szymonw715 Opublikowano 24 Marca 2018 Zgłoś Udostępnij Opublikowano 24 Marca 2018 Witam. Ostatnio gdy potrzebowałem użyć wiersza poleceń zauważyłem problem. Po próbie włączenia na sekundę pojawia się okno cmd i się wyłącza. Dodatkowo czasem po starcie windowsa bez powodu pojawią się okno eksploratora plików. W załącznikach logi z FRST. Proszę o pomoc i pozdrawiam Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 24 Marca 2018 Zgłoś Udostępnij Opublikowano 24 Marca 2018 W systemie działa infekcja uruchamiana przez wiersz poleceń. Powinniśmy szybko się z tym uporać. Dodatkowo zajmę się kasacją martwych skrótów / wpisów / plików tymczasowych (w tym czyszczenie kosza) / resztek po oprogramowaniu m.in po Avast i Google Chrome. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses:C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Worms 2 [GOG.com]\Manual.lnk -> E:\Worms 2\manual.pdfC:\ProgramData\Microsoft\Windows\Start Menu\Programs\Worms 2 [GOG.com]\Uninstall Worms 2.lnk -> E:\Worms 2\unins000.exeC:\ProgramData\Microsoft\Windows\Start Menu\Programs\Worms 2 [GOG.com]\Worms 2.lnk -> E:\Worms 2\GOGLauncher.exeC:\Users\zwyro\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Worms 2\Worms 2.lnkC:\ProgramData\Microsoft\Windows\Start Menu\Programs\Android Studio\Android Studio.lnkC:\Users\zwyro\Links\MEGA.lnkC:\Users\zwyro\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\23 Mod\23 MoD.lnkC:\Users\zwyro\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Avast Secure Browser.lnkShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak plikuShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak plikuContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak plikuTask: {36EECAE1-3E34-4A61-8394-42D7F23F0455} - \Microsoft\Windows\WwanSvc\NotificationTask -> Brak pliku Task: {67889EEC-D7B4-43D3-B82C-D0DBA3522591} - \Microsoft\Windows\WCM\WiFiTask -> Brak pliku Task: {BC40FCF6-98AA-466D-98D4-D4D532C3007D} - \Microsoft\Windows\NlaSvc\WiFiTask -> Brak pliku Task: {6C76BBC2-DE4B-4C6B-B586-5F14E96799D8} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia GroupPolicy: Ograniczenia - Windows Defender HKU\S-1-5-21-305178186-2251966430-3923819851-1001\...\Command Processor: @mode 15,1 & tasklist /FI "IMAGENAME eq SoundMixer.exe" 2>NUL | find /I /N "SoundMixer.exe">NUL && exit & if exist "C:\Users\zwyro\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe" ( start /MIN "" "C:\Users\zwyro\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe" & tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) else ( tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) C:\Users\zwyro\AppData\Roaming\Microsoft\SoundMixerS2 VMnetDHCP; C:\WINDOWS\SysWOW64\vmnetdhcp.exe [X]S3 AndnetBus; \SystemRoot\System32\drivers\lgandnetbus64.sys [X]S3 AndNetDiag; \SystemRoot\system32\DRIVERS\lgandnetdiag64.sys [X]S3 ANDNetModem; \SystemRoot\system32\DRIVERS\lgandnetmodem64.sys [X]2018-03-24 14:39 - 2016-03-12 14:28 - 000000000 ____D C:\ProgramData\AVAST SoftwarePowershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}Hosts:EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
szymonw715 Opublikowano 24 Marca 2018 Autor Zgłoś Udostępnij Opublikowano 24 Marca 2018 Dzięki za odpowiedź. Malwarebytes nic nie wykazał. W załącznikach ponowne logi + fixlog. Pozdrawiam Addition.txt FRST.txt Fixlog.txt Odnośnik do komentarza
Miszel03 Opublikowano 24 Marca 2018 Zgłoś Udostępnij Opublikowano 24 Marca 2018 Obecnie całość wygląda w porządku. Infekcja usunięta. Jak podsumowujesz obecną sytuację? Czy problem, z którym się zgłosiłeś ustąpił? Odnośnik do komentarza
szymonw715 Opublikowano 24 Marca 2018 Autor Zgłoś Udostępnij Opublikowano 24 Marca 2018 Super. Bardzo mnie to cieszy bo obawiałem się formata i utraty danych.Wiersz poleceń działa. Okno eksploratora na razie nie wyskoczyło więc podejrzewam, że ten problem również został zażegany.Dziękuję za szybką pomoc Odnośnik do komentarza
Miszel03 Opublikowano 24 Marca 2018 Zgłoś Udostępnij Opublikowano 24 Marca 2018 Miło mi, że mogłem pomóc. Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.Malwarebytes również możesz odinstalować. Temat zamykam. Odnośnik do komentarza
Rekomendowane odpowiedzi