zawirusowany PC ??

[bolec]

Witam, chciałem pobrać trainera do gry ..., no i się  zaczęło aby go uruchomić musiałem wyłączyć windows defendera ...,  po ponownym uruchomieniu komputer zaczął się dziwnie zachowywać .. np przy wyłączaniu dzieje się coś takiego załączam zdjęcie, zostałem automatycznie wylogowany ze wszystkiego co jest połączone z google w celu ochrony, w komunikatach windows defender widziałem powiadomienia o zablokowanych i usuwanych wirusach  programach działających na rzecz innych osób. Załączam skan z FRST,  czy to jest do odratowania ?, czy pozostaje mi format ?,  mogę normalnie korzystać z PC ale obawiam się ze nie jest do końca taki jaki był przed zainstalowaniem wirusa...

Addition.txtPobieranie informacji ... FRST.txtPobieranie informacji ... Shortcut.txtPobieranie informacji ...

[jessica]

Tylko kosmetyka:

Uruchom FRST. 
Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) - FRST sam znajdzie "fixlist" w schowku systemowym

  Pokaż ukrytą zawartość

START::
Task: {7CDB190A-C472-47CF-A67B-DF42FDA70F17} - System32\Tasks\GoogleUpdateTaskMachineQC => C:\Users\Bolo\Google\Chrome\updater.exe  <==== UWAGA
C:\Users\Bolo\Google\Chrome\updater.exe
C:\Windows\Minidump\*.dmp
EmptyEventLogs: 
Hosts:
EmptyTemp:
END::

W FRST kliknij na Fix (NAPRAW).

 

jessi

 

[bolec]

okej, zrobiłem tak   uruchomiłem FRST --> skopiowałem ten ten tekst CTRL+C  i w FRST kliknąłem napraw  po całej operacji komputer uruchomił się sam ponownie to wszystko ?, dzisiaj przy włączeniu PC defender od razu poinformował mnie o wirusach itd ze 3 sztuki kazałem je usunąć, czy jest jakiś program albo sposób aby się  upewnić, że na PC nie ma żadnych keylogerów czy programów za pomocą których ktoś ma wgląd do mojego PC ?

[jessica]

Defender ma rację usuwając  pliki , bo w tej lokalizacji (C:\Users\Bolo\ ) nie powinno być żadnych plików *.exe

 

Uruchom FRST. 
Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) - FRST sam znajdzie "fixlist" w schowku systemowym

  Pokaż ukrytą zawartość

START::
C:\Users\Bolo\*.exe
Task: {B019CC54-6760-45B2-9B29-BE901E5A3886} - System32\Tasks\svcupdater => C:\Users\Bolo\AppData\Roaming\Win32Sync\svcupdater.exe [792811008 2023-01-02] () [Brak podpisu cyfrowego]
C:\Users\Bolo\AppData\Roaming\Win32Sync\svcupdater.exe
EmptyTemp:
END::

W FRST kliknij na Fix (NAPRAW).

 

Możesz jeszcze użyć MBAM > Dezynfekcja: zbiór narzędzi usuwających - Dział pomocy doraźnej - Fixitpc.pl

 

 

jessi

[bolec]

zrobione, defender dalej coś widzi

[jessica]

Zrób nowe logi FRST

 

jessi

[bolec]

Addition.txtPobieranie informacji ... FRST.txtPobieranie informacji ... Shortcut.txtPobieranie informacji ...

[jessica]

  Cytat

 

==================== Hosts - zawartość: =========================

(Użycie dyrektywy Hosts: w fixlist spowoduje reset pliku Hosts.)

2019-12-07 10:14 - 2023-01-06 12:13 - 000000027 _____ C:\Windows\system32\drivers\etc\hosts
127.0.0.1       localhost

 

Rozwiń  

Plik "hosts" jest w porządku, więc nie wiem, dlaczego Defender widzi w nim coś, czego nie ma.

===============

  Cytat

"BEDaisy" => serwis nie został odblokowany. <==== UWAGA
HKLM\SYSTEM\ControlSet001\Services\BEDaisy => \??\C:\Program Files (x86)\Common Files\BattlEye\BEDaisy.sys <==== UWAGA (Rootkit!/Zablokowana usługa)

Rozwiń  

Znasz to?

============

 

Uruchom FRST. 
Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) - FRST sam znajdzie "fixlist" w schowku systemowym

  Pokaż ukrytą zawartość

START::
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ograniczenia <==== UWAGA
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ograniczenia <==== UWAGA
Unlock: HKLM\SYSTEM\ControlSet001\Services\BEDaisy
END::

W FRST kliknij na Fix (NAPRAW).

 

jessi

[bolec]

Tak battleye to program który jest w grach i wykrywa hakerów cziterów itd, tylko ten trainer który zainstalowałem pewnie miał jakoś pominąć  tego Battleye, jeżeli jest taka potrzeba można ten Battleye usunąć  jeśli to coś niedobrego a w razie wu gra doinstaluje brakujący plik  czy coś ?. czy PC jest bezpieczny teraz? 

 

[jessica]

Wg mnie - jest OK.

[bolec]

cały czas siedzi jakiś filehijack  

[jessica]

  Cytat

Produkt Program antywirusowy Microsoft Defender wykrył złośliwe oprogramowanie lub inne potencjalnie niechciane oprogramowanie.
(...)
Nazwa: SettingsModifier:Win32/PossibleHostsFileHijack
(...)
Ścieżka: file:_C:\Windows\System32\drivers\etc\hosts
(...)
Nazwa procesu: C:\Users\Bolo\Downloads\FRST64.exe

Rozwiń  

oraz:

  Cytat

Produkt Program antywirusowy Microsoft Defender wykrył złośliwe oprogramowanie lub inne potencjalnie niechciane oprogramowanie.
(....)
Nazwa: SettingsModifier:Win32/PossibleHostsFileHijack
(...)
Ścieżka: file:_C:\Windows\System32\drivers\etc\hosts
(...)
Nazwa procesu: C:\Program Files\NVIDIA Corporation\NVIDIA GeForce Experience\NVIDIA Notification.exe

Rozwiń  

Sam popatrz, gdzie Defender wykrył tego "HostsFileHijack".

O ile wykrycie w FRST można zrozumieć (bo FRST przy usuwaniu dostał ode mnie komendę Hosts: - czyli usunięcia zarażonego pliku HOSTS, i wstawienia normalnego pliku HOSTS - więc zarażony plik jest w Kwarantannie FRST i pewnie Defender wykrywa to w tej Kwarantannie), to wykrywanie  tego "HostsFileHijack" w NVIDIA GeForce jest zupełnie niezrozumiałe.

 

jessi

 

[bolec]

Witam, nie wiem czy przez te wirusy nie stało się coś z windows update ?, tzn  sam zauważyłem, że dawno nie było aktualizacji .., i np nie mogę pobrać aplikacji z microsoft store ...

FRST.txtPobieranie informacji ... Addition.txtPobieranie informacji ...

[jessica]

  Cytat

S2 wuauserv; C:\Windows\system32\svchost.exe [55320 2022-07-20] (Microsoft Windows Publisher -> Microsoft Corporation) <==== UWAGA (Brak ServiceDLL)
S2 wuauserv; C:\Windows\SysWOW64\svchost.exe [46504 2022-07-20] (Microsoft Windows Publisher -> Microsoft Corporation) <==== UWAGA (Brak ServiceDLL)

Rozwiń  

Windows Update nie może zadziałać, bo w Rejestrze w kluczu usługi "wuauserv"  brak lub jest zły adres *.dll

 

---------

  Cytat

S2 UsoSvc; C:\Windows\system32\svchost.exe [55320 2022-07-20] (Microsoft Windows Publisher -> Microsoft Corporation) <==== UWAGA (Brak ServiceDLL)
S2 UsoSvc; C:\Windows\SysWOW64\svchost.exe [46504 2022-07-20] (Microsoft Windows Publisher -> Microsoft Corporation) <==== UWAGA (Brak ServiceDLL)

Rozwiń  

Podobnie jest z tą usługą.

-----

.

Uruchom FRST. 
Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) - FRST sam znajdzie "fixlist" w schowku systemowym

  Pokaż ukrytą zawartość

START::
StartRegedit:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv\Parameters]
"ServiceDll"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,\
  00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  77,00,75,00,61,00,75,00,65,00,6e,00,67,00,2e,00,64,00,6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\UsoSvc\Parameters]
"ServiceDll"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,\
  00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  75,00,73,00.6F,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00
EndRegedit:

EmptyEventLogs: 
EmptyTemp:
END::

W FRST kliknij na Fix (NAPRAW).

 

Napisz, czy to dało jakiś efekt?

 

jessi
 

[bolec]

Cześć, dzięki za szybką reakcję,  pc chyba nie uzyskał pożądanego efektu Windows update cały czas w myśli,  na koniec jest taki komunikat.

 

[jessica]

Zrób nowy log z FRST - bez Addition.txt, i bez Shortcut.txt.

Dodatkowo:

Zrób log z Farbar Service Scanner >http://download.bleepingcomputer.com/farbar/FSS.exe (do skanowania zaznacz wszystko)

.

Uruchom FRST.
W polu SEARCH (SZUKAJ) wklej:

  Cytat

wuauserv; usosvc;

Rozwiń  

kliknij na przycisk "Search Registry" (Szukaj w Rejestrze).
Raport z tego będzie tam, gdzie jest FRST.

 

jessi

[bolec]

zrobione

FRST.txtPobieranie informacji ... SearchReg.txtPobieranie informacji ... FSS.txtPobieranie informacji ...

[jessica]

  Cytat

 

===================== Rezultaty wyszukiwania dla " usosvc" ==========

====== Koniec  Szukaj ======

 

Rozwiń  

Wygląda na to, że usługa "usosvc" u Ciebie nie istnieje.

Trzeba by ją całkowicie odbudować.

Problem w tym, że mam System WIN 7, a na tym systemie ta usługa nie jest potrzebna.

Potrzebna jest tylko na WIN 10.

cytat ze strony: Lista usług Windows 10 - Tutoriale | Artykuły | Recenzje - Fixitpc.pl

  Pokaż ukrytą zawartość

Update Orchestrator Service | Usługa koordynatora aktualizacji [wcześniej Update Orchestrator Service for Windows Update]

[Zmodyfikowana w Wersji 1903. Polska nazwa dodana w Wersji 2004.]
R2 UsoSvc; C:\WINDOWS\system32\usosvc.dll [567296 2021-03-11] (Microsoft Windows -> Microsoft Corporation)

[W starszych Wersjach usługa kieruje na usocore.dll]

R2 UsoSvc; C:\WINDOWS\system32\usocore.dll [887808 2019-05-28] (Microsoft Windows -> Microsoft Corporation)

 .

Może przypadkiem trafi tu ktoś mający WIN10 i udosatępni ten klucz?

Bez niego nic tu nie wymyślę.

 

jessi
 

[bolec]

to jak to się zadziało, że u mnie czegoś brakuje, czy to możliwe, że jakieś złośliwe oprogramowanie usunęło ten element  ?, czyli jestem uziemiony nie mogę updatować systemu itd ?, chciałem pobrać sterownik do adaptera bluetooth, żeby pograć bezprzewodowo na padzie,  no i nie działa ten transmiter, pomyślałem żeby updatować system no i okazało się, że jest problem ..

[jessica]

Zdobyłam już klucze "usosvc".

Uruchom FRST. 
Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) - FRST sam znajdzie "fixlist" w schowku systemowym

  Pokaż ukrytą zawartość

START::

StartRegedit:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsoSvc]
"DelayedAutoStart"=dword:00000001
"DependOnService"=hex(7):72,00,70,00,63,00,73,00,73,00,00,00,00,00
"Description"="@%systemroot%\\system32\\usosvc.dll,-102"
"DisplayName"="@%systemroot%\\system32\\usosvc.dll,-101"
"ErrorControl"=dword:00000001
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
  00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00
"ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\
  74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,20,00,2d,00,70,00,00,\
  00
"ObjectName"="LocalSystem"
"PreshutdownTimeout"=dword:0036ee80
"RequiredPrivileges"=hex(7):53,00,65,00,41,00,75,00,64,00,69,00,74,00,50,00,72,\
  00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,\
  65,00,61,00,74,00,65,00,47,00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,\
  00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,65,00,\
  61,00,74,00,65,00,50,00,61,00,67,00,65,00,46,00,69,00,6c,00,65,00,50,00,72,\
  00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,54,00,63,00,\
  62,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,\
  00,41,00,73,00,73,00,69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,\
  79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\
  00,67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,\
  6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\
  00,00,00,53,00,65,00,49,00,6e,00,63,00,72,00,65,00,61,00,73,00,65,00,51,00,\
  75,00,6f,00,74,00,61,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\
  00,00,00,53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,\
  72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,44,00,65,\
  00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\
  00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,00,76,\
  00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,74,00,\
  6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,\
  00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,00,74,00,79,00,50,00,72,00,\
  69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,54,00,61,00,6b,\
  00,65,00,4f,00,77,00,6e,00,65,00,72,00,73,00,68,00,69,00,70,00,50,00,72,00,\
  69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,4c,00,6f,00,61,\
  00,64,00,44,00,72,00,69,00,76,00,65,00,72,00,50,00,72,00,69,00,76,00,69,00,\
  6c,00,65,00,67,00,65,00,00,00,53,00,65,00,4d,00,61,00,6e,00,61,00,67,00,65,\
  00,56,00,6f,00,6c,00,75,00,6d,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,\
  65,00,67,00,65,00,00,00,53,00,65,00,53,00,79,00,73,00,74,00,65,00,6d,00,45,\
  00,6e,00,76,00,69,00,72,00,6f,00,6e,00,6d,00,65,00,6e,00,74,00,50,00,72,00,\
  69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,65,\
  00,61,00,74,00,65,00,53,00,79,00,6d,00,62,00,6f,00,6c,00,69,00,63,00,4c,00,\
  69,00,6e,00,6b,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,\
  00,53,00,65,00,49,00,6e,00,63,00,72,00,65,00,61,00,73,00,65,00,42,00,61,00,\
  73,00,65,00,50,00,72,00,69,00,6f,00,72,00,69,00,74,00,79,00,50,00,72,00,69,\
  00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00
"ServiceSidType"=dword:00000001
"Start"=dword:00000002
"Type"=dword:00000020

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsoSvc\Parameters]
"ServiceDll"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,\
  00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  75,00,73,00,6f,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00
"ServiceDllUnloadOnStop"=dword:00000001
"ServiceMain"="ServiceMain"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsoSvc\Security]
"Security"=hex:01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,\
  05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,\
EndRegedit:
Reboot:
END::

 

W FRST kliknij na Fix (NAPRAW).

 

Usługa powinna zacząć działać, (o ile masz potrzebne do tego pliki systemowe - przede wszystkim C:\WINDOWS\system32\usosvc.dll ).

Usługa jest ustawiona na: Automatyczny (opóźniony start).

 

jessi

 

 

[bolec]

Działa !!!!!! dzięki Jesii

[bolec]

a jak mam to rozumieć ? tzn poczekać ?czy coś jeszcze mu szkodzi ?  

[jessica]

Uruchom FRST. 
Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) - FRST sam znajdzie "fixlist" w schowku systemowym

  Pokaż ukrytą zawartość

START::
CMD: net stop wuauserv
CMD: net stop cryptSvc
CMD: net stop bits
CMD: net stop msiserver
CMD: ren C:\Windows\SoftwareDistribution SoftwareDistribution.old
CMD: ren C:\Windows\System32\catroot2 Catroot2.old
CMD: net start wuauserv
CMD: net start cryptSvc
CMD: net start bits
CMD: net start msiserver
Reboot:
END::

W FRST kliknij na Fix (NAPRAW).

.

Usługa Windows Update nadal może wyświetlać stary komunikat błędu 0x80080005, ale wystarczy wcisnąć przycisk „Ponów próbę”, aby odświeżyć widok.

 

jessi

[bolec]

 

klikam ponów próbę, nadal to samo 

[jessica]

Szkoda.

Nie mam już pomysłów, więc albo  pogódź się z sytuacją, albo zmień dysk twardy na inny i wgraj System od nowa, albo kup nowy komputer. Ta ostatnie opcja jest najlepsza, ale jest zbyt droga.

 

jessi