x-kom hosting

CMD wyłącza sie po sekundzie

Przejdź do rekomendowanej odpowiedzi Autor: Twój_Anioł_Stróż ,
PruSAKo

PruSAKo

utworzono
utworzono

Tak jak w temacie, mam problem z wierszem polecenia który po włączeniu wyłącza się automatycznie po sekundzie

 

W załączniku zostawiam logi z FRST

FRST.txt Addition.txt

Anawa

Anawa

komentarz
komentarz

Program cmd.exe wyłącza się sekundę po jego uruchomieniu czy wyłącza się automatycznie po wprowadzeniu jakiejś komendy?

PruSAKo

PruSAKo

komentarz
  • Autor
komentarz

Od razu po uruchomieniu

  • Ten post jest popularny.
Twój_Anioł_Stróż

Twój_Anioł_Stróż

komentarz
  • Ten post jest popularny.
komentarz (edytowane)

Jest infekcja "Soundmixer".

 

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

HKU\S-1-5-21-59510003-315891566-2969630300-1001\...\Winlogon: [Shell] %comspec% <==== UWAGA


HKU\S-1-5-21-59510003-315891566-2969630300-1001\...\Command Processor: @mode 20,5 & tasklist /FI "IMAGENAME eq SoundMixer.exe" 2>NUL | find /I /N "SoundMixer.exe">NUL && exit & if exist "C:\Users\Mateuszek\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe" ( start /MIN "" "C:\Users\Mateuszek\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe" & tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) else ( tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) <==== UWAGA
RemoveDirectory: C:\Users\Mateuszek\AppData\Roaming\Microsoft\SoundMixer
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:


Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

Napisz, czy problem znikł?

Edytowane przez Twój_Anioł_Stróż
  • Dobra wypowiedź 2
PruSAKo

PruSAKo

komentarz
  • Autor
komentarz

Tak, problem znikł i cmd w końcu działa, dziękuje bardzo za pomoc i życzę miłego wieczoru :D

  • 11 miesięcy później...
jstefan

jstefan

komentarz
komentarz

Mam podobny problem, załączam logi z FRST i z góry dzięki ;)FRST.txtAddition.txt

Twój_Anioł_Stróż

Twój_Anioł_Stróż

komentarz
komentarz (edytowane)

@jstefan

 

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

Cytuj

HKU\S-1-5-21-2348060890-1817040223-993265962-1001\...\Winlogon: [Shell] %comspec% <==== UWAGA

HKU\S-1-5-21-2348060890-1817040223-993265962-1001\...\Command Processor: @mode 20,5 & tasklist /FI "IMAGENAME eq FirewallModule.exe" 2>NUL | find /I /N "FirewallModule.exe">NUL && exit & if exist "C:\Users\janst\AppData\Roaming\Microsoft\FirewallModule\FirewallModule.exe" ( start /MIN "" "C:\Users\janst\AppData\Roaming\Microsoft\FirewallModule\FirewallModule.exe" & tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) else ( tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) <==== UWAGA
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA
RemoveDirectory: C:\Users\janst\AppData\Roaming\Microsoft\FirewallModule
Task: {75863818-B2BB-46B1-8261-4D67CC481143} - System32\Tasks\Microsoft\Windows\Application Experience\StartupCheckLibrary => rundll32.exe StartupCheckLibrary.dll,DllMainRunLibrary <==== UWAGA
Task: {7E5F314F-FAF6-49B8-844E-23E0B6FD481B} - System32\Tasks\Microsoft\Windows\WDI\SrvHost => rundll32.exe winscomrssrv.dll,SrvMainHost <==== UWAGA
Task: {C51AE6D1-1CA4-464A-B148-FCBA6732D002} - System32\Tasks\Microsoft\Windows\Windows Error Reporting\winrmsrv => C:\Windows\system32\winrmsrv.exe [731136 2020-02-05] (Microsoft Corporation) [Brak podpisu cyfrowego] <==== UWAGA
HKLM\...\Policies\Explorer: [HideSCAHealth] 1
:\Windows\system32\winrmsrv.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
FirewallRules: [TCP Query User{8A471F98-8891-4B2A-86E6-9C5EEFCC0C04}C:\users\janst\appdata\local\programs\opera\66.0.3515.36\opera.exe] => (Allow) C:\users\janst\appdata\local\programs\opera\66.0.3515.36\opera.exe Brak pliku
FirewallRules: [UDP Query User{DA34DFAC-4AF2-456C-AD56-B3AB9C52D404}C:\users\janst\appdata\local\programs\opera\66.0.3515.36\opera.exe] => (Allow) C:\users\janst\appdata\local\programs\opera\66.0.3515.36\opera.exe Brak pliku
FirewallRules: [TCP Query User{FD8E161E-76ED-4061-B8EB-B045CF4CCF6B}C:\users\janst\appdata\local\programs\opera\66.0.3515.44\opera.exe] => (Allow) C:\users\janst\appdata\local\programs\opera\66.0.3515.44\opera.exe Brak pliku
FirewallRules: [UDP Query User{997F9987-0B0E-481C-8263-98E7871546FF}C:\users\janst\appdata\local\programs\opera\66.0.3515.44\opera.exe] => (Allow) C:\users\janst\appdata\local\programs\opera\66.0.3515.44\opera.exe Brak pliku
FirewallRules: [{63598A90-F866-4A3F-8796-0070830202DD}] => (Block) C:\Program Files (x86)\DOOMEternal\DOOMEternalx64vk.exe Brak pliku
FirewallRules: [{528D6843-97E0-4EC4-8A9F-B17EC293807B}] => (Block) C:\Program Files (x86)\DOOMEternal\idTechLauncher.exe Brak pliku
FirewallRules: [TCP Query User{979672F4-9646-40C5-A4A7-54AC320852B9}C:\users\janst\appdata\local\programs\opera\65.0.3467.48\opera.exe] => (Allow) C:\users\janst\appdata\local\programs\opera\65.0.3467.48\opera.exe Brak pliku
FirewallRules: [UDP Query User{BFD70D83-4BEB-43B8-8334-A39E049DA555}C:\users\janst\appdata\local\programs\opera\65.0.3467.48\opera.exe] => (Allow) C:\users\janst\appdata\local\programs\opera\65.0.3467.48\opera.exe Brak pliku
FirewallRules: [TCP Query User{553C6A21-2BC2-42DF-9E00-9F3F90243F34}C:\users\janst\appdata\local\programs\opera\65.0.3467.62\opera.exe] => (Allow) C:\users\janst\appdata\local\programs\opera\65.0.3467.62\opera.exe Brak pliku
FirewallRules: [UDP Query User{BAEC696E-49AE-4A68-AC29-1BC73609481F}C:\users\janst\appdata\local\programs\opera\65.0.3467.62\opera.exe] => (Allow) C:\users\janst\appdata\local\programs\opera\65.0.3467.62\opera.exe Brak pliku
FirewallRules: [TCP Query User{4D9B1F6B-AD6A-40C7-8430-EE9EA5800433}C:\users\janst\appdata\local\programs\opera\65.0.3467.72\opera.exe] => (Allow) C:\users\janst\appdata\local\programs\opera\65.0.3467.72\opera.exe Brak pliku
FirewallRules: [UDP Query User{8631F5DC-9645-4910-B6CC-5DDE60873790}C:\users\janst\appdata\local\programs\opera\65.0.3467.72\opera.exe] => (Allow) C:\users\janst\appdata\local\programs\opera\65.0.3467.72\opera.exe Brak pliku
FirewallRules: [TCP Query User{F7866DA3-C37E-42FE-B31D-9D38EED7AD02}C:\users\janst\appdata\local\programs\opera\65.0.3467.78\opera.exe] => (Allow) C:\users\janst\appdata\local\programs\opera\65.0.3467.78\opera.exe Brak pliku
FirewallRules: [UDP Query User{DE65A107-EBAB-4CBC-83AF-5D225597BD5A}C:\users\janst\appdata\local\programs\opera\65.0.3467.78\opera.exe] => (Allow) C:\users\janst\appdata\local\programs\opera\65.0.3467.78\opera.exe Brak pliku
FirewallRules: [{ACADCB4A-0E9C-4F03-9835-117C75534E59}] => (Allow) C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\games\Tom Clancy's Rainbow Six Siege\RainbowSix_BE.exe Brak pliku
FirewallRules: [{B3E4CBEC-FB07-4189-919F-BF40C0098452}] => (Allow) C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\games\Tom Clancy's Rainbow Six Siege\RainbowSix_BE.exe Brak pliku
FirewallRules: [{66B4AF11-0B6E-4663-B54D-9FF331136137}] => (Allow) C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\games\Tom Clancy's Rainbow Six Siege\RainbowSix.exe Brak pliku
FirewallRules: [{0F1AF820-FBD0-4863-B9A1-21AF5140C4C8}] => (Allow) C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\games\Tom Clancy's Rainbow Six Siege\RainbowSix.exe Brak pliku
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
S2 AMDRyzenMasterDriver; \??\C:\Program Files\AMD\Performance Profile Client\RyzenMaster\AMDRyzenMasterDriver.sys [X]
C:\Windows\Minidump\*.dmp
EmptyTemp:


Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

2)

Cytuj

S3 wuauserv; C:\Windows\system32\svchost.exe [53744 2019-03-19] (Microsoft Windows Publisher -> Microsoft Corporation) <==== UWAGA (Brak ServiceDLL)
S3 wuauserv; C:\Windows\SysWOW64\svchost.exe [45448 2019-03-19] (Microsoft Windows Publisher -> Microsoft Corporation) <==== UWAGA (Brak ServiceDLL)

Zrób log z Farbar Service Scanner >http://download.bleepingcomputer.com/farbar/FSS.exe (do skanowania zaznacz wszystko).

.

Edytowane przez Twój_Anioł_Stróż
jstefan

jstefan

komentarz
komentarz

Działa, dzięki. Poniżej log:

Farbar Service Scanner Version: 14-12-2019
Ran by janst (administrator) on 05-04-2020 at 20:40:35
Running from "C:\Users\janst\AppData\Local\Temp\scoped_dir2692_2086933653"
Microsoft Windows 10 Pro  (X64)
Boot Mode: Normal
****************************************************************

Internet Services:
============

Connection Status:
==============
Localhost is accessible.
LAN connected.
Google IP is accessible.
Google.com is accessible.
Yahoo.com is accessible.


Windows Firewall:
=============

Firewall Disabled Policy: 
==================
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=DWORD:0


System Restore:
============

System Restore Policy: 
========================


Security Center:
============


Windows Update:
============
wuauserv Service is not running. Checking service configuration:
The start type of wuauserv service is OK.
The ImagePath of wuauserv: "C:\Windows\system32\svchost.exe -k netsvcs -p".
Checking ServiceDll: ATTENTION!=====> Unable to open wuauserv registry key. The service key does not exist.


Windows Autoupdate Disabled Policy: 
============================


Windows Defender:
==============
WinDefend Service is not running. Checking service configuration:
Checking Start type: ATTENTION!=====> Unable to open WinDefend registry key. The service key does not exist.
Checking ImagePath: ATTENTION!=====> Unable to open WinDefend registry key. The service key does not exist.


Windows Defender Disabled Policy: 
==========================
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender]
"DisableAntiSpyware"=DWORD:1


Other Services:
==============


File Check:
========
C:\Windows\System32\nsisvc.dll => File is digitally signed
C:\Windows\System32\drivers\nsiproxy.sys => File is digitally signed
C:\Windows\System32\drivers\afd.sys => File is digitally signed
C:\Windows\System32\drivers\tdx.sys => File is digitally signed
C:\Windows\System32\Drivers\tcpip.sys => File is digitally signed
C:\Windows\System32\dnsrslvr.dll => File is digitally signed
C:\Windows\System32\dnsapi.dll => File is digitally signed
C:\Windows\SysWOW64\dnsapi.dll => File is digitally signed
C:\Windows\System32\mpssvc.dll => File is digitally signed
C:\Windows\System32\bfe.dll => File is digitally signed
C:\Windows\System32\drivers\mpsdrv.sys => File is digitally signed
C:\Windows\System32\SDRSVC.dll => File is digitally signed
C:\Windows\System32\vssvc.exe => File is digitally signed
C:\Windows\System32\wscsvc.dll => File is digitally signed
C:\Windows\System32\wbem\WMIsvc.dll => File is digitally signed
C:\Windows\System32\wuaueng.dll => File is digitally signed
C:\Windows\System32\qmgr.dll => File is digitally signed
C:\Windows\System32\es.dll => File is digitally signed
C:\Windows\System32\cryptsvc.dll => File is digitally signed
C:\Program Files\Windows Defender\MpSvc.dll => File is digitally signed
C:\Windows\System32\ipnathlp.dll => File is digitally signed
C:\Windows\System32\iphlpsvc.dll => File is digitally signed
C:\Windows\System32\svchost.exe => File is digitally signed
C:\Windows\System32\rpcss.dll => File is digitally signed


**** End of log ****

Twój_Anioł_Stróż

Twój_Anioł_Stróż

komentarz
komentarz

@jstefan

 

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

StartRegedit:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv\Parameters]
"ServiceDll"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,\
  00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  77,00,75,00,61,00,75,00,65,00,6e,00,67,00,2e,00,64,00,6c,00,6c,00,00,00
"ServiceMain"="WUServiceMain"
"ServiceDllUnloadOnStop"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend]
"DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00
"Start"=dword:00000002
"Type"=dword:00000020
"Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-1176"
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00
"ObjectName"="LocalSystem"
"ServiceSidType"=dword:00000001
"RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\
  00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\
  65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\
  00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\
  74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\
  00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\
  69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\
  00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\
  6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\
  00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\
  53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,\
  00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,\
  72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,\
  00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,\
  69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,\
  00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\
  00,00
"DelayedAutoStart"=dword:00000001
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
  00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters]
"ServiceDllUnloadOnStop"=dword:00000001
"ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\
  00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\
  20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\
  00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security]
"Security"=hex:01,00,14,80,dc,00,00,00,e8,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,ac,00,06,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\
  05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\
  00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\
  84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\
  00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\
  05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\
  04,00,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,\
  01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0]
"Type"=dword:00000005
"Action"=dword:00000001
"GUID"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender]
"DisableAntiSpyware"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=dword:00000000
EndRegedit:

Reboot:


Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

Zrób nowy log FSS.

.

jstefan

jstefan

komentarz
komentarz

Log:

Farbar Service Scanner Version: 14-12-2019
Ran by janst (administrator) on 06-04-2020 at 00:33:25
Running from "C:\Users\janst\Downloads"
Microsoft Windows 10 Pro  (X64)
Boot Mode: Normal
****************************************************************

Internet Services:
============

Connection Status:
==============
Localhost is accessible.
LAN connected.
Google IP is accessible.
Google.com is accessible.
Yahoo.com is accessible.


Windows Firewall:
=============

Firewall Disabled Policy: 
==================
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=DWORD:0


System Restore:
============

System Restore Policy: 
========================


Security Center:
============

wscsvc Service is not running. Checking service configuration:
The start type of wscsvc service is OK.
The ImagePath of wscsvc: "%SystemRoot%\System32\svchost.exe -k LocalServiceNetworkRestricted -p".
The ServiceDll of wscsvc service is OK.


Windows Update:
============

Windows Autoupdate Disabled Policy: 
============================


Windows Defender:
==============
WinDefend Service is not running. Checking service configuration:
The start type of WinDefend service is OK.
The ImagePath of WinDefend: "%SystemRoot%\System32\svchost.exe -k secsvcs".


Windows Defender Disabled Policy: 
==========================
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender]
"DisableAntiSpyware"=DWORD:1


Other Services:
==============


File Check:
========
C:\Windows\System32\nsisvc.dll => File is digitally signed
C:\Windows\System32\drivers\nsiproxy.sys => File is digitally signed
C:\Windows\System32\drivers\afd.sys => File is digitally signed
C:\Windows\System32\drivers\tdx.sys => File is digitally signed
C:\Windows\System32\Drivers\tcpip.sys => File is digitally signed
C:\Windows\System32\dnsrslvr.dll => File is digitally signed
C:\Windows\System32\dnsapi.dll => File is digitally signed
C:\Windows\SysWOW64\dnsapi.dll => File is digitally signed
C:\Windows\System32\mpssvc.dll => File is digitally signed
C:\Windows\System32\bfe.dll => File is digitally signed
C:\Windows\System32\drivers\mpsdrv.sys => File is digitally signed
C:\Windows\System32\SDRSVC.dll => File is digitally signed
C:\Windows\System32\vssvc.exe => File is digitally signed
C:\Windows\System32\wscsvc.dll => File is digitally signed
C:\Windows\System32\wbem\WMIsvc.dll => File is digitally signed
C:\Windows\System32\wuaueng.dll => File is digitally signed
C:\Windows\System32\qmgr.dll => File is digitally signed
C:\Windows\System32\es.dll => File is digitally signed
C:\Windows\System32\cryptsvc.dll => File is digitally signed
C:\Program Files\Windows Defender\MpSvc.dll => File is digitally signed
C:\Windows\System32\ipnathlp.dll => File is digitally signed
C:\Windows\System32\iphlpsvc.dll => File is digitally signed
C:\Windows\System32\svchost.exe => File is digitally signed
C:\Windows\System32\rpcss.dll => File is digitally signed


**** End of log ****

Mef123

Mef123

komentarz
komentarz (edytowane)

Witam mam również problem z cmd po uruchomieniu odpala się po czym od razu  znika , próbowałem coś z frst (pierwszy post) "Twój_Anioł_Stróż" ale bez rezultatu

Addition.txt FRST.txt

Edytowane przez Mef123
Twój_Anioł_Stróż

Twój_Anioł_Stróż

komentarz
komentarz (edytowane)

@jstefan

 

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

Cytuj


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender]
"DisableAntiSpyware"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc]
"Start"=dword:00000002
EndRegedit:
Reboot:


Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

Zrób sobie nowy log FSS.

Jeśli w nim dalej będzie:
 

Cytuj

 

Security Center:
============

wscsvc Service is not running.

 

to zrobisz to:

>>START >>> Uruchom >>> wybierz (lub wpisz) services.msc>>OK>

>znajdź usługę Centrum Zabezpieczeń, i zaznacz ją

>w kolumnie STAN sprawdź, czy jest tam napisane: URUCHOMIONO

>jeśli nie ma, to w sekcji umieszczonej po lewej kliknij na URUCHOM PONOWNIE.

 

=======================================================

========================================================

=======================================================

@mef123

 

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

Cytuj

HKU\S-1-5-21-664604495-2949105444-244547830-1001\...\Winlogon: [Shell] %comspec% <==== UWAGA

HKU\S-1-5-21-664604495-2949105444-244547830-1001\...\Command Processor: @mode 20,5 & tasklist /FI "IMAGENAME eq SoundModule.exe" 2>NUL | find /I /N "SoundModule.exe">NUL && exit & if exist "C:\Users\Mef Corporation\AppData\Roaming\Microsoft\SoundModule\SoundModule.exe" ( start /MIN "" "C:\Users\Mef Corporation\AppData\Roaming\Microsoft\SoundModule\SoundModule.exe" & tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) else ( tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) <==== UWAGA
RemoveDirectory: C:\Users\Mef Corporation\AppData\Roaming\Microsoft\SoundModule
RemoveDirectory: C:\Users\Mef Corporation\Downloads\FRST-OlderVersion
C:\Users\Mef Corporation\Downloads\Fixlog.txt
AlternateDataStreams: C:\ProgramData\TEMP:6BE50C2B [464]
C:\Users\Mef Corporation\Downloads\udxsnkqgmbdr.txt
C:\WINDOWS\system32\fixlist.txt.txt
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:


Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

Napisz, czy problem znikł?

.

Edytowane przez Twój_Anioł_Stróż
jstefan

jstefan

komentarz
komentarz

wscsvc Service is not running. - tego nie było, a usługa jest uruchomiona, czyli jest okej?

Mef123

Mef123

komentarz
komentarz (edytowane)

Twój_Anioł_Stróż , Zrobiłem jak mówiłeś i problem rozwiązany cmd uruchamia się bez żadnego problemu. Dziękuje za pomoc pozdrawiam 

Edytowane przez Mef123
Twój_Anioł_Stróż

Twój_Anioł_Stróż

komentarz
komentarz

@jstefan

 

Cytuj

czyli jest okej?

Tak, jest OK.

jstefan

jstefan

komentarz
komentarz

to dzięki raz jeszcze ;)

wujek2802

wujek2802

komentarz
komentarz

Witam,
Chciałbym się podpiąć do tematu, gdyż jeden z użytkowników na innym forum na którym dużo ludzi pisało z problemem rzucił odpowiedzią, że pomogli mu użytkownicy z forumpc. 
Sprawa wygląda tak - u mnie cmd działa normalnie (nie znika). Moje pytanie brzmi, czy użytkownicy którzy pomagali w tym temacie mogli by przejrzeć moje logi z FRST ? Tak po prostu - w poszukiwaniu błędów. 

Dzięki z góry. :)

Addition.txt FRST.txt

Mati6824

Mati6824

komentarz
komentarz

Witam. Mam podobny problem: cmd wyłącza się po uruchomieniu. 
W załączniku log z FRST 

Addition.txt FRST.txt

Twój_Anioł_Stróż

Twój_Anioł_Stróż

komentarz
komentarz (edytowane)

@wujek2802

 

1) Odinstaluj niepotrzebny do niczego program:

Akamai NetSession Interface (HKU\S-1-5-21-338552073-2492429879-3746896538-1001\...\Akamai) (Version:  - Akamai Technologies, Inc)

 

2) SpyHunter nie jest zaufanym programem, więc go odinstaluj - spróbuj odinstalować w ten sposób:
kliknij na tę ikonkę C:\Users\nazwa Użytkownika\Start Menu\Programs\SpyHunter\Uninstall.lnk (czyli >>START >>Programy>>SpyHunter>>Uninstall)
wyskoczy okienko, ale zamiast klikać wielki zielony guzik "continue" kliknij "no, thanks". To drugie odinstalowuje.

 

3)  Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

Cytuj

RemoveDirectory: C:\Program Files\EnigmaSoft

HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe <==== UWAGA
HKU\S-1-5-21-338552073-2492429879-3746896538-1001\...\Policies\Explorer: []
GroupPolicy: Ograniczenia ? <==== UWAGA
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA
S2 EsgShKernel; C:\Program Files\EnigmaSoft\SpyHunter\ShKernel.exe [11963616 2020-03-25] (EnigmaSoft Limited -> EnigmaSoft Limited)
S4 nvvhci; \SystemRoot\System32\drivers\nvvhci.sys [X]
RemoveDirectory: C:\Users\wujek\Downloads\FRST-OlderVersion
2020-03-25 17:56 - 2020-03-25 17:56 - 000000000 ____D C:\sh5ldr
2020-03-25 17:56 - 2020-03-25 17:56 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EnigmaSoft
2020-03-25 17:56 - 2020-03-25 17:56 - 000000000 ____D C:\ProgramData\EnigmaSoft Limited
2020-03-25 17:55 - 2020-03-25 17:55 - 000000000 ____D C:\Program Files\EnigmaSoft
2020-03-25 17:54 - 2020-03-25 17:54 - 006455520 _____ (EnigmaSoft Limited) C:\Users\wujek\Downloads\SpyHunter-Installer.exe
HKU\S-1-5-21-338552073-2492429879-3746896538-1001\...\StartupApproved\Run: => "Akamai NetSession Interface
FirewallRules: [{8182405E-305D-4C72-91BE-7EC8E3D756A1}] => (Allow) C:\Users\wujek\AppData\Local\Apowersoft\Apowersoft Online Launcher\Apowersoft Online Launcher.exe Brak pliku
FirewallRules: [{27EDC3FF-7F1A-4E0F-A4BE-0749814F82D1}] => (Allow) C:\Users\wujek\AppData\Local\Apowersoft\Apowersoft Online Launcher\Apowersoft Online Launcher.exe Brak pliku
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
HOSTS:
EmptyTemp:


Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

Zainstaluj nowszą wersję Javy, wg https://www.fixitpc.pl/topic/5-dezynfekcja-kroki-finalizujące-temat/?tab=comments#comment-179769

Podczas instalacji dopilnuj, by ta nowa wersja Javy odinstalowała stare wersje, które teraz masz.

(pobieraj z java.com, bo tam nie ma potrzeby rejestrowania się.)

 

========================================================

========================================================

@Mati6824

 

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

Cytuj

HKU\S-1-5-21-207239084-2017287045-88200490-1001\...\Winlogon: [Shell] %comspec% <==== UWAGA

HKU\S-1-5-21-207239084-2017287045-88200490-1001\...\Command Processor: @mode 20,5 & tasklist /FI "IMAGENAME eq SoundMixer.exe" 2>NUL | find /I /N "SoundMixer.exe">NUL && exit & if exist "C:\Users\Mati\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe" ( start /MIN "" "C:\Users\Mati\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe" & tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) else ( tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) <==== UWAGA
RemoveDirectory: C:\Users\Mati\AppData\Roaming\Microsoft\SoundMixer
FirewallRules: [OpenSSH-Server-In-TCP] => (Allow) %SystemRoot%\system32\OpenSSH\sshd.exe Brak pliku
FirewallRules: [{BE4C7872-5846-4E92-87E5-772F380608BB}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe Brak pliku
FirewallRules: [{F32A12CF-A4F0-41FD-8CE0-959EAA3CBEDD}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe Brak pliku
FirewallRules: [{2E9355C1-6D26-4CCC-B629-2BFAEA7E864D}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe Brak pliku
FirewallRules: [{B705AFDE-FEA1-498D-A238-03529A2C088A}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe Brak pliku
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
RemoveDirectory: C:\Users\Mati\Downloads\FRST-OlderVersion
EmptyTemp:


Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

Napisz, czy problem znikł?

.

Edytowane przez Twój_Anioł_Stróż
  • Super 1
Mati6824

Mati6824

komentarz
komentarz

@Twój_Anioł_Stróż Działa. Wielkie dzięki za poświęcony czas. :)

wujek2802

wujek2802

komentarz
komentarz

@Twój_Anioł_Stróż Wielkie dzięki również za poświęcony czas. Masz wiedzę na ten temat :)

Janek1331

Janek1331

komentarz
komentarz

Witam, mam podobny problem z CMD. Czy mógłby ktoś mi pomóc z tym ? Próbowałem odpalić COD: WAR ZONE ale wywala mnie do pulpitu po paru minutach albo nawet od razu po załadowaniu się gry i dowiedziałem się że może być to właśnie przez to. W załączniku log z FRST 

Addition.txt FRST.txt

Twój_Anioł_Stróż

Twój_Anioł_Stróż

komentarz
komentarz (edytowane)

------->@Janek1331

 

1) Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

Cytuj

Online Application (HKLM-x32\...\{5266F634-7B7D-4537-BDDC-98DD6CFCBAA1}) (Version: 2.7.0 - Microleaves) Hidden <==== UWAGA


Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

2) Po tym usuwaniu ten infekcyjny ukryty program powinien być już widoczny, więc spróbuj go odinstalować.

Online Application (HKLM-x32\...\{5266F634-7B7D-4537-BDDC-98DD6CFCBAA1}

 

3)

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

Cytuj

HKU\S-1-5-21-913113125-2200677020-645530610-1001\...\Winlogon: [Shell] %comspec% <==== UWAGA

HKU\S-1-5-21-913113125-2200677020-645530610-1001\...\Command Processor: @mode 20,5 & tasklist /FI "IMAGENAME eq SoundModule.exe" 2>NUL | find /I /N "SoundModule.exe">NUL && exit & if exist "C:\Users\rafi6\AppData\Roaming\Microsoft\SoundModule\SoundModule.exe" ( start /MIN "" "C:\Users\rafi6\AppData\Roaming\Microsoft\SoundModule\SoundModule.exe" & tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) else ( tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) <==== UWAGA
RemoveDirectory: C:\Users\rafi6\AppData\Roaming\Microsoft\SoundModule
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{5266F634-7B7D-4537-BDDC-98DD6CFCBAA1}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{5266F634-7B7D-4537-BDDC-98DD6CFCBAA1}
RemoveDirectory: C:\Program Files (x86)\Microleaves
RemoveDirectory: C:\Program Files (x86)\AdvancedWindowsManager
Task: {12425BB9-0ABA-4FE0-9DBF-450A5B9F5879} - System32\Tasks\Online Application V2G6 => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe [199864 2017-11-02] (MICROLEAVES LTD -> ) <==== UWAGA
Task: {36E3D73F-5AA1-40C1-A5F2-2FD37C04011D} - System32\Tasks\AdvancedUpdater => C:\Program Files (x86)\AdvancedWindowsManager\Windows Installer\Windows Updater.exe [895112 2020-02-21] (MICROLEAVES LTD -> AdvancedWindowsManager) <==== UWAGA
Task: {3B776165-2317-4BB2-8C3F-B0E442E117A8} - System32\Tasks\Online Application V2G4 => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe [199864 2017-11-02] (MICROLEAVES LTD -> ) <==== UWAGA
Task: {3BDE2A03-3B9F-47BD-A53D-E9F1B7F89BBB} - System32\Tasks\Online Application V2G5 => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe [199864 2017-11-02] (MICROLEAVES LTD -> ) <==== UWAGA
Task: {5244D8A9-E400-4B04-BCAA-67195CAD40B6} - System32\Tasks\Updater_Online_Application => C:\Program Files (x86)\Microleaves\Online Application\Online Application Updater.exe [908144 2017-11-02] (MICROLEAVES LTD -> Microleaves) <==== UWAGA
Task: {838E1196-4311-4FF5-AD9D-7379DE85667B} - System32\Tasks\Online Application V2G3 => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe [199864 2017-11-02] (MICROLEAVES LTD -> ) <==== UWAGA
Task: {89C88273-CD9C-4A52-BEA8-BC62D57A364A} - System32\Tasks\AdvancedWindowsManager => C:\Program Files (x86)\AdvancedWindowsManager\Windows Installer\AdvancedWindowsManager.exe [7915656 2020-02-21] (MICROLEAVES LTD -> ) <==== UWAGA
Task: {A587FB6C-B5A8-4F1F-A0A4-3C2FB20F33A7} - System32\Tasks\Online Application V2G1 => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe [199864 2017-11-02] (MICROLEAVES LTD -> ) <==== UWAGA
Task: {B1D215CD-339B-400E-A495-1290ADF1BB8B} - System32\Tasks\Online Application V2G2 => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe [199864 2017-11-02] (MICROLEAVES LTD -> ) <==== UWAGA
Task: C:\WINDOWS\Tasks\Online Application V2G1.job => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe <==== UWAGA
Task: C:\WINDOWS\Tasks\Online Application V2G2.job => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe <==== UWAGA
Task: C:\WINDOWS\Tasks\Online Application V2G3.job => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe <==== UWAGA
Task: C:\WINDOWS\Tasks\Online Application V2G4.job => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe <==== UWAGA
Task: C:\WINDOWS\Tasks\Online Application V2G5.job => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe <==== UWAGA
Task: C:\WINDOWS\Tasks\Online Application V2G6.job => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe <==== UWAGA
Task: C:\WINDOWS\Tasks\Updater_Online_Application.job => C:\Program Files (x86)\Microleaves\Online Application\Online Application Updater.exe <==== UWAGA
S3 BlueStacksDrv; \??\C:\Program Files\BlueStacks\BstkDrv.sys [X]
RemoveDirectory: C:\Users\rafi6\Downloads\FRST-OlderVersion
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-913113125-2200677020-645530610-1001\...\Run: [GalaxyClient] => [X]
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:


Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

Zrób nowe logi FRST - sprawdzę, czy wszystko się usunęło.

.

Edytowane przez Twój_Anioł_Stróż
  • Dziękuję 1
Janek1331

Janek1331

komentarz
komentarz

Dziękuję bardzo! Bardzo mi to pomogło!!! Wrzucam tutaj nowe logi

Addition.txt FRST.txt

Twój_Anioł_Stróż

Twój_Anioł_Stróż

komentarz
komentarz

Wszystko się ładnie usunęło - w nowych logach nie ma niczego podejrzanego.

  • Dziękuję 1

Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!

Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.

Zadaj pytanie bez logowania
Przejdź do listy tematów
×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Strona wykorzystuje pliki cookies w celu prawidłowego świadczenia usług i wygody użytkowników. Warunki przechowywania i dostępu do plików cookies możesz zmienić w ustawieniach przeglądarki.

  Akceptuję