
jessica
-
Liczba zawartości
3 486 -
Rejestracja
-
Ostatnia wizyta
Odpowiedzi dodane przez jessica
-
-
Są szkodliwe Zaplanowane Zadania, więc:
Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:SpoilerTask: {4C094B69-F5DE-4799-92B5-1C8AB59AAD57} - System32\Tasks\Microsoft\Windows\WDI\SrvHost => rundll32.exe winscomrssrv.dll,SrvMainHost <==== UWAGA
Task: {7A5E95BF-B613-4328-A042-A63B438CAEE8} - System32\Tasks\Microsoft\Windows\Application Experience\StartupCheckLibrary => rundll32.exe StartupCheckLibrary.dll,DllMainRunLibrary <==== UWAGA
Task: {7E797925-A953-4D8E-89CA-AEF18EEEBF3F} - System32\Tasks\Microsoft\Windows\Windows Error Reporting\winrmsrv => winrmsrv.exe <==== UWAGA
Task: {C5C21255-4C47-465C-A800-C67A69AEFC57} - System32\Tasks\Microsoft\Windows\Wininet\Winlogui => winlogui.exe <==== UWAGA
Reg: reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv" /s
Reg: reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv\Parameters" /s
S3 edgeupdate; "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" /svc [X]
S3 edgeupdatem; "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" /medsvc [X]
S3 MicrosoftEdgeElevationService; "C:\Program Files (x86)\Microsoft\Edge\Application\81.0.416.62\elevation_service.exe" [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
HKLM\...\Winlogon: [Userinit] C:\WINDOWS\SysWOW64\userinit.exe, <==== UWAGA
HKU\S-1-5-21-112430691-1903889100-2400215175-1001\...\StartupApproved\Run: => "63C1C93ADAD793D83607E31025C246A984960F42._service_run"
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).Daj z tego raport.
Ze względu na:
SpoilerError: (01/22/2021 01:13:42 PM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Usługa wuauserv zakończyła działanie; wystąpił następujący błąd:
Nie można odnaleźć określonego pliku.-----------------
S3 wuauserv; C:\WINDOWS\system32\svchost.exe [57368 2019-12-07] (Microsoft Windows Publisher -> Microsoft Corporation) <==== UWAGA (Brak ServiceDLL)
S3 wuauserv; C:\WINDOWS\SysWOW64\svchost.exe [47232 2019-12-07] (Microsoft Windows Publisher -> Microsoft Corporation) <==== UWAGA (Brak ServiceDLL)zrób też nowe logu FRST.
jessi
-
Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:SpoilerHKU\S-1-5-21-534369914-791047530-272632127-1001\...\Winlogon: [Shell] %comspec% <==== UWAGA
HKU\S-1-5-21-534369914-791047530-272632127-1001\...\Command Processor: @mode 20,5 & tasklist /FI "IMAGENAME eq SoundMixer.exe" 2>NUL | find /I /N "SoundMixer.exe">NUL && exit & if exist "C:\Users\Dawid\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe" ( start /MIN "" "C:\Users\Dawid\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe" & tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) else ( tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) <==== UWAGA
RemoveDirectory: C:\Users\Dawid\AppData\Roaming\Microsoft\SoundMixer
Task: {0E617EAF-536D-4852-88E2-6F89293F1025} - System32\Tasks\microsoft\windows\windowsupdate\clean => cmd.exe /c attrib -h -s C:\Users\Dawid\AppData\Roaming\*.exe & attrib -h -s C:\Users\Dawid\AppData\Roaming\*.bat & del C:\Users\Dawid\AppData\Roaming\*.bat & del C:\Users\Dawid\AppData\Roaming\svchosts.exe
C:\Users\Dawid\AppData\Roaming\svchosts.exe
Task: {DFF6A2AA-E52A-4B30-85D0-7BDCC6697187} - System32\Tasks\windowupdate => C:\Windows\lsa.exe
C:\Windows\lsa.exe
S3 MSICDSetup; \??\J:\CDriver64.sys [X]
S3 NTIOLib_1_0_C; \??\J:\NTIOLib_X64.sys [X]
RemoveDirectory: C:\Users\Dawid\Desktop\FRST-OlderVersion
GroupPolicy: Ograniczenia ? <==== UWAGA
Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA
2020-02-09 23:02 - 2020-02-09 23:02 - 000000447 _____ () C:\Users\Dawid\AppData\Roaming\d.vbs
2019-04-08 19:40 - 2019-04-08 19:40 - 000000338 _____ () C:\Users\Dawid\AppData\Roaming\h.vbs
2020-03-24 16:19 - 2020-03-24 16:19 - 004198705 _____ ( ) C:\Users\Dawid\AppData\Roaming\setup.exe
HKU\S-1-5-21-534369914-791047530-272632127-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://securesearch.org/homepage?hp=2&pId=BT171101&iDate=2020-02-01 09:36:05&bName=
C:\Users\Dawid\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Excel (1).lnk
C:\Users\Dawid\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Excel.lnk
C:\Users\Dawid\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Outlook (1).lnk
C:\Users\Dawid\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Outlook.lnk
C:\Users\Dawid\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PowerPoint (1).lnk
C:\Users\Dawid\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PowerPoint.lnk
C:\Users\Dawid\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\uTorrent Web.lnk
C:\Users\Dawid\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Word (1).lnk
C:\Users\Dawid\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Word.lnk
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).Napisz, czy tytułowy problem znikł?
jessi
-
Jest infekcja SOUNDMIXER!
zaraz dokładniej przejrzę logi ...
-
W logach nie ma niczego podejrzanego.
Prawdopodobnie to strona "synonimy.pl" jest winna.
Chyba nie zwróciłeś uwagi na napis na samej górze strony:
CytatThis Domain Has Expired, To Renew Please Contact Your Provider
Tłumacząc z polskiego na nasze: "synonimy.pl" utraciła ważność, przestała istnieć.
Strona została pewnie teraz zakupiona przez "betbreath.com". (u mnie też pojawia się tylko ta strona).
A więc to nie Twoja wina, nic na to nie poradzisz.
Tylko kosmetyka
Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:Spoiler2020-12-23 09:01 - 2020-07-10 09:57 - 000008065 _____ C:\ProgramData\DisplaySessionContainer7.log_backup1
2020-12-22 16:15 - 2020-07-03 12:03 - 000006594 _____ C:\ProgramData\DisplaySessionContainer6.log_backup1
2021-01-12 11:33 - 2020-07-01 12:37 - 000008073 _____ C:\ProgramData\DisplaySessionContainer5.log_backup1
2021-01-11 10:56 - 2020-06-23 11:44 - 000008073 _____ C:\ProgramData\DisplaySessionContainer4.log_backup1
HKLM-x32\...\Run: [] => [X]
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).jessi
Alternatywa dla ""synonimy.pl":
-
W logach nie widzę niczego podejrzanego.
Tylko kosmetyka:
Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:SpoilerS3 HnGEpicService; D:\HeroesGeneralsWWII\hngservice.exe [X]
S3 Rockstar Service; "C:\Program Files\Rockstar Games\Launcher\RockstarService.exe" [X]
C:\Windows\Minidump\*.dmp
FirewallRules: [{2CCEDC11-2201-4264-BDAC-9455C88428FF}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Brak pliku
FirewallRules: [{9ED06516-8CB6-4CA9-BBF3-5F0BBE9E183C}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Brak pliku
FirewallRules: [{34246482-EF33-46C4-ACCC-1F8E5CF56FCB}] => (Allow) D:\Program Files (x86)\Epic Games\Launcher\Portal\Binaries\Win32\EpicGamesLauncher.exe => Brak pliku
FirewallRules: [{084FF363-1E5D-4D34-9F1F-B5DF1961F428}] => (Allow) D:\Program Files (x86)\Epic Games\Launcher\Portal\Binaries\Win32\EpicGamesLauncher.exe => Brak pliku
FirewallRules: [{983794BD-BEF5-4DBD-BA64-4D94481DAACC}] => (Allow) D:\Program Files (x86)\Epic Games\Launcher\Portal\Binaries\Win32\EpicGamesLauncher.exe => Brak pliku
FirewallRules: [{3BC415B6-0FBF-4618-B148-83CB47D59085}] => (Allow) D:\Program Files (x86)\Epic Games\Launcher\Portal\Binaries\Win32\EpicGamesLauncher.exe => Brak pliku
FirewallRules: [{6AAE0676-3C74-4C98-833C-B836CAEBC538}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\raceroom racing experience\Game\x64\RRRE64.exe => Brak pliku
FirewallRules: [{2EDC1D73-8F20-4FF8-8157-D4D630297F8A}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\raceroom racing experience\Game\x64\RRRE64.exe => Brak pliku
FirewallRules: [{4A1356C1-E734-4CA6-AEF0-584A6090F127}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\raceroom racing experience\Game\RRRE.exe => Brak pliku
FirewallRules: [{C9B5AA31-7368-4995-9513-8846B46D080C}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\raceroom racing experience\Game\RRRE.exe => Brak pliku
FirewallRules: [TCP Query User{96AD1948-52BA-452E-ADBA-BE67F963D379}D:\grand theft auto v\gta5.exe] => (Block) D:\grand theft auto v\gta5.exe => Brak pliku
FirewallRules: [{8F241066-3559-4D3F-97F0-C89C3487635A}] => (Allow) C:\FarCry5\bin\FarCry5.exe => Brak pliku
FirewallRules: [{C7DC122F-8C1A-4D33-8438-83216D2FF60F}] => (Allow) C:\FarCry5\bin\ArcadeEditor64.exe => Brak pliku
FirewallRules: [{CF38742E-04DF-469E-B2DF-6A3F5DA2FF13}] => (Allow) C:\FarCry5\bin\FarCry5.exe => Brak pliku
FirewallRules: [{119AB68D-4B30-4AFF-88E3-8C4B535C6F42}] => (Allow) C:\FarCry5\bin\ArcadeEditor64.exe => Brak pliku
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Booking.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cheat Engine 7.1\Cheat Engine 7.1 (32-bit).lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cheat Engine 7.1\Cheat Engine 7.1 (64-bit SSE4-AVX2).lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cheat Engine 7.1\Cheat Engine 7.1 (64-bit).lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cheat Engine 7.1\Cheat Engine help.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cheat Engine 7.1\Cheat Engine tutorial (64-bit).lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cheat Engine 7.1\Cheat Engine tutorial.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cheat Engine 7.1\Reset settings.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cheat Engine 7.1\Uninstall Cheat
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cheat Engine 7.1\Kernel stuff\Unload kernel module.lnk
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).jessi
-
To bardzo częsty przypadek z Defenderem, nie wiem, z czego on wynika.
jessi
-
W tym logu nie ma niczego podejrzanego.
------------
.
CytatError: (01/17/2021 08:40:42 AM) (Source: Tcpip) (EventID: 4199) (User: )
Description: System wykrył konflikt adresów między adresem IP 192.168.1.1 a komputerem o sieciowym
adresie sprzętowym D4-6E-0E-5D-14-FE. W rezultacie mogą być zakłócone operacje sieciowe na
tym komputerze..--------
.
CytatError: (01/13/2021 11:50:04 AM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Usługa NcbService zakończyła działanie; wystąpił następujący błąd:
Urządzenie dołączone do komputera nie działaSą błędy, ale nie wynikają one z "wirusów".
jessi
-
Cytatdziwne rzeczy sie dzieją
Jakie?
.
Brak logu Addition.txt.
.
Tylko kosmetyka:
Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:SpoilerShortcutTarget: Free Virtual Hotspot Update.lnk -> C:\Program Files (x86)\Free Virtual Hotspot\Free Virtual Hotspot Update.exe (Brak pliku)
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA
HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA
S3 dgderdrv; System32\drivers\dgderdrv.sys [X]
U4 npcap_wifi; Brak ImagePath
S3 semav6msr64; \??\C:\WINDOWS\system32\drivers\semav6msr64.sys [X]
C:\WINDOWS\system32\default_error_stack-0000*-000000.txt
DeleteKey: HKU\S-1-5-21-2535150694-4138075634-1332325269-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
EmptyTemp:Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).jessi
-
Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:SpoilerHKU\S-1-5-21-2601381620-2211264571-1085269511-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.web-pl.com/
SearchScopes: HKU\S-1-5-21-2601381620-2211264571-1085269511-1001 -> DefaultScope {22B1715F-FD64-41DE-AC67-27233CD4DB06} URL = hxxp://www.web-pl.com/search?q={searchTerms}
SearchScopes: HKU\S-1-5-21-2601381620-2211264571-1085269511-1001 -> {14493C13-B119-4C07-B5DB-71805BA7CCA1} URL =
SearchScopes: HKU\S-1-5-21-2601381620-2211264571-1085269511-1001 -> {22B1715F-FD64-41DE-AC67-27233CD4DB06} URL = hxxp://www.web-pl.com/search?q={searchTerms}
HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig] <==== UWAGA
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA
HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA
Edge StartupUrls: Default -> "hxxp://www.web-pl.com/"
Edge DefaultSearchURL: Default -> hxxp://www.web-pl.com/search?q={searchTerms}
Edge DefaultSearchKeyword: Default -> web-pl.com
FF Homepage: Mozilla\Firefox\Profiles\noattuhn.default -> hxxp://www.web-pl.com/
CHR HomePage: Default -> hxxp://www.web-pl.com/
CHR StartupUrls: Default -> "hxxp://www.web-pl.com/"
CHR DefaultSearchURL: Default -> hxxp://www.web-pl.com/search?q={searchTerms}
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).jessi
-
Przez tak długi czas nikt nie odpowiedział, bo nikt nie wie, dlaczego masz problemy.
Nie masz żadnej infekcji, w logach nic nie wskazuje, by istniały jakiekolwiek problemy.
Po prostu jest OK.
Mogłabym dać kosmetyczne usuwanie, ale to nie miałoby sensu, skoro Twój System jest w jakiś tajemniczy sposób uszkodzony.
jessi
-
W logach nie widzę niczego podejrzanego.
Tylko kosmetyka:
Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:SpoilerTask: {3583D0CB-2168-48D3-9F15-4A77F1FC5998} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku <==== UWAGA
FirewallRules: [{A567EA99-A398-44FA-B57E-57EEED9A3305}] => (Allow) C:\Program Files (x86)\Epson Software\Event Manager\EEventManager.exe => Brak pliku
FirewallRules: [{DC50FAAA-874C-43DB-BC29-8422E55E6EF5}] => (Allow) C:\Program Files (x86)\Epson Software\Event Manager\EEventManager.exe => Brak pliku
FirewallRules: [{3C524535-196D-4E28-B51E-B8D9C167D254}] => (Allow) C:\Users\Medion\AppData\Local\Temp\EpInsNav\DL\3013\Network\EpsonNetSetup\Data\ENEasyApp.exe => Brak pliku
FirewallRules: [{3372E53B-24E6-48F5-9BDD-692950FDBF3E}] => (Allow) C:\Users\Medion\AppData\Local\Temp\EpInsNav\DL\3013\Network\EpsonNetSetup\Data\ENEasyApp.exe => Brak pliku
C:\Users\Medion\Videos\Hunter C. C.- Wodospady cienia. Tom 3. Zabrana o zmierzchu.lnk
C:\Users\Medion\Desktop\nie używam\Epson Printer Connection Checker.lnk
C:\Users\Medion\Desktop\nie używam\Letasoft Sound Booster.lnk
C:\Users\Medion\Desktop\nie używam\Anty\AVG Protection.lnk
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).----------------------------
CytatNazwa: PUA:Win32/Rostpay
Identyfikator: 261384
Ważność: Niski
Kategoria: Potencjalnie niechciane oprogramowanie
Ścieżka: file:_C:\Users\Medion\Downloads\driver-hub-install__28.exe
Nazwa procesu: C:\Users\Medion\Downloads\FRST64.exeNie wydaje mi się, by to było poważne wykrycie.
----------------------------------
CytatNazwa: PUA:Win32/CandyOpen
Identyfikator: 213956
Ważność: Niski
Kategoria: Potencjalnie niechciane oprogramowanie
Ścieżka: file:_C:\$Recycle.Bin\S-1-5-21-1564922585-133348500-3705200712-1001\$R7PLCSP.exe
Nazwa procesu: C:\Windows\explorer.exePlik był w KOSZU, więc nie był zbyt groźny, choć oczywiście lepiej, że Defender go całkowicie usunął..
jessi
-
W logach nie widzę niczego podejrzanego.
jessi
-
Jest infekcja "Firewall Module"!
Na liście Twoich programów nie ma "Advances System Care", więc przy okazji usuniemy jego resztki.
Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:SpoilerHKU\S-1-5-21-3006466287-1641649847-722761827-1001\...\Winlogon: [Shell] %comspec% <==== UWAGA
HKU\S-1-5-21-3006466287-1641649847-722761827-1001\...\Command Processor: @mode 20,5 & tasklist /FI "IMAGENAME eq FirewallModule.exe" 2>NUL | find /I /N "FirewallModule.exe">NUL && exit & if exist "C:\Users\jacot\AppData\Roaming\Microsoft\FirewallModule\FirewallModule.exe" ( start /MIN "" "C:\Users\jacot\AppData\Roaming\Microsoft\FirewallModule\FirewallModule.exe" & tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) else ( tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) <==== UWAGA
RemoveDirectory: C:\Users\jacot\AppData\Roaming\Microsoft\FirewallModule
Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA
HKU\S-1-5-21-3006466287-1641649847-722761827-1001\...\Run: [GalaxyClient] => [X]
S3 AdvancedSystemCareService14; "C:\Program Files (x86)\IObit\Advanced SystemCare\ASCService.exe" [X]
S3 AscFileControl; \??\C:\Program Files (x86)\IObit\Advanced SystemCare\drivers\win10_amd64\AscFileControl.sys [X]
S3 AscFileFilter; \??\C:\Program Files (x86)\IObit\Advanced SystemCare\drivers\win10_amd64\AscFileFilter.sys [X]
S3 AscRegistryFilter; \??\C:\Program Files (x86)\IObit\Advanced SystemCare\drivers\win10_amd64\AscRegistryFilter.sys [X]
U4 DiagTrack; Brak ImagePath
U3 dmwappushsvc; Brak ImagePath
S3 iobit_monitor_server; \??\C:\Program Files (x86)\IObit\Advanced SystemCare\drivers\Monitor_win10_x64.sys [X]
HKU\S-1-5-21-3006466287-1641649847-722761827-1001\...\StartupApproved\Run: => "Advanced SystemCare"
Task: {085753FC-83B9-47CE-93DF-3416557BEF2D} - System32\Tasks\ASC_PerformanceMonitor => C:\Program Files (x86)\IObit\Advanced SystemCare\Monitor.exe
HKU\S-1-5-21-3006466287-1641649847-722761827-1001\...\Run: [Advanced SystemCare] => "C:\Program Files (x86)\IObit\Advanced SystemCare\ASCTray.exe" /Auto
Task: {7E5E8483-DE8D-4278-9E58-DA07C4E7B2D4} - System32\Tasks\ASC_SkipUac_jacot => C:\Program Files (x86)\IObit\Advanced SystemCare\ASC.exe
RemoveDirectory: C:\Program Files (x86)\IObit\Advanced SystemCare
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).Napisz, czy problem znikł?
jessi
-
Jaka niechciana strona?
W logach nie widzę niczego podejrzanego.
Tylko kosmetyka:
Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:SpoilerHKU\S-1-5-21-3890894651-379555117-2602774308-1001\...\Run: [GalaxyClient] => [X]
HKU\S-1-5-21-3890894651-379555117-2602774308-1001\...\Policies\Explorer: []
S3 cpuz143; \??\C:\Windows\temp\cpuz143\cpuz143_x64.sys [X]
RemoveDirectory: C:\Users\Kuba\Downloads\FRST-OlderVersion
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).jessi
-
W logach nie ma niczego podejrzanego.
Problem "cmd" jest pewnie wywoływany przez któryś z Twoich progamów, ale trudno zgadnąć, który.
Drobna kosmetyka:
Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:SpoilerHKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-193475535-3007268416-1838977321-1001\...\RunOnce: [Application Restart #3] => C:\Program Files (x86)\Google\Chrome\Application\chrome.exe --flag-switches-begin --flag-switches-end --enable-audio-service-sandbox --restore-last-session --flag-switches-begin --flag-switches-end - (dane wartości zawierają 78 znaków więcej).
GroupPolicy: Ograniczenia ? <==== UWAGA
Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).jessi
-
Brak logu Addition.txt, i Shortcut.txt.
W tym logu nie widzę żadnej infekcji.
Usuniemy kilkanaście Zaplanowanych Zadań, z których pewnie i tak nie korzystasz.
Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:SpoilerPolicies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA
Task: {DED15439-345F-4C3E-94DB-6D9E06E5D367} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe
Task: {D38B916C-9F58-4B52-8AA4-75B51948AF67} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\WINDOWS\ehome\ehrec.exe
Task: {B95D15F7-FF5D-4036-93B7-33271E9AA80E} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {BE711894-269D-4369-8D19-06A5508D4826} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\WINDOWS\ehome\mcupdate.exe
Task: {C2865B02-0519-4606-8240-6A5FF7DB1F51} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {CE5D21B8-9EAB-4AA5-B72F-8FA225AED996} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe
Task: {A43564F2-A8FD-44B9-A2F4-85E56FA310A9} - System32\Tasks\Nero\Nero Info => C:\Program Files (x86)\Common Files\Nero\Nero Info\NeroInfo.exe [3227472 2013-08-20] (Nero AG -> Nero AG)
Task: {B06177AA-E6C0-4D57-AF3A-AB92BCF90A83} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {99BF0AED-F7FF-4439-9EA2-8C0BEF0E6C02} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {93E09565-41A4-47D8-B476-9AFB5127D716} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe
Task: {979E6F29-8462-452A-8F81-84333A3B8617} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {7379FDE9-16AD-47B6-B49E-1A45A9E75FA8} - System32\Tasks\Microsoft\Windows\End Of Support\Notify1 => C:\WINDOWS\system32\sipnotify.exe [334336 2019-04-01] (Microsoft Corporation) [Brak podpisu cyfrowego]
Task: {62E52D60-9BE2-4DB0-9566-C6F694ED4D89} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\WINDOWS\ehome\ehrec.exe
Task: {64758E80-D923-4FC8-883B-57FE8CD5EEC7} - System32\Tasks\Microsoft\Windows\End Of Support\Notify2 => C:\WINDOWS\system32\sipnotify.exe [334336 2019-04-01] (Microsoft Corporation) [Brak podpisu cyfrowego]
Task: {6A39FA51-454C-4EBB-8522-6D3F8CAE0494} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {5BC0618B-6CC7-42B7-A886-99FAA802C4D9} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {4B04640B-D646-44DD-9A8D-415A7E87E958} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {45AFB24E-EB4D-4953-B530-00CCC9A45B8A} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe
Task: {36C9602B-D246-4B68-9B80-8FEBE678BF7F} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\WINDOWS\ehome\mcupdate.exe
Task: {3A081969-8504-4299-8B7C-1278C2AA0E55} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\WINDOWS\ehome\MCUpdate.exe
Task: {247CE7F2-0C1D-48C1-8985-48B7EC1BCF39} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {25A7D6E6-9EBA-410C-AC3D-B8C843FDDD1B} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {261B6277-D125-4BB1-A58E-B0E3DCFEE3E1} - System32\Tasks\Microsoft\Windows\SideShow\SessionAgent => {45F26E9E-6199-477F-85DA-AF1EDFE067B1}
Task: {300D21BE-7A8E-4647-93F9-A12FD64D4A87} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {16CAF445-B441-4697-B47B-182FD400E57B} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {17C262FD-2B7E-4D4B-A289-0ED169BFD4BD} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\WINDOWS\ehome\mcupdate.exe
Task: {1087708F-8BFD-41C5-B0E0-EF287A87DB1E} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\WINDOWS\ehome\ehPrivJob.exe
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).jessi
-
W logach nie widzę żadnej infekcji.
Kosmetyka:
Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:SpoilerHKU\S-1-5-21-2445653734-1576747828-4072123515-1001\...\Run: [GalaxyClient] => [X]
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).jessi
-
Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:SpoilerR2 rtop; c:\program files\bytefence\rtop\bin\rtop_svc.exe [297288 2020-04-23] (Byte Technologies LLC -> Byte Technologies LLC.) <==== UWAGA
RemoveDirectory: C:\Program Files\ByteFence
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA
HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA
HOSTS:
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW)..
CytatError: (12/31/2020 12:56:22 PM) (Source: disk) (EventID: 7) (User: )
Description: W urządzeniu \Device\Harddisk0\DR0 wystąpił zły blok.http://www.fixitpc.pl/topic/20676-w-urządzeniu-deviceharddisk0dr0-wystapił-zły-blok/
.
Napisz Prywatną Wiadomość do @Picasso https://www.fixitpc.pl/profile/2-picasso/
by przesunęła temat do bardziej pasującego działu forum
jessi
-
-
W logach nie ma niczego podejrzanego.
Być może Kaspersky dokonał fałszywego wykrycia, ale teraz to już mało ważne.
jessi
-
Są logi FRST, więc z przyzwyczajenia przejrzałam je pod względem "wirusowym" - jest infekcja.
Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:SpoilerS3 mracsvc; C:\Windows\System32\mracsvc.exe [11132176 2018-09-22] (Mail.Ru LLC -> LLC Mail.Ru)
S3 mracdrv; C:\WINDOWS\System32\drivers\mracdrv.sys [10348560 2018-09-22] (Mail.Ru LLC -> LLC Mail.Ru)
C:\Windows\System32\mracsvc.exe
C:\WINDOWS\System32\drivers\mracdrv.sys
Task: {657E107A-4117-4392-A189-D0A30191575C} - \anydesk -> Brak pliku <==== UWAGA
FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll [Brak pliku]
S4 AppleKmdfFilter; \SystemRoot\System32\drivers\AppleKmdfFilter.sys [X]
S4 AppleLowerFilter; \SystemRoot\System32\drivers\AppleLowerFilter.sys [X]
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).
CytatError: (12/19/2020 08:51:40 PM) (Source: Service Control Manager) (EventID: 7031) (User: )
Description: Usługa NVIDIA LocalSystem Container niespodziewanie zakończyła pracę. Wystąpiło to razy: 1. W przeciągu 6000 milisekund zostanie podjęta następująca czynność korekcyjna: Uruchom usługę ponownie.Error: (12/19/2020 08:51:40 PM) (Source: Service Control Manager) (EventID: 7023) (User: )
Description: Usługa NVIDIA LocalSystem Container zakończyła działanie; wystąpił następujący błąd:
Plik wykonywalny polecenia rodzajowego zwrócił wynik wskazujący błąd.Karta graficzna ma jakiś problem.
Temat zostawiam dla fachowców z tego działu forum.
jessi
-
Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:CytatUS3 mfeavfk01; \Device\mfeavfk01.sys [X]
Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).jessi
-
Cytati po uruchomieniu systemu nadal pokazuje się jedno okienko CMD
Szkoda, że logi tego nie potwierdzają.
Prawdopodobnie to któryś z Twoich programów zachowuje się tak chamsko, ale trudno zgadnąć, który.
CytatS3 mfeavfk01; \Device\mfeavfk01.sys [X]
Najbardziej podejrzany jest McAfee.
jessi
-
Nie widzę tu żadnej infekcji.
Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:SpoilerHKLM\...\RunOnce: [DEL_ST_CPL] => CMD /C del "C:\Windows\TEMP\ST_CPL.pkg.XML" /F <==== UWAGA
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).jessi
Wyskakujące okno CMD
w Dział pomocy doraźnej
Napisano · Zgłoś odpowiedź
Nie masz żadnej infekcji, więc pewnie tytułowy problem jest wywoływany przez któryś z Twoich programów.
Nie zgadnę, który to program.
-----------------
Jeśli nie korzystasz, to odinstaluj ten program:
Kosmetyka:
Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA
FF Plugin-x32: @web.com/mycloudframe -> C:\Program Files (x86)\Star4Live\Star4Live_P2P\npmycloudframe.dll [Brak pliku]
FirewallRules: [{1E8F4274-F3FF-4E0E-9BDA-6FDC494A7018}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.63.76.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => Brak pliku
FirewallRules: [{7C13DCF3-6D56-4F79-8981-221EA2804EE6}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.63.76.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => Brak pliku
FirewallRules: [{94553E2C-C44A-4D0E-9455-07FCFC611A4E}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.63.76.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => Brak pliku
FirewallRules: [{811F48B9-900B-4A5C-949E-5DD5448119A2}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.63.76.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => Brak pliku
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:
Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).
jessi