Witam serdecznie!

Kiedyś dawno temu poprosiłem Was o pomoc i ją otrzymałem. Po kilku latach znowu mam jakiś problem. Sytuacja wydarzyła się wczoraj podczas grania w CS (lubię sobie casualowo postrzelać / 35lat). Rozegrałem kilka misji nowej operacji i wszystko było w porządku. Później rozegrałem meczyk (również jako misja), przegrałem, więc chciałem dokończyć misję i odpaliłem kolejny. Wszystko dzieje się na oficjalnych serwerach. Nie gram i nie szukam żadnych zewnętrznych form. Zminimalizowałem grę po czym dostałem dźwięk, że znalazło mecz. Wróciłem a gra się już ładowała bez potwierdzania. W międzyczasie zauważyłem, że gra samoczynnie ściąga coś w tle (sytuacja odbiegająca od normy). Wczytało mnie na zupełnie inną mapę i błyskawicznie się rozłączyłem. W grze dostałem komunikat o fakcie, że nie mogę grać oficjalnych serwerach, bo mam na dysku pliki nieautoryzowane. Wyłączyłem grę, zrobiłem spójność plików i opisałem sprawę do technika steam. Kolejnym krokiem było skanowanie komputera. Jedno z oprogramowania (SPY HUNTER 5) wykrył obecność TROJANA OCCAMY.BC .

Zrobiłem wczoraj w nocy jeszcze skan FRST wyniki wklejam poniżej:
FRST:
http://www.wklejto.pl/883551

Addition:
http://www.wklejto.pl/883549

Shortcut:
http://www.wklejto.pl/883548

Na koniec dodam, że od dawna nie bawię się w poszukiwania lewego oprogramowania, czy plików. Od wielkiego dzwona z komputera korzysta 10-letnia córka (głównie do YT i e-lekcji) oraz młodsi gości. Pod wieczór mogę zrobić dodatkowe potrzebne skany/logi. Obawiam się, że zostałem celem ataku hakerskiego na mój inwentarz CS. Bardzo uważam gdzie zaglądam i w co klikam.

Marcin

Raczej córka kliknęła w jakaś stronę w necie w przerwie. Poczekaj na i Juliusza, a do tego czas zmień z innego urządzenia hasła i ustaw na kontach logowanie dwuetapowe.

Hasła mam wszędzie dwuetapowe i nic nie zginęło, bo mam podgląd w komórce. Najbardziej obawiam się permanentnego bana za jakieś oprogramowanie z którego nie mam zamiaru korzystać. Żal było by mi ok 2k h w CS, oraz kilku(set) złotówek zainwestowanych w inwentarz. Czekam jeszcze co mi ze Steama odpiszą, czy to jakaś ich dziura związana z dodatkiem, czy faktycznie wina złośliwego oprogramowania, które wdarło się do mojego PC.

Skanowi “SPY HUNTER 5” raczej nie warto ufać, choćby z racji że umie pliki reklamowe cookies oznaczać jako “wirusy” i trzeba płatnej licencji do usuwania/“leczenia” plików.

SPY HUNTER tylko wykrył i nazwał zagrożenie.

Witaj @hipcio_stg

Kolega @krystian3w ma rację. Odinstaluj Spy Hunter, nie jest wiarygodny.

W opisach ostrzeżeń systemowych, plik z wirusem znalazło w katalogu kwarantanny ADWCleanera

Zróbmy niewielkie oczyszczanie.

1. Pobierz ten plik i zapisz w katalogu z FRST, tzn. C:\Users\Marcin\Downloads
   fixlist.txt (3,6 KB)
   “Plik naprawczy został utworzony tylko dla Ciebie, nie należy go stosować na innym komputerze”
2. Uruchom FRST i kliknij Napraw, program wyłączy niepotrzebne procesy, zrobi Punkt Przywracania i zacznie pracę.
3. Po restarcie wklej plik wynikowy.

Witaj serdecznie @iJuliusz

Wykonałem zgodnie z poleceniami. Poniżej log z fix-a:

Rezultat naprawy Farbar Recovery Scan Tool (x64) Wersja: 27-01-2021
Uruchomiony przez Marcin (02-02-2021 19:40:06) Run:1
Uruchomiony z C:\Users\Marcin\Downloads
Załadowane profile: Marcin
Tryb startu: Normal

fixlist - zawartość:

CloseProcesses:
CreateRestorePoint:
EmptyTemp:
Task: C:\Windows\Tasks{5E9C47D5-C2A3-4B5B-9646-23F9F5362F1A}.job => C:\Program Files (x86)\Wizards of the Coast\MTGA\MTGALauncher\Updates\MTGAInstaller_1.0.90.exeѧ/i C:\Users\Marcin\AppData\Local\Temp\MTGAinstall\MTGAInstaller.msi AI_SETUPEXEPATH=C:\Program Files (x86)\Wizards of the Coast\MTGA\MTGALauncher\Updates\MTGAInstaller_1.0.90.exe SETUPEXEDIR=C:\Program Files (x86)\Wizards of the Coast\MTGA\MTGALauncher\Updates\ ADDLOCAL=MainFeature,MicrosoftVisualC ALLUSERS=1 PRIMARYFOLDER=APPDIR ROOTDRIVE=D:\ AI_PREREQFILES=C:\Users\Marcin\AppData\Roaming\Wizards of the Coast\MTGA Launcher\prerequisites\Visual C++ Redistributable for Visual Studio 2015-2019\VC_redist.x64.exe AI_PREREQDIRS=C:\Users\Marcin\AppData\Roaming AI_MISSING_PREREQS=Visual C++ Redistributable for Visual Studio 2017 x64 AI_SETUPEXEPATH=C:\Program Files (x86)\Wizards of the Coast\MTGA\MTGALauncher\Updates\MTGAInstaller_1.0.90.exe SETUPEXEDIR=C:\Program Files (x86)\Wizards of the Coast\MTGA\MTGALauncher\Updates\ AI_INSTALL=1 BIPROCESSTIME=2020-06-25T15:24:06.1829077Z TARGETLOCKED=TRUE TARGETDIR=D:\ APPDIR=C:\Program Files (x86)\Wizards of the Coast\MTGA\ AI_SETUPEXEPATH_ORIGINAL=C:\Program Files (x86)\Wizards of the Coast\MTGA\MTGALauncher\Updates\MTGAInstaller_1.0.90.exe <==== UWAGA
C:\AdwCleaner
CustomCLSID: HKU\S-1-5-21-2645379238-1908583816-2438023672-1001_Classes\CLSID{CB965DF1-B8EA-49C7-BDAD-5457FDC1BF92}\InprocServer32 -> C:\Users\Marcin\AppData\Local\Microsoft\TeamsMeetingAddin\1.0.20244.4\x64\Microsoft.Teams.AddinLoader.dll => Brak pliku
ContextMenuHandlers1: [ANotepad++64] -> {B298D29A-A6ED-11DE-BA8C-A68E55D89593} => -> Brak pliku
ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} => -> Brak pliku
ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} => -> Brak pliku
ContextMenuHandlers6: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} => -> Brak pliku
AlternateDataStreams: C:\ProgramData\PACE:787DFD260BD4240B [217]
SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
FirewallRules: [{D076E259-8179-4B92-92B9-7133EAD9351E}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Brak pliku
FirewallRules: [{6D96605C-4B37-4922-9B18-E3E7B9A0ACDB}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Brak pliku
FirewallRules: [TCP Query User{FDB0D389-4FD4-4902-B99A-52ACE9B0B3FD}C:\program files (x86)\wizards of the coast\mtga\mtga.exe] => (Allow) C:\program files (x86)\wizards of the coast\mtga\mtga.exe => Brak pliku
FirewallRules: [UDP Query User{82935FA1-5DE0-4DB7-A933-8ACF9257D320}C:\program files (x86)\wizards of the coast\mtga\mtga.exe] => (Allow) C:\program files (x86)\wizards of the coast\mtga\mtga.exe => Brak pliku
FirewallRules: [{C030E208-040A-4B70-A80A-9CA8CB147A80}] => (Allow) C:\Program Files (x86)\3uTools\libXunlei\Download\MiniThunderPlatform.exe => Brak pliku
FirewallRules: [{D3F86488-832F-4052-8116-8EDC46359675}] => (Allow) C:\Program Files (x86)\3uTools\libXunlei\Download\MiniThunderPlatform.exe => Brak pliku
FirewallRules: [{1A897B77-0BAB-4DDB-B229-D7EC0DAC3A60}] => (Allow) LPort=80
FirewallRules: [TCP Query User{55A88718-9C4D-45DD-A0D7-856355131C83}C:\program files\wizards of the coast\mtga\mtga.exe] => (Allow) C:\program files\wizards of the coast\mtga\mtga.exe (Wizards of the Coast, LLC -> )
FirewallRules: [UDP Query User{8D0945F6-5BB1-40C1-8B7D-CEEC29B079EE}C:\program files\wizards of the coast\mtga\mtga.exe] => (Allow) C:\program files\wizards of the coast\mtga\mtga.exe (Wizards of the Coast, LLC -> )

Procesy zostały pomyślnie zamknięte.
Punkt przywracania został pomyślnie utworzony.
C:\Windows\Tasks{5E9C47D5-C2A3-4B5B-9646-23F9F5362F1A}.job => pomyślnie przeniesiono
C:\AdwCleaner => pomyślnie przeniesiono
HKU\S-1-5-21-2645379238-1908583816-2438023672-1001_Classes\CLSID{CB965DF1-B8EA-49C7-BDAD-5457FDC1BF92} => pomyślnie usunięto
HKLM\Software\Classes*\ShellEx\ContextMenuHandlers\ANotepad++64 => pomyślnie usunięto
HKLM\Software\Classes*\ShellEx\ContextMenuHandlers\BriefcaseMenu => pomyślnie usunięto
“HKLM\Software\Classes\CLSID{85BBD920-42A0-1069-A2E4-08002B30309D}” => pomyślnie usunięto
HKLM\Software\Classes\AllFileSystemObjects\ShellEx\ContextMenuHandlers{4A7C4306-57E0-4C0C-83A9-78C1528F618C} => pomyślnie usunięto
HKLM\Software\Classes\Folder\ShellEx\ContextMenuHandlers\BriefcaseMenu => pomyślnie usunięto
C:\ProgramData\PACE => “:787DFD260BD4240B” ADS pomyślnie usunięto
HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\“DefaultScope”="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" => Wartość pomyślnie przywrócono
“HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\{D076E259-8179-4B92-92B9-7133EAD9351E}” => pomyślnie usunięto
“HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\{6D96605C-4B37-4922-9B18-E3E7B9A0ACDB}” => pomyślnie usunięto
“HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\TCP Query User{FDB0D389-4FD4-4902-B99A-52ACE9B0B3FD}C:\program files (x86)\wizards of the coast\mtga\mtga.exe” => pomyślnie usunięto
“HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\UDP Query User{82935FA1-5DE0-4DB7-A933-8ACF9257D320}C:\program files (x86)\wizards of the coast\mtga\mtga.exe” => pomyślnie usunięto
“HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\{C030E208-040A-4B70-A80A-9CA8CB147A80}” => pomyślnie usunięto
“HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\{D3F86488-832F-4052-8116-8EDC46359675}” => pomyślnie usunięto
“HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\{1A897B77-0BAB-4DDB-B229-D7EC0DAC3A60}” => pomyślnie usunięto
“HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\TCP Query User{55A88718-9C4D-45DD-A0D7-856355131C83}C:\program files\wizards of the coast\mtga\mtga.exe” => pomyślnie usunięto
“HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\UDP Query User{8D0945F6-5BB1-40C1-8B7D-CEEC29B079EE}C:\program files\wizards of the coast\mtga\mtga.exe” => pomyślnie usunięto

=========== EmptyTemp: ==========

BITS transfer queue => 10248192 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 151948937 B
Java, Flash, Steam htmlcache => 168540247 B
Windows/system/drivers => 1995781 B
Edge => 1056819 B
Chrome => 22136244 B
Firefox => 1480862293 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 5324 B
NetworkService => 670642 B
Marcin => 49008738 B

RecycleBin => 2451686865 B
EmptyTemp: => 4 GB danych tymczasowych Usunięto.

================================

System wymagał restartu.

==== Koniec Fixlog 19:41:58 ====

PS. Po wgraniu wczoraj malwarebytes ten nie przepuścił mnie na stronę wklejto.pl informując o trojanach (prawda to?)

Dziękuję.

Nie potrafię powiedzieć dlaczego MBAM zablokował dostęp.

Zrób jeszcze pełny skan ESET (używałeś go już wcześniej)

• Pobierz ESET Online Scanner
• Uruchom z Uprawnieniami Administratora
• Program pobierze Aktualizacje modułu skanowania
• Wybierz Skanowanie komputera
• Wybierz Pełne skanowanie
• Wybierz “Włącz wykrywanie i przenoszenie…”
• Rozpocznij skanowanie
• Gdy wykryje jakiekolwiek zagrożenia zapisz raport
• Program zapyta o Wersję próbną odznacz i wyłącz
• Udostępnij plik raportu

@iJuliusz

Udało się przeskanować, poniżej raport:

02.02.2021 22:45:41
Przeskanowane pliki: 924254
Wykryte pliki: 6
Wyleczone pliki: 6
Całkowity czas skanowania 02:18:31
Stan skanowania: Zakończono

D:\Program Files (x86)\O22y Inc\Mafia II\Mafia ll.EXE odmiana zagrożenia Win32/HackTool.CheatEngine.AF potencjalnie niebezpieczna aplikacja wyleczone przez usunięcie
D:\Users\Hipcio\Documents\APNSetup.exe Win32/Bundled.Toolbar.Ask.E potencjalnie niebezpieczna aplikacja wyleczone przez usunięcie
D:\Users\Hipcio\Downloads\Memtest86-12556-AsystentPobierania.exe Win32/InstallCore.Gen.A potencjalnie niepożądana aplikacja wyleczone przez usunięcie
D:\Users\Hipcio\Downloads\xfire_installer.exe Win32/OpenCandy potencjalnie niebezpieczna aplikacja wyleczone przez usunięcie
D:\Windows\Installer\MSI552.tmp odmiana zagrożenia Win32/Bundled.Toolbar.Ask.F potencjalnie niebezpieczna aplikacja wyleczone przez usunięcie
E:\dysk 2\zdjęcia gotowe\domn\uTorrent.exe odmiana zagrożenia Win32/Toolbar.Conduit.AY potencjalnie niepożądana aplikacja wyleczone przez usunięcie

Dziękuję. To by było na tyle

Jeśli System odzyskał sprawność, zastosuj DelFix Zaznacz Remove disinfection tools i kliknij Run.
Zaznacz post, który rozwiązał Twój problem. Wystarczy jeden

W razie kolejnych kłopotów z komputerem, pisz

Pozdrawiam serdecznie
Juliusz

@iJuliusz

Bardzo dziękuję za pomoc, jednak cały czas niepokoi mnie fakt, że cały czas malware nie przepuszcza mnie na “wklejto.pl”

ostrzeżenie.png1362×768 120 KB

Coraz bardziej dojrzewam mimo wszystko do ponownego stawiania systemu czego wolałbym uniknąć. Mam do przejścia dość skomplikowany (dla mnie) proces konfiguracji cyfrowego pianina. Córka jest w trakcie nauki w szkole muzycznej i pamiętając jak ostatnio się długo z tym męczyłem może to rzutować na jej wyniki w nauce (tego wolałbym uniknąć). Z drugiej strony mam cały czas obawę , że dostanę perma bana na steamie/cs-ie a tego też bym chciał uniknąć. Boję się logować do banku, czy poczty/steama. Nie pamiętam gdzie mam klucz aktywacyjny do win (można to wyciągnąć z postawionego systemu?). Nie pamiętam kiedy stawiałem ostatnio system Za czasów gimnazjum system stawiało się dwa razy w miesiącu i częściej. Dzisiaj pociąg mi trochę odjechał.

Podpowiedz mi proszę jak mam się zabezpieczyć przed podobnymi atakami? W jakie programy powinienem się zaopatrzyć?

@iJuliusz

Bardzo dziękuję za pomoc! Mam nadzieję, że na razie wszytko jest w porządku. Poniżej sklejam raport z delfixa

DelFix v1.013 - Logfile created 04/02/2021 at 20:08:25

Updated 17/04/2016 by Xplode

Username : Marcin - DESKTOP-O8F7184

Operating System : Windows 10 Enterprise (64 bits)

~ Removing disinfection tools …

Deleted : C:\FRST
Deleted : C:\Users\Marcin\Downloads\adwcleaner_8.0.9.1.exe
Deleted : C:\Users\Marcin\Downloads\FRST64.exe
Deleted : HKLM\SOFTWARE\AdwCleaner

########## - EOF - ##########

Poproszę jeszcze o poradę w jaki antywirus/inne oprogramowanie powinienem się zaopatrzyć, żeby uniknąć podobnych sytuacji w przyszłości?

Malwarebytes może być co najwyzej dodatkiem do AV.
Zajrzyj na testy.

Odinstaluj to i zainstaluj coś porządnego. Ale jesli chcesz to miec to odinstaluj i zainstaluj ponownie ale jego systemowym deinstalatorem bo inaczej sporo smieci po nim i te same błędy.