cmd.exe przy starcie systemu

[DirtySprite024]

Witam.

 

Od jakiegoś czasu mam pewien problem, niby nic nie znaczący jednak chyba tak być nie powinno. Dotyczy Windowsa 10 x64 Profesisonal.

 

Mianowicie, przy uruchamianiu, przy załadowywaniu pulpitu/profilu wyskakuje mi wiersz poleceń, dosłownie na pół sekundy i znika. Zdążyłem raz zrobić print screena, było to puste okienko, a adres był C:/Windows/system32/cmd.exe.

 

Raz uporałem się z nim przez program Autoruns. Znalazłem tą linijkę i wyłączyłem, jednak po ostatniej aktualizacji systemu problem wrócił, mimo tego,  że w/w programie jest to wyłączone, a nawet całkowicie usunąłem wpis myśląc, że pomoże.

 

Próbowałem sfc /systemscan w wierszu poleceń, nie pomogło. Wyłączałem rożne programy z autostartu, też nie pomogło.

 

Ilość programów mam naprawdę skromną, w ostatnim czasie nic dodatkowego nie instalowałem. Używam domyślnego windows defendera, od czasu do czasu skanując jeszcze system darmowym Malwarebytes'em. Skany nic nie wykazały, żadnych wirusów, rootkitów, nic.

 

Załączam skan z FRST. Pozdrawiam.

FRST.txt Addition.txt

 

Moją uwagę przykuła linijka:

S2 wut; cmd.exe /c C:\Users\user\AppData\Roaming\svchosts.exe [X]

[jessica]

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

Task: {84AE7CB7-8A3F-451C-AE3F-646F1C584C58} - System32\Tasks\microsoft\windows\windowsupdate\clean => cmd.exe /c attrib -h -s C:\Users\user\AppData\Roaming\*.exe & attrib -h -s C:\Users\user\AppData\Roaming\*.bat & del C:\Users\user\AppData\Roaming\*.bat & del C:\Users\user\AppData\Roaming\svchosts.exe
Task: {8F42DC21-EE86-4625-ADA2-A88BF9FE056B} - System32\Tasks\Microsoft\Windows\Maintenance\InstallWinSAT => C:\Windows\system32\Maintenance.vbs [12 2020-02-20] () [Brak podpisu cyfrowego]
C:\Users\user\AppData\Roaming\*.exe
C:\Users\user\AppData\Roaming\*.bat
S2 wut; cmd.exe /c C:\Users\user\AppData\Roaming\svchosts.exe [X]
S3 athur; \SystemRoot\System32\drivers\athuw8x.sys [X]
S3 cpuz148; \??\C:\Windows\temp\cpuz148\cpuz148_x64.sys [X]
2020-02-10 00:02 - 2020-02-10 00:02 - 000000447 ___SH () C:\Users\user\AppData\Roaming\d.vbs
2019-04-08 20:40 - 2019-04-08 20:40 - 000000338 ___SH () C:\Users\user\AppData\Roaming\h.vbs
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
AlternateShell:
GroupPolicy: Ograniczenia ? <==== UWAGA
CHR HKLM\...\Chrome\Extension: [caljgklbbfbcjjanaijlacgncafpegll]
CHR HKLM\...\Chrome\Extension: [ccbpbkebodcjkknkfkpmfeciinhidaeh]
CHR HKLM-x32\...\Chrome\Extension: [caljgklbbfbcjjanaijlacgncafpegll]
CHR HKLM-x32\...\Chrome\Extension: [ccbpbkebodcjkknkfkpmfeciinhidaeh]
ContextMenuHandlers1: [ANotepad++64] -> {B298D29A-A6ED-11DE-BA8C-A68E55D89593} =>  -> Brak pliku
ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> Brak pliku
ShortcutWithArgument: C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\d249d9ddd424b688\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google LLC) -> --profile-directory=Default
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot => "AlternateShell"=""
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).

 

Napisz, czy problem znikł?

 

jessi

[DirtySprite024]

Pomogło, teraz nic nie wyskakuje. Jesteś WIELKA.  

Jeśli można spytać, co było przyczyną problemu żeby się zabezpieczyć na przyszłość.

Załączam fixlog.

Fixlog.txt

[jessica]

Przyczynę sam wskazałeś w swoim pierwszym poście.

Inna sprawa, to skąd się wziął ten "WUT"?

 

jessi

 

[DirtySprite024]

Nie mam pojęcia. Z dwa tygodnie temu malwarebyte's wykrył "potential bitcoin miner". Może to pozostałość, której nie usunął.

W każdym bądź razie dzięki raz jeszcze za pomoc !