Sheepe utworzono 15 kwietnia 2019 utworzono 15 kwietnia 2019 Dzień dobry ! Mam od pewnego czasu problem z komputerem, mianowicie przed pojawieniem się pulpitu ekran jest czarny i wyświetla się konsola w lewym górnym rogu. Aby zacząć korzystać z komputera muszę wtedy odpalić menedżera zadań i muszę uruchomić nowe zadanie (explorer.exe) gdy utworze to zadanie pojawia się pulpit i mogę normalnie korzystać z komputera. Prosiłbym o pomoc w rozwiązaniu tego problemu, poniżej załączam logi z FRST. FRST.txt Addition.txt
Twój_Anioł_Stróż komentarz 15 kwietnia 2019 komentarz 15 kwietnia 2019 (edytowane) Objawy wymienione przez Ciebie wywołuje szkodliwy "Soundmixer", ale oprócz tej infekcji są też inne inne infekcje. Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego: Cytuj Task: {F1E7367B-AD41-4153-907B-F9CC92CEF812} - System32\Tasks\Microsoft\Windows\WDI\SrvHost => rundll32.exe winscomrssrv.dll,SrvMainHost HKU\S-1-5-21-908923677-87671607-3639396037-1001\...\Winlogon: [Shell] %comspec% <==== UWAGA HKU\S-1-5-21-908923677-87671607-3639396037-1001\...\Command Processor: @mode 20,5 & tasklist /FI "IMAGENAME eq SoundMixer.exe" 2>NUL | find /I /N "SoundMixer.exe">NUL && exit & if exist ( start /MIN "" & tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) else ( tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) <==== UWAGA S3 mracsvc; C:\Windows\System32\mracsvc.exe [8010968 2018-01-31] (Mail.Ru Games LLC -> LLC Mail.Ru) C:\Windows\System32\mracsvc.exe S3 mracdrv; C:\WINDOWS\System32\drivers\mracdrv.sys [7238880 2018-01-31] (Mail.Ru Games LLC -> LLC Mail.Ru) C:\WINDOWS\System32\drivers\mracdrv.sys Task: {6121D468-F182-4C76-A5D6-06CE568FD743} - System32\Tasks\Tasker21 => C:\Users\USER\AppData\Roaming\Lib\tskschd.exe () [Brak podpisu cyfrowego] Task: {69FE729D-183C-4759-BF3D-3E7FF46A611D} - System32\Tasks\SessionAgent => C:\windows\sysve32.exe RemoveDirectory: C:\Users\USER\AppData\Roaming\Lib VirusTotal: C:\WINDOWS\system32\wslogon.dat VirusTotal: C:\WINDOWS\system32\winscomrssrv.dll VirusTotal: WinUpdates105.dat FirewallRules: [{F1EB8A22-93C9-4A59-93D3-3F3203D1FC3F}] => (Allow) E:\Gry Steam\steamapps\common\Battle Carnival\Bin\Release\bc.exe Brak pliku FirewallRules: [{65C10453-549D-4D31-A1B3-F10DD7D00099}] => (Allow) E:\Gry Steam\steamapps\common\Battle Carnival\Bin\Release\bc.exe Brak pliku FirewallRules: [UDP Query User{FCA233D1-38C7-4C29-B108-E92CE866AC36}E:\gry steam\steamapps\common\flameintheflood\rivergame\binaries\win64\rivergame-win64-shipping.exe] => (Allow) E:\gry steam\steamapps\common\flameintheflood\rivergame\binaries\win64\rivergame-win64-shipping.exe Brak pliku FirewallRules: [TCP Query User{9592B5CA-16D8-4C19-9DDC-F3ADDF7ACC43}E:\gry steam\steamapps\common\flameintheflood\rivergame\binaries\win64\rivergame-win64-shipping.exe] => (Allow) E:\gry steam\steamapps\common\flameintheflood\rivergame\binaries\win64\rivergame-win64-shipping.exe Brak pliku FirewallRules: [{2405A90A-C1BB-4467-9180-ACBF747D24CD}] => (Allow) C:\Program Files (x86)\Nox\bin\Nox.exe Brak pliku FirewallRules: [{5FAAFB8D-F667-4271-B33C-F37D77A4A0AD}] => (Allow) C:\Program Files (x86)\\Bignox\\BigNoxVM\\RT\NoxVMHandle.exe Brak pliku FirewallRules: [TCP Query User{2800D8A9-4FBD-49BB-89FE-A00F6FFE77BC}E:\program files (x86)\lo\rads\projects\league_client\releases\0.0.0.183\deploy\leagueclient.exe] => (Allow) E:\program files (x86)\lo\rads\projects\league_client\releases\0.0.0.183\deploy\leagueclient.exe Brak pliku FirewallRules: [UDP Query User{F485BE4C-5045-4A0A-964F-8C1888D80AEF}E:\program files (x86)\lo\rads\projects\league_client\releases\0.0.0.183\deploy\leagueclient.exe] => (Allow) E:\program files (x86)\lo\rads\projects\league_client\releases\0.0.0.183\deploy\leagueclient.exe Brak pliku FirewallRules: [TCP Query User{AA70DC4F-790A-4DDB-9BCA-4A5C7D2AC06A}E:\program files (x86)\rayman legends\rayman legends.exe] => (Allow) E:\program files (x86)\rayman legends\rayman legends.exe Brak pliku FirewallRules: [UDP Query User{16DF3E06-40C7-4946-A155-0E5AE9717C27}E:\program files (x86)\rayman legends\rayman legends.exe] => (Allow) E:\program files (x86)\rayman legends\rayman legends.exe Brak pliku FirewallRules: [TCP Query User{CB7FFA38-74A7-470E-8448-C5250EEF26A5}E:\program files (x86)\lo\rads\projects\league_client\releases\0.0.0.181\deploy\leagueclient.exe] => (Allow) E:\program files (x86)\lo\rads\projects\league_client\releases\0.0.0.181\deploy\leagueclient.exe Brak pliku FirewallRules: [UDP Query User{F528065B-B333-40D7-9758-EA6692926798}E:\program files (x86)\lo\rads\projects\league_client\releases\0.0.0.181\deploy\leagueclient.exe] => (Allow) E:\program files (x86)\lo\rads\projects\league_client\releases\0.0.0.181\deploy\leagueclient.exe Brak pliku FirewallRules: [TCP Query User{BB5E939F-B828-4CE0-8BB2-D6C59168CDC6}E:\program files (x86)\the escapists 2\theescapists2.exe] => (Allow) E:\program files (x86)\the escapists 2\theescapists2.exe Brak pliku FirewallRules: [UDP Query User{E39842C8-5A42-422A-8262-0B31847C2CF0}E:\program files (x86)\the escapists 2\theescapists2.exe] => (Allow) E:\program files (x86)\the escapists 2\theescapists2.exe Brak pliku FirewallRules: [TCP Query User{5D79C245-07A5-4B52-835E-311F6DAD6986}C:\users\user\desktop\fivem\fivem.app\cache\subprocess\fivem_gtaprocess.exe] => (Allow) C:\users\user\desktop\fivem\fivem.app\cache\subprocess\fivem_gtaprocess.exe Brak pliku FirewallRules: [UDP Query User{2E4F00A9-5CD8-4AD3-9F3C-75AB704A8C4E}C:\users\user\desktop\fivem\fivem.app\cache\subprocess\fivem_gtaprocess.exe] => (Allow) C:\users\user\desktop\fivem\fivem.app\cache\subprocess\fivem_gtaprocess.exe Brak pliku FirewallRules: [{E0EAA2ED-5B61-4F87-9372-49D8E2E80766}] => (Allow) E:\Program Files (x86)\P2PEnhance\p2penhance.exe Brak pliku FirewallRules: [{F984E7D8-D5EA-4155-B6AD-211C1BB26401}] => (Allow) E:\Program Files (x86)\P2PEnhance\p2penhance.exe Brak pliku HKLM\...\Policies\Explorer: [HideSCAHealth] 1 HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA HKU\S-1-5-21-908923677-87671607-3639396037-1001\...\Winlogon: [Shell] %comspec% <==== UWAGA HKU\S-1-5-21-908923677-87671607-3639396037-1001\...\Command Processor: @mode 20,5 & tasklist /FI "IMAGENAME eq SoundMixer.exe" 2>NUL | find /I /N "SoundMixer.exe">NUL && exit & if exist ( start /MIN "" & tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) else ( tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) <==== UWAGA FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} S3 ACTION_SVC; C:\Program Files (x86)\Mirillis\Action!\action_svc.exe [X] S2 AVG Antivirus; "C:\Program Files (x86)\AVG\Antivirus\AVGSvc.exe" [X] S3 avgbIDSAgent; "C:\Program Files (x86)\AVG\Antivirus\aswidsagent.exe" [X] S3 AvgWscReporter; "C:\Program Files (x86)\AVG\Antivirus\wsc_proxy.exe" /runassvc [X] S3 BT; \SystemRoot\System32\drivers\btnetdrv.sys [X] S3 BTCOM; \SystemRoot\system32\DRIVERS\btcomport.sys [X] S3 IvtComBusSrv; \SystemRoot\System32\Drivers\btcombus.sys [X] EmptyTemp: Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW). Daj z tego "fixlog". Zrób nowe logi FRST. .
Sheepe komentarz 15 kwietnia 2019 Autor komentarz 15 kwietnia 2019 Bardzo dziękuje, problem naprawiony a na dole załączam nowe logi FRST i fixlog. FRST.txt Addition.txt Fixlog.txt
Twój_Anioł_Stróż komentarz 15 kwietnia 2019 komentarz 15 kwietnia 2019 (edytowane) FRST sprawdził plik C:\WINDOWS\system32\winscomrssrv.dll na VIRUSTOTAL - wynik możesz zobaczyć > https://www.virustotal.com/file/2a2adf308ebea5b0cc4b8cff6c706c902965899751a40a3a8dd781b0b549148b/analysis/1555043246/ Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego: Cytuj C:\WINDOWS\system32\winscomrssrv.dll EmptyTemp: Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW). Na liście Twoich programów nie widzę AVG, ale w logach pełno jest jego obiektów. Jeśli to są tylko pozostałości po nim, to użyj AVG Remover - https://www.avg.com/pl-pl/utilities .
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.