Skocz do zawartości

Po uruchomieniu systemu włącza się System32 cmd.exe


gruby

Rekomendowane odpowiedzi

Witam mam problem od niedawna mam problem ponieważ przy uruchomieniu systemu pojawia mi się czarny ekran cmd i pisze na nim ta formułka
Microsoft Windows [Wersja 6.1.7601]
Copyright © 2009 Microsoft Corporation. Wszelkie prawa zastrzeżone.

C:\Users\Damian>

Tylko jako system32.
Po wyłączeniu cmd nie uruchamia mi się pulpit i muszę to wymuszać poprzec alt+ctr+del nowe zadanie . Czy to jest jakaś infekcja czy jakiś błąd ? Proszę o doradzenie czym przeskanować komputer abyśmy mogli rozwiązać problem

 

Podstawowe logi podsyłam niżej

http://www.wklej.org/id/3268789/
http://www.wklej.org/id/3268790/
http://wklej.org/id/3268797/

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Problem spowodowany jest kluczem startowym w rejestrze uruchamiającym konsole komend co uruchomienie komputera. Czy to infekcji? Raczej nie, choć FRST flaguję ten wpis. 
Oprócz tego system będzie sprzątany z resztek po odinstalowanych programach oraz infekcjach adware. Wdrożymy również kompleksowy skan antywirusowy rekomendowanym narzędziem. 
 
1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:
 

CloseProcesses:
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia HKU\S-1-5-21-3419328886-4262450284-3426682108-1000\...\Winlogon: [shell] C:\Windows\System32\cmd.exe [345088 2010-11-21] (Microsoft Corporation) BootExecute: autocheck autochk * sdnclean64.exe
GroupPolicy: Ograniczenia CHR StartupUrls: Default -> "hxxp://www.google.com","hxxp://www.yoursearching.com/?type=hp&ts=1451414267&z=253ebf680a6b883cb58608dgdzfw8gbz7g1z1oeqdm&from=face&uid=WDCXWD10EZEX-21M2NA0_WCC3FC37H669FC37H669","hxxp://www.yoursearching.com/?type=hp&ts=1457640022&z=efbf9d615582f15113c598cg2zfw3mfq9z3e1efo2o&from=itr&uid=wdcxwd10ezex-21m2na0_wcc3fc37h669fc37h669"
CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx
S3 dgderdrv; System32\drivers\dgderdrv.sys [X]
S3 dump_wmimmc; \??\C:\Users\Damian\Desktop\Metin2\GameGuard\dump_wmimmc.sys [X]
S3 iusb3hub; system32\DRIVERS\iusb3hub.sys [X]
S3 iusb3xhc; system32\DRIVERS\iusb3xhc.sys [X]
ContextMenuHandlers1: [WinRAR] -> [CC]{B41DB860-64E4-11D2-9906-E49FADC173CA} => -> Brak pliku
ContextMenuHandlers1: [WinRAR32] -> [CC]{B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> Brak pliku
ContextMenuHandlers6: [WinRAR] -> [CC]{B41DB860-64E4-11D2-9906-E49FADC173CA} => -> Brak pliku
ContextMenuHandlers6: [WinRAR32] -> [CC]{B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> Brak pliku
Task: {2F57269B-1E09-4E2D-AB1E-B0FDAC7D279C} - \Microsoft\Windows\WindowsBackup\ConfigNotification -> Brak pliku Task: {4FE55972-E001-414F-908C-923B173D1218} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> Brak pliku Task: {6F188FE8-AF37-47BA-ADF7-381821C36E09} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> Brak pliku Task: {AC4E5ACF-89F7-4220-BA21-81EE183975E2} - \Microsoft\Windows\Application Experience\AitAgent -> Brak pliku Task: {CEE64558-E1A7-4D9D-80A7-2001912BE5B5} - \Microsoft\Windows\MemoryDiagnostic\CorruptionDetector -> Brak pliku Task: {FA2BC0A6-8D4B-458A-85C8-2B8C72487513} - \Microsoft\Windows\MemoryDiagnostic\DecompressionFailureDetector -> Brak pliku C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Metin2.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Catalyst\Project CARS\Start game Project CARS.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Catalyst\Project CARS\Uninstall game Project CARS.lnk
C:\Users\Damian\Links\OneDrive.lnk
C:\Users\Damian\Desktop\FIFA18 — skrót.lnk
C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\FIFA 18 ICON Edition.lnk
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Damian\AppData\Local\Mozilla
C:\Users\Damian\AppData\Roaming\Mozilla
C:\Users\Damian\AppData\Roaming\Profiles
CMD: netsh advfirewall reset 
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
Hosts:
EmptyTemp:

 
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.


Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
 
2. Wyczyść przeglądarkę Google Chrome:

  • Zresetuj synchronizację (o ile włączona): KLIK.
  • Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia.
  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
  • Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.

3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 
 
4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Nie pojawia się już cmd  na ekranie ,ale jako samo uruchamia się i znika widzę czarny kwadracik przy starcie.  Przeglądarka coś wolno chodzi .

Malwarebytes AntiMalware. znalazł jakiegoś hijack coś usunąłem to od razu i odinstalowałem malwarebytes

 

logi

http://www.wklej.org/id/3269101/

http://www.wklej.org/id/3269103/

http://www.wklej.org/id/3269105/

http://www.wklej.org/id/3269106/

Odnośnik do komentarza

Malwarebytes AntiMalware. znalazł jakiegoś hijack coś usunąłem to od razu i odinstalowałem malwarebytes

 

To jest pewien objaw braku szacunku w stosunku do pomocy świadczonej przeze mnie. Taki raport skanowania to naprawdę dużo informacji dla mnie dlatego właśnie celowo instruuję użytkowników co mają robić.

 

Generalnie cała reszta pomyślnie wykonana i wygląda na to, że zbliżamy się do końca.  

 

Przeglądarka coś wolno chodzi.

 

To się dobrze składa, bo i tak musimy ją kompleksowo przeinstalować ze względu na modyfikacje preferencji (usuwanie ręczne jest mozolne, mógłbym znaleźć poprzednią wersję pliku, ale to też dłuższy proces).

Myślę, że tym jednym krokiem rozwiążemy oby dwa problemy.

  • Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK.
  • Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML.
  • Odinstaluj Google Chrome (czyli Panel Sterowanie > Odinstaluj program). Przy deinstalacji zaznacz Usuń także dane przeglądarki.
  • Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK.
Odnośnik do komentarza

Drugie polecenie wykonałem przeinstalowałem wszystko lecz straciłem wszystkie hasła

 

To normalny efekt przy stawianiu przeglądarki na nowo. 

Czy teraz jest wszystko w porządku z przeglądarką?

 

 

Skanowanie Malwarem robiłem przed napisaniem postu na forum . Odisntalowałem z tego względu ,że coś program źle pracuje na moim komputerze praktycznie całkowicie zawiesza mi strony w przeglądarce nie ładują się .

 

Dlaczego o tym nie napisałeś? Ja poprosiłem o ponowny skan, więc powinieneś go wykonać. Proszę więc o niego ponownie. 

 

 

(...) ale jako samo uruchamia się i znika widzę czarny kwadracik przy starcie.

 

Zrób proszę Screena tego.

Odnośnik do komentarza
  • 2 lata później...

@SirKudlaty

 

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

HKU\S-1-5-21-741581193-3390559106-1837066125-1001\...\Winlogon: [Shell] %comspec% <==== UWAGA
RemoveDirectory: C:\Users\Ula\Downloads\FRST-OlderVersion
2020-03-10 19:33 - 2020-03-10 19:33 - 019136152 _____ (LLC Mail.Ru) C:\Windows\system32\mracsvc.ex
2020-03-10 19:33 - 2019-03-15 20:45 - 018367968 _____ (LLC Mail.Ru) C:\Windows\system32\Drivers\mracdrv.sys
S3 mracdrv; C:\Windows\System32\drivers\mracdrv.sys [18367968 2020-03-10] (Mail.Ru LLC -> LLC Mail.Ru)
S3 mracsvc; C:\Windows\System32\mracsvc.exe [19136152 2020-03-10] (Mail.Ru LLC -> LLC Mail.Ru)
HKU\S-1-5-21-741581193-3390559106-1837066125-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.global-pl.com/
SearchScopes: HKU\S-1-5-21-741581193-3390559106-1837066125-1001 -> DefaultScope {5047B6E5-BFB6-4724-A35A-268D7B851F1F} URL = hxxp://www.global-pl.com/search?q={searchTerms}
SearchScopes: HKU\S-1-5-21-741581193-3390559106-1837066125-1001 -> {5047B6E5-BFB6-4724-A35A-268D7B851F1F} URL = hxxp://www.global-pl.com/search?q={searchTerms}
FF ProfilePath: C:\Users\Ula\AppData\Roaming\Mozilla\Firefox\Profiles\ebyi0h26.Domyślny użytkownik [nie znaleziono] <==== UWAGA
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
FirewallRules: [{230C0604-F5BC-4F46-98CC-909A30E5ADA9}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe Brak pliku
FirewallRules: [{BDE98DB3-316F-4F30-A38A-6F5C7BFEEC84}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe Brak pliku
FirewallRules: [{0D2554B1-CBEB-4695-A772-D767D76E4668}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DBDownloader.exe Brak pliku
FirewallRules: [{BB79C151-5399-48EB-A31D-746E94478A5E}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\DBDownloader.exe Brak pliku
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).

 

Napisz, czy problem znikł?

 

------------------------

Spoiler

2003-12-17 19:03 - 2003-12-14 23:31 - 000102196 _____ () C:\Program Files\bass.dll
2003-12-17 19:03 - 2003-12-14 23:31 - 000000828 _____ () C:\Program Files\button_center.gif
2003-12-17 19:03 - 2003-12-14 23:31 - 000000187 _____ () C:\Program Files\button_left.gif
2003-12-17 19:03 - 2003-12-14 23:31 - 000000208 _____ () C:\Program Files\button_right.gif
2003-12-17 19:03 - 2003-12-14 23:31 - 000000213 _____ () C:\Program Files\butt_back.gif
2003-12-17 19:03 - 2003-12-14 23:31 - 000000310 _____ () C:\Program Files\butt_back_over.gif
2003-12-17 19:03 - 2003-12-14 23:31 - 000000124 _____ () C:\Program Files\butt_left.gif
2003-12-17 19:03 - 2003-12-14 23:31 - 000000218 _____ () C:\Program Files\butt_next.gif
2003-12-17 19:03 - 2003-12-14 23:31 - 000000314 _____ () C:\Program Files\butt_next_over.gif
2003-12-17 19:03 - 2003-12-14 23:31 - 000000123 _____ () C:\Program Files\butt_right.gif
2003-12-17 19:03 - 2003-11-21 23:11 - 000000049 ____H () C:\Program Files\Config.dat
2003-12-17 19:03 - 2003-12-14 23:31 - 000000902 _____ () C:\Program Files\contentbox.gif
2003-12-17 19:03 - 2003-12-14 23:31 - 000001285 _____ () C:\Program Files\contentbox_bottom.gif
2003-12-17 19:03 - 2003-12-14 23:31 - 000001241 _____ () C:\Program Files\contentbox_top.gif
2019-02-18 16:40 - 2019-03-25 19:03 - 000000716 _____ () C:\Program Files\crash.txt
2003-12-17 19:03 - 2003-12-14 23:31 - 000000053 _____ () C:\Program Files\empty.gif
2003-12-17 19:03 - 2003-12-14 23:31 - 000000224 _____ () C:\Program Files\feedback.htm
2003-12-17 19:03 - 2003-12-14 23:31 - 000000101 _____ () C:\Program Files\fill.gif
2003-12-17 19:03 - 2003-12-14 23:31 - 000038543 _____ () C:\Program Files\gameart.jpg
2003-12-17 19:03 - 2003-12-14 23:31 - 000000150 _____ () C:\Program Files\horzline.gif
2019-02-18 16:40 - 2019-02-18 16:39 - 000008134 _____ () C:\Program Files\irunin.bmp
2019-02-18 16:40 - 2019-02-18 16:39 - 000149841 _____ () C:\Program Files\irunin.dat
2019-02-18 16:40 - 2019-02-18 16:40 - 000017865 _____ () C:\Program Files\irunin.ini
2019-02-18 16:40 - 2019-02-18 16:39 - 000015938 _____ () C:\Program Files\irunin.lng
2003-12-17 19:03 - 2003-12-14 23:31 - 000000287 _____ () C:\Program Files\launch.ini
2003-12-17 19:03 - 2003-12-14 23:31 - 000000091 _____ () C:\Program Files\mainimage_bottom.gif
2003-12-17 19:03 - 2003-12-14 23:31 - 000000741 _____ () C:\Program Files\mainimage_left.gif
2003-12-17 19:03 - 2003-12-14 23:31 - 000000115 _____ () C:\Program Files\mainimage_right.gif
2003-12-17 19:03 - 2003-12-14 23:31 - 000000095 _____ () C:\Program Files\mainimage_top.gif
2003-12-17 19:03 - 2003-12-14 23:31 - 000000279 _____ () C:\Program Files\meter_bottom.gif
2003-12-17 19:03 - 2003-12-14 23:31 - 000000191 _____ () C:\Program Files\meter_left.gif
2003-12-17 19:03 - 2003-12-14 23:31 - 000000146 _____ () C:\Program Files\meter_lowerleft.gif
2003-12-17 19:03 - 2003-12-14 23:31 - 000000149 _____ () C:\Program Files\meter_lowerright.gif
2003-12-17 19:03 - 2003-12-14 23:31 - 000000192 _____ () C:\Program Files\meter_right.gif
2003-12-17 19:03 - 2003-12-14 23:31 - 000000263 _____ () C:\Program Files\meter_top.gif
2003-12-17 19:03 - 2003-12-14 23:31 - 000000149 _____ () C:\Program Files\meter_upperleft.gif
2003-12-17 19:03 - 2003-12-14 23:31 - 000000147 _____ () C:\Program Files\meter_upperright.gif
2003-12-17 19:03 - 2003-12-14 23:31 - 000000285 _____ () C:\Program Files\osd212.osd
2003-12-17 19:03 - 2003-12-14 23:31 - 000014190 _____ () C:\Program Files\pregame.htm
2003-12-17 19:03 - 2003-12-14 23:31 - 000006561 _____ () C:\Program Files\racnotinstalled.htm
2003-12-17 19:03 - 2003-12-14 23:31 - 000027957 _____ () C:\Program Files\readme.html
2003-12-17 19:03 - 2003-12-14 23:31 - 000000210 _____ () C:\Program Files\setup.ini
2003-12-17 19:03 - 2003-12-14 23:31 - 000000049 _____ () C:\Program Files\spacer.gif
2003-12-17 19:03 - 2003-12-14 23:34 - 000000057 _____ () C:\Program Files\status.js
2003-12-17 19:03 - 2003-12-14 23:32 - 000027587 _____ () C:\Program Files\theUninstallFile.txt
2003-12-17 19:03 - 2003-12-15 23:24 - 000056832 ___SH () C:\Program Files\Thumbs.db
2003-12-17 19:03 - 2003-12-14 23:31 - 000000333 _____ () C:\Program Files\wrapper.ini
2003-12-17 19:03 - 2003-12-14 23:32 - 001290240 _____ () C:\Program Files\Zuma.exe

Tych programów nie ma na liście Twoich programów - znasz je?

 

jessi

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...