Logi z FRST proszę o analizę

kaczor9 · 31 Październik 2022 21:30

Witam
Proszę o analizę logów.
Dziękuje.
Pozdrawiam
Addition.txt (767,3 KB)
FRST.txt (50,4 KB)

ThetaETX · 3 Listopad 2022 02:31

Witaj @kaczor9 na forum Dobre Programy!

Posiadasz więcej, niż jeden pakiet zabezpieczający lub inny komponent, dlatego odinstaluj:

Odinstaluj przestarzałe programy:

Adobe AIR
Adobe Flash Player
Java 8 Update 301

Dodatkowo zalecam usunięcie CCleanera i zastąpienie go BleachBitem.

Poradnik do Chrome → Podstawowa konfiguracja Chrome | Przybornik #soo
Zmień serwer DNS na Quad9 → YouTube (podstawowy 9.9.9.9, zapasowy 149.112.112.112)

Uruchom FRST/FRST64.exe, wciśnij kombinację klawiszy ctrl + y. Otworzy się notatnik, do którego wklej zawartość skryptu. Zamknij i zapisz. W FRST kliknij „napraw” →

CloseProcesses:
CreateRestorePoint:
(C:\Program Files\ByteFence\rtop\bin\rtop_svc.exe ->) (Byte Technologies LLC -> Byte Technologies LLC.) C:\Program Files\ByteFence\rtop\bin\rtop_bg.exe
(services.exe ->) (Byte Technologies LLC -> Byte Technologies LLC.) C:\Program Files\ByteFence\rtop\bin\rtop_svc.exe
HKLM-x32\...\Run: [] => [X]
HKLM-x32\...\Run: [SunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [706344 2021-06-09] (Oracle America, Inc. -> Oracle Corporation)
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
HKU\S-1-5-21-3843783242-2537428572-3719430136-1002\...\Run: [CCleaner Smart Cleaning] => C:\Program Files\CCleaner\CCleaner64.exe [38789456 2022-10-20] (PIRIFORM SOFTWARE LIMITED -> Piriform Software Ltd)
HKU\S-1-5-21-3843783242-2537428572-3719430136-1002\...\MountPoints2: F - F:\Setup.exe
HKU\S-1-5-21-3843783242-2537428572-3719430136-1002\...\MountPoints2: J - J:\Lenovo_Suite.exe
HKU\S-1-5-21-3843783242-2537428572-3719430136-1002\...\MountPoints2: {0e48c5e3-f5ea-11ea-b018-485b393aef53} - ĺŤŽä¸şć‰‹ćśşĺŠ©ć‰‹ĺ®‰čŁ…ĺ‘ĺŻĽ.exe
HKU\S-1-5-21-3843783242-2537428572-3719430136-1002\...\MountPoints2: {10f3ad8a-4a7c-11e9-9ae2-806e6f6e6963} - J:\Setup.exe
HKU\S-1-5-21-3843783242-2537428572-3719430136-1002\...\MountPoints2: {678fb047-822b-11ea-a3de-806e6f6e6963} - J:\Lenovo_Suite.exe
HKU\S-1-5-21-3843783242-2537428572-3719430136-1002\...\MountPoints2: {678fb092-822b-11ea-a3de-485b393aef53} - J:\Lenovo_Suite.exe
HKU\S-1-5-21-3843783242-2537428572-3719430136-1002\...\MountPoints2: {8bd5494f-2cd0-11ec-8a16-485b393aef53} - ĺŤŽä¸şć‰‹ćśşĺŠ©ć‰‹ĺ®‰čŁ…ĺ‘ĺŻĽ.exe
HKU\S-1-5-21-3843783242-2537428572-3719430136-1002\...\MountPoints2: {b2c3cc40-4a75-11e9-98c6-485b393aef53} - F:\Setup.exe
HKU\S-1-5-21-3843783242-2537428572-3719430136-1002\...\MountPoints2: {b2c3cc4c-4a75-11e9-98c6-485b393aef53} - F:\Setup.exe
HKU\S-1-5-21-3843783242-2537428572-3719430136-1002\...\MountPoints2: {b2c3cc9c-4a75-11e9-98c6-485b393aef53} - F:\Setup.exe
HKU\S-1-5-21-3843783242-2537428572-3719430136-1002\...\MountPoints2: {bdb133e7-3f82-11e9-8d51-485b393aef53} - E:\SETUP.EXE
HKU\S-1-5-21-3843783242-2537428572-3719430136-1002\...\MountPoints2: {eea16d9f-a5bd-11ea-a414-485b393aef53} - J:\LG_PC_Programs.exe
HKU\S-1-5-21-3843783242-2537428572-3719430136-1002\...\MountPoints2: {f165e053-fb59-11ea-a2c9-485b393aef53} - ĺŤŽä¸şć‰‹ćśşĺŠ©ć‰‹ĺ®‰čŁ…ĺ‘ĺŻĽ.exe
HKU\S-1-5-21-3843783242-2537428572-3719430136-1002\...\MountPoints2: {f165e058-fb59-11ea-a2c9-485b393aef53} - ĺŤŽä¸şć‰‹ćśşĺŠ©ć‰‹ĺ®‰čŁ…ĺ‘ĺŻĽ.exe
HKLM\Software\Microsoft\Active Setup\Installed Components: [{052EB454-9F19-CB42-7875-807F79F311C4}] -> C:\Program Files (x86)\CCleaner Browser\Application\106.0.18743.105\Installer\chrmstp.exe [2022-10-11] (Piriform Software Ltd -> Piriform Software)
IFEO\osppsvc.exe: [VerifierDlls] SppExtComObjHook.dll
IFEO\SppExtComObj.exe: [VerifierDlls] SppExtComObjHook.dll
GroupPolicy: Ograniczenia ? <==== UWAGA
Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA
Task: {11A09ABC-16E4-46B5-A88B-C39F8B870A28} - System32\Tasks\e-pity2019_styczen => C:\Program Files (x86)\e-file\e-pity\Assets\signxml.exe notify 1 02.03.2021 (Brak pliku)
Task: {15FF88F3-309F-4D29-9DB9-8042994587C4} - System32\Tasks\CCleanerUpdateTaskMachineCore => C:\Program Files (x86)\CCleaner Browser\Update\CCleanerBrowserUpdate.exe [200928 2021-03-25] (Piriform Software Ltd -> Piriform Software)
Task: {19BE7222-55D2-4737-A117-ABEC313D4246} - System32\Tasks\RazerCortexOnceLaunch => C:\Program Files (x86)\Razer\Razer Cortex\CortexLauncher.exe -istask (Brak pliku)
Task: {2F40C755-B2FA-4DBA-9F33-1A2A6BE10E6C} - System32\Tasks\e-pity2019a_kwiecien => C:\Program Files (x86)\e-file\e-pity\Assets\signxml.exe notify 2 30.04.2021 (Brak pliku)
Task: {31898649-BAD9-4D44-A558-4615AEFF3434} - System32\Tasks\CCleaner Browser Heartbeat Task (Hourly) => C:\Program Files (x86)\CCleaner Browser\Application\CCleanerBrowser.exe [3032232 2022-10-06] (Piriform Software Ltd -> Piriform Software)
Task: {3FC6076C-EFAD-4310-8A91-33534250E5F8} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe [2250576 2022-05-25] (Avast Software s.r.o. -> Avast Software)
Task: {572DB63A-EC2C-4E49-8C6A-69872D063904} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentFallBack2016 => C:\Program Files\Microsoft Office\Office16\msoia.exe [416432 2015-07-31] (Microsoft Corporation -> Microsoft Corporation)
Task: {90951D69-852D-49DE-9472-86CFE1B2188C} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentLogOn2016 => C:\Program Files\Microsoft Office\Office16\msoia.exe [416432 2015-07-31] (Microsoft Corporation -> Microsoft Corporation)
Task: {92A11C98-ED4D-49F7-9990-8E427B909B58} - System32\Tasks\Adobe Flash Player NPAPI Notifier => C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_32_0_0_453_Plugin.exe [1502776 2020-11-23] (Adobe Inc. -> Adobe)
Task: {A5534494-C8AD-4C27-BDD8-94EAA8056E24} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [1552376 2022-09-26] (Adobe Inc. -> Adobe Inc.)
Task: {B961C701-04B8-4BEF-BFD6-18B1A0CAF697} - System32\Tasks\RunUninstallTool_SkipUac => C:\Program Files\Uninstall Tool\UninstallTool.exe [4831816 2018-11-29] (CrystalBit Solutions -> CrystalIDEA Software) [Brak podpisu cyfrowego]
Task: {C35C5E7D-D670-415C-8F28-7C5A4B9108F7} - System32\Tasks\CCleaner Update => C:\Program Files\CCleaner\CCUpdate.exe [684976 2022-10-20] (Piriform Software Ltd -> Piriform)
Task: {E35E96E9-3A61-4E6B-8BA4-7C857723F704} - System32\Tasks\CCleanerCrashReporting => C:\Program Files\CCleaner\CCleanerBugReport.exe [4669264 2022-10-20] (PIRIFORM SOFTWARE LIMITED -> Piriform Software) -> --product 90 --send dumps|report --path "C:\Program Files\CCleaner\LOG" --programpath "C:\Program Files\CCleaner" --configpath "C:\Program Files\CCleaner\Setup" --guid "da2657f8-257b-4cda-9f31-11cbb46eff6a" --version "6.05.10110" --silent
Task: {E47C3BD0-7679-4B78-950E-3873F8D3EB2E} - System32\Tasks\Mozilla\Firefox Background Update 308046B0AF4A39CB => C:\Program Files\Mozilla Firefox\firefox.exe --MOZ_LOG sync,prependheader,timestamp,append,maxsize:1,Dump:5 --MOZ_LOG_FILE C:\ProgramData\Mozilla-1de4eec8-1241-4177-a864-e594e8d1fb38\updates\308046B0AF4A39CB\backgroundupdate.moz_log --backgroundtask backgroundupdate
Task: {FB76EBA0-AFBE-486F-B73A-06DED3C21BED} - System32\Tasks\CCleaner Browser Heartbeat Task (Logon) => C:\Program Files (x86)\CCleaner Browser\Application\CCleanerBrowser.exe [3032232 2022-10-06] (Piriform Software Ltd -> Piriform Software)
Task: C:\Windows\Tasks\CCleanerCrashReporting.job => C:\Program Files\CCleaner\CCleanerBugReport.exe
Tcpip\Parameters: [DhcpNameServer] 8.8.8.8 8.8.4.4
Tcpip\..\Interfaces\{15513B6C-ABE8-49EB-9E0F-74E2F18E6883}: [DhcpNameServer] 8.8.8.8 8.8.4.4
Tcpip\..\Interfaces\{3ACAC573-417A-4585-90F0-039805C16338}: [DhcpNameServer] 8.8.8.8 8.8.4.4
Tcpip\..\Interfaces\{504B0C04-9980-41BD-817D-06A5FB8FA57C}: [DhcpNameServer] 192.168.137.129
Tcpip\..\Interfaces\{7B26BA07-124A-4438-9AAD-910B1F6007B2}: [DhcpNameServer] 8.8.8.8 8.8.4.4
FF Plugin: @microsoft.com/GENUINE -> disabled [Brak pliku]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [Brak pliku]
CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho]
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho]
CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki]
CHR HKLM-x32\...\Chrome\Extension: [ofoeigeaodhbjogdigckajfhjbonaofg]
R2 rtop; c:\program files\bytefence\rtop\bin\rtop_svc.exe [297288 2020-10-19] (Byte Technologies LLC -> Byte Technologies LLC.) <==== UWAGA
S3 HRMACPI; SYSTEM32\DRIVERS\HRMACPI.SYS [X]
S3 SOFTHIDUSBK; SYSTEM32\DRIVERS\SOFTHIDUSBK.SYS [X]
S3 SOFTUSBK; SYSTEM32\DRIVERS\SOFTUSBK.SYS [X]
S3 SOFTUSBTESTHUB; SYSTEM32\DRIVERS\SOFTUSBTESTHUB.SYS [X]
S3 SOFTWADP; SYSTEM32\DRIVERS\SOFTWADP.SYS [X]
U3 tmlwf; Brak ImagePath
U3 tmwfp; Brak ImagePath
S3 WSOFTUSBK; SYSTEM32\DRIVERS\WSOFTUSBK.SYS [X]
2022-10-31 19:54 - 2019-03-06 22:47 - 000000266 __RSH C:\ProgramData\ntuser.pol
C:\Users\robert\AppData\Local\Google\Chrome\User Data\Default\Extensions\fheoggkfdfchfphceeifdbepaooicaho
C:\Program Files\ByteFence
C:\ProgramData\ByteFence
AlternateDataStreams: C:\ProgramData\Temp:AB689DEA [121]
HKU\S-1-5-21-3843783242-2537428572-3719430136-1002\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://asus.msn.com
SearchScopes: HKU\S-1-5-21-3843783242-2537428572-3719430136-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-3843783242-2537428572-3719430136-1002 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-3843783242-2537428572-3719430136-1002 -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = 
SearchScopes: HKU\S-1-5-21-3843783242-2537428572-3719430136-1002 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = 
Toolbar: HKU\S-1-5-21-3843783242-2537428572-3719430136-1002 -> Brak nazwy - {21FA44EF-376D-4D53-9B0F-8A89D3229068} -  Brak pliku
Hosts:
CMD: netsh advfirewall reset
EmptyEventLogs:
EmptyTemp:

Plik naprawczy przeznaczony jest tylko dla autora wątku!
Po wykonaniu skryptu i ponownym uruchomieniu załącz utworzony fixlog.txt

Wykonaj profilaktyczne skanowanie. Jeśli zostanie odnaleziony jakiś element to zamieść zrzut ekranu (screen) zawierający sygnaturę i lokalizację pliku.

RogueKiller Anti Malware
Zalecane pobranie wersji przenośnej (portable). Przed uruchomieniem pełnego skanowania należy włączyć w ustawieniach bezsygnaturowy „moduł MaIPE (BETA)”; opcjonalnie „skanuj z pełną wydajnością” (ustawienia → ustawienia skanowania).
Malwarebytes Anti-Malware
Upewnij się, że przed skanowaniem zostało zaznaczone: skanuj w poszukiwaniu rootkitów, skanuj archiwa, użyj sztucznej inteligencji. Opcje te odnajdziesz w ustawieniach → bezpieczeństwo → opcje skanowania.
AdwCleaner
Po skończonym skanowaniu pomiń linie oznaczone jako preinstalowane. Resztę odnalezionych elementów przenieś do kwarantanny.

Stwórz nowe logi FRST do kontroli.

PS: Przesłałem próbkę ByteFence do kilku laboratoriów antywirusowych. Powinna zwiększyć się wykrywalność.

kaczor9 · 3 Listopad 2022 16:23

Witam
Nowe logi:
Fixlog_03-11-2022 14.28.43.txt (24,3 KB)
FRST.txt (451 bajtów)

Dziękuje za pomoc.
Pozdrawiam

ThetaETX · 4 Listopad 2022 00:27

Nowe logi FRST są niekompletne, a sam log FRST.txt ucięty.

Skanery odnalazły jakieś elementy?

kaczor9 · 4 Listopad 2022 17:05

Witam
malwarebytes-nic nie wykrył
adwcleaner-nic nie wykrył
roguekiller - wykrył pare zagrożeń,ale chyba nie są groźne wstawiam raport
raport RogueKiller.txt (13,5 KB)
Przy próbie skanowania FRST program się uruchamia i od razu się wyłącza,znaczy to chyba że nic nie znalazł.
Pozdrawiam

system · 13 Marzec 2023 16:33

Ten temat został automatycznie zamknięty 30 dni po ostatnim wpisie. Tworzenie nowych odpowiedzi nie jest już możliwe.