Po uruchomieniu systemu pojawia sie czarny ekran i cmd.exe

[szymekh]

Dzień dobry

Już od dłuższego czasu po uruchomieniu systemu pojawia sie czarny ekran i okienko cmd.exe. Dopiero po wpisaniu w cmd "explorer.exe" system działa normalnie, lecz wydaje mi się że jest sztucznie spowolniony przez jakiś wirus, objawia sie to najbardziej w przeglądarce. Robiłem skan malwarebytes, wykrył on sporo wirusów - usunąłem je. Później zrobiłem skan FRST, poniżej będą jego wyniki. Szukałem w innych wątkach pomocy, ale widziałem że kluczowe są zmiany w rejestrze programem FRST, na którym się niestety nie znam. 

Proszę o pomoc i z góry bardzo dziękuję.

(System Win7)

(W rejestrze shell jest ustawiony na explorer.exe)

Edit: Próbowałem teraz wpisać do rejestru coś co znalazłem w internecie i podobno pomaga:

Windows Registry Editor Version 5.00 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 
"Userinit"=- 
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe," 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 
"Shell"=- 
Nie pomogło - teraz przy starcie systemu nie uruchamia sie nawet cmd.exe

Addition.txtPobieranie informacji ... Shortcut.txtPobieranie informacji ... FRST.txtPobieranie informacji ...

[jessica]

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

  Pokaż ukrytą zawartość

HKU\S-1-5-21-674152808-494936928-215878896-1000\...\Winlogon: [Shell] %comspec% <==== UWAGA
HKU\S-1-5-21-674152808-494936928-215878896-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-05192019151138321\...\Winlogon: [Shell] %comspec% <==== UWAGA
RemoveDirectory: C:\Windows\system32\config\SYSTEM~1\AppData\Local\BJIHIW~1
HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-05192019151138061\...\RunOnce: [zZHILNIspz] => C:\Windows\system32\config\SYSTEM~1\AppData\Local\BJIHIW~1\rdsvc.exe
HKU\S-1-5-18\...\RunOnce: [zZHILNIspz] => C:\Windows\system32\config\SYSTEM~1\AppData\Local\BJIHIW~1\rdsvc.exe
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
HKU\S-1-5-21-674152808-494936928-215878896-1000\...\Run: [GalaxyClient] => [X]
HKU\S-1-5-21-674152808-494936928-215878896-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-05192019151138321\...\Run: [GalaxyClient] => [X]
Task: {68CC6C25-7723-4CA9-93EB-03A4D1A2EE63} - System32\Tasks\{ABCDA2D4-3443-4659-8F29-50CC02837255} => C:\Windows\system32\pcalua.exe -a H:\Autorun.exe -d H:\
Task: {8E40DF14-CF4F-4F4F-9330-EC9024296484} - System32\Tasks\{0749CDAA-BE56-4E84-8528-2A8D69468E77} => C:\Windows\system32\pcalua.exe -a G:\Setup.exe -d G:\
Task: {9CB8D1DC-EF50-4DCC-99EB-061798475F03} - System32\Tasks\{32360135-F412-4811-8102-2D8100A07383} => C:\Windows\system32\pcalua.exe -a D:\Users\z97\Downloads\1317984636-Silvia-S15\Silvia\setup.exe -d D:\Users\z97\Downloads\1317984636-Silvia-S15\Silvia
S3 BEDaisy; \??\C:\Program Files (x86)\Common Files\BattlEye\BEDaisy.sys [X]
S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X]
S4 nvvhci; system32\DRIVERS\nvvhci.sys [X]
CMD: attrib /d /s -r -s -h C:\FOUND.*
CMD: for /d %f in (C:\FOUND.*) do rd /s /q "%f"
FirewallRules: [TCP Query User{79BE3B82-CE4D-4704-A9E4-F656AA529730}G:\dlc1\dlcbootlan.exe] => (Block) G:\dlc1\dlcbootlan.exe Brak pliku
FirewallRules: [UDP Query User{18EB0941-154D-43F5-8F43-3B9BA4C0E477}G:\dlc1\dlcbootlan.exe] => (Block) G:\dlc1\dlcbootlan.exe Brak pliku
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).

 

Napisz, czy problem znikł?

 

jessi

[szymekh]

niestety problem występuje dalej, bez żadnych widocznych zmian... ?

[jessica]

zrób nowe logi FRST

 

jessi

[szymekh]

oto nowe logi:Shortcut.txtAddition.txtFixlog.txt

[jessica]

brak logu FRST.txt

[szymekh]

pardon, już jest FRST.txt

[jessica]

to jest tylko końcówka logu - daj cały

[szymekh]

nie rozumiem, po wykonaniu skanu w FRST dostałem tylko taki plik. Wykonam skan jeszcze raz.

[szymekh]

Najnowszy plik FRST:FRST.txt

[jessica]

Sądząc po logach - to wszystko jest już OK.

Jeśli w rzeczywistości nie jest OK, to chyba coś sam sobie zaszkodziłeś.

 

muszę pomyśleć, co dalej ...

 

 

 

 

 

 

 

 

 

 

 

[szymekh]

Dziękuję za pomoc i czekam na dalsze podpowiedzi 

[jessica]

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

  Pokaż ukrytą zawartość

Reg: reg query "HKU\S-1-5-21-674152808-494936928-215878896-1000\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell" /s

Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).

 

jessi

[szymekh]

dalej nic. za pierwszym razem pokazalo jakiś błąd, że coś było niepoprawnie, spróbowałem jeszcze raz i zresetowałem komputer. Oto fixlog

Fixlog.txtPobieranie informacji ...

[jessica]

Nic to nie wyjaśniło.

 

Zrób zwykłe "Przywracanie Systemu" do tego punktu przywracania:

  Cytat

07-05-2019 22:29:54 Windows Update

Rozwiń  

 

Potem zrób nowe logi FRST (bez Shortcut")

 

jessi

[szymekh]

zrobione. oto nowe logi: Addition.txtFRST.txt 

[jessica]

Hmm, cały czas nie widzę w Twoich logach głównego wpisu tej infekcji, nie rozumiem, co się z nim stało.

 

No cóż, muszę polegać tylko na tym, co jest widoczne w logach:

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

  Pokaż ukrytą zawartość

HKU\S-1-5-21-674152808-494936928-215878896-1000\...\Winlogon: [Shell] %comspec% <==== UWAGA
RemoveDirectory: C:\Windows\system32\config\SYSTEM~1\AppData\Local\BJIHIW~1
HKU\S-1-5-21-674152808-494936928-215878896-1000\...\Run: [GalaxyClient] => [X]
HKU\S-1-5-18\...\RunOnce: [zZHILNIspz] => C:\Windows\system32\config\SYSTEM~1\AppData\Local\BJIHIW~1\rdsvc.exe
Task: {4059CC17-EE72-4DAB-A8D4-84B4C6F25EA4} - \productupdt\{7237262B-804C-65D8-8ED2-08C306F20DF0} -> Brak pliku <==== UWAGA
Task: {68CC6C25-7723-4CA9-93EB-03A4D1A2EE63} - System32\Tasks\{ABCDA2D4-3443-4659-8F29-50CC02837255} => C:\Windows\system32\pcalua.exe -a H:\Autorun.exe -d H:\
Task: {8E40DF14-CF4F-4F4F-9330-EC9024296484} - System32\Tasks\{0749CDAA-BE56-4E84-8528-2A8D69468E77} => C:\Windows\system32\pcalua.exe -a G:\Setup.exe -d G:\
Task: {9CB8D1DC-EF50-4DCC-99EB-061798475F03} - System32\Tasks\{32360135-F412-4811-8102-2D8100A07383} => C:\Windows\system32\pcalua.exe -a D:\Users\z97\Downloads\1317984636-Silvia-S15\Silvia\setup.exe -d D:\Users\z97\Downloads\1317984636-Silvia-S15\Silvia
Task: {E3B260E7-4C21-4096-9B97-DD55EFA5ED20} - \Chromium nisod -> Brak pliku <==== UWAGA
S3 BEDaisy; \??\C:\Program Files (x86)\Common Files\BattlEye\BEDaisy.sys [X]
S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X]
S4 nvvhci; system32\DRIVERS\nvvhci.sys [X]
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).

[szymekh]

dalej nic. fixlog: Fixlog.txt

[jessica]

  Cytat

HKU\S-1-5-21-674152808-494936928-215878896-1000\...\Winlogon: [Shell] %comspec% <==== UWAGA

Rozwiń  

v

  Cytat

"HKU\S-1-5-21-674152808-494936928-215878896-1000\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell" => pomyślnie usunięto

Rozwiń  

Szkodliwy klucz został usunięty,ale skoro to nie wystarczyło, by znikł problem, to ja tu już niczego nie wymyślę.

Takiego przypadku jeszcze nigdy z tą infekcją nie miałam.

Ja nie mam uprawnień do tego by zalecić Ci sformatowanie dysku i wgranie Systemu od nowa, więc po prostu rezygnuję z tego tematu.

 

jessi

 

[szymekh]

dzięki za pomoc ?