kma Opublikowano 24 Marca 2019 Zgłoś Udostępnij Opublikowano 24 Marca 2019 Dobry wieczór, Po uruchomieniu systemu na głównym użytkowniku ukazuje się czarny ekran oraz wiersz poleceń. Po wprowadzeniu w wierszu "explorer.exe", system zdaje się działać względnie normalnie, jednak mniej stabilnie niż dotychczas. Ponadto pojawia się komunikat błędu, którego screenshot załączam. Podczas próby stworzenia logów przy pomocy FRST, system zawieszał się (dwukrotnie, podczas skanowania skrótów), dlatego wykorzystałem do tego konto drugiego użytkownika, gdzie problem z czarnym ekranem nie występuje, jednak również pojawia się komunikat błędu, którego screena załączam. Pozdrawiam i z góry dziękuję za pomoc. Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
jessica Opublikowano 24 Marca 2019 Zgłoś Udostępnij Opublikowano 24 Marca 2019 Nie widzę tu żadnej infekcji. Tylko kosmetyka: Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y. Otworzy się Notatnik - wklej do niego: Spoiler HKLM\...\Run: [ShadowPlay] => "C:\Windows\system32\rundll32.exe" C:\Windows\system32\nvspcap64.dll,ShadowPlayOnSystemStart Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} FirewallRules: [{51C4DF1E-6458-4DFA-BCAB-303F75BAB445}] => (Allow) C:\Program Files (x86)\Steam\bin\steamwebhelper.exe Brak pliku FirewallRules: [{7AC2CFE0-60FA-4739-803E-BB19A06E337B}] => (Allow) C:\Program Files (x86)\Steam\bin\steamwebhelper.exe Brak pliku FirewallRules: [{05BFD24A-8340-4878-B9BB-8F418692D179}] => (Allow) C:\Users\Michał\AppData\Roaming\uTorrent\uTorrent.exe Brak pliku FirewallRules: [{7ACF04EA-55DD-417A-8949-0C36C8BCE05F}] => (Allow) C:\Users\Michał\AppData\Roaming\uTorrent\uTorrent.exe Brak pliku FirewallRules: [{C8022C5F-0F95-4D82-AF15-9DA578DEB3E7}] => (Allow) C:\Users\Michał\AppData\Roaming\uTorrent\uTorrent.exe Brak pliku FirewallRules: [{D63084A8-C334-4DA7-8657-BB78F7657DC7}] => (Allow) C:\Users\Michał\AppData\Roaming\uTorrent\uTorrent.exe Brak pliku FirewallRules: [{C1E2447A-1AC8-49F2-A1AD-0F14C22F01BF}] => (Allow) C:\Users\Michał\AppData\Roaming\uTorrent\uTorrent.exe Brak pliku FirewallRules: [{71A7F2DC-65BB-47BF-B1B9-3D089EAF3660}] => (Allow) C:\Users\Michał\AppData\Roaming\uTorrent\uTorrent.exe Brak pliku FirewallRules: [TCP Query User{783CAA0C-3FE4-4ED3-A284-14E4E6AEFAA1}C:\users\michał\appdata\roaming\spotify\spotify.exe] => (Allow) C:\users\michał\appdata\roaming\spotify\spotify.exe Brak pliku FirewallRules: [UDP Query User{9EF627E5-4382-45ED-B29B-0EDEF0813B97}C:\users\michał\appdata\roaming\spotify\spotify.exe] => (Allow) C:\users\michał\appdata\roaming\spotify\spotify.exe Brak pliku FirewallRules: [{076761FE-4024-4B09-9659-50613F638353}] => (Block) %ProgramFiles% (x86)\Bandicam\bdcam.exe Brak pliku FirewallRules: [{E88C2DD4-6EA8-40A8-B6BE-FDFA753B7288}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\EvolveGame\bin64_SteamRetail\Evolve.exe Brak pliku FirewallRules: [{4766CE69-B998-44D7-B5E9-548988ACAF57}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\EvolveGame\bin64_SteamRetail\Evolve.exe Brak pliku FirewallRules: [{568731C6-F0A0-4F75-8C73-C2295C674A26}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe Brak pliku FirewallRules: [{CF0FE71B-0B7F-4759-8FE9-7AC7D0241AA1}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe Brak pliku FirewallRules: [TCP Query User{FA00CC0D-5573-44C6-B6B7-0658889057EC}C:\users\michał\downloads\crazyhook143\claw.exe] => (Block) C:\users\michał\downloads\crazyhook143\claw.exe Brak pliku FirewallRules: [UDP Query User{DE0AC46D-AAE3-4491-8172-B13FE92EECA8}C:\users\michał\downloads\crazyhook143\claw.exe] => (Block) C:\users\michał\downloads\crazyhook143\claw.exe Brak pliku FirewallRules: [TCP Query User{147E6B52-0C0C-454C-AB79-51EC413EC4B6}C:\program files (x86)\gog galaxy\games\gwent\gwent.exe] => (Allow) C:\program files (x86)\gog galaxy\games\gwent\gwent.exe Brak pliku FirewallRules: [UDP Query User{81EBD4CE-35C8-4B4A-A45D-FA3BDB221FBA}C:\program files (x86)\gog galaxy\games\gwent\gwent.exe] => (Allow) C:\program files (x86)\gog galaxy\games\gwent\gwent.exe Brak pliku FirewallRules: [{9714CE86-7D09-47D3-A548-D36617EC5E4C}] => (Allow) C:\Users\Michał\AppData\Local\Temp\andy-x64\Setup.exe Brak pliku FirewallRules: [{8644C80C-2CBA-4134-8008-046E66746131}] => (Allow) C:\Users\Michał\AppData\Local\Temp\andy-x64\Setup.exe Brak pliku FirewallRules: [TCP Query User{8F5F65B8-3468-4AB4-93B4-ACADB8558569}E:\gry\warcraft iii deluxe\war3.exe] => (Allow) E:\gry\warcraft iii deluxe\war3.exe Brak pliku FirewallRules: [UDP Query User{3D801DDA-672E-4586-8B11-B1557A93C6AB}E:\gry\warcraft iii deluxe\war3.exe] => (Allow) E:\gry\warcraft iii deluxe\war3.exe Brak pliku FirewallRules: [{6412EF03-4B1D-44DD-B725-B13C9B0ED046}] => (Block) E:\gry\warcraft iii deluxe\war3.exe Brak pliku FirewallRules: [{DAD04050-7B4A-4005-8400-CE336F50BD7D}] => (Block) E:\gry\warcraft iii deluxe\war3.exe Brak pliku FirewallRules: [TCP Query User{6986166C-F6C4-4EB4-AEFF-DEECA4D83453}E:\gry\warcraft iii deluxe\lancraft.exe] => (Allow) E:\gry\warcraft iii deluxe\lancraft.exe Brak pliku FirewallRules: [UDP Query User{4D8E7DEE-215F-459C-BE55-888FCA5CA459}E:\gry\warcraft iii deluxe\lancraft.exe] => (Allow) E:\gry\warcraft iii deluxe\lancraft.exe Brak pliku FirewallRules: [{C358915A-E076-409B-867E-DF2DFFD7D5F4}] => (Allow) E:\gry\warcraft iii deluxe\lancraft.exe Brak pliku FirewallRules: [{1758ADDA-0FA2-4B3D-A364-E929C47635FC}] => (Allow) E:\gry\warcraft iii deluxe\lancraft.exe Brak pliku FirewallRules: [TCP Query User{4B684F1F-7DFB-4A52-B076-EA80C0FB5BF3}C:\users\michał\downloads\lancraft\lancraft\lancraft.exe] => (Allow) C:\users\michał\downloads\lancraft\lancraft\lancraft.exe Brak pliku FirewallRules: [UDP Query User{05C60CB9-4E0F-4D4E-A070-271CB929763D}C:\users\michał\downloads\lancraft\lancraft\lancraft.exe] => (Allow) C:\users\michał\downloads\lancraft\lancraft\lancraft.exe Brak pliku FirewallRules: [{249EA81F-5C6B-40B2-99D4-83C9643D240D}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Call of Duty WWII Beta\s2_mp64_ship.exe Brak pliku FirewallRules: [{1BF783F6-C792-457A-A6F8-33E04AC40FEE}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Call of Duty WWII Beta\s2_mp64_ship.exe Brak pliku HKLM-x32\...\Run: [] => [X] HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X] S4 nvvhci; system32\DRIVERS\nvvhci.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Warcraft III\Warcraft III - CzytajTo.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Warcraft III\Odinstaluj Warcraft III i The Frozen Thone.lnk EmptyTemp: Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW). Spoiler MpsSvc => Usługa "Zapora systemu Windows" nie jest uruchomiona. bfe => Usługa "Zapora systemu Windows" nie jest uruchomiona. Zrób log z Farbar Service Scanner >http://download.bleepingcomputer.com/farbar/FSS.exe (do skanowania zaznacz wszystko). Zrób nowe logi FRST. Spróbuj je zrobić na swoim koncie, w Trybie Awaryjnym (F8 przed startem Systemu). Uruchom FRST. W polu SEARCH (SZUKAJ) wklej: Cytat nvspcap64.dll kliknij na przycisk "Search Registry" (Szukaj w Rejestrze). Raport z tego będzie tam, gdzie jest FRST. jessi Odnośnik do komentarza
kma Opublikowano 24 Marca 2019 Autor Zgłoś Udostępnij Opublikowano 24 Marca 2019 Niestety również w Trybie Awaryjnym FRST przestaje działać przy skanowaniu skrótów, załączam to co program wytworzył przed zawieszeniem oraz pozostałe logi. FRST.txt Addition.txt FSS.txt SearchReg.txt Odnośnik do komentarza
jessica Opublikowano 24 Marca 2019 Zgłoś Udostępnij Opublikowano 24 Marca 2019 O, w tych logach już coś widzę ... Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y. Otworzy się Notatnik - wklej do niego: Spoiler HKU\S-1-5-21-3125962184-3596541960-737857029-1000\...\Winlogon: [Shell] %comspec% <==== UWAGA HKU\S-1-5-21-3125962184-3596541960-737857029-1000\...\Command Processor: @mode 20,5 & tasklist /FI "IMAGENAME eq SoundMixer.exe" 2>NUL | find /I /N "SoundMixer.exe">NUL && exit & if exist ( start /MIN "" & tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) else ( tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) <==== UWAGA U2 ccEvtMgr; Brak ImagePath U2 ccSetMgr; Brak ImagePath S3 MFE_RR; \??\C:\Users\MICHA~1\AppData\Local\Temp\mfe_rr.sys [X] <==== UWAGA U3 navapsvc; Brak ImagePath U3 SAVRT; Brak ImagePath U1 SAVRTPEL; Brak ImagePath U3 TlntSvr; Brak ImagePath HKLM\...\Run: [ShadowPlay] => "C:\Windows\system32\rundll32.exe" C:\Windows\system32\nvspcap64.dll,ShadowPlayOnSystemStart HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA EmptyTemp: Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW). Zrób nowe logi FRST. jessi Odnośnik do komentarza
kma Opublikowano 24 Marca 2019 Autor Zgłoś Udostępnij Opublikowano 24 Marca 2019 Wykonałem. Niestety nadal wiesza się przy skrótach. Addition.txt FRST.txt Odnośnik do komentarza
jessica Opublikowano 24 Marca 2019 Zgłoś Udostępnij Opublikowano 24 Marca 2019 1) >>START > URUCHOM >> wklej lub wpisz: services.msc > OK, znajdź usługę "Podstawowy aparat filtrowania", zaznacz ją > po lewej kliknij na "Uruchom ponownie usługę". 2) Otworzy się Notatnik - wklej do niego: Spoiler StartRegedit: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MpsSvc] "Start"=dword:00000002 EndRegedit: Task: {5D2E4CFB-0A16-4A0B-8F9A-D4099058FA77} - System32\Tasks\{A3AFA93C-3638-453C-A0E6-CDD1F2D8EBE9} => C:\Windows\system32\pcalua.exe -a "E:\Tera tu\stare mandb\mountandblade_0704_setup.exe" -d "E:\Tera tu\stare mandb" Task: {60922B28-32E6-4F0A-8D62-29F1D2C743F3} - System32\Tasks\{AEE71333-0883-4619-92CB-6008CDB36CE0} => C:\Windows\system32\pcalua.exe -a "C:\I'm King of Nerds\Atari\Desperados\Game\player.exe" -d "C:\I'm King of Nerds\Atari\Desperados" Task: {811CAD7E-1013-4333-BA1B-3894EE01D586} - System32\Tasks\{98FD654D-A29E-478D-9136-42D2F081E0FE} => C:\Windows\system32\pcalua.exe -a E:\397-ST330_VistaSetup_v0.3.exe -d E:\ Task: {FEC8F421-EDF8-4B38-ABE3-9A6E05D9C2BC} - System32\Tasks\{5F7DCC26-7FD2-4CDF-B091-69BD86D65E9E} => C:\Windows\system32\pcalua.exe -a "L:\Kopia przenośnego\Najświeższe\Uchodźcy z C\Pulpit\wszystkie pierdoły świata\nowe dziwne rzeczy\Różne takie\29-10-2011_www_ModBase_PL_GTAIV_spolszczenie\GTAIV_spolszczenie_1.0.exe" -d "L:\Kopia przenośnego\Najświeższe\Uchodźcy z C\Pulpit\wszystkie pierdoły świata\nowe dziwne rzeczy\Różne takie (dane wartości zawierają 46 znaków więcej). EmptyTemp: Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW). 3) Uaktualnij Javę, wg strony https://www.fixitpc.pl/topic/5-dezynfekcja-kroki-finalizujące-temat/?tab=comments#comment-179769 4) Masz dwa antywirusy (Avast i ESET) - pozbądź się jednego z nich: Do usuwania ESETa służy ESET Uninstaller - http://kb.eset.com/esetkb/index?page=content&id=SOLN2289&cat=EAV&actp=LIST Do usuwania Avasta służy Avast Uninstall Utility - http://www.avast.com/uninstall-utility 5) Cytat 2019-03-24 15:42 - 2019-03-24 15:42 - 000000000 ____D C:\ProgramData\Sophos 2019-03-24 15:41 - 2019-03-24 15:41 - 000002759 _____ C:\Users\Public\Desktop\Sophos Virus Removal Tool.lnk 2019-03-24 15:41 - 2019-03-24 15:41 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sophos 2019-03-24 15:41 - 2019-03-24 15:41 - 000000000 ____D C:\Program Files (x86)\Sophos 2019-03-24 11:17 - 2019-03-24 11:17 - 000231390 _____ C:\Users\2\Downloads\RootkitRevealer.zip 2019-03-24 11:17 - 2019-03-24 11:17 - 000000000 ____D C:\Users\2\Downloads\RootkitRevealer 2019-03-24 11:14 - 2019-03-24 11:17 - 222184640 _____ (Sophos Limited) C:\Users\2\Downloads\Sophos Virus Removal Tool.exe 2019-03-24 11:11 - 2019-03-24 11:12 - 000000000 ____D C:\Users\2\Downloads\TMRBLog 2019-03-24 11:10 - 2019-03-24 11:11 - 015119536 _____ (Trend Micro Inc.) C:\Users\2\Downloads\RootkitBusterV5.0-1212x64.exe 2019-03-23 23:10 - 2019-03-23 23:10 - 001728150 _____ C:\Users\2\Downloads\McafeeRootkitDetective.zip 2019-03-23 23:10 - 2019-03-23 23:10 - 000000000 ____D C:\Users\2\Downloads\McafeeRootkitDetective Te chyba też już nie są potrzebne. jessi Odnośnik do komentarza
kma Opublikowano 24 Marca 2019 Autor Zgłoś Udostępnij Opublikowano 24 Marca 2019 Przy podstawowym aparacie filtrowania wszystkie opcje związane z uruchamianiem są niedostępne. I nadal mam czarny ekran przy starcie systemu. Odnośnik do komentarza
jessica Opublikowano 24 Marca 2019 Zgłoś Udostępnij Opublikowano 24 Marca 2019 Cytat MSCONFIG\Services: BFE => 2 To chyba przez to, że BFE wyłączyłeś poprzez "msconfig). Cytat nadal mam czarny ekran przy starcie Na wszelki wypadek jeszcze raz zrób nowe logi FRST . Zobaczymy, czy coś nie zostało. jessi Odnośnik do komentarza
kma Opublikowano 24 Marca 2019 Autor Zgłoś Udostępnij Opublikowano 24 Marca 2019 Zamieszczam logi. FRST.txt Addition.txt Odnośnik do komentarza
jessica Opublikowano 24 Marca 2019 Zgłoś Udostępnij Opublikowano 24 Marca 2019 Nie, nie ma już infekcji. W tej sytuacji moja pomoc na nic się nie zdała. Spróbujemy jeszcze tego: Do Notatnika wklej: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="explorer.exe" Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >> plik uruchom (dwuklik i OK). Ale to raczej też nic nie pomoże. jessi Odnośnik do komentarza
kma Opublikowano 24 Marca 2019 Autor Zgłoś Udostępnij Opublikowano 24 Marca 2019 Wprawdzie to nie pomogło, ale najważniejsze, że pozbyliśmy się infekcji. Bardzo dziękuję za pomoc! Edit: Pozbyłem się ESETa i problem zniknął. Odnośnik do komentarza
jessica Opublikowano 25 Marca 2019 Zgłoś Udostępnij Opublikowano 25 Marca 2019 Cytat Error: (03/25/2019 12:08:33 AM) (Source: WinMgmt) (EventID: 10) (User: ) Description: Event filter with query "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" could not be reactivated in namespace "//./root/CIMV2" because of error 0x80041003. Events cannot be delivered through this filter until the problem is corrected. Do Notatnika wklej: strComputer = "." Set objWMIService = GetObject("winmgmts:" _ & "{impersonationLevel=impersonate}!\\" _ & strComputer & "\root\subscription") Set obj1 = objWMIService.ExecQuery("select * from __eventfilter where name='BVTFilter' and query='SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA ""Win32_Processor"" AND TargetInstance.LoadPercentage > 99'") For Each obj1elem in obj1 set obj2set = obj1elem.Associators_("__FilterToConsumerBinding") set obj3set = obj1elem.References_("__FilterToConsumerBinding") For each obj2 in obj2set WScript.echo "Deleting the object" WScript.echo obj2.GetObjectText_ obj2.Delete_ next For each obj3 in obj3set WScript.echo "Deleting the object" WScript.echo obj3.GetObjectText_ obj3.Delete_ next WScript.echo "Deleting the object" WScript.echo obj1elem.GetObjectText_ obj1elem.Delete_ Next Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> Workaround.vbs>> Zamknij Notatnik. Plik uruchom (dwuklik i OK). jessi Odnośnik do komentarza
kma Opublikowano 27 Marca 2019 Autor Zgłoś Udostępnij Opublikowano 27 Marca 2019 Wykonałem, wyskoczył mi taki błąd. Odnośnik do komentarza
jessica Opublikowano 27 Marca 2019 Zgłoś Udostępnij Opublikowano 27 Marca 2019 zrób log Addition.txt jessi Odnośnik do komentarza
kma Opublikowano 27 Marca 2019 Autor Zgłoś Udostępnij Opublikowano 27 Marca 2019 Zamieszczam. Addition.txt Odnośnik do komentarza
jessica Opublikowano 27 Marca 2019 Zgłoś Udostępnij Opublikowano 27 Marca 2019 Cytat Error: (03/27/2019 05:28:02 PM) (Source: WinMgmt) (EventID: 10) (User: ) Description: Event filter with query "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" could not be reactivated in namespace "//./root/CIMV2" because of error 0x80041003. Events cannot be delivered through this filter until the problem is corrected. Błąd jest z godziny 17:28 - ale nie wiem, czy powstał już po użyciu Skryptu, czy jeszcze przed użyciem skryptu. Jeśli po restarcie komputera pojawi się w logu Addition.txt ten sam błąd, ale będzie z innej godziny, to zrobisz to: ściągniesz ten plik: http://www.mediafire.com/download/6hwcm6b77098cbb/MicrosoftFixit50688.msi i uruchomisz go. jessi Odnośnik do komentarza
kma Opublikowano 27 Marca 2019 Autor Zgłoś Udostępnij Opublikowano 27 Marca 2019 Zresetowałem, sprawdziłem Addition.txt, błąd był ponownie. Pobrałem plik, wykonałem, zresetowałem komputer, wykonałem logi, błędu nie ma. Odnośnik do komentarza
jessica Opublikowano 27 Marca 2019 Zgłoś Udostępnij Opublikowano 27 Marca 2019 Czyli sprawa tego błędu załatwiona. jessi Odnośnik do komentarza
kma Opublikowano 27 Marca 2019 Autor Zgłoś Udostępnij Opublikowano 27 Marca 2019 Jeszcze raz dziękuję za pomoc! Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się