Po uruchomieniu systemu wyskakuje czarne okno cmd i losowa strona przeglądarki.

[grzeslaw009]

Witam. Tak jak w nazwie tematu mam taki problem, że po uruchomieniu systemu wyskakuje mi czarne okno cmd a następnie włącza się losowa strona w przeglądarce. Nie potrafię zlokalizować co to może być czy macie jakieś pomysły jak się tego pozbyć??

[Illidan]

Witaj, zrób logi programem FRST i wklej je tutaj na forum jako załącznik, logi zrób kompletne, zaznacz w programie wykonanie jeszcze "Shorcut.txt".

[grzeslaw009]

Proszę bardzo, logi.

Addition.txt FRST.txt Shortcut.txt

[iJuliusz]

Witaj @grzeslaw009

 

W logach jest widoczna infekcja, usuniemy też niepotrzebne wpisy

Wykonaj poniższe polecenia:

• Naciśnij przycisk → Kopiuj fixlist do schowka
• Uruchom FRST64
• Naciśnij CTRL+Y
• W otwartym notatniku naciśnij CTRL+V
• Po wklejeniu zawartości naciśnij CTRL+S
• Zamknij notatnik
• W programie FRST64 naciśnij Napraw (Fix)
• Czekaj cierpliwie, aż program zakończy naprawę i system uruchomi się ponownie
• Po restarcie w katalogu z FRST64 pojawi się plik fixlog.txt - wstaw go w odpowiedzi

 

Fixlist.txt

start::
CreateRestorePoint:
CloseProcesses:
EmptyTemp:
HKU\S-1-5-21-1477536923-2438906567-3048903223-1001\...\Run: [utweb] => "C:\Users\Grzesiek\AppData\Roaming\uTorrent Web\utweb.exe" /MINIMIZED (Brak pliku)
HKU\S-1-5-21-1477536923-2438906567-3048903223-1001\...\Run: [Grzesiek] => cmd.exe /c start www.dinoklafbzor.org (Brak pliku) <==== UWAGA
Task: {3244CB1A-37AE-4B55-BBC4-DAE5492DCC7E} - System32\Tasks\Grzesiek => C:\WINDOWS\system32\cmd.exe [323584 2024-07-28] (Microsoft Windows -> Microsoft Corporation) -> /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Grzesiek /t REG_SZ /d "cmd.exe /c start www.dinoklafbzor.org" <==== UWAGA
Task: {CCDFC0B8-01A3-4E74-A820-4F13F51D269E} - System32\Tasks\Microsoft\Windows\Mobile Broadband Accounts\MNO Metadata Parser => %SystemRoot%\System32\MbaeParserTask.exe  (Brak pliku)
Task: {331B600B-3387-4D83-94EE-2BD15A7F9194} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_AC => %systemroot%\system32\MusNotification.exe  /RunOnAC RebootDialog (Brak pliku)
Task: {2A077FFF-8C57-45A8-A003-D9C866516E6B} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\Reboot_Battery => %systemroot%\system32\MusNotification.exe  /RunOnBattery RebootDialog (Brak pliku)
Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Brak pliku)
S3 HWiNFO_180; C:\Users\Grzesiek\AppData\Local\Temp\HWiNFO64A_180.SYS [58528 2024-07-31] (WDKTestCert martin,133281419032501408 -> REALiX(tm)) <==== UWAGA
S3 PDFWKRNL; \??\C:\Users\Grzesiek\AppData\Local\Temp\USBCPDFW\pdfwkrnl.sys [X] <==== UWAGA
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [4290]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Install.data:1727620D02 [4290]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Install.data:A11C0A2554 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [4290]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [4290]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FACEIT AC.lnk:550995E265 [4290]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TeamSpeak 3 Client.lnk:F208FC6732 [4290]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [8742]
AlternateDataStreams: C:\Users\Public\Documents\rsEngine.config.backup:A62FD1C36E [4290]
FirewallRules: [TCP Query User{BC108D0F-2A74-4E94-8333-9FEB07A52B86}D:\steam\steamapps\common\counter-strike global offensive\csgo.exe] => (Allow) D:\steam\steamapps\common\counter-strike global offensive\csgo.exe => Brak pliku
FirewallRules: [UDP Query User{B209EA0B-57F1-476B-AB71-B4A07B9F3577}D:\steam\steamapps\common\counter-strike global offensive\csgo.exe] => (Allow) D:\steam\steamapps\common\counter-strike global offensive\csgo.exe => Brak pliku
FirewallRules: [TCP Query User{5BBE3374-CC23-4A24-995A-2433C9243AC8}C:\program files\windowsapps\spotifyab.spotifymusic_1.216.947.0_x64__zpdnekdrzrea0\spotify.exe] => (Allow) C:\program files\windowsapps\spotifyab.spotifymusic_1.216.947.0_x64__zpdnekdrzrea0\spotify.exe => Brak pliku
FirewallRules: [UDP Query User{0A9CBDD7-53D5-4ECE-97EA-DF2CEC2B5CD7}C:\program files\windowsapps\spotifyab.spotifymusic_1.216.947.0_x64__zpdnekdrzrea0\spotify.exe] => (Allow) C:\program files\windowsapps\spotifyab.spotifymusic_1.216.947.0_x64__zpdnekdrzrea0\spotify.exe => Brak pliku
FirewallRules: [TCP Query User{7E624E42-0385-4045-A218-672A2C976E0E}D:\hogwart\hogwarts legacy\phoenix\binaries\win64\hogwartslegacy.exe] => (Allow) D:\hogwart\hogwarts legacy\phoenix\binaries\win64\hogwartslegacy.exe => Brak pliku
FirewallRules: [UDP Query User{DD6B04E1-6516-4C1B-8DB9-374EB3A9065F}D:\hogwart\hogwarts legacy\phoenix\binaries\win64\hogwartslegacy.exe] => (Allow) D:\hogwart\hogwarts legacy\phoenix\binaries\win64\hogwartslegacy.exe => Brak pliku
FirewallRules: [TCP Query User{5CD94FDD-0466-481A-859C-330D1BC456E0}D:\warzone\call of duty\_retail_\cod.exe] => (Allow) D:\warzone\call of duty\_retail_\cod.exe => Brak pliku
FirewallRules: [UDP Query User{2A86B6D8-DB1B-4D57-8455-1B4900465DF0}D:\warzone\call of duty\_retail_\cod.exe] => (Allow) D:\warzone\call of duty\_retail_\cod.exe => Brak pliku
FirewallRules: [TCP Query User{E820386D-DF59-4789-82AE-49DA681AEF63}C:\users\grzesiek\appdata\local\discord\app-1.0.9016\discord.exe] => (Allow) C:\users\grzesiek\appdata\local\discord\app-1.0.9016\discord.exe => Brak pliku
FirewallRules: [UDP Query User{EDAB5A0B-9640-4CE7-B6BB-9912D9A4CE51}C:\users\grzesiek\appdata\local\discord\app-1.0.9016\discord.exe] => (Allow) C:\users\grzesiek\appdata\local\discord\app-1.0.9016\discord.exe => Brak pliku
FirewallRules: [TCP Query User{26FEE03D-8534-4E74-98C9-EB7B0E76F1D3}D:\warzone\diablo iii\x64\diablo iii64.exe] => (Allow) D:\warzone\diablo iii\x64\diablo iii64.exe => Brak pliku
FirewallRules: [UDP Query User{48B83C87-C90E-458F-B526-6D29F5D17655}D:\warzone\diablo iii\x64\diablo iii64.exe] => (Allow) D:\warzone\diablo iii\x64\diablo iii64.exe => Brak pliku
FirewallRules: [TCP Query User{38C7FA4B-D6B9-4922-A4AF-A88AF17835D2}D:\steam\steamapps\common\battlefield 2042\bf2042.exe] => (Allow) D:\steam\steamapps\common\battlefield 2042\bf2042.exe => Brak pliku
FirewallRules: [UDP Query User{21714141-005F-4339-8ABD-7351117BF576}D:\steam\steamapps\common\battlefield 2042\bf2042.exe] => (Allow) D:\steam\steamapps\common\battlefield 2042\bf2042.exe => Brak pliku
FirewallRules: [TCP Query User{96FEF4D6-5416-43D4-9827-051CA76DA020}D:\epic\saintsrowthethird\srttr.exe] => (Allow) D:\epic\saintsrowthethird\srttr.exe => Brak pliku
FirewallRules: [UDP Query User{428B3142-E2FB-4F6C-A760-F1A879801C9C}D:\epic\saintsrowthethird\srttr.exe] => (Allow) D:\epic\saintsrowthethird\srttr.exe => Brak pliku
FirewallRules: [TCP Query User{BE297A59-4162-43F4-8F3E-307A71955711}D:\steam\steamapps\common\orcs must die 2\build\game\orcsmustdie2.exe] => (Allow) D:\steam\steamapps\common\orcs must die 2\build\game\orcsmustdie2.exe => Brak pliku
FirewallRules: [UDP Query User{E7F8D4A5-BFB7-40BF-AD28-6E9185C60A71}D:\steam\steamapps\common\orcs must die 2\build\game\orcsmustdie2.exe] => (Allow) D:\steam\steamapps\common\orcs must die 2\build\game\orcsmustdie2.exe => Brak pliku
FirewallRules: [{043A3CE0-84AA-4904-B478-BC97A6827C26}] => (Allow) C:\Users\Grzesiek\AppData\Roaming\utorrent\uTorrent.exe => Brak pliku
FirewallRules: [{61075454-90A9-43DE-A603-4A0BBDF87819}] => (Allow) C:\Users\Grzesiek\AppData\Roaming\utorrent\uTorrent.exe => Brak pliku
FirewallRules: [TCP Query User{7781A30F-5055-416B-A8CF-08B9C33C4ACD}D:\pobrane\jebac kierata\pummel party\pummelparty.exe] => (Allow) D:\pobrane\jebac kierata\pummel party\pummelparty.exe => Brak pliku
FirewallRules: [UDP Query User{BCEE7322-E31E-4853-8A3D-C900530052AE}D:\pobrane\jebac kierata\pummel party\pummelparty.exe] => (Allow) D:\pobrane\jebac kierata\pummel party\pummelparty.exe => Brak pliku
FirewallRules: [TCP Query User{8B5C6713-9B74-461B-AB75-9C388A158CC3}C:\users\grzesiek\appdata\local\fivem\fivem.app\data\cache\subprocess\fivem_b2802_gtaprocess.exe] => (Allow) C:\users\grzesiek\appdata\local\fivem\fivem.app\data\cache\subprocess\fivem_b2802_gtaprocess.exe => Brak pliku
FirewallRules: [UDP Query User{8AC03E2F-F338-4A4A-A581-B358FEC21985}C:\users\grzesiek\appdata\local\fivem\fivem.app\data\cache\subprocess\fivem_b2802_gtaprocess.exe] => (Allow) C:\users\grzesiek\appdata\local\fivem\fivem.app\data\cache\subprocess\fivem_b2802_gtaprocess.exe => Brak pliku
FirewallRules: [TCP Query User{BD5D4627-F3C6-4FB3-A361-1A87FAB80B71}C:\users\grzesiek\appdata\local\fivem\fivem.app\data\cache\subprocess\fivem_b2699_gtaprocess.exe] => (Allow) C:\users\grzesiek\appdata\local\fivem\fivem.app\data\cache\subprocess\fivem_b2699_gtaprocess.exe => Brak pliku
FirewallRules: [UDP Query User{EF32D3B4-B467-40E2-9CF0-B697B4C7F897}C:\users\grzesiek\appdata\local\fivem\fivem.app\data\cache\subprocess\fivem_b2699_gtaprocess.exe] => (Allow) C:\users\grzesiek\appdata\local\fivem\fivem.app\data\cache\subprocess\fivem_b2699_gtaprocess.exe => Brak pliku
FirewallRules: [TCP Query User{B4ED6533-D0BF-484F-AA17-35D96AB4C831}C:\users\grzesiek\appdata\local\fivem\fivem.app\data\cache\subprocess\fivem_b2944_gtaprocess.exe] => (Allow) C:\users\grzesiek\appdata\local\fivem\fivem.app\data\cache\subprocess\fivem_b2944_gtaprocess.exe => Brak pliku
FirewallRules: [UDP Query User{1C54B509-9CB0-451E-A555-D6F81523874B}C:\users\grzesiek\appdata\local\fivem\fivem.app\data\cache\subprocess\fivem_b2944_gtaprocess.exe] => (Allow) C:\users\grzesiek\appdata\local\fivem\fivem.app\data\cache\subprocess\fivem_b2944_gtaprocess.exe => Brak pliku
FirewallRules: [TCP Query User{DD18AF63-5EC1-4B06-A6ED-CD4CD5156B5B}C:\users\grzesiek\appdata\local\discord\app-1.0.9156\discord.exe] => (Allow) C:\users\grzesiek\appdata\local\discord\app-1.0.9156\discord.exe => Brak pliku
FirewallRules: [UDP Query User{570CA3B9-3DE6-4D04-9A76-3577E77E60B4}C:\users\grzesiek\appdata\local\discord\app-1.0.9156\discord.exe] => (Allow) C:\users\grzesiek\appdata\local\discord\app-1.0.9156\discord.exe => Brak pliku
end::

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Pozdrawiam serdecznie
Juliusz

 

[grzeslaw009]

Pomogło, Pięknie dziekuje!

Załączam fixlog.

Fixlog.txt

[iJuliusz]

Dziękuję

 

Ponieważ, wcześniej były wykrycia Windows Defendera,

zrób jeszczej skanowanie MBAM

• Pobierz MalwareBytes MBAM 5
• Zamknij wszystkie aktywne programy i przeglądarki.
• Uruchom plik instalacyjny
• Wybierz Zastosowania domowe
• Pomiń instalację Browser Guard, na tym etapie nie jest potrzebny
• Po zakończonej instalacji Otwórz MBAM
• Pomiń Pierwsze kroki
• Wybierz Ustawienia z lewej strony
• Ogólne - wyłącz opcję Uruchom program Malwarebytes w tle ...
• Przejdź do Skanowanie i wykrycia
• Włącz Skanuj w poszukiwaniu Rootkitów
• Wróć do Głównego Menu
• Rozpocznij skanowanie, po przeskanowaniu oczyść to co znajdzie, wklej plik wynikowy.

 

Pozdrawiam serdecznie
Juliusz

 

[grzeslaw009]

Zrobione, załączam plik.

Malwarebytes Raport ze skanowania 2024-08-21 215307.txt

[iJuliusz]

Dziękuję.

Jak widać, pusto :)

 

Usuń programy oczyszczające programem KPRM

 

KpRm

Platforma: Windows 7, Windows 8/8.1, Windows 10 32-bit i 64-bit
Licencja: freeware

Strona domowa

Pobierz

 

Uruchom, kliknij Yes i zaznacz opcje: Delete Tools, Registry Backup, Create Restore Point, Delete now.

 

 

 

Kliknij Run

 

To wszystko

 

Pozdrawiam serdecznie
Juliusz

 

[grzeslaw009]

Zrobione, bardzo dziękuje za pomoc