe => Brak pliku
FirewallRules: [{98BE12D7-D76E-41C7-ABED-B71499C1905F}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe => Brak pliku
FirewallRules: [{CF9B108B-9435-4D18-80EF-755DDD28FF8E}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Brak pliku
FirewallRules: [{5CF43A9F-77FC-4144-9050-C45F8D742E1F}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Brak pliku
FirewallRules: [{142CD8C0-8D55-4484-825F-573F4DF31E00}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Grand Theft Auto V\PlayGTAV.exe => Brak pliku
FirewallRules: [{F6FA7D6D-D402-48F2-AFAB-BB86C68E5454}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Grand Theft Auto V\PlayGTAV.exe => Brak pliku
FirewallRules: [TCP Query User{5041E989-9906-4CDD-A6D7-E35139178739}C:\program files (x86)\steam\steamapps\common\grand theft auto v\gta5.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\grand theft auto v\gta5.exe => Brak pliku
FirewallRules: [UDP Query User{AFCE6F08-7927-4954-89EA-42EF5B16E9D6}C:\program files (x86)\steam\steamapps\common\grand theft auto v\gta5.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\grand theft auto v\gta5.exe => Brak pliku
FirewallRules: [TCP Query User{F3BCEAD4-B89A-4011-8F5B-71D16E6AB9A8}C:\program files (x86)\steam\steamapps\common\grand theft auto v\gta5.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\grand theft auto v\gta5.exe => Brak pliku
FirewallRules: [UDP Query User{0F75219A-41A0-43DE-88A0-C74D8F2532F8}C:\program files (x86)\steam\steamapps\common\grand theft auto v\gta5.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\grand theft auto v\gta5.exe => Brak pliku
FirewallRules: [{5C6171CB-5DAD-4439-9072-74BFE3627B7D}] => (Allow) C:\Users\Przemek\AppData\Roaming\uTorrent\uTorrent.exe => Brak pliku
FirewallRules: [{7E84E9A0-A11E-45E2-A8ED-745A6408CF67}] => (Allow) C:\Users\Przemek\AppData\Roaming\uTorrent\uTorrent.exe => Brak pliku
FirewallRules: [TCP Query User{2AFBDD52-4A88-4CC1-A526-A2B6A23AC84B}D:\gry od tobiasza\cyberpunk.2077.gog.rip-insaneramzes\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Allow) D:\gry od tobiasza\cyberpunk.2077.gog.rip-insaneramzes\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Brak pliku
FirewallRules: [UDP Query User{2CEB7C87-8934-4AB9-AF3E-A18C1E883724}D:\gry od tobiasza\cyberpunk.2077.gog.rip-insaneramzes\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Allow) D:\gry od tobiasza\cyberpunk.2077.gog.rip-insaneramzes\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Brak pliku
FirewallRules: [{D075636B-AB45-44A9-B54A-8DCBE6E63679}] => (Allow) C:\Program Files (x86)\Apowersoft\Streaming Audio Recorder\Streaming Audio Recorder.exe => Brak pliku
FirewallRules: [{244AA6C4-EA3F-43FC-8B81-CB31DDDD86CA}] => (Allow) C:\Program Files (x86)\Apowersoft\Streaming Audio Recorder\Streaming Audio Recorder.exe => Brak pliku
FirewallRules: [{816B0670-A7E0-4FC7-80F5-B403BD0A5527}] => (Allow) C:\Program Files (x86)\Apowersoft\Streaming Audio Recorder\ApowersoftVideoHelper.dll => Brak pliku
FirewallRules: [{A082710D-9E9D-4388-8143-3A236B2C06F2}] => (Allow) C:\Program Files (x86)\Apowersoft\Streaming Audio Recorder\ApowersoftVideoHelper.dll => Brak pliku
FirewallRules: [TCP Query User{E7DB88B0-AA90-4D95-B184-8870DE84C725}D:\gry\unreal tournament iii\binaries\ut3.exe] => (Block) D:\gry\unreal tournament iii\binaries\ut3.exe => Brak pliku
FirewallRules: [UDP Query User{E483DB45-C54F-49A3-9434-F04D6CBAC5DD}D:\gry\unreal tournament iii\binaries\ut3.exe] => (Block) D:\gry\unreal tournament iii\binaries\ut3.exe => Brak pliku
FirewallRules: [TCP Query User{CE1D22FE-0C3B-40CB-9B7E-4949460F336A}D:\gry od tobiasza\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Allow) D:\gry od tobiasza\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Brak pliku
FirewallRules: [UDP Query User{814BA55A-F2ED-4BFB-9A5F-7954385DD07F}D:\gry od tobiasza\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Allow) D:\gry od tobiasza\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Brak pliku
FirewallRules: [TCP Query User{944F81E5-45C8-45C8-9FB6-695501CFA29C}D:\gry od tobiasza\farming simulator 19 alpine farming\x64\farmingsimulator2019game.exe] => (Block) D:\gry od tobiasza\farming simulator 19 alpine farming\x64\farmingsimulator2019game.exe => Brak pliku
FirewallRules: [UDP Query User{4213CF03-0CC2-46A7-9B8C-A3581553FB27}D:\gry od tobiasza\farming simulator 19 alpine farming\x64\farmingsimulator2019game.exe] => (Block) D:\gry od tobiasza\farming simulator 19 alpine farming\x64\farmingsimulator2019game.exe => Brak pliku
C:\Users\Przemek\Desktop\kitty\QGIS 3.20.2\GRASS GIS 7.8.6RC2.lnk
C:\Users\Przemek\Desktop\kitty\QGIS 3.20.2\OSGeo4W Shell.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Navigator 19\Setup Utility\Dezinstalacja aplikacji Navigator 19 - Setup Utility.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Navigator 19\Setup Utility\Navigator 19 - Setup Utility.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Navigator 19\Setup Utility\Updates.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMSpico\Log KMSpico.lnk
C:\Users\Przemek\Desktop\PRIVATE\AIDA64 Extreme.lnk
C:\Users\Przemek\Desktop\kitty\QGIS 3.20.2\OSGeo4W Setup.lnk
C:\Users\Przemek\Desktop\kitty\QGIS 3.20.2\QGIS Desktop 3.20.2.lnk
C:\Users\Przemek\Desktop\kitty\QGIS 3.20.2\Qt Designer with QGIS 3.20.2 custom widgets.lnk
C:\Users\Przemek\Desktop\kitty\QGIS 3.20.2\SAGA GIS 7.8.2.lnk
C:\Users\Przemek\Desktop\kitty\QGIS 3.20.2\GRASS GIS 7.8.6RC2.lnk
C:\Users\Przemek\Desktop\kitty\QGIS 3.20.2\OSGeo4W Shell.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMSpico\Uninstall KMSpico.lnk
EmptyEventLogs:
EmptyTemp:

Plik naprawczy przeznaczony jest tylko dla autora wątku!
Po wykonaniu skryptu i ponownym uruchomieniu załącz utworzony fixlog.txt

Wysłałem do Ciebie także wiadomość prywatną. :slight_smile:

#4

w jakiej kolejności przeprowadzić te działania? najpierw skan RogueKiller, Malwarebytes i AdwCleaner czy fixlista FRST?

#5

Możesz wykonać najpierw fixlist, a następnie skany. Kolejność nie ma tu znaczenia. :slight_smile:

#6

zrobilem to o czym pisales w FRST oraz skany innymi programami. czy jest cos jeszcze zainfekowane? program do VPN swiadomie zainstalowalem.

fixlog

RogueKiller
skan:

usuwanie:

Malwarebytes

AdwCleaner

Pozdrawiam.

#7

Zwróć uwagę na nieaktualny Telegram i Zoom. W przeglądarkach zamień AdBlocka na uBlock Origin.
Możesz także skorzystać z poradnika do Chrome → link

Zmień serwer DNS na Quad9 → YouTube (podstawowy 9.9.9.9, zapasowy 149.112.112.112)

Pobieraj programy ze strony producentów, bez dodatkowych asystentów. Sprawdzaj zaznaczane zgody i kieruj się dobrymi opiniami innych użytkowników (najlepiej z kilku źródeł). Przed uruchomieniem nieznanych plików możesz przeskanować je w bazie VirusTotal.

Wszystkie wymienione skanery usnęły pozostałości po SAntivirus Realtime Protection Lite (sygnatura Rogue.Segurazo/PUP.Optional.Segurazo), dodatkowo kilka innych adware: PUP.Optional.WinYahoo, PUP.Optional.WinzipSystemUtilitiesSuite, PUP.Optional.DotSetupIo.

Jest odczuwalna poprawa? :slight_smile:
Stwórz nowe logi FRST - sprawdzimy je kontrolnie. :wink:

#8

widac poprawe, zrobilem powtorny skan FRST. jest cos jeszcze do usuniecia?

frst

additional

short

#9

Uruchom FRST/FRST64.exe, wciśnij kombinację klawiszy ctrl + y. Otworzy się notatnik, do którego wklej zawartość skryptu. Zamknij i zapisz. W FRST kliknij „napraw” →

HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ograniczenia <==== UWAGA
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ograniczenia <==== UWAGA
2022-12-16 10:40 - 2022-12-16 10:41 - 000000000 ____D C:\AdwCleaner
2022-12-16 10:01 - 2022-12-16 10:09 - 000000000 ____D C:\ProgramData\RogueKiller
MSCONFIG\Services: McAfee WebAdvisor => 2
HKLM\...\StartupApproved\StartupFolder: => "WinZip Preloader.lnk"
HKLM\...\StartupApproved\Run: => "WinZip UN"
HKLM\...\StartupApproved\Run: => "WinZip FAH"
HKU\S-1-5-21-2970018744-2904546846-411606314-1003\...\StartupApproved\Run: => "Opera Browser Assistant"

By usunąć wszystkie pliki/foldery utworzone przez FRST oraz narzędzie jako takie, zmień nazwę pliku FRST/FRST64.exe na uninstall.exe i uruchom ten plik. Procedura wymaga ponownego uruchomienia urządzenia.

Uruchom wiersz poleceń (cmd.exe) z uprawnieniami administratora. Wklej pierwsze polecenie i zatwierdź je enterem. Gdy proces dobiegnie końca, wykonaj drugie polecenie. Nie zamykaj wiersza poleceń dopóki proces nie dobiegnie końca!

  1. DISM.exe /Online /Cleanup-image /Restorehealth

  2. sfc /scannow

To wszystko. Oznacz post, który rozwiązał Twój problem. :slight_smile:

#10

Nieładnie. Nie chodzi mi oczywiście o informowanie, a o używanie przez autora. Zwłaszcza, że cały system kosztuje ułamek ceny komputera, a także tyleż samo, co kilka gier. A już w porównaniu do wielu programów, to wręcz „grosze”. Co prawda ja jestem zwolennikiem podejścia, że system W10 (czy W11) do użytku domowego powinien być bezpłatny (albo przynajmniej znacznie tańszy), no ale, niestety, nie jest.
Zresztą tę samą opinię wyrażali ludzie z Microsoft Polska, z którymi parę lat temu osobiście rozmawiałem. Notabene teraz jeden z nich jest w radzie nadzorczej WP, chodzi tu o Mariusza Jarzębowskiego*, a drugi to Patryk Góralewski („Windows Products Marketing Lead” w MS, cokolwiek by to znaczyło, no ale chyba był gościem odpowiedzialnym za marketing ;), który również tak uważał. Niestety kolejne edycje Windowsa dla użytkowników domowych są płatne, więc jednak sugeruję zaprzestanie korzystania z wersji „bezpłatnej”. Zwłaszcza, że do dziś można aktywować W10 na kluczu z W7. :slight_smile:

*-Pamiętacie gościa od „wstążki”? Tak, to on.

#11

Za „starych dobrych czasów” rzadko kto „leczył” zhakowane systemy.
Np. na searchengines.pl odpowiedź była prosta.
„wiedziałeś jakie ponosisz ryzyko więc teraz to twój problem”

To błędne podejście. Nikt nie tworzy systemu Windows za darmo.
Ciekawe jaka było by reakcja ludzi których wymieniłeś gdyby pracodawca ich zatrudnił pod warunkiem ze będa pracować za darmo albo za znacznie mniejsza pensję

#12

To nie ten temat, ale odpowiem.
MS swego czasu (tak z ~15 lat temu) bardzo znacząco obniżył cenę swojego najnowszego pakietu MS Office dla użytkowników domowych. Wtedy był to Office 2007. Wcześniej Office kosztował ok. 1000 zł - 1500 zł (oczywiście trochę różnie, w zależności od sklepu), więc w najlepsze kwitło piractwo. MS postanowił jednak wtedy, aby sprzedawać ten pakiet za 199 zł i to od razu z licencją na 3 komputery. U sprzedawców często kosztował on ok. 169 zł. Czyli 1 komputer = niecałe 57 zł. I co się wtedy okazało? Że zyski Microsoftu w Polsce wzrosły. Pamiętam ten boom na kupowanie Office’a. Tak więc nie zaporowa cena końcowa, a ilość x cena akceptowalna robi robotę. I nikt nie musi pracować za darmo lub za mniejszą pensję.

#13

Office to nie system. Jest między nimi spora róznica
Zdecydowana wiekszość Windows 10 jest preinstalowana (laptop)
Do tego jak zauwazyłes, można go aktywować kluczem z Win 7. Za darmo.
P.S. A jak juz chce sie kupić to jednowyrazowy wydatek 500-600 zł na wiele systemów (win 10, 11 a pewnie i 12 a moze i 13) na kolana nie rzuca.

#14

Ten temat został automatycznie zamknięty 30 dni po ostatnim wpisie. Tworzenie nowych odpowiedzi nie jest już możliwe.