cmd natychmiast się wyłącza

[qpski]

Witam. 
Gdy włączam CMD program momentalnie się wyłącza. W załączniku wysyłam skany z Farbar Recovery Scan Tool.

Addition.txt FRST.txt Shortcut.txt

[jessica]

Jest więcej infekcji

 

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

HKU\S-1-5-21-3940725796-647350933-304310237-1001\...\Winlogon: [Shell] %comspec% <==== UWAGA
HKU\S-1-5-21-3940725796-647350933-304310237-1001\...\Command Processor: @mode 20,5 & tasklist /FI "IMAGENAME eq SoundMixer.exe" 2>NUL | find /I /N "SoundMixer.exe">NUL && exit & if exist "C:\Users\Gracjan\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe" ( start /MIN "" "C:\Users\Gracjan\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe" & tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) else ( tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) <==== UWAGA
RemoveDirectory: C:\Users\Gracjan\AppData\Roaming\Microsoft\SoundMixer
HKLM\...\Policies\Explorer: [HideSCAHealth] 1
Task: {7AF81898-F5D9-47EF-BEBC-DF92C98B7BE1} - System32\Tasks\snf => C:\ProgramData\Quoteex\Quoteex.exe [1632256 2019-02-12] (TODO: <Company name>) [Brak podpisu cyfrowego] <==== UWAGA
Task: {B725BF75-13F3-4B2D-86B6-D4E9DFCF3373} - System32\Tasks\snp => C:\ProgramData\Quoteex\Quoteex.exe [1632256 2019-02-12] (TODO: <Company name>) [Brak podpisu cyfrowego] <==== UWAGA
RemoveDirectory: C:\ProgramData\Quoteex
GroupPolicy: Ograniczenia ? <==== UWAGA
FirewallRules: [OpenSSH-Server-In-TCP] => (Allow) %SystemRoot%\system32\OpenSSH\sshd.exe Brak pliku
FirewallRules: [{9242946A-650D-4A90-BD1D-D2A790D7C565}] => (Allow) C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.117.543.0_x86__zpdnekdrzrea0\Spotify.exe Brak pliku
FirewallRules: [{3C35617C-66E2-4FCC-9456-D3A43019ED08}] => (Allow) C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.117.543.0_x86__zpdnekdrzrea0\Spotify.exe Brak pliku
FirewallRules: [{16CECA51-B2BB-437A-AC28-249D0DC02275}] => (Allow) C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.117.543.0_x86__zpdnekdrzrea0\Spotify.exe Brak pliku
FirewallRules: [{338C1A17-6CDB-4400-A178-893099FFB29C}] => (Allow) C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.117.543.0_x86__zpdnekdrzrea0\Spotify.exe Brak pliku
FirewallRules: [{CDC0D040-5A66-4CDD-86FC-54579945A3B7}] => (Allow) C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.117.543.0_x86__zpdnekdrzrea0\Spotify.exe Brak pliku
FirewallRules: [{179B9AD6-6179-46AA-B745-7D51FA4486E9}] => (Allow) C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.117.543.0_x86__zpdnekdrzrea0\Spotify.exe Brak pliku
FirewallRules: [{D09382BF-1D4E-414A-80B4-5859ED265C4F}] => (Allow) C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.117.543.0_x86__zpdnekdrzrea0\Spotify.exe Brak pliku
FirewallRules: [{E4452FFD-940A-4533-8037-0A1FDAAA9471}] => (Allow) C:\Program Files\WindowsApps\SpotifyAB.SpotifyMusic_1.117.543.0_x86__zpdnekdrzrea0\Spotify.exe Brak pliku
Task: {2CAC27AE-D5FB-4BC3-A16A-E47A150D4E82} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku <==== UWAGA
HKU\S-1-5-21-3940725796-647350933-304310237-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ7ynGl0LNcLtohulMMPs3CtvR6klFZ_JvqT-D0vX2i93KBgbpbo7MWCQwrrr2NUAHarWA47NfqDd7UI9GOm-QYqWfOMc_es4axAO1bAZumqPd1FFt3QW4YafMiyLyC74u2IM0Cudt2KWqq9qJc5nL3ztoy-aog&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL =
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ7ynGl0LNcLtohulMMPs3CtvR6klFZ_JvqT-D0vX2i93KBgbpbo7MWCQwrrr2NUAHarWA47NfqDd7UI9GOm-QYqWfOMc_es4axAO1bAZumqPd1FFt3QW4YafMiyLyC74u2IM0Cudt2KWqq9qJc5nL3ztoy-aog&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3940725796-647350933-304310237-1001 -> {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ7ynGl0LNcLtohulMMPs3CtvR6klFZ_JvqT-D0vX2i93KBgbpbo7MWCQwrrr2NUAHarWA47NfqDd7UI9GOm-QYqWfOMc_es4axAO1bAZumqPd1FFt3QW4YafMiyLyC74u2IM0Cudt2KWqq9qJc5nL3ztoy-aog&q={searchTerms}
2019-02-12 21:51 - 2019-02-12 21:51 - 007881728 _____ () C:\Users\Gracjan\AppData\Local\agent.dat
2019-02-12 21:51 - 2019-02-12 21:50 - 001632256 _____ (TODO: <Company name>) C:\Users\Gracjan\AppData\Local\BlackCom.exe
2019-02-12 21:51 - 2019-02-12 21:51 - 002037739 _____ () C:\Users\Gracjan\AppData\Local\BlackCom.tst
2019-02-12 21:51 - 2019-02-12 21:51 - 001895382 _____ () C:\Users\Gracjan\AppData\Local\Blacktrax.bin
2019-02-12 21:51 - 2019-02-12 21:51 - 000070896 _____ () C:\Users\Gracjan\AppData\Local\Config.xml
2019-02-12 21:51 - 2019-02-12 21:50 - 001632256 _____ (TODO: <Company name>) C:\Users\Gracjan\AppData\Local\HayQuocore.exe
2019-02-12 21:50 - 2019-02-12 21:51 - 000016416 _____ () C:\Users\Gracjan\AppData\Local\InstallationConfiguration.xml
2019-02-12 21:50 - 2019-02-12 21:50 - 000140800 _____ () C:\Users\Gracjan\AppData\Local\installer.dat
2019-02-12 21:51 - 2019-02-12 21:51 - 000018432 _____ () C:\Users\Gracjan\AppData\Local\Main.dat
2019-02-12 21:51 - 2019-02-12 21:51 - 000005568 _____ () C:\Users\Gracjan\AppData\Local\md.xml
2019-02-12 21:51 - 2019-02-12 21:51 - 000126464 _____ () C:\Users\Gracjan\AppData\Local\noah.dat
2019-02-12 21:50 - 2019-02-12 22:06 - 000722944 _____ () C:\Users\Gracjan\AppData\Local\sha.db
2019-02-12 21:51 - 2019-02-12 21:51 - 000032038 _____ () C:\Users\Gracjan\AppData\Local\uninstall_temp.ico
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).

 

Napisz, czy problem znikł?

 

jessi

[qpski]

działa, wielkie dzięki! temat do zamknięcia.