PruSAKo utworzono 28 kwietnia 2019 utworzono 28 kwietnia 2019 Tak jak w temacie, mam problem z wierszem polecenia który po włączeniu wyłącza się automatycznie po sekundzie W załączniku zostawiam logi z FRST FRST.txt Addition.txt
Anawa komentarz 29 kwietnia 2019 komentarz 29 kwietnia 2019 Program cmd.exe wyłącza się sekundę po jego uruchomieniu czy wyłącza się automatycznie po wprowadzeniu jakiejś komendy?
Ten post jest popularny. Twój_Anioł_Stróż komentarz 29 kwietnia 2019 Ten post jest popularny. komentarz 29 kwietnia 2019 (edytowane) Jest infekcja "Soundmixer". Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:HKU\S-1-5-21-59510003-315891566-2969630300-1001\...\Winlogon: [Shell] %comspec% <==== UWAGA HKU\S-1-5-21-59510003-315891566-2969630300-1001\...\Command Processor: @mode 20,5 & tasklist /FI "IMAGENAME eq SoundMixer.exe" 2>NUL | find /I /N "SoundMixer.exe">NUL && exit & if exist "C:\Users\Mateuszek\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe" ( start /MIN "" "C:\Users\Mateuszek\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe" & tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) else ( tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) <==== UWAGA RemoveDirectory: C:\Users\Mateuszek\AppData\Roaming\Microsoft\SoundMixer FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW). Napisz, czy problem znikł? Edytowane 29 kwietnia 2019 przez Twój_Anioł_Stróż 2
PruSAKo komentarz 29 kwietnia 2019 Autor komentarz 29 kwietnia 2019 Tak, problem znikł i cmd w końcu działa, dziękuje bardzo za pomoc i życzę miłego wieczoru :D
jstefan komentarz 5 kwietnia 2020 komentarz 5 kwietnia 2020 Mam podobny problem, załączam logi z FRST i z góry dzięki ;)FRST.txtAddition.txt
Twój_Anioł_Stróż komentarz 5 kwietnia 2020 komentarz 5 kwietnia 2020 (edytowane) @jstefan Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego: Cytuj HKU\S-1-5-21-2348060890-1817040223-993265962-1001\...\Winlogon: [Shell] %comspec% <==== UWAGA HKU\S-1-5-21-2348060890-1817040223-993265962-1001\...\Command Processor: @mode 20,5 & tasklist /FI "IMAGENAME eq FirewallModule.exe" 2>NUL | find /I /N "FirewallModule.exe">NUL && exit & if exist "C:\Users\janst\AppData\Roaming\Microsoft\FirewallModule\FirewallModule.exe" ( start /MIN "" "C:\Users\janst\AppData\Roaming\Microsoft\FirewallModule\FirewallModule.exe" & tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) else ( tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) <==== UWAGA FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA RemoveDirectory: C:\Users\janst\AppData\Roaming\Microsoft\FirewallModule Task: {75863818-B2BB-46B1-8261-4D67CC481143} - System32\Tasks\Microsoft\Windows\Application Experience\StartupCheckLibrary => rundll32.exe StartupCheckLibrary.dll,DllMainRunLibrary <==== UWAGA Task: {7E5F314F-FAF6-49B8-844E-23E0B6FD481B} - System32\Tasks\Microsoft\Windows\WDI\SrvHost => rundll32.exe winscomrssrv.dll,SrvMainHost <==== UWAGA Task: {C51AE6D1-1CA4-464A-B148-FCBA6732D002} - System32\Tasks\Microsoft\Windows\Windows Error Reporting\winrmsrv => C:\Windows\system32\winrmsrv.exe [731136 2020-02-05] (Microsoft Corporation) [Brak podpisu cyfrowego] <==== UWAGA HKLM\...\Policies\Explorer: [HideSCAHealth] 1 :\Windows\system32\winrmsrv.exe HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA FirewallRules: [TCP Query User{8A471F98-8891-4B2A-86E6-9C5EEFCC0C04}C:\users\janst\appdata\local\programs\opera\66.0.3515.36\opera.exe] => (Allow) C:\users\janst\appdata\local\programs\opera\66.0.3515.36\opera.exe Brak pliku FirewallRules: [UDP Query User{DA34DFAC-4AF2-456C-AD56-B3AB9C52D404}C:\users\janst\appdata\local\programs\opera\66.0.3515.36\opera.exe] => (Allow) C:\users\janst\appdata\local\programs\opera\66.0.3515.36\opera.exe Brak pliku FirewallRules: [TCP Query User{FD8E161E-76ED-4061-B8EB-B045CF4CCF6B}C:\users\janst\appdata\local\programs\opera\66.0.3515.44\opera.exe] => (Allow) C:\users\janst\appdata\local\programs\opera\66.0.3515.44\opera.exe Brak pliku FirewallRules: [UDP Query User{997F9987-0B0E-481C-8263-98E7871546FF}C:\users\janst\appdata\local\programs\opera\66.0.3515.44\opera.exe] => (Allow) C:\users\janst\appdata\local\programs\opera\66.0.3515.44\opera.exe Brak pliku FirewallRules: [{63598A90-F866-4A3F-8796-0070830202DD}] => (Block) C:\Program Files (x86)\DOOMEternal\DOOMEternalx64vk.exe Brak pliku FirewallRules: [{528D6843-97E0-4EC4-8A9F-B17EC293807B}] => (Block) C:\Program Files (x86)\DOOMEternal\idTechLauncher.exe Brak pliku FirewallRules: [TCP Query User{979672F4-9646-40C5-A4A7-54AC320852B9}C:\users\janst\appdata\local\programs\opera\65.0.3467.48\opera.exe] => (Allow) C:\users\janst\appdata\local\programs\opera\65.0.3467.48\opera.exe Brak pliku FirewallRules: [UDP Query User{BFD70D83-4BEB-43B8-8334-A39E049DA555}C:\users\janst\appdata\local\programs\opera\65.0.3467.48\opera.exe] => (Allow) C:\users\janst\appdata\local\programs\opera\65.0.3467.48\opera.exe Brak pliku FirewallRules: [TCP Query User{553C6A21-2BC2-42DF-9E00-9F3F90243F34}C:\users\janst\appdata\local\programs\opera\65.0.3467.62\opera.exe] => (Allow) C:\users\janst\appdata\local\programs\opera\65.0.3467.62\opera.exe Brak pliku FirewallRules: [UDP Query User{BAEC696E-49AE-4A68-AC29-1BC73609481F}C:\users\janst\appdata\local\programs\opera\65.0.3467.62\opera.exe] => (Allow) C:\users\janst\appdata\local\programs\opera\65.0.3467.62\opera.exe Brak pliku FirewallRules: [TCP Query User{4D9B1F6B-AD6A-40C7-8430-EE9EA5800433}C:\users\janst\appdata\local\programs\opera\65.0.3467.72\opera.exe] => (Allow) C:\users\janst\appdata\local\programs\opera\65.0.3467.72\opera.exe Brak pliku FirewallRules: [UDP Query User{8631F5DC-9645-4910-B6CC-5DDE60873790}C:\users\janst\appdata\local\programs\opera\65.0.3467.72\opera.exe] => (Allow) C:\users\janst\appdata\local\programs\opera\65.0.3467.72\opera.exe Brak pliku FirewallRules: [TCP Query User{F7866DA3-C37E-42FE-B31D-9D38EED7AD02}C:\users\janst\appdata\local\programs\opera\65.0.3467.78\opera.exe] => (Allow) C:\users\janst\appdata\local\programs\opera\65.0.3467.78\opera.exe Brak pliku FirewallRules: [UDP Query User{DE65A107-EBAB-4CBC-83AF-5D225597BD5A}C:\users\janst\appdata\local\programs\opera\65.0.3467.78\opera.exe] => (Allow) C:\users\janst\appdata\local\programs\opera\65.0.3467.78\opera.exe Brak pliku FirewallRules: [{ACADCB4A-0E9C-4F03-9835-117C75534E59}] => (Allow) C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\games\Tom Clancy's Rainbow Six Siege\RainbowSix_BE.exe Brak pliku FirewallRules: [{B3E4CBEC-FB07-4189-919F-BF40C0098452}] => (Allow) C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\games\Tom Clancy's Rainbow Six Siege\RainbowSix_BE.exe Brak pliku FirewallRules: [{66B4AF11-0B6E-4663-B54D-9FF331136137}] => (Allow) C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\games\Tom Clancy's Rainbow Six Siege\RainbowSix.exe Brak pliku FirewallRules: [{0F1AF820-FBD0-4863-B9A1-21AF5140C4C8}] => (Allow) C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\games\Tom Clancy's Rainbow Six Siege\RainbowSix.exe Brak pliku Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} S2 AMDRyzenMasterDriver; \??\C:\Program Files\AMD\Performance Profile Client\RyzenMaster\AMDRyzenMasterDriver.sys [X] C:\Windows\Minidump\*.dmp EmptyTemp: Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW). 2) Cytuj S3 wuauserv; C:\Windows\system32\svchost.exe [53744 2019-03-19] (Microsoft Windows Publisher -> Microsoft Corporation) <==== UWAGA (Brak ServiceDLL) S3 wuauserv; C:\Windows\SysWOW64\svchost.exe [45448 2019-03-19] (Microsoft Windows Publisher -> Microsoft Corporation) <==== UWAGA (Brak ServiceDLL) Zrób log z Farbar Service Scanner >http://download.bleepingcomputer.com/farbar/FSS.exe (do skanowania zaznacz wszystko). . Edytowane 5 kwietnia 2020 przez Twój_Anioł_Stróż
jstefan komentarz 5 kwietnia 2020 komentarz 5 kwietnia 2020 Działa, dzięki. Poniżej log: Farbar Service Scanner Version: 14-12-2019 Ran by janst (administrator) on 05-04-2020 at 20:40:35 Running from "C:\Users\janst\AppData\Local\Temp\scoped_dir2692_2086933653" Microsoft Windows 10 Pro (X64) Boot Mode: Normal **************************************************************** Internet Services: ============ Connection Status: ============== Localhost is accessible. LAN connected. Google IP is accessible. Google.com is accessible. Yahoo.com is accessible. Windows Firewall: ============= Firewall Disabled Policy: ================== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall"=DWORD:0 System Restore: ============ System Restore Policy: ======================== Security Center: ============ Windows Update: ============ wuauserv Service is not running. Checking service configuration: The start type of wuauserv service is OK. The ImagePath of wuauserv: "C:\Windows\system32\svchost.exe -k netsvcs -p". Checking ServiceDll: ATTENTION!=====> Unable to open wuauserv registry key. The service key does not exist. Windows Autoupdate Disabled Policy: ============================ Windows Defender: ============== WinDefend Service is not running. Checking service configuration: Checking Start type: ATTENTION!=====> Unable to open WinDefend registry key. The service key does not exist. Checking ImagePath: ATTENTION!=====> Unable to open WinDefend registry key. The service key does not exist. Windows Defender Disabled Policy: ========================== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender] "DisableAntiSpyware"=DWORD:1 Other Services: ============== File Check: ======== C:\Windows\System32\nsisvc.dll => File is digitally signed C:\Windows\System32\drivers\nsiproxy.sys => File is digitally signed C:\Windows\System32\drivers\afd.sys => File is digitally signed C:\Windows\System32\drivers\tdx.sys => File is digitally signed C:\Windows\System32\Drivers\tcpip.sys => File is digitally signed C:\Windows\System32\dnsrslvr.dll => File is digitally signed C:\Windows\System32\dnsapi.dll => File is digitally signed C:\Windows\SysWOW64\dnsapi.dll => File is digitally signed C:\Windows\System32\mpssvc.dll => File is digitally signed C:\Windows\System32\bfe.dll => File is digitally signed C:\Windows\System32\drivers\mpsdrv.sys => File is digitally signed C:\Windows\System32\SDRSVC.dll => File is digitally signed C:\Windows\System32\vssvc.exe => File is digitally signed C:\Windows\System32\wscsvc.dll => File is digitally signed C:\Windows\System32\wbem\WMIsvc.dll => File is digitally signed C:\Windows\System32\wuaueng.dll => File is digitally signed C:\Windows\System32\qmgr.dll => File is digitally signed C:\Windows\System32\es.dll => File is digitally signed C:\Windows\System32\cryptsvc.dll => File is digitally signed C:\Program Files\Windows Defender\MpSvc.dll => File is digitally signed C:\Windows\System32\ipnathlp.dll => File is digitally signed C:\Windows\System32\iphlpsvc.dll => File is digitally signed C:\Windows\System32\svchost.exe => File is digitally signed C:\Windows\System32\rpcss.dll => File is digitally signed **** End of log ****
Twój_Anioł_Stróż komentarz 5 kwietnia 2020 komentarz 5 kwietnia 2020 @jstefan Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:StartRegedit: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv\Parameters] "ServiceDll"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,75,00,61,00,75,00,65,00,6e,00,67,00,2e,00,64,00,6c,00,6c,00,00,00 "ServiceMain"="WUServiceMain" "ServiceDllUnloadOnStop"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend] "DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-1176" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "ObjectName"="LocalSystem" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\ 00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\ 65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\ 74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\ 69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\ 00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\ 6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\ 00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,\ 72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,\ 69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,\ 00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\ 00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\ 20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\ 00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security] "Security"=hex:01,00,14,80,dc,00,00,00,e8,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,ac,00,06,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\ 05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\ 00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\ 84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\ 05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\ 04,00,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0] "Type"=dword:00000005 "Action"=dword:00000001 "GUID"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender] "DisableAntiSpyware"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall"=dword:00000000 EndRegedit: Reboot: Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW). Zrób nowy log FSS. .
jstefan komentarz 5 kwietnia 2020 komentarz 5 kwietnia 2020 Log: Farbar Service Scanner Version: 14-12-2019 Ran by janst (administrator) on 06-04-2020 at 00:33:25 Running from "C:\Users\janst\Downloads" Microsoft Windows 10 Pro (X64) Boot Mode: Normal **************************************************************** Internet Services: ============ Connection Status: ============== Localhost is accessible. LAN connected. Google IP is accessible. Google.com is accessible. Yahoo.com is accessible. Windows Firewall: ============= Firewall Disabled Policy: ================== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall"=DWORD:0 System Restore: ============ System Restore Policy: ======================== Security Center: ============ wscsvc Service is not running. Checking service configuration: The start type of wscsvc service is OK. The ImagePath of wscsvc: "%SystemRoot%\System32\svchost.exe -k LocalServiceNetworkRestricted -p". The ServiceDll of wscsvc service is OK. Windows Update: ============ Windows Autoupdate Disabled Policy: ============================ Windows Defender: ============== WinDefend Service is not running. Checking service configuration: The start type of WinDefend service is OK. The ImagePath of WinDefend: "%SystemRoot%\System32\svchost.exe -k secsvcs". Windows Defender Disabled Policy: ========================== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender] "DisableAntiSpyware"=DWORD:1 Other Services: ============== File Check: ======== C:\Windows\System32\nsisvc.dll => File is digitally signed C:\Windows\System32\drivers\nsiproxy.sys => File is digitally signed C:\Windows\System32\drivers\afd.sys => File is digitally signed C:\Windows\System32\drivers\tdx.sys => File is digitally signed C:\Windows\System32\Drivers\tcpip.sys => File is digitally signed C:\Windows\System32\dnsrslvr.dll => File is digitally signed C:\Windows\System32\dnsapi.dll => File is digitally signed C:\Windows\SysWOW64\dnsapi.dll => File is digitally signed C:\Windows\System32\mpssvc.dll => File is digitally signed C:\Windows\System32\bfe.dll => File is digitally signed C:\Windows\System32\drivers\mpsdrv.sys => File is digitally signed C:\Windows\System32\SDRSVC.dll => File is digitally signed C:\Windows\System32\vssvc.exe => File is digitally signed C:\Windows\System32\wscsvc.dll => File is digitally signed C:\Windows\System32\wbem\WMIsvc.dll => File is digitally signed C:\Windows\System32\wuaueng.dll => File is digitally signed C:\Windows\System32\qmgr.dll => File is digitally signed C:\Windows\System32\es.dll => File is digitally signed C:\Windows\System32\cryptsvc.dll => File is digitally signed C:\Program Files\Windows Defender\MpSvc.dll => File is digitally signed C:\Windows\System32\ipnathlp.dll => File is digitally signed C:\Windows\System32\iphlpsvc.dll => File is digitally signed C:\Windows\System32\svchost.exe => File is digitally signed C:\Windows\System32\rpcss.dll => File is digitally signed **** End of log ****
Mef123 komentarz 6 kwietnia 2020 komentarz 6 kwietnia 2020 (edytowane) Witam mam również problem z cmd po uruchomieniu odpala się po czym od razu znika , próbowałem coś z frst (pierwszy post) "Twój_Anioł_Stróż" ale bez rezultatu Addition.txt FRST.txt Edytowane 6 kwietnia 2020 przez Mef123
Twój_Anioł_Stróż komentarz 6 kwietnia 2020 komentarz 6 kwietnia 2020 (edytowane) @jstefan Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego: Cytuj [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender] "DisableAntiSpyware"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc] "Start"=dword:00000002 EndRegedit: Reboot: Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW). Zrób sobie nowy log FSS. Jeśli w nim dalej będzie: Cytuj Security Center: ============ wscsvc Service is not running. to zrobisz to: >>START >>> Uruchom >>> wybierz (lub wpisz) services.msc>>OK> >znajdź usługę Centrum Zabezpieczeń, i zaznacz ją >w kolumnie STAN sprawdź, czy jest tam napisane: URUCHOMIONO >jeśli nie ma, to w sekcji umieszczonej po lewej kliknij na URUCHOM PONOWNIE. ======================================================= ======================================================== ======================================================= @mef123 Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego: Cytuj HKU\S-1-5-21-664604495-2949105444-244547830-1001\...\Winlogon: [Shell] %comspec% <==== UWAGA HKU\S-1-5-21-664604495-2949105444-244547830-1001\...\Command Processor: @mode 20,5 & tasklist /FI "IMAGENAME eq SoundModule.exe" 2>NUL | find /I /N "SoundModule.exe">NUL && exit & if exist "C:\Users\Mef Corporation\AppData\Roaming\Microsoft\SoundModule\SoundModule.exe" ( start /MIN "" "C:\Users\Mef Corporation\AppData\Roaming\Microsoft\SoundModule\SoundModule.exe" & tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) else ( tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) <==== UWAGA RemoveDirectory: C:\Users\Mef Corporation\AppData\Roaming\Microsoft\SoundModule RemoveDirectory: C:\Users\Mef Corporation\Downloads\FRST-OlderVersion C:\Users\Mef Corporation\Downloads\Fixlog.txt AlternateDataStreams: C:\ProgramData\TEMP:6BE50C2B [464] C:\Users\Mef Corporation\Downloads\udxsnkqgmbdr.txt C:\WINDOWS\system32\fixlist.txt.txt Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW). Napisz, czy problem znikł? . Edytowane 6 kwietnia 2020 przez Twój_Anioł_Stróż
jstefan komentarz 6 kwietnia 2020 komentarz 6 kwietnia 2020 wscsvc Service is not running. - tego nie było, a usługa jest uruchomiona, czyli jest okej?
Mef123 komentarz 6 kwietnia 2020 komentarz 6 kwietnia 2020 (edytowane) Twój_Anioł_Stróż , Zrobiłem jak mówiłeś i problem rozwiązany cmd uruchamia się bez żadnego problemu. Dziękuje za pomoc pozdrawiam Edytowane 6 kwietnia 2020 przez Mef123
Twój_Anioł_Stróż komentarz 6 kwietnia 2020 komentarz 6 kwietnia 2020 @jstefan Cytuj czyli jest okej? Tak, jest OK.
wujek2802 komentarz 6 kwietnia 2020 komentarz 6 kwietnia 2020 Witam, Chciałbym się podpiąć do tematu, gdyż jeden z użytkowników na innym forum na którym dużo ludzi pisało z problemem rzucił odpowiedzią, że pomogli mu użytkownicy z forumpc. Sprawa wygląda tak - u mnie cmd działa normalnie (nie znika). Moje pytanie brzmi, czy użytkownicy którzy pomagali w tym temacie mogli by przejrzeć moje logi z FRST ? Tak po prostu - w poszukiwaniu błędów. Dzięki z góry. Addition.txt FRST.txt
Mati6824 komentarz 6 kwietnia 2020 komentarz 6 kwietnia 2020 Witam. Mam podobny problem: cmd wyłącza się po uruchomieniu. W załączniku log z FRST Addition.txt FRST.txt
Twój_Anioł_Stróż komentarz 6 kwietnia 2020 komentarz 6 kwietnia 2020 (edytowane) @wujek2802 1) Odinstaluj niepotrzebny do niczego program: Akamai NetSession Interface (HKU\S-1-5-21-338552073-2492429879-3746896538-1001\...\Akamai) (Version: - Akamai Technologies, Inc) 2) SpyHunter nie jest zaufanym programem, więc go odinstaluj - spróbuj odinstalować w ten sposób: kliknij na tę ikonkę C:\Users\nazwa Użytkownika\Start Menu\Programs\SpyHunter\Uninstall.lnk (czyli >>START >>Programy>>SpyHunter>>Uninstall) wyskoczy okienko, ale zamiast klikać wielki zielony guzik "continue" kliknij "no, thanks". To drugie odinstalowuje. 3) Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego: Cytuj RemoveDirectory: C:\Program Files\EnigmaSoft HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe <==== UWAGA HKU\S-1-5-21-338552073-2492429879-3746896538-1001\...\Policies\Explorer: [] GroupPolicy: Ograniczenia ? <==== UWAGA FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA S2 EsgShKernel; C:\Program Files\EnigmaSoft\SpyHunter\ShKernel.exe [11963616 2020-03-25] (EnigmaSoft Limited -> EnigmaSoft Limited) S4 nvvhci; \SystemRoot\System32\drivers\nvvhci.sys [X] RemoveDirectory: C:\Users\wujek\Downloads\FRST-OlderVersion 2020-03-25 17:56 - 2020-03-25 17:56 - 000000000 ____D C:\sh5ldr 2020-03-25 17:56 - 2020-03-25 17:56 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EnigmaSoft 2020-03-25 17:56 - 2020-03-25 17:56 - 000000000 ____D C:\ProgramData\EnigmaSoft Limited 2020-03-25 17:55 - 2020-03-25 17:55 - 000000000 ____D C:\Program Files\EnigmaSoft 2020-03-25 17:54 - 2020-03-25 17:54 - 006455520 _____ (EnigmaSoft Limited) C:\Users\wujek\Downloads\SpyHunter-Installer.exe HKU\S-1-5-21-338552073-2492429879-3746896538-1001\...\StartupApproved\Run: => "Akamai NetSession Interface FirewallRules: [{8182405E-305D-4C72-91BE-7EC8E3D756A1}] => (Allow) C:\Users\wujek\AppData\Local\Apowersoft\Apowersoft Online Launcher\Apowersoft Online Launcher.exe Brak pliku FirewallRules: [{27EDC3FF-7F1A-4E0F-A4BE-0749814F82D1}] => (Allow) C:\Users\wujek\AppData\Local\Apowersoft\Apowersoft Online Launcher\Apowersoft Online Launcher.exe Brak pliku Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} HOSTS: EmptyTemp: Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW). Zainstaluj nowszą wersję Javy, wg https://www.fixitpc.pl/topic/5-dezynfekcja-kroki-finalizujące-temat/?tab=comments#comment-179769 Podczas instalacji dopilnuj, by ta nowa wersja Javy odinstalowała stare wersje, które teraz masz. (pobieraj z java.com, bo tam nie ma potrzeby rejestrowania się.) ======================================================== ======================================================== @Mati6824 Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego: Cytuj HKU\S-1-5-21-207239084-2017287045-88200490-1001\...\Winlogon: [Shell] %comspec% <==== UWAGA HKU\S-1-5-21-207239084-2017287045-88200490-1001\...\Command Processor: @mode 20,5 & tasklist /FI "IMAGENAME eq SoundMixer.exe" 2>NUL | find /I /N "SoundMixer.exe">NUL && exit & if exist "C:\Users\Mati\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe" ( start /MIN "" "C:\Users\Mati\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe" & tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) else ( tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) <==== UWAGA RemoveDirectory: C:\Users\Mati\AppData\Roaming\Microsoft\SoundMixer FirewallRules: [OpenSSH-Server-In-TCP] => (Allow) %SystemRoot%\system32\OpenSSH\sshd.exe Brak pliku FirewallRules: [{BE4C7872-5846-4E92-87E5-772F380608BB}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe Brak pliku FirewallRules: [{F32A12CF-A4F0-41FD-8CE0-959EAA3CBEDD}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe Brak pliku FirewallRules: [{2E9355C1-6D26-4CCC-B629-2BFAEA7E864D}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe Brak pliku FirewallRules: [{B705AFDE-FEA1-498D-A238-03529A2C088A}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe Brak pliku Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} RemoveDirectory: C:\Users\Mati\Downloads\FRST-OlderVersion EmptyTemp: Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW). Napisz, czy problem znikł? . Edytowane 6 kwietnia 2020 przez Twój_Anioł_Stróż 1
Mati6824 komentarz 6 kwietnia 2020 komentarz 6 kwietnia 2020 @Twój_Anioł_Stróż Działa. Wielkie dzięki za poświęcony czas.
wujek2802 komentarz 6 kwietnia 2020 komentarz 6 kwietnia 2020 @Twój_Anioł_Stróż Wielkie dzięki również za poświęcony czas. Masz wiedzę na ten temat
Janek1331 komentarz 8 kwietnia 2020 komentarz 8 kwietnia 2020 Witam, mam podobny problem z CMD. Czy mógłby ktoś mi pomóc z tym ? Próbowałem odpalić COD: WAR ZONE ale wywala mnie do pulpitu po paru minutach albo nawet od razu po załadowaniu się gry i dowiedziałem się że może być to właśnie przez to. W załączniku log z FRST Addition.txt FRST.txt
Twój_Anioł_Stróż komentarz 8 kwietnia 2020 komentarz 8 kwietnia 2020 (edytowane) ------->@Janek1331 1) Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego: Cytuj Online Application (HKLM-x32\...\{5266F634-7B7D-4537-BDDC-98DD6CFCBAA1}) (Version: 2.7.0 - Microleaves) Hidden <==== UWAGA Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW). 2) Po tym usuwaniu ten infekcyjny ukryty program powinien być już widoczny, więc spróbuj go odinstalować. Online Application (HKLM-x32\...\{5266F634-7B7D-4537-BDDC-98DD6CFCBAA1} 3) Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego: Cytuj HKU\S-1-5-21-913113125-2200677020-645530610-1001\...\Winlogon: [Shell] %comspec% <==== UWAGA HKU\S-1-5-21-913113125-2200677020-645530610-1001\...\Command Processor: @mode 20,5 & tasklist /FI "IMAGENAME eq SoundModule.exe" 2>NUL | find /I /N "SoundModule.exe">NUL && exit & if exist "C:\Users\rafi6\AppData\Roaming\Microsoft\SoundModule\SoundModule.exe" ( start /MIN "" "C:\Users\rafi6\AppData\Roaming\Microsoft\SoundModule\SoundModule.exe" & tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) else ( tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) <==== UWAGA RemoveDirectory: C:\Users\rafi6\AppData\Roaming\Microsoft\SoundModule DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{5266F634-7B7D-4537-BDDC-98DD6CFCBAA1} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{5266F634-7B7D-4537-BDDC-98DD6CFCBAA1} RemoveDirectory: C:\Program Files (x86)\Microleaves RemoveDirectory: C:\Program Files (x86)\AdvancedWindowsManager Task: {12425BB9-0ABA-4FE0-9DBF-450A5B9F5879} - System32\Tasks\Online Application V2G6 => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe [199864 2017-11-02] (MICROLEAVES LTD -> ) <==== UWAGA Task: {36E3D73F-5AA1-40C1-A5F2-2FD37C04011D} - System32\Tasks\AdvancedUpdater => C:\Program Files (x86)\AdvancedWindowsManager\Windows Installer\Windows Updater.exe [895112 2020-02-21] (MICROLEAVES LTD -> AdvancedWindowsManager) <==== UWAGA Task: {3B776165-2317-4BB2-8C3F-B0E442E117A8} - System32\Tasks\Online Application V2G4 => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe [199864 2017-11-02] (MICROLEAVES LTD -> ) <==== UWAGA Task: {3BDE2A03-3B9F-47BD-A53D-E9F1B7F89BBB} - System32\Tasks\Online Application V2G5 => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe [199864 2017-11-02] (MICROLEAVES LTD -> ) <==== UWAGA Task: {5244D8A9-E400-4B04-BCAA-67195CAD40B6} - System32\Tasks\Updater_Online_Application => C:\Program Files (x86)\Microleaves\Online Application\Online Application Updater.exe [908144 2017-11-02] (MICROLEAVES LTD -> Microleaves) <==== UWAGA Task: {838E1196-4311-4FF5-AD9D-7379DE85667B} - System32\Tasks\Online Application V2G3 => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe [199864 2017-11-02] (MICROLEAVES LTD -> ) <==== UWAGA Task: {89C88273-CD9C-4A52-BEA8-BC62D57A364A} - System32\Tasks\AdvancedWindowsManager => C:\Program Files (x86)\AdvancedWindowsManager\Windows Installer\AdvancedWindowsManager.exe [7915656 2020-02-21] (MICROLEAVES LTD -> ) <==== UWAGA Task: {A587FB6C-B5A8-4F1F-A0A4-3C2FB20F33A7} - System32\Tasks\Online Application V2G1 => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe [199864 2017-11-02] (MICROLEAVES LTD -> ) <==== UWAGA Task: {B1D215CD-339B-400E-A495-1290ADF1BB8B} - System32\Tasks\Online Application V2G2 => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe [199864 2017-11-02] (MICROLEAVES LTD -> ) <==== UWAGA Task: C:\WINDOWS\Tasks\Online Application V2G1.job => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe <==== UWAGA Task: C:\WINDOWS\Tasks\Online Application V2G2.job => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe <==== UWAGA Task: C:\WINDOWS\Tasks\Online Application V2G3.job => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe <==== UWAGA Task: C:\WINDOWS\Tasks\Online Application V2G4.job => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe <==== UWAGA Task: C:\WINDOWS\Tasks\Online Application V2G5.job => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe <==== UWAGA Task: C:\WINDOWS\Tasks\Online Application V2G6.job => C:\Program Files (x86)\Microleaves\Online Application\Version 2.6.0\Online-Guardian.exe <==== UWAGA Task: C:\WINDOWS\Tasks\Updater_Online_Application.job => C:\Program Files (x86)\Microleaves\Online Application\Online Application Updater.exe <==== UWAGA S3 BlueStacksDrv; \??\C:\Program Files\BlueStacks\BstkDrv.sys [X] RemoveDirectory: C:\Users\rafi6\Downloads\FRST-OlderVersion HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-913113125-2200677020-645530610-1001\...\Run: [GalaxyClient] => [X] FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW). Zrób nowe logi FRST - sprawdzę, czy wszystko się usunęło. . Edytowane 8 kwietnia 2020 przez Twój_Anioł_Stróż 1
Janek1331 komentarz 8 kwietnia 2020 komentarz 8 kwietnia 2020 Dziękuję bardzo! Bardzo mi to pomogło!!! Wrzucam tutaj nowe logi Addition.txt FRST.txt
Twój_Anioł_Stróż komentarz 8 kwietnia 2020 komentarz 8 kwietnia 2020 Wszystko się ładnie usunęło - w nowych logach nie ma niczego podejrzanego. 1
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.