Witam serdecznie tak jak w temacie okinko zaczelo pokazywac sie updacie systemu tylko nie wiem dokladnie co mi update zainstalował przesyłam logi FRST. dodam tylko ze odinstalowałem menedzer od karty graficznej oraz dezaktywowałem pomniejsze zbedne progaramy systemowe typu kalendarz,notepad etc
FRST.txt (48,2 KB)
Shortcut.txt (43,6 KB)
Addition.txt (44,1 KB)

Ten wpis został oflagowany przez społeczność i został tymczasowo ukryty.

I tak nie sprawdzisz logów a jak z 3 razy będzie przekręcał wyrazy i unikał ogonków to dostanie oficjalne ostrzeżenie.

Odinstaluj:

• uTorrent Web
• Cheat Engine

Zmień serwer DNS na Quad9 → YouTube (podstawowy 9.9.9.9, zapasowy 149.112.112.112)

Punkt 5 - " Nakładamy ograniczenia na Powershell":

Uruchom FRST/FRST64.exe, wciśnij kombinację klawiszy ctrl + y. Otworzy się notatnik, do którego wklej zawartość skryptu. Zamknij i zapisz. W FRST kliknij „napraw” →

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-367471416-2701778136-2344420234-1001\...\Run: [GalaxyClient] => [X]
HKU\S-1-5-21-367471416-2701778136-2344420234-1001\...\Run: [utweb] => C:\Users\Krzysztof\AppData\Roaming\uTorrent Web\utweb.exe [6418944 2023-02-13] (BitTorrent Inc -> BitTorrent Inc.)
HKU\S-1-5-21-367471416-2701778136-2344420234-1001\...\Run: [Opera Browser Assistant] => C:\Users\Krzysztof\AppData\Local\Programs\Opera\assistant\browser_assistant.exe [4140448 2023-03-08] (Opera Norway AS -> Opera Software)
HKU\S-1-5-21-367471416-2701778136-2344420234-1001\...\Winlogon: [Shell] explorer.exe, <==== UWAGA
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA
Task: {114F86E1-F8D1-4901-9D77-F74598212E5C} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe [2295192 2023-02-01] (Avast Software s.r.o. -> Avast Software)
Task: {262C7583-96E1-4F92-86CD-83967659AD07} - System32\Tasks\Opera GX scheduled Autoupdate 1581895553 => C:\Users\Krzysztof\AppData\Local\Programs\Opera GX\launcher.exe [2571208 2023-03-01] (Opera Norway AS -> Opera Software)
Task: {331752D7-480A-4CC3-BBB6-AB473B099947} - System32\Tasks\dying => powershell -ExecutionPolicy Bypass -WindowStyle Hidden -NoExit -Command [System.Reflection.Assembly]::Load((Get-ItemProperty HKCU:\Software\dying\).dying).EntryPoint.Invoke($Null,$Null) <==== UWAGA
Task: {352E6CA0-7314-4DF4-89C4-682368D80D57} - System32\Tasks\Microsoft\Windows\Workplace Join\Automatic-Workplace-Join => C:\WINDOWS\System32\AutoWorkplace.exe [45056 2013-08-22] (Microsoft Corporation) [Brak podpisu cyfrowego]
Task: {3B6CF455-D05C-4F13-81BF-88AB51C02F9F} - System32\Tasks\Opera scheduled Autoupdate 1576165004 => C:\Users\Krzysztof\AppData\Local\Programs\Opera\launcher.exe [2701216 2023-03-08] (Opera Norway AS -> Opera Software)
Task: {3C8C4D26-E1CF-4162-840D-440F99081024} - System32\Tasks\e-pity2019a_kwiecien => C:\Program Files (x86)\e-file\e-pity\Assets\signxml.exe [35328 2023-02-24] (e-file sp. z o.o. sp. k.) [Brak podpisu cyfrowego]
Task: {448A0C18-6072-4C45-8959-08357F4493BA} - System32\Tasks\Opera scheduled assistant Autoupdate 1582737326 => C:\Users\Krzysztof\AppData\Local\Programs\Opera\launcher.exe [2701216 2023-03-08] (Opera Norway AS -> Opera Software) -> --scheduledautoupdate --component-name=assistant --component-path="C:\Users\Krzysztof\AppData\Local\Programs\Opera\assistant" $(Arg0)
Task: {5926305B-CFD0-4194-BBD2-6206808BFA84} - System32\Tasks\Microsoft\Windows\Shell\FamilySafetyUpload => {EBF00FCB-0769-4B81-9BEC-6C05514111AA}
Task: {6DFCB649-0769-4F83-BB10-F60F235F6D3D} - System32\Tasks\Microsoft\Windows\SkyDrive\Idle Sync Maintenance Task => {BF6C1E47-86EC-4194-9CE5-13C15DCB2001}
Task: {872D0E53-FD2E-41E3-B431-698AF82882CE} - System32\Tasks\Microsoft\Windows\SkyDrive\Routine Maintenance Task => {1B1F472E-3221-4826-97DB-2C2324D389AE}
Task: {A58300D5-F054-4813-B296-0C8A978EE7E1} - System32\Tasks\e-pity2019_styczen => C:\Program Files (x86)\e-file\e-pity\Assets\signxml.exe [35328 2023-02-24] (e-file sp. z o.o. sp. k.) [Brak podpisu cyfrowego]
Task: {C1FDD627-3B9A-4A97-A56D-B58277951F9E} - System32\Tasks\Opera GX scheduled assistant Autoupdate 1615889821 => C:\Users\Krzysztof\AppData\Local\Programs\Opera GX\launcher.exe [2571208 2023-03-01] (Opera Norway AS -> Opera Software) -> --scheduledautoupdate --component-name=assistant --component-path="C:\Users\Krzysztof\AppData\Local\Programs\Opera GX\assistant" $(Arg0)
Task: {CE2DE968-E342-40D7-9566-427D45E4A886} - System32\Tasks\Microsoft\Windows\PerfTrack\BackgroundConfigSurveyor => {EA9155A3-8A39-40B4-8963-D3C761B18371}
Tcpip\Parameters: [DhcpNameServer] 62.21.99.94 62.21.99.95
Tcpip\..\Interfaces\{9F1C569D-369F-4111-9B30-34BEDDD5A420}: [NameServer] 8.8.8.8,8.8.4.4
Tcpip\..\Interfaces\{9F1C569D-369F-4111-9B30-34BEDDD5A420}: [DhcpNameServer] 62.21.99.94 62.21.99.95
Edge Extension: (Brak nazwy) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [nie znaleziono]
Edge Extension: (Brak nazwy) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [nie znaleziono]
Edge Extension: (Brak nazwy) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [nie znaleziono]
Edge Extension: (Brak nazwy) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [nie znaleziono]
Edge HKLM\...\Edge\Extension: [bojobppfploabceghnmlahpoonbcbacn]
Edge HKLM-x32\...\Edge\Extension: [bojobppfploabceghnmlahpoonbcbacn]
CHR HKLM\...\Chrome\Extension: [ihcjicgdanjaechkgeegckofjjedodee]
CHR HKLM-x32\...\Chrome\Extension: [ihcjicgdanjaechkgeegckofjjedodee]
CHR HKLM-x32\...\Chrome\Extension: [ofoeigeaodhbjogdigckajfhjbonaofg]
S3 mracsvc; C:\Windows\System32\mracsvc.exe [X]
S4 uhssvc; "C:\Program Files\Microsoft Update Health Tools\uhssvc.exe" [X]
S3 mracdrv; C:\WINDOWS\System32\drivers\mracdrv1.sys [19767024 2020-09-13] (Mail.Ru LLC -> LLC Mail.Ru)
S4 NVHDA; \SystemRoot\system32\drivers\nvhda64v.sys [X]
C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk
C:\Users\Krzysztof\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wargaming.net\World_of_Warships_EU\Odinstaluj World_of_Warships_EU.lnk
C:\Users\Krzysztof\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Calendar.lnk
C:\Users\Krzysztof\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Mail.lnk
C:\Users\Krzysztof\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.People.lnk
C:\Users\Krzysztof\AppData\Roaming\Opera Software\Opera Stable\Extensions\kbmoiomgmchbpihhdpabemajcbjpcijk
2023-03-19 03:24 - 2023-03-19 03:24 - 000000000 ____D C:\Users\Krzysztof\Downloads\FRST-OlderVersion
2023-03-19 03:14 - 2020-05-23 06:26 - 000000000 ____D C:\Users\Krzysztof\AppData\Roaming\uTorrent Web
2023-03-19 03:14 - 2020-05-23 06:26 - 000000000 ____D C:\Users\Krzysztof\AppData\Local\BitTorrentHelper
2023-03-19 00:00 - 2022-03-02 22:12 - 000000000 ____D C:\ProgramData\GridinSoft
2023-03-18 17:10 - 2022-03-12 03:56 - 000001940 _____ C:\Users\Krzysztof\Desktop\uTorrent Web.lnk
2023-03-18 17:10 - 2022-03-12 03:56 - 000001926 _____ C:\Users\Krzysztof\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\uTorrent Web.lnk
CustomCLSID: HKU\S-1-5-21-367471416-2701778136-2344420234-1001_Classes\CLSID\{F0D5B8DF-FA50-4AC1-B644-6DD3DABA2DC0}\InprocServer32 -> 42494E41525953545245414D0300000003000000591248CE8BE38A631FB24E0033D1BD35475DB327E7A9CAA293834BF04FC6 => Brak pliku
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
C:\Users\Krzysztof\Desktop\(64х)American Truck Simulator.lnk
AlternateDataStreams: C:\ProgramData:err [1558]
AlternateDataStreams: C:\WINDOWS\tracing:? [16]
AlternateDataStreams: C:\Users\All Users:err [1558]
AlternateDataStreams: C:\ProgramData\Dane aplikacji:err [1558]
AlternateDataStreams: C:\Users\Krzysztof\Dane aplikacji:671890e017d8a4fb26004192461213ff [394]
AlternateDataStreams: C:\Users\Krzysztof\AppData\Roaming:671890e017d8a4fb26004192461213ff [394]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [490]
SearchScopes: HKU\S-1-5-21-367471416-2701778136-2344420234-1001 -> DefaultScope {22B1715F-FD64-41DE-AC67-27233CD4DB06} URL = hxxp://www.web-pl.com/search?q={searchTerms}
SearchScopes: HKU\S-1-5-21-367471416-2701778136-2344420234-1001 -> {22B1715F-FD64-41DE-AC67-27233CD4DB06} URL = hxxp://www.web-pl.com/search?q={searchTerms}
IE trusted site: HKU\.DEFAULT\...\localhost -> localhost
IE trusted site: HKU\.DEFAULT\...\webcompanion.com -> hxxp://webcompanion.com
IE trusted site: HKU\S-1-5-21-367471416-2701778136-2344420234-1001\...\localhost -> localhost
IE trusted site: HKU\S-1-5-21-367471416-2701778136-2344420234-1001\...\webcompanion.com -> hxxp://webcompanion.com
FirewallRules: [{5397EC7F-D0B0-4281-8309-A729F37D7795}] => (Allow) C:\Program Files (x86)\DewVPN\dew_svc.exe => Brak pliku
FirewallRules: [{22E99B71-B4D8-479E-B3C8-5664CDBA5E6C}] => (Allow) C:\Program Files (x86)\DewVPN\DewVPN.exe => Brak pliku
FirewallRules: [{F778B33D-51ED-4C42-A787-0E367342D4FA}] => (Allow) C:\Program Files (x86)\DewVPN\DewVPNBugReport.exe => Brak pliku
FirewallRules: [{E6022ABA-66AC-4320-9514-F76157D04D91}] => (Allow) C:\Program Files (x86)\DewVPN\DewVPNLiveup.exe => Brak pliku
FirewallRules: [{E410C121-163C-400F-808D-7BE8CF8389B2}] => (Allow) C:\Program Files (x86)\DewVPN\socket.exe => Brak pliku
FirewallRules: [{F61F7F6B-05EA-4DC7-ACC7-19BCE1651712}] => (Allow) C:\Program Files (x86)\DewVPN\tunnle.exe => Brak pliku
FirewallRules: [{4AC07750-A94D-43B7-B9DE-0770E0DCA6BB}] => (Allow) C:\Program Files (x86)\DewVPN\helper\Stunnle.exe => Brak pliku
FirewallRules: [TCP Query User{AD535A59-7836-40F8-AD7D-C7B25818FBA1}C:\programdata\wargaming.net\gamecenter\wgc.exe] => (Allow) C:\programdata\wargaming.net\gamecenter\wgc.exe => Brak pliku
FirewallRules: [UDP Query User{2AA8F6FB-41BB-46E0-B400-BE7816522BCC}C:\programdata\wargaming.net\gamecenter\wgc.exe] => (Allow) C:\programdata\wargaming.net\gamecenter\wgc.exe => Brak pliku
FirewallRules: [TCP Query User{5C3F733D-8CC9-4248-A776-C412989C3F4F}D:\dying light\dyinglightgame.exe] => (Allow) D:\dying light\dyinglightgame.exe => Brak pliku
FirewallRules: [UDP Query User{1780EEBE-217D-4E90-9D55-6152762CE839}D:\dying light\dyinglightgame.exe] => (Allow) D:\dying light\dyinglightgame.exe => Brak pliku
FirewallRules: [TCP Query User{F2A53A20-576A-4922-AA32-07C8F247A8D4}D:\dying light\dyinglightgame-culture=pl.exe] => (Allow) D:\dying light\dyinglightgame-culture=pl.exe => Brak pliku
FirewallRules: [UDP Query User{B81C4B5B-BB87-4EE2-A6F9-B67C518ED949}D:\dying light\dyinglightgame-culture=pl.exe] => (Allow) D:\dying light\dyinglightgame-culture=pl.exe => Brak pliku
FirewallRules: [TCP Query User{2AC76721-5115-41AE-9FAE-3895B2AB4C60}D:\reddeadredemption2\rdr2.exe] => (Allow) D:\reddeadredemption2\rdr2.exe => Brak pliku
FirewallRules: [UDP Query User{F8C14013-8D5A-44B6-984B-04AEB4A99AEE}D:\reddeadredemption2\rdr2.exe] => (Allow) D:\reddeadredemption2\rdr2.exe => Brak pliku
FirewallRules: [TCP Query User{99106467-965F-459F-9677-B7F7860E609D}D:\steam\steamapps\common\overprime\overprime\binaries\win64\paragonclient-win64-shipping.exe] => (Allow) D:\steam\steamapps\common\overprime\overprime\binaries\win64\paragonclient-win64-shipping.exe => Brak pliku
FirewallRules: [UDP Query User{A760D118-57B4-4632-A822-306432DB0EFF}D:\steam\steamapps\common\overprime\overprime\binaries\win64\paragonclient-win64-shipping.exe] => (Allow) D:\steam\steamapps\common\overprime\overprime\binaries\win64\paragonclient-win64-shipping.exe => Brak pliku
CMD: sfc /scannow 
Hosts:
RemoveProxy:
EmptyEventLogs:
EmptyTemp: 

Plik naprawczy przeznaczony jest tylko dla autora wątku!
Po wykonaniu skryptu i ponownym uruchomieniu załącz utworzony fixlog.txt

Wykonaj profilaktyczne skanowanie:

• RogueKiller Anti Malware
  Zalecane pobranie wersji przenośnej (portable). Przed uruchomieniem pełnego skanowania należy włączyć w ustawieniach bezsygnaturowy „moduł MaIPE (BETA)”; opcjonalnie „skanuj z pełną wydajnością” (ustawienia → ustawienia skanowania).

• AdwCleaner
  Po skończonym skanowaniu pomiń linie oznaczone jako preinstalowane. Resztę odnalezionych elementów przenieś do kwarantanny.

Witam ponownie. zrobiłem wszystkie kroki wg. instrukcji i udało się zażegnać problem ale chciałbym się dowiedzieć co generowało w/w problem . Chciałbym zauważyć ,że okno wyskakiwało praktycznie równo co 5 min. a po odinstalowaniu cheat engine oraz utorenta dalej problem był dopiero po zastosowaniu fix’a do FRST problem zniknął . O
Fixlog.txt (32,1 KB)
czywiście przeskanowałem również pozostałymi programami . dołączam fixloga. Pozdrawiam i dziękuję.

Infekcja. Konkretnie zaplanowane zadanie, które zostało usunięte fixlistą. Staraj się pobierać oprogramowanie z legalnych źródeł, a przed uruchomieniem nieznanych plików, jeśli musisz to przeskanować je w bazie VirusTotal.

Nie wykonałeś ostatnich kilku linii skryptu. Możesz je ponowić:

Hosts:
RemoveProxy:
EmptyEventLogs:
EmptyTemp:

To wszystko. Oznacz post, który rozwiązał Twój problem.

By usunąć wszystkie pliki/foldery utworzone przez FRST oraz narzędzie jako takie, zmień nazwę pliku FRST/FRST64.exe na uninstall.exe i uruchom ten plik. Procedura wymaga ponownego uruchomienia urządzenia.

Te linijki skryptu również wkleiłem do FRST;/
Mogę ponowić jeśli jest taka konieczność. Ponowiłem z brakującymi liniami.
Fixlog.txt (31,1 KB)

piszemy popolsku ! jest 11 nie znanych słów ( byków)

@anon33136726 A nieznanych (przymiotnik) piszemy razem, w tym nieprawidłowa interpunkcja.
I jakim celom ma służyć takie wtrącenie uwagi, zwłaszcza do już rozwiązanego wątku?

ok dziękuje

Ten temat został automatycznie zamknięty 30 dni po ostatnim wpisie. Tworzenie nowych odpowiedzi nie jest już możliwe.