Proszę o sprawdzenie logów z FRST

Proszę o sprawdzenie FRST ponieważ mam jakieś złośliwe oprogramowanie na instagramie jakies boty mnie zapraszały potem ja je obserwowalam nie wiedziac o tym, ale zainstalowalam malwarebytes skan i wykryło 8 zagrozen dalam je do kwarantanny i usunęłam, lecz nie wiem czy to koniec…
frst.txt - Pastebin FRST.txt
Addition.txt - Pastebin Addition.txt

1 polubienie

@nika23574 - mogłabyś załączyć wygenerowany log, w którym wykryto 8 zagrożeń?

  • Czy przed wykonaniem skanu Malwarebytes włączyłaś wykrywanie rootkitów?
    Opcje te odnajdziesz w ustawieniach → bezpieczeństwo → opcje skanowania.

  • Wykonaj jeszcze profilaktyczny skan RogueKiller Anti Malware
    Zalecane pobranie wersji przenośnej (portable). Przed uruchomieniem pełnego skanowania należy włączyć w ustawieniach bezsygnaturowy „moduł MaIPE (BETA)”; opcjonalnie „skanuj z pełną wydajnością” (ustawienia → ustawienia skanowania).

Podejrzewam, że zastosowałaś nieprawidłową politykę haseł, tzn. używasz do wielu stron tego samego hasła. Proponuję zastosować menadżer haseł, np. Bitwarden i pozmieniać po oczyszczaniu wszędzie swoje hasła i gdzie to możliwe włączyć weryfikację dwuetapową.

Druga możliwość to złośliwe rozszerzenie w Twojej przeglądarce.
Zastosuj się do poradnika → Podstawowa konfiguracja Chrome | Przybornik #soo
Zmień serwer DNS na Quad9 → YouTube (podstawowy 9.9.9.9, zapasowy 149.112.112.112)


Odinstaluj:

  • Avast Update Helper (ujawni się po wykonaniu fixlisty)
  • CCleaner (zamień na otwartoźródłowy BleachBit)

Uruchom FRST/FRST64.exe, wciśnij kombinację klawiszy ctrl + y. Otworzy się notatnik, do którego wklej zawartość skryptu. Zamknij i zapisz. W FRST kliknij „napraw” →

CloseProcesses:
CreateRestorePoint:
HKLM-x32\...\Run: [SunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [707256 2021-12-15] (Oracle America, Inc. -> Oracle Corporation)
HKU\S-1-5-21-3020137172-1804870369-863837663-1001\...\Run: [Overwolf] => C:\Program Files (x86)\Overwolf\OverwolfLauncher.exe [1784664 2023-02-25] (Overwolf Ltd -> Overwolf Ltd.)
HKLM-x32\...\Run: [Intel Driver & Support Assistant] => C:\Program Files (x86)\Intel\Driver and Support Assistant\DSATray.exe [292104 2023-02-28] (Intel Corporation -> Intel)
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ograniczenia <==== UWAGA
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ograniczenia <==== UWAGA
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ograniczenia <==== UWAGA
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA
HKU\S-1-5-21-3020137172-1804870369-863837663-1001\...\Run: [MicrosoftEdgeAutoLaunch_C912C9CDE0175182D1A3053112C390AF] => "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --no-startup-window --win-session-start /prefetch:5 [4242384 2023-03-09] (Microsoft Corporation -> Microsoft Corporation)
HKU\S-1-5-21-3020137172-1804870369-863837663-1001\...\Run: [ProductAuthenticationService] => C:\Users\Monika\AppData\Roaming\ProductAuthenticationService\pas.exe [1003024 2023-01-28] (DVJ LIMITED -> DVJ LIMITED) <==== UWAGA
HKU\S-1-5-21-3020137172-1804870369-863837663-1001\...\Run: [CCleaner Smart Cleaning] => C:\Program Files\CCleaner\CCleaner64.exe [38966072 2023-02-08] (PIRIFORM SOFTWARE LIMITED -> Piriform Software Ltd)
Task: {023D35DE-58A5-4D45-AF69-89E69565DA46} - System32\Tasks\Overwolf Updater Task => C:\Program Files (x86)\Common Files\Overwolf\OverwolfUpdater.exe [2645880 2023-02-25] (Overwolf Ltd -> Overwolf LTD)
Task: {5AD7AA5F-C41A-4BD0-863A-B5BEDE7AAD9B} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-3020137172-1804870369-863837663-500 => C:\Users\Monika\AppData\Local\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (Brak pliku)
Task: {70EA9B95-89FC-4F63-8213-DF622E3F0523} - System32\Tasks\USER_ESRV_SVC_QUEENCREEK => "C:\WINDOWS\System32\Wscript.exe" //B //NoLogo "C:\Program Files\Intel\SUR\QUEENCREEK\x64\task.vbs"
Task: {7E729723-FBFA-40F5-AAEC-5EC871401239} - System32\Tasks\Opera scheduled assistant Autoupdate 1607496987 => C:\Users\Monika\AppData\Local\Programs\Opera\launcher.exe -> --scheduledautoupdate --component-name=assistant --component-path="C:\Users\Monika\AppData\Local\Programs\Opera\assistant" $(Arg0)
Task: {D7C33D81-E21A-47BD-94E8-7351FC63E6B8} - System32\Tasks\Opera scheduled Autoupdate 1607496929 => C:\Users\Monika\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (Brak pliku)
Task: {E184069D-6C07-48AC-96BA-9DB7C8AE0A42} - System32\Tasks\CCleaner Update => C:\Program Files\CCleaner\CCUpdate.exe [684976 2023-02-08] (Piriform Software Ltd -> Piriform)
Task: {E94E6FF7-7DBF-4036-9337-B7D50BA37057} - System32\Tasks\CCleanerCrashReporting => C:\Program Files\CCleaner\CCleanerBugReport.exe [4703544 2023-02-08] (PIRIFORM SOFTWARE LIMITED -> Piriform Software) -> --product 90 --send dumps|report --path "C:\Program Files\CCleaner\LOG" --programpath "C:\Program Files\CCleaner" --configpath "C:\Program Files\CCleaner\Setup" --guid "1ff238c7-636b-4aee-a0c1-71874cc71584" --version "6.09.10300" --silent
Task: C:\WINDOWS\Tasks\CCleanerCrashReporting.job => C:\Program Files\CCleaner\CCleanerBugReport.exe
Task: {F62B3995-9DBC-446B-BCF1-1C8E966E75F6} - System32\Tasks\IUM-F1E24CA0-B63E-4F13-A9E3-4ADE3BFF3473 => C:\Program Files (x86)\Intel\Intel(R) Update Manager\bin\iumsvc.exe --automatic (Brak pliku)
Tcpip\Parameters: [DhcpNameServer] 192.168.1.1
Tcpip\..\Interfaces\{60e3ace2-4bf6-4ede-9129-49c9b2b6574e}: [DhcpNameServer] 192.168.1.1
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = 
HKU\S-1-5-21-3020137172-1804870369-863837663-1001\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
C:\Users\Monika\AppData\Local\Microsoft\Edge\User Data\Profile 1\Extensions\ndcileolkflehcjpmjnfbnaibdcgglog
C:\Users\Monika\AppData\Local\Google\Chrome\User Data\Default\Extensions\aegnopegbbhjeeiganiajffnalhlkkjb
C:\Users\Monika\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom
C:\Users\Monika\AppData\Local\Google\Chrome\User Data\Default\Extensions\ihcjicgdanjaechkgeegckofjjedodee
C:\Users\Monika\AppData\Local\Google\Chrome\User Data\Default\Extensions\llbcnfanfmjhpedaedhbcnpgeepdnnok
CHR HKLM\...\Chrome\Extension: [llbcnfanfmjhpedaedhbcnpgeepdnnok]
CHR HKU\S-1-5-21-3020137172-1804870369-863837663-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [llbcnfanfmjhpedaedhbcnpgeepdnnok]
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
CHR HKLM-x32\...\Chrome\Extension: [llbcnfanfmjhpedaedhbcnpgeepdnnok]
C:\Users\Monika\AppData\Roaming\ProductAuthenticationService\pas.exe
S3 dcpm-notify; "C:\Program Files\Dell\CommandPowerManager\NotifyService.exe" [X]
S3 rsDwf; \SystemRoot\system32\DRIVERS\rsDwf.sys [X]
S3 ssudmdm; \SystemRoot\system32\DRIVERS\ssudmdm.sys [X]
AV: Kaspersky Free (Disabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
FW: Kaspersky Security Cloud (Disabled) {774D7037-0984-41B0-3A87-5E88E680AD58}
AV: Emsisoft Anti-Malware (Disabled - Up to date) {5FD8BF8F-F242-6153-61B5-8FF333E8736B}
Avast Update Helper (HKLM-x32\...\{19C3AB22-3718-4E4D-B203-242F5001565B}) (Version: 1.8.1579.3 - AVAST Software) Hidden
AlternateDataStreams: C:\desktop.ini:CachedTiles [8702]
AlternateDataStreams: C:\ProgramData:err [1682]
AlternateDataStreams: C:\Users\All Users:err [1682]
AlternateDataStreams: C:\ProgramData\Dane aplikacji:err [1682]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [2680]
FirewallRules: [UDP Query User{44DED444-0CCD-4355-8429-8BD70A029D61}C:\program files\avast software\avast\avastui.exe] => (Allow) C:\program files\avast software\avast\avastui.exe => Brak pliku
FirewallRules: [TCP Query User{A4D6C6FC-3306-4680-82F9-FE2DBF419409}C:\program files\avast software\avast\avastui.exe] => (Allow) C:\program files\avast software\avast\avastui.exe => Brak pliku
FirewallRules: [{E5AB3B57-AF39-4382-B60A-30DDDD428CF1}] => (Allow) C:\Games\Grand Theft Auto V\GTA5.exe => Brak pliku
FirewallRules: [{1F07F63C-47FF-43F5-9712-01B49FB7705F}] => (Allow) C:\Games\Grand Theft Auto V\GTA5.exe => Brak pliku
FirewallRules: [{F647C9DA-FE65-4B2E-8C31-2C2D349B6C61}] => (Allow) C:\Program Files (x86)\Overwolf\0.218.0.8\OverwolfBrowser.exe => Brak pliku
FirewallRules: [{5B019947-D7AF-4A8B-A0FA-9CC2F26FDB2D}] => (Allow) C:\Program Files (x86)\Overwolf\0.218.0.8\OverwolfBrowser.exe => Brak pliku
FirewallRules: [{2E1D3332-6338-4A91-9267-20A3A500463F}] => (Block) C:\Program Files (x86)\Overwolf\0.218.0.8\OverwolfBrowser.exe => Brak pliku
FirewallRules: [{14F40A52-88D8-461A-A59E-05AAA7C2AFA5}] => (Block) C:\Program Files (x86)\Overwolf\0.218.0.8\OverwolfBrowser.exe => Brak pliku
CMD: sfc /scannow 
EmptyEventLogs:
EmptyTemp: 

Plik naprawczy przeznaczony jest tylko dla autora wątku!
Po wykonaniu skryptu i ponownym uruchomieniu załącz utworzony fixlog.txt

Fixlog.txt (392 bajty)
w malwarebytes włączyłam rootkity i nic nie wykryło, zrobiłam skan roguekiller anti malware i wykryło Dell bedzie na załączonym obrazku i mam pytanie czy to usuwać czy nie?


edit usunęłam i okazało się że było to złośliwe oprogramowanie

Usuń wykryte zagrożenie przez RogueKillera.

Nie wykonałaś skryptu poprawnie. Spróbuj jeszcze raz.
fixlist.txt (7,4 KB) - pobierz ten plik (C:\Users\Monika\Downloads). W FRST wybierz „napraw”.

Fixlog.txt (392 bajty)

Zmieniłaś lokalizację programu FRST na „C:\Users\Monika\Desktop\programy ratujące laptopa”.
Przenieś tam plik fixlist.txt, obok FRST.exe i ponów czynność „napraw”.

Fixlog.txt (23,7 KB)

1 polubienie

Czy problem z Instagramem ustąpił?
Możesz stworzyć nowe logi FRST do kontroli, wybierając „skanuj”.

Tak problem ustąpił, odrazu po tym jak usunęłam te wirusy malwarebytes.
FRST.txt - Pastebin frst.txt
addition.txt - Pastebin addition.txt
dziękuję za pomoc :smiley:

Odinstaluj: Avast Update Helper.

Do przeglądarek dodaj uBlock Origin + filtry z bloga (pkt. 6.2)

Przed uruchomieniem nieznanych plików sprawdzaj je w bazie VirusTotal.
Możesz zautomatyzować ten proces rozszerzeniem VT4Browsers - Chrome Web Store.

Uruchom FRST/FRST64.exe, wciśnij kombinację klawiszy ctrl + y. Otworzy się notatnik, do którego wklej zawartość skryptu. Zamknij i zapisz. W FRST kliknij „napraw” →

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-3020137172-1804870369-863837663-1001\...\Run: [UCheck] => C:\Program Files\UCheck\UCheck64.exe [31456688 2023-01-30] (ADLICE -> )
Task: {0DE2FD7D-C814-4DA2-9D1D-8F6EE2AC6253} - System32\Tasks\Microsoft\Office\Office Automatic Updates 2.0 => C:\Program Files\Common Files\Microsoft Shared\ClickToRun\OfficeC2RClient.exe [26294704 2023-03-07] (Microsoft Corporation -> Microsoft Corporation)
Task: {9DFA6313-67FE-4747-95A9-3251595057BB} - System32\Tasks\Microsoft\Office\Office Feature Updates Logon => C:\Program Files\Microsoft Office\root\Office16\sdxhelper.exe [144280 2023-03-07] (Microsoft Corporation -> Microsoft Corporation)
Task: {EABF9606-45EB-48C7-9735-F6476C291C20} - System32\Tasks\Microsoft\Office\Office Feature Updates => C:\Program Files\Microsoft Office\root\Office16\sdxhelper.exe [144280 2023-03-07] (Microsoft Corporation -> Microsoft Corporation)
2023-03-14 18:14 - 2023-01-28 19:22 - 000000000 ____D C:\Users\Monika\AppData\Roaming\ProductAuthenticationService
2023-03-12 19:44 - 2023-03-12 20:23 - 000000000 ____D C:\ProgramData\RogueKiller
2023-03-12 19:25 - 2022-09-18 10:49 - 000000000 ____D C:\ProgramData\Piriform
2023-03-11 10:10 - 2020-12-09 08:01 - 000000000 ____D C:\ProgramData\Avast Software
HKU\S-1-5-21-3020137172-1804870369-863837663-1001\...\StartupApproved\Run: => "MicrosoftEdgeAutoLaunch_C912C9CDE0175182D1A3053112C390AF"
HKU\S-1-5-21-3020137172-1804870369-863837663-1001\...\StartupApproved\Run: => "AvastBrowserAutoLaunch_930517588308F99E193707F498296894"
HKU\S-1-5-21-3020137172-1804870369-863837663-1001\...\StartupApproved\Run: => "ut"

Plik naprawczy przeznaczony jest tylko dla autora wątku!


To wszystko. Oznacz post, który rozwiązał Twój problem. :slight_smile:

By usunąć wszystkie pliki/foldery utworzone przez FRST oraz narzędzie jako takie, zmień nazwę pliku FRST/FRST64.exe na uninstall.exe i uruchom ten plik. Procedura wymaga ponownego uruchomienia urządzenia.

Mam jeszcze pytanie, jak sprawdzić czy odinstalowałam avast update helper? ponieważ nie mogę go znaleźć.

Skorzystaj z narzędzia do usuwania pozostałości - wtedy nic nie powinno zostać.

Ten temat został automatycznie zamknięty 30 dni po ostatnim wpisie. Tworzenie nowych odpowiedzi nie jest już możliwe.