Skocz do zawartości

Po uruchomieniu systemu wyskakuje czarne okno cmd i losowa strona przeglądarki.


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Witaj @grzeslaw009

 

W logach jest widoczna infekcja, usuniemy też niepotrzebne wpisy

Wykonaj poniższe polecenia:

  • Naciśnij przycisk Kopiuj fixlist do schowka
  • Uruchom FRST64
  • Naciśnij CTRL+Y
  • W otwartym notatniku naciśnij CTRL+V
  • Po wklejeniu zawartości naciśnij CTRL+S
  • Zamknij notatnik
  • W programie FRST64 naciśnij Napraw (Fix)
  • Czekaj cierpliwie, aż program zakończy naprawę i system uruchomi się ponownie
  • Po restarcie w katalogu z FRST64 pojawi się plik fixlog.txt - wstaw go w odpowiedzi

 

Fixlist.txt
start::
CreateRestorePoint:
CloseProcesses:
EmptyTemp:
HKU\S-1-5-21-1477536923-2438906567-3048903223-1001\...\Run: [utweb] => "C:\Users\Grzesiek\AppData\Roaming\uTorrent Web\utweb.exe" /MINIMIZED (Brak pliku)
HKU\S-1-5-21-1477536923-2438906567-3048903223-1001\...\Run: [Grzesiek] => cmd.exe /c start www.dinoklafbzor.org (Brak pliku) <==== UWAGA
Task: {3244CB1A-37AE-4B55-BBC4-DAE5492DCC7E} - System32\Tasks\Grzesiek => C:\WINDOWS\system32\cmd.exe [323584 2024-07-28] (Microsoft Windows -> Microsoft Corporation) -> /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Grzesiek /t REG_SZ /d "cmd.exe /c start www.dinoklafbzor.org" <==== UWAGA
Task: {CCDFC0B8-01A3-4E74-A820-4F13F51D269E} - System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser => %SystemRoot%\System32\MbaeParserTask.exe  (Brak pliku)
Task: {331B600B-3387-4D83-94EE-2BD15A7F9194} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_AC => %systemroot%\system32\MusNotification.exe  /RunOnAC RebootDialog (Brak pliku)
Task: {2A077FFF-8C57-45A8-A003-D9C866516E6B} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_Battery => %systemroot%\system32\MusNotification.exe  /RunOnBattery RebootDialog (Brak pliku)
Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Brak pliku)
S3 HWiNFO_180; C:\Users\Grzesiek\AppData\Local\Temp\HWiNFO64A_180.SYS [58528 2024-07-31] (WDKTestCert martin,133281419032501408 -> REALiX(tm)) <==== UWAGA
S3 PDFWKRNL; \??\C:\Users\Grzesiek\AppData\Local\Temp\USBCPDFW\pdfwkrnl.sys [X] <==== UWAGA
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [4290]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Install.data:1727620D02 [4290]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Install.data:A11C0A2554 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [4290]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [4290]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FACEIT AC.lnk:550995E265 [4290]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TeamSpeak 3 Client.lnk:F208FC6732 [4290]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [8742]
AlternateDataStreams: C:\Users\Public\Documents\rsEngine.config.backup:A62FD1C36E [4290]
FirewallRules: [TCP Query User{BC108D0F-2A74-4E94-8333-9FEB07A52B86}D:\steam\steamapps\common\counter-strike global offensive\csgo.exe] => (Allow) D:\steam\steamapps\common\counter-strike global offensive\csgo.exe => Brak pliku
FirewallRules: [UDP Query User{B209EA0B-57F1-476B-AB71-B4A07B9F3577}D:\steam\steamapps\common\counter-strike global offensive\csgo.exe] => (Allow) D:\steam\steamapps\common\counter-strike global offensive\csgo.exe => Brak pliku
FirewallRules: [TCP Query User{5BBE3374-CC23-4A24-995A-2433C9243AC8}C:\program files\windowsapps\spotifyab.spotifymusic_1.216.947.0_x64__zpdnekdrzrea0\spotify.exe] => (Allow) C:\program files\windowsapps\spotifyab.spotifymusic_1.216.947.0_x64__zpdnekdrzrea0\spotify.exe => Brak pliku
FirewallRules: [UDP Query User{0A9CBDD7-53D5-4ECE-97EA-DF2CEC2B5CD7}C:\program files\windowsapps\spotifyab.spotifymusic_1.216.947.0_x64__zpdnekdrzrea0\spotify.exe] => (Allow) C:\program files\windowsapps\spotifyab.spotifymusic_1.216.947.0_x64__zpdnekdrzrea0\spotify.exe => Brak pliku
FirewallRules: [TCP Query User{7E624E42-0385-4045-A218-672A2C976E0E}D:\hogwart\hogwarts legacy\phoenix\binaries\win64\hogwartslegacy.exe] => (Allow) D:\hogwart\hogwarts legacy\phoenix\binaries\win64\hogwartslegacy.exe => Brak pliku
FirewallRules: [UDP Query User{DD6B04E1-6516-4C1B-8DB9-374EB3A9065F}D:\hogwart\hogwarts legacy\phoenix\binaries\win64\hogwartslegacy.exe] => (Allow) D:\hogwart\hogwarts legacy\phoenix\binaries\win64\hogwartslegacy.exe => Brak pliku
FirewallRules: [TCP Query User{5CD94FDD-0466-481A-859C-330D1BC456E0}D:\warzone\call of duty\_retail_\cod.exe] => (Allow) D:\warzone\call of duty\_retail_\cod.exe => Brak pliku
FirewallRules: [UDP Query User{2A86B6D8-DB1B-4D57-8455-1B4900465DF0}D:\warzone\call of duty\_retail_\cod.exe] => (Allow) D:\warzone\call of duty\_retail_\cod.exe => Brak pliku
FirewallRules: [TCP Query User{E820386D-DF59-4789-82AE-49DA681AEF63}C:\users\grzesiek\appdata\local\discord\app-1.0.9016\discord.exe] => (Allow) C:\users\grzesiek\appdata\local\discord\app-1.0.9016\discord.exe => Brak pliku
FirewallRules: [UDP Query User{EDAB5A0B-9640-4CE7-B6BB-9912D9A4CE51}C:\users\grzesiek\appdata\local\discord\app-1.0.9016\discord.exe] => (Allow) C:\users\grzesiek\appdata\local\discord\app-1.0.9016\discord.exe => Brak pliku
FirewallRules: [TCP Query User{26FEE03D-8534-4E74-98C9-EB7B0E76F1D3}D:\warzone\diablo iii\x64\diablo iii64.exe] => (Allow) D:\warzone\diablo iii\x64\diablo iii64.exe => Brak pliku
FirewallRules: [UDP Query User{48B83C87-C90E-458F-B526-6D29F5D17655}D:\warzone\diablo iii\x64\diablo iii64.exe] => (Allow) D:\warzone\diablo iii\x64\diablo iii64.exe => Brak pliku
FirewallRules: [TCP Query User{38C7FA4B-D6B9-4922-A4AF-A88AF17835D2}D:\steam\steamapps\common\battlefield 2042\bf2042.exe] => (Allow) D:\steam\steamapps\common\battlefield 2042\bf2042.exe => Brak pliku
FirewallRules: [UDP Query User{21714141-005F-4339-8ABD-7351117BF576}D:\steam\steamapps\common\battlefield 2042\bf2042.exe] => (Allow) D:\steam\steamapps\common\battlefield 2042\bf2042.exe => Brak pliku
FirewallRules: [TCP Query User{96FEF4D6-5416-43D4-9827-051CA76DA020}D:\epic\saintsrowthethird\srttr.exe] => (Allow) D:\epic\saintsrowthethird\srttr.exe => Brak pliku
FirewallRules: [UDP Query User{428B3142-E2FB-4F6C-A760-F1A879801C9C}D:\epic\saintsrowthethird\srttr.exe] => (Allow) D:\epic\saintsrowthethird\srttr.exe => Brak pliku
FirewallRules: [TCP Query User{BE297A59-4162-43F4-8F3E-307A71955711}D:\steam\steamapps\common\orcs must die 2\build\game\orcsmustdie2.exe] => (Allow) D:\steam\steamapps\common\orcs must die 2\build\game\orcsmustdie2.exe => Brak pliku
FirewallRules: [UDP Query User{E7F8D4A5-BFB7-40BF-AD28-6E9185C60A71}D:\steam\steamapps\common\orcs must die 2\build\game\orcsmustdie2.exe] => (Allow) D:\steam\steamapps\common\orcs must die 2\build\game\orcsmustdie2.exe => Brak pliku
FirewallRules: [{043A3CE0-84AA-4904-B478-BC97A6827C26}] => (Allow) C:\Users\Grzesiek\AppData\Roaming\utorrent\uTorrent.exe => Brak pliku
FirewallRules: [{61075454-90A9-43DE-A603-4A0BBDF87819}] => (Allow) C:\Users\Grzesiek\AppData\Roaming\utorrent\uTorrent.exe => Brak pliku
FirewallRules: [TCP Query User{7781A30F-5055-416B-A8CF-08B9C33C4ACD}D:\pobrane\jebac kierata\pummel party\pummelparty.exe] => (Allow) D:\pobrane\jebac kierata\pummel party\pummelparty.exe => Brak pliku
FirewallRules: [UDP Query User{BCEE7322-E31E-4853-8A3D-C900530052AE}D:\pobrane\jebac kierata\pummel party\pummelparty.exe] => (Allow) D:\pobrane\jebac kierata\pummel party\pummelparty.exe => Brak pliku
FirewallRules: [TCP Query User{8B5C6713-9B74-461B-AB75-9C388A158CC3}C:\users\grzesiek\appdata\local\fivem\fivem.app\data\cache\subprocess\fivem_b2802_gtaprocess.exe] => (Allow) C:\users\grzesiek\appdata\local\fivem\fivem.app\data\cache\subprocess\fivem_b2802_gtaprocess.exe => Brak pliku
FirewallRules: [UDP Query User{8AC03E2F-F338-4A4A-A581-B358FEC21985}C:\users\grzesiek\appdata\local\fivem\fivem.app\data\cache\subprocess\fivem_b2802_gtaprocess.exe] => (Allow) C:\users\grzesiek\appdata\local\fivem\fivem.app\data\cache\subprocess\fivem_b2802_gtaprocess.exe => Brak pliku
FirewallRules: [TCP Query User{BD5D4627-F3C6-4FB3-A361-1A87FAB80B71}C:\users\grzesiek\appdata\local\fivem\fivem.app\data\cache\subprocess\fivem_b2699_gtaprocess.exe] => (Allow) C:\users\grzesiek\appdata\local\fivem\fivem.app\data\cache\subprocess\fivem_b2699_gtaprocess.exe => Brak pliku
FirewallRules: [UDP Query User{EF32D3B4-B467-40E2-9CF0-B697B4C7F897}C:\users\grzesiek\appdata\local\fivem\fivem.app\data\cache\subprocess\fivem_b2699_gtaprocess.exe] => (Allow) C:\users\grzesiek\appdata\local\fivem\fivem.app\data\cache\subprocess\fivem_b2699_gtaprocess.exe => Brak pliku
FirewallRules: [TCP Query User{B4ED6533-D0BF-484F-AA17-35D96AB4C831}C:\users\grzesiek\appdata\local\fivem\fivem.app\data\cache\subprocess\fivem_b2944_gtaprocess.exe] => (Allow) C:\users\grzesiek\appdata\local\fivem\fivem.app\data\cache\subprocess\fivem_b2944_gtaprocess.exe => Brak pliku
FirewallRules: [UDP Query User{1C54B509-9CB0-451E-A555-D6F81523874B}C:\users\grzesiek\appdata\local\fivem\fivem.app\data\cache\subprocess\fivem_b2944_gtaprocess.exe] => (Allow) C:\users\grzesiek\appdata\local\fivem\fivem.app\data\cache\subprocess\fivem_b2944_gtaprocess.exe => Brak pliku
FirewallRules: [TCP Query User{DD18AF63-5EC1-4B06-A6ED-CD4CD5156B5B}C:\users\grzesiek\appdata\local\discord\app-1.0.9156\discord.exe] => (Allow) C:\users\grzesiek\appdata\local\discord\app-1.0.9156\discord.exe => Brak pliku
FirewallRules: [UDP Query User{570CA3B9-3DE6-4D04-9A76-3577E77E60B4}C:\users\grzesiek\appdata\local\discord\app-1.0.9156\discord.exe] => (Allow) C:\users\grzesiek\appdata\local\discord\app-1.0.9156\discord.exe => Brak pliku
end::

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Pozdrawiam serdecznie
Juliusz

 

Odnośnik do komentarza

Dziękuję

 

Ponieważ, wcześniej były wykrycia Windows Defendera,

zrób jeszczej skanowanie MBAM

  • Pobierz MalwareBytes MBAM 5
  • Zamknij wszystkie aktywne programy i przeglądarki.
  • Uruchom plik instalacyjny
  • Wybierz Zastosowania domowe
  • Pomiń instalację Browser Guard, na tym etapie nie jest potrzebny
  • Po zakończonej instalacji Otwórz MBAM
  • Pomiń Pierwsze kroki
  • Wybierz Ustawienia z lewej strony
  • Ogólne - wyłącz opcję Uruchom program Malwarebytes w tle ...
  • Przejdź do Skanowanie i wykrycia
  • Włącz Skanuj w poszukiwaniu Rootkitów
  • Wróć do Głównego Menu
  • Rozpocznij skanowanie, po przeskanowaniu oczyść to co znajdzie, wklej plik wynikowy.

 

Pozdrawiam serdecznie
Juliusz

 

Odnośnik do komentarza

Dziękuję.

Jak widać, pusto :)

 

Usuń programy oczyszczające programem KPRM

 

KpRm

Platforma: Windows 7, Windows 8/8.1, Windows 10 32-bit i 64-bit
Licencja: freeware

Strona domowa

Pobierz

 

Uruchom, kliknij Yes i zaznacz opcje: Delete Tools, Registry Backup, Create Restore Point, Delete now.

 

kprm1.png

 

kprm2.png

 

Kliknij Run

 

To wszystko

 
Pozdrawiam serdecznie
Juliusz

 

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...