Proszę o sprawdzenie logu

Dla specjalistów Bezpieczeństwo
#1

FRST.txt (41,3 KB)
Addition.txt (133,0 KB)
Shortcut.txt (80,7 KB)

Skanowałem komputer wieloma skanerami antywirusowymi. Wcześniej były wykrycia, teraz nic nie wykrywają już. Używałem narzędzia m.in. Malwarebytes, ESET, Trendmicro, AdwCleaner.

Nadal dostaje powiadomienia z Google, że mam złośliwy program na komputerze i mnie wylogowuje z konta dla bezpieczeństwa.
Proszę o pomoc.

#2

Wykonaj skan RogueKiller Anti Malware
Zalecane pobranie wersji przenośnej (portable). Przed uruchomieniem pełnego skanowania należy włączyć w ustawieniach bezsygnaturowy „moduł MaIPE (BETA)”; opcjonalnie „skanuj z pełną wydajnością” (ustawienia → ustawienia skanowania).

Emsisoft Emergency KIT
Przed rozpoczęciem skanowania wykonaj aktualizację sygnatur, następnie wybierz „malware skan”. Upewnij się, że wykrywanie potencjalnie niechcianych programów (PNP) jest włączone. Raporty z pracy skanera znajdują się w lokacji C:\EEK\Reports. Przenośny skaner Emsisoftu pozostaw do okresowych skanowań swojego urządzenia.

Odinstaluj:

  • KMSpico (aktywator - niezgodny z regulaminem forum!)
  • Java 8 Update 301 (nieaktualne, możliwy wektor ataku)
  • Safari (brak wsparcia, możliwy wektor ataku)
  • UrbanVPN/hide.me VPN (takie usługi są zbędne)

Bardzo dużo rozszerzeń w Chrome. Czy potrzebujesz ich wszystkich?
Zastosuj się do poradnika → Podstawowa konfiguracja Chrome | Przybornik #soo

Zmień serwer DNS na Quad9 → YouTube (podstawowy 9.9.9.9, zapasowy 149.112.112.112)

Uruchom FRST/FRST64.exe, wciśnij kombinację klawiszy ctrl + y. Otworzy się notatnik, do którego wklej zawartość skryptu. Zamknij i zapisz. W FRST kliknij „napraw” →

CloseProcesses:
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
GroupPolicy: Ograniczenia ? <==== UWAGA
Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA
Task: {2D5F2027-D905-4EAC-B96B-7C6765450E4D} - System32\Tasks\Mozilla\jqaryf => C:\Users\Szef\AppData\Roaming\nang\mchost.exe -> "C:\Users\Szef\AppData\Roaming\nang\mchost.chm" <==== UWAGA
HKLM-x32\...\Run: [SunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [706344 2021-06-09] (Oracle America, Inc. -> Oracle Corporation)
HKLM\...\RunOnce: [msedge_cleanup_{F3017226-FE2A-4295-8BDF-00C3A9A7E4C5}] => C:\Program Files (x86)\Microsoft\EdgeWebView\Application\111.0.1661.51\Installer\setup.exe [3982240 2023-03-22] (Microsoft Corporation -> Microsoft Corporation)
HKLM\Software\Policies\...\system: [EnableSmartScreen] 0
HKU\S-1-5-21-1785105123-3792373358-1988337685-1001\...\RunOnce: [Delete Cached Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\Szef\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe" (Brak pliku)
HKU\S-1-5-21-1785105123-3792373358-1988337685-1001\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\Szef\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Brak pliku)
HKU\S-1-5-21-1785105123-3792373358-1988337685-1001\...\RunOnce: [Uninstall 23.043.0226.0001] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\Szef\AppData\Local\Microsoft\OneDrive\23.043.0226.0001" (Brak pliku)
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\EA_RESTART_001.lnk [2023-01-30]
ShortcutTarget: EA_RESTART_001.lnk -> C:\Users\Szef\AppData\Local\Temp\AutoRun.exe (Electronic Arts Inc.) [Brak podpisu cyfrowego]
Startup: C:\Users\Szef\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\reaper.exe — skrót.lnk [2019-01-19]
ShortcutTarget: reaper.exe — skrót.lnk -> C:\Program Files\REAPER (x64)\reaper.exe (Cockos Incorporated) [Brak podpisu cyfrowego]
Startup: C:\Users\Szef\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ShareX.lnk [2022-10-02]
ShortcutTarget: ShareX.lnk -> C:\Program Files\ShareX\ShareX.exe (ShareX Team) [Brak podpisu cyfrowego]
Task: {199683B4-D189-4415-A034-87795B2A31D3} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentFallBack => C:\Program Files\Microsoft Office\Office15\msoia.exe [376496 2014-01-23] (Microsoft Corporation -> Microsoft Corporation)
Task: {31436896-F4E9-4851-A5BC-A66B600D184F} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe [1626328 2014-01-23] (Microsoft Corporation -> Microsoft Corporation)
Task: {4A5B3963-5C13-45F6-A21F-0EA7048C03B9} - System32\Tasks\Mozilla\Firefox Background Update 20B483CC99E39A08 => G:\Program Files\Mozilla Firefox\firefox.exe [674720 2023-03-01] (Mozilla Corporation -> Mozilla Corporation) -> --MOZ_LOG sync,prependheader,timestamp,append,maxsize:1,Dump:5 --MOZ_LOG_FILE C:\ProgramData\Mozilla-1de4eec8-1241-4177-a864-e594e8d1fb38\updates\20B483CC99E39A08\backgroundupdate.moz_log --backgroundtask backgroundupdate
Task: {A200E447-91EC-4EB1-B996-697B7A5754A8} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentLogOn => C:\Program Files\Microsoft Office\Office15\msoia.exe [376496 2014-01-23] (Microsoft Corporation -> Microsoft Corporation)
Task: {C0E1CDEA-A749-4159-BE05-FA1ABF941701} - System32\Tasks\Apple\AppleSoftwareUpdate => C:\Program Files (x86)\Apple Software Update\SoftwareUpdate.exe [569416 2016-02-23] (Apple Inc. -> Apple Inc.)
Task: {CE1F2D50-672E-4092-AAE8-76034DA42EE2} - System32\Tasks\Mozilla\Firefox Default Browser Agent 20B483CC99E39A08 => G:\Program Files\Mozilla Firefox\default-browser-agent.exe [716704 2023-03-01] (Mozilla Corporation -> Mozilla Foundation)
Tcpip\Parameters: [DhcpNameServer] 1.1.1.1 192.168.1.1
Tcpip\..\Interfaces\{033a4fa0-e562-4097-b835-708b77364022}: [NameServer] 1.1.1.1,8.8.8.8
Tcpip\..\Interfaces\{033a4fa0-e562-4097-b835-708b77364022}: [DhcpNameServer] 1.1.1.1 192.168.1.1
Tcpip\..\Interfaces\{540f0540-6b7b-4755-ab88-78f11a86dc93}: [NameServer] 1.1.1.1,8.8.8.8
Tcpip\..\Interfaces\{540f0540-6b7b-4755-ab88-78f11a86dc93}: [DhcpNameServer] 192.168.229.46
Tcpip\..\Interfaces\{75619517-9c6f-4297-8fb8-9ac06f4d9181}: [NameServer] 1.1.1.1,8.8.8.8
Tcpip\..\Interfaces\{75619517-9c6f-4297-8fb8-9ac06f4d9181}: [DhcpNameServer] 192.168.1.1
Tcpip\..\Interfaces\{a5b90937-300e-41fa-b232-56619da4b36e}: [NameServer] 1.1.1.1,8.8.8.8
Tcpip\..\Interfaces\{a5b90937-300e-41fa-b232-56619da4b36e}: [DhcpNameServer] 192.168.156.195
Edge Extension: (Brak nazwy) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [nie znaleziono]
Edge Extension: (Brak nazwy) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [nie znaleziono]
Edge Extension: (Brak nazwy) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [nie znaleziono]
Edge Extension: (Brak nazwy) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [nie znaleziono]
CHR Notifications: Default -> hxxps://www.chess.com; hxxps://www.facebook.com; hxxps://www17.rudyvalencia.pro; hxxps://www19.rudyvalencia.pro; hxxps://www26.myrnamooney.pro; hxxps://www29.normabass.pro; hxxps://www3.normabass.pro; hxxps://www30.josueshah.pro; hxxps://www30.rudyvalencia.pro; hxxps://www34.normabass.pro; hxxps://www73.rudyvalencia.pro; hxxps://www75.josueshah.pro; hxxps://www77.josueshah.pro; hxxps://www84.normabass.pro; hxxps://www9.josueshah.pro; hxxps://www92.josueshah.pro
CHR HKLM-x32\...\Chrome\Extension: [ofoeigeaodhbjogdigckajfhjbonaofg]
C:\Users\Szef\AppData\Roaming\nang\mchost.exe 
C:\Users\Szef\AppData\Roaming\nang\mchost.chm
2023-03-27 10:54 - 2023-03-27 10:54 - 000000000 ____D C:\Users\Szef\Downloads\FRST-OlderVersion
2023-03-13 13:21 - 2023-03-14 15:53 - 000000000 ____D C:\Program Files (x86)\Trend Micro
2023-03-13 13:21 - 2023-03-13 13:31 - 000000000 ____D C:\Users\Szef\AppData\Local\Trend Micro
2023-03-13 13:18 - 2023-03-13 13:31 - 000000000 ____D C:\ProgramData\Trend Micro
2023-03-12 22:57 - 2023-03-12 22:57 - 003333936 _____ (Trend Micro Inc.) C:\Users\Szef\Downloads\HousecallLauncher64.exe
2023-03-12 22:57 - 2023-03-12 22:57 - 000000036 _____ () C:\Users\Szef\AppData\Local\housecall.guid.cache
2023-03-12 22:57 - 2023-03-12 22:57 - 000000036 _____ C:\Users\Szef\AppData\Local\housecall.guid.cache
2023-03-27 10:45 - 2023-03-27 10:45 - 005659583 _____ (Swearware) C:\Users\Szef\Downloads\ComboFix.exe
2023-03-12 19:50 - 2023-02-02 18:42 - 000001381 _____ C:\Users\Szef\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ESET Online Scanner.lnk
2023-03-12 19:50 - 2023-02-02 18:42 - 000001275 _____ C:\Users\Szef\Desktop\ESET Online Scanner.lnk
2023-03-13 21:58 - 2023-03-13 21:58 - 008791352 _____ (Malwarebytes) C:\Users\Szef\Downloads\adwcleaner(1).exe
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [235]
Shortcut: C:\Users\Szef\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Ruby 3.1.1-1-x64-ucrt with MSYS2\Interactive Ruby.lnk -> C:\Ruby31-x64\bin\irb.cmd (Brak pliku)
EmptyEventLogs: 
RemoveProxy:
CMD: netsh advfirewall reset 
CMD: sfc /scannow 
EmptyTemp:

Plik naprawczy przeznaczony jest tylko dla autora wątku!
Po wykonaniu skryptu i ponownym uruchomieniu załącz utworzony fixlog.txt

1 polubienie
#3

Fixlog.txt (23,3 KB)
rogue.txt (16,9 KB)

#4

Wysłałem do Ciebie wiadomość na PW. :slight_smile:
W ustawieniach konta Google dalej jest ostrzeżenie o złośliwym oprogramowaniu?

#5

Na razie nie ma ostrzeżeń. Dziękuję za pomoc.

#6

Oznacz post, który rozwiązał Twój problem. :slight_smile:

By usunąć wszystkie pliki/foldery utworzone przez FRST oraz narzędzie jako takie, zmień nazwę pliku FRST/FRST64.exe na uninstall.exe i uruchom ten plik. Procedura wymaga ponownego uruchomienia urządzenia.

1 polubienie
#7

Ten temat został automatycznie zamknięty 30 dni po ostatnim wpisie. Tworzenie nowych odpowiedzi nie jest już możliwe.