Wyskakujące okienko CMD przy starcie systemu oraz brak możliwości uruchomienia wiersza poleceń

[david77]

Problem, z którym sobie nie mogę poradzić, to brak możliwości uruchomienia wiersza poleceń (nawet przez uruchom -> cmd). Będę wdzięczny za pomoc. ;)

Logi z FRST w załączniku

Addition.txt FRST.txt Shortcut.txt

[jessica]

Jest infekcja SOUNDMIXER!

 

zaraz dokładniej przejrzę logi ...

[david77]

Dziękuję

[jessica]

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

HKU\S-1-5-21-534369914-791047530-272632127-1001\...\Winlogon: [Shell] %comspec% <==== UWAGA
HKU\S-1-5-21-534369914-791047530-272632127-1001\...\Command Processor: @mode 20,5 & tasklist /FI "IMAGENAME eq SoundMixer.exe" 2>NUL | find /I /N "SoundMixer.exe">NUL && exit & if exist "C:\Users\Dawid\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe" ( start /MIN "" "C:\Users\Dawid\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe" & tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) else ( tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) <==== UWAGA
RemoveDirectory: C:\Users\Dawid\AppData\Roaming\Microsoft\SoundMixer
Task: {0E617EAF-536D-4852-88E2-6F89293F1025} - System32\Tasks\microsoft\windows\windowsupdate\clean => cmd.exe /c attrib -h -s C:\Users\Dawid\AppData\Roaming\*.exe & attrib -h -s C:\Users\Dawid\AppData\Roaming\*.bat & del C:\Users\Dawid\AppData\Roaming\*.bat & del C:\Users\Dawid\AppData\Roaming\svchosts.exe
C:\Users\Dawid\AppData\Roaming\svchosts.exe
Task: {DFF6A2AA-E52A-4B30-85D0-7BDCC6697187} - System32\Tasks\windowupdate => C:\Windows\lsa.exe
C:\Windows\lsa.exe
S3 MSICDSetup; \??\J:\CDriver64.sys [X]
S3 NTIOLib_1_0_C; \??\J:\NTIOLib_X64.sys [X]
RemoveDirectory: C:\Users\Dawid\Desktop\FRST-OlderVersion
GroupPolicy: Ograniczenia ? <==== UWAGA
Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA
2020-02-09 23:02 - 2020-02-09 23:02 - 000000447 _____ () C:\Users\Dawid\AppData\Roaming\d.vbs
2019-04-08 19:40 - 2019-04-08 19:40 - 000000338 _____ () C:\Users\Dawid\AppData\Roaming\h.vbs
2020-03-24 16:19 - 2020-03-24 16:19 - 004198705 _____ (                                                            ) C:\Users\Dawid\AppData\Roaming\setup.exe
HKU\S-1-5-21-534369914-791047530-272632127-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://securesearch.org/homepage?hp=2&pId=BT171101&iDate=2020-02-01 09:36:05&bName=
C:\Users\Dawid\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Excel (1).lnk
C:\Users\Dawid\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Excel.lnk
C:\Users\Dawid\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Outlook (1).lnk
C:\Users\Dawid\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Outlook.lnk
C:\Users\Dawid\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PowerPoint (1).lnk
C:\Users\Dawid\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PowerPoint.lnk
C:\Users\Dawid\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\uTorrent Web.lnk
C:\Users\Dawid\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Word (1).lnk
C:\Users\Dawid\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Word.lnk
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).

 

Napisz, czy tytułowy problem znikł?

 

jessi

[david77]

Super! Wszystko jest jak być powinno, bardzo dziękuję za pomoc! :)