jessica
-
Postów
4 099 -
Dołączył
-
Ostatnia wizyta
Odpowiedzi opublikowane przez jessica
-
-
Jest infekcja.
.
Uruchom FRST.
Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) - FRST sam znajdzie "fixlist" w schowku systemowymSpoilerSTART::
CreateRestorePoint:
HKU\S-1-5-21-512065596-586363006-2857346263-1001\...\Run: [Jaszczur] => explorer.exe hxxp://dinoraptzor.org (Brak pliku) <==== UWAGA
SearchScopes: HKU\S-1-5-21-512065596-586363006-2857346263-1001 -> DefaultScope {D07E3575-4C7E-4BB6-9002-EA40C35D17A9} URL =
GroupPolicy: Ograniczenia ? <==== UWAGA
Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA
HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA
Task: {A9F0F456-A314-4A4C-8BEE-6ED91EAAFED0} - System32\Tasks\Jaszczur => C:\Windows\system32\cmd.exe [289792 2023-10-11] (Microsoft Windows -> Microsoft Corporation) -> /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v Jaszczur /t REG_SZ /d "explorer.exe hxxp://dinoraptzor.org" <==== UWAGA
EmptyEventLogs:
EmptyTemp:
END::
W FRST kliknij na Fix (NAPRAW).Napisz, czy problem znikł?
jessi
-
Są resztki po ruskiej infekcji, i to one powodują opisany przez Ciebie problem.
.
Uruchom FRST.
Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) - FRST sam znajdzie "fixlist" w schowku systemowymSpoilerSTART::
CreateRestorePoint:
HKU\S-1-5-21-3066628177-3940417141-1085069035-1001\...\Run: [LukeMike] => cmd.exe /c start www.exinariuminix.info (Brak pliku)
Task: {915F7776-FC8B-4C96-9EA6-FB959662788C} - System32\Tasks\LukeMike => C:\Windows\system32\cmd.exe [289792 2023-10-11] (Microsoft Windows -> Microsoft Corporation) -> /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v LukeMike /t REG_SZ /d "cmd.exe /c start www.exinariuminix.info" <==== UWAGA
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot => "AlternateShell"=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\AutorunsDisabled => "AlternateShell"="cmd.exe cmd.exe"
EmptyEventLogs:
EmptyTemp:
END::
W FRST kliknij na Fix (NAPRAW).Napisz, czy problem znikł?
jessi
-
Nie widzę tu żadnej infekcji,
Może problem zaczął się od chwili zainstalowania ESET'a? (25.09.2023)
Tylko kosmetyka:
Uruchom FRST.
Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) - FRST sam znajdzie "fixlist" w schowku systemowymSpoilerSTART::
CreateRestorePoint:
Task: {527391CD-BE96-483D-985C-656BFF9B5A0D} - System32\Tasks\CareCenter\Riot Vanguard_Reg_HKLMRun => C:\Program Files\Riot Vanguard\vgtray.exe (Brak pliku)
Task: {61EBACD9-BAC2-4EE3-8B5B-B7B41459CA10} - System32\Tasks\CareCenter\SunJavaUpdateSched_Reg_HKLMWow6432Run => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe (Brak pliku)
AV: Norton Security Ultra (Enabled - Up to date) {9E3FD331-C4C2-7AC4-0537-131EEF1B1F8A}
FW: Norton Security Ultra (Enabled) {A6045214-8EAD-7B9C-2E68-BA2B11C858F1}
EmptyEventLogs:
EmptyTemp:
END::
W FRST kliknij na Fix (NAPRAW).jessi
-
Sądząc po logach, to nie masz żadnej infekcji.
Czy przy wchodzeniu na stronę "fixitpc" też to wyskakuje? Jeśli nie, to by oznaczało, że wchodzisz na podejrzane strony. Jeśli tak, to w przeglądarce masz ustawione zbyt wysokie zabezpieczenie..
Czy to wyskakuje też na innych przeglądarkach (EDGE)?
Kosmetyka:
Uruchom FRST.
Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) - FRST sam znajdzie "fixlist" w schowku systemowymSpoilerSTART::
Task: {7C42D36B-0EA7-432D-B4D6-8EE493B45E2F} - System32\Tasks\Oem\xvpnHelperTask => "%localappdata%\OEM\PromoX\XvpnHelper\XvpnInstaller.exe" /install (Brak pliku)
Task: {E0F10DCF-44AD-40E8-9370-FB5DA59F93FB} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe (Brak pliku)
S3 SrvcWTDMIOMngr; \??\C:\OEM\OA30\WTDMIoMngr.sys [X]
EmptyEventLogs:
EmptyTemp:
END::
W FRST kliknij na Fix (NAPRAW).jessi
-
W logach nie ma niczego podejrzanego.
Kosmetyka:
Uruchom FRST.
Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) - FRST sam znajdzie "fixlist" w schowku systemowymSpoilerSTART::
CreateRestorePoint:
HKLM\...\RunOnce: [c6ad9db1-872b-4154-b2f6-348eac4bd616] => "C:\Users\zieli\AppData\Local\Temp\{3987ab53-a480-49f5-b571-ef1754a9939f}\c6ad9db1-872b-4154-b2f6-348eac4bd616.cmd" (Brak pliku) <==== UWAGA
RemoveDirectory: C:\Users\zieli\Downloads\FRST-OlderVersion
EmptyEventLogs:
EmptyTemp:
END::
W FRST kliknij na Fix (NAPRAW).jessi
-
Cytat
ale na moim internecie (netia) nie działa strona internetowa
Tu jest pies pogrzebany: NETIA stosuje własną ochronę przed stronami "niepewnymi". I płacisz za tą ochronę kilkanaście złotych miesięcznie.
Wiem to, bo też mam podobny problem z NETIĄ: mam swoją własną stronę startową, ale program ochronny NETII uznał ją za niepewną", więc ją blokuje. Nic na to nie mogę poradzić, bo nie ma się do kogo odwołać - NETIA to nieuchwytna firma, ma stały adres w Warszawie, ale to tylko adres potrzebny do rejestracji spółki, w rzeczywistości firma co kilka tygodni zmienia swoją siedzibę, na inne miasto, nigdy nie wiadomo, gdzie jest aktualnie. Natomiast salony NETII w całej Polsce zajmują się tylko szukaniem nowych klientów, i to poprzez agentów nie będących ich pracownikami, nie ponoszą żadnej odpowiedzialności za umowy podpisane przez tych agentów rzekomo w imieniu NETII.
jessi
-
-
Cytat
Czy ten pas.exe jest powiązany z tym wirusem Neshta czy to jest coś zupełnie innego?
Nie ma związku z Neshta.
jessi
-
Cytat
explorer.exe ->) (ResolveDevOps Limited -> ResolveDevOps Limited) C:\Users\marci\AppData\Roaming\ProductAuthenticationService\pas.exe
Nikt w necie nie wie, co to jest. Pojawia się tylko u użytkowników STEAM'a.
Choć jest wykrywane jako ADWARE: pas.exe Usuwanie: Jak pozbyć się pas.exe6ba92c1d0fa12701beb2c35b8a0ca6e5 (threatinfo.net)
===============
Tylko kosmetyka:
Uruchom FRST.
Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) - FRST sam znajdzie "fixlist" w schowku systemowymSpoilerSTART::
CreateRestorePoint:
HKU\S-1-5-21-755384510-574266639-158900603-1001\...\Run: [AdobeBridge] => [X]
HKU\S-1-5-21-755384510-574266639-158900603-1001\...\Run: [GalaxyClient] => [X]
HKU\S-1-5-21-755384510-574266639-158900603-1002\...\RunOnce: [Delete Cached Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\Grzegorz\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe" [61757832 2023-07-08] (Microsoft Corporation -> Microsoft Corporation)
HKU\S-1-5-21-755384510-574266639-158900603-1002\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\Grzegorz\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Brak pliku)
HKU\S-1-5-21-755384510-574266639-158900603-1003\...\Run: [MicrosoftEdgeAutoLaunch_E9DE5AD7D492708FCC5CC76CE616FD65] => "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --no-startup-window --win-session-start /prefetch:5 [4107728 2023-08-25] (Microsoft Corporation -> Microsoft Corporation)
HKU\S-1-5-21-755384510-574266639-158900603-1003\...\RunOnce: [Delete Cached Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\Bogusia\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe" (Brak pliku)
HKU\S-1-5-21-755384510-574266639-158900603-1003\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\Bogusia\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Brak pliku)
HKU\S-1-5-21-755384510-574266639-158900603-1003\...\RunOnce: [Uninstall 22.225.1026.0001] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\Bogusia\AppData\Local\Microsoft\OneDrive\22.225.1026.0001" [0 2022-12-12] () <==== UWAGA [zerobajtowy plik/folder]
EmptyEventLogs:
EmptyTemp:
END::
W FRST kliknij na Fix (NAPRAW).jessi
-
Nie masz żadnej infekcji.
.
Kosmetyka + wyłączenie niektórych rzeczy z autostartu:
Uruchom FRST.
Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) - FRST sam znajdzie "fixlist" w schowku systemowymSpoilerSTART::
CreateRestorePoint:
Task: {C9A252ED-5E2E-4239-B92F-C147B705CEA3} - System32\Tasks\McAfee\mfewin10switch => C:\Program Files\HP\McAfeePre\DADUpdater.exe [1987456 2018-04-13] (McAfee, Inc. -> McAfee, Inc.)
HKU\S-1-5-21-153491760-1345948891-3359715606-1001\...\Run: [MicrosoftEdgeAutoLaunch_F072E8F080C5A31FE150A3CA4B35FB6A] => "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --no-startup-window --win-session-start /prefetch:5 [4116520 2023-08-18] (Microsoft Corporation -> Microsoft Corporation)
HKLM\Software\Microsoft\Active Setup\Installed Components: [{89B4C1CD-B018-4511-B0A1-5476DBF70820}] -> C:\Windows\System32\Rundll32.exe C:\Windows\System32\mscories.dll,Install
HKLM\Software\Wow6432Node\Microsoft\Active Setup\Installed Components: [{89B4C1CD-B018-4511-B0A1-5476DBF70820}] -> C:\Windows\SysWOW64\Rundll32.exe C:\Windows\SysWOW64\mscories.dll,Install
EmptyEventLogs:
EmptyTemp:
END::
W FRST kliknij na Fix (NAPRAW).----------
CytatError: (08/26/2023 10:54:01 AM) (Source: bowser) (EventID: 8003) (User: )
Description: Przeglądarka główna odebrała anons serwera z komputera 49FX600_SERIES.
Komputer ten zachowuje się tak, jakby był przeglądarką główną dla domeny w transporcie NetBT_Tcpip_{BCBE5C80-34CE-4E83-AC11-406974451AFD}.
Przeglądarka główna właśnie jest zatrzymywana albo wymuszany jest wybór.Error: (08/24/2023 11:52:37 AM) (Source: bowser) (EventID: 8003) (User: )
Description: Przeglądarka główna odebrała anons serwera z komputera 49FX600_SERIES.
Komputer ten zachowuje się tak, jakby był przeglądarką główną dla domeny w transporcie NetBT_Tcpip_{BCBE5C80-34CE-4E83-AC11-406974451AFD}.
Przeglądarka główna właśnie jest zatrzymywana albo wymuszany jest wybór.Ale nie wiem, z czego to wynika.
jessi
-
To fakt, nie wolno usuwać tego konta.
Da się załatwić, by po starcie laptopa nie istniała potrzeba logowania.
Sama kiedyś pozbyłam się tego problemu - ale nie pamiętam, w jaki sposób to zrobiłam.
Może trzeba zrobić prawoklik na "Zaloguj" ? Niestety, nic nie pamiętam, oprócz tego, że było to bardzo proste w wykonaniu.
jessi
-
W niczym mi to nie pomogło nie wiem, co jest przyczyną.
To tak wygląda, jakby cały czas był wciśnięty prawoklik w myszce, nawet jak myszki wcale nie ma.
=============
Cytatpomoc w usunięciu, przy starcie laptopa, konta do logowania Users.
>Panel Sterowania>Konta użytkowników>Dodaj lub usuń konto
.
jessi
-
Cytat
Odezwę się wieczorem, jak córka prześle screeny okienek.
OK.
-
W logach nie ma niczego, co mogłoby wskazywać na przyczynę problemu.
.
Cytat==================== Punkty Przywracania systemu =========================
17-06-2023 20:43:17 Instalator modułów systemu Windows
Jeśli problem nie występował przed tą powyższą datą, to zrób zwykłe przywracanie Systemu do tego punktu przywracania.
Kosmetyka:
Uruchom FRST.
Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) - FRST sam znajdzie "fixlist" w schowku systemowymSpoilerSTART::
CreateRestorePoint:
HKLM\...\Run: [] => [X]
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-967176956-3956154963-2716058783-1001\...\Run: [] => [X]
HKLM\Software\Microsoft\Active Setup\Installed Components: [{89B4C1CD-B018-4511-B0A1-5476DBF70820}] -> C:\Windows\System32\Rundll32.exe C:\Windows\System32\mscories.dll,Install
HKLM\Software\Wow6432Node\Microsoft\Active Setup\Installed Components: [{89B4C1CD-B018-4511-B0A1-5476DBF70820}] -> C:\Windows\SysWOW64\Rundll32.exe C:\Windows\SysWOW64\mscories.dll,Install
EmptyEventLogs:
EmptyTemp:
END::
W FRST kliknij na Fix (NAPRAW).===========
.
CytatDzieje się to z myszką lub bez.
To być może oznacza, że z touchpadem jest coś "nie tak" - choć w logu Additons.txt nie ma wzmianki o takim błędzie.
jessi
-
Nie widzę tu żadnej infekcji.
Cytat12-08-2023 21:42:37 Instalator modułów systemu Windows
Skoro problem pojawił się wczoraj, to zrób zwykłe przywracanie systemu do tego powyższego punktu przywracania.
Może to pomoże.
Kosmetyka:
Uruchom FRST.
Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) - FRST sam znajdzie "fixlist" w schowku systemowymSpoilerSTART::
Edge StartupUrls: Default -> "hxxp://www.sweet-page.com/?type=hp&ts=1402061031&from=cor&uid=ST3250310AS_9RY2N68NXXXX9RY2N68N","hxxp://www.sweet-page.com/?type=hppp&ts=1402252816&from=cor&uid=ST3250310AS_9RY2N68NXXXX9RY2N68N","hxxp://www.sweet-page.com/?type=hppp&ts=1402575589&from=cor&uid=ST3250310AS_9RY2N68NXXXX9RY2N68N","hxxp://www.sweet-page.com/?type=hppp&ts=1402596290&from=cor&uid=ST3250310AS_9RY2N68NXXXX9RY2N68N","hxxp://www.sweet-page.com/?type=hppp&ts=1402604977&from=cor&uid=ST3250310AS_9RY2N68NXXXX9RY2N68N","hxxp://www.istartsurf.com/?type=hp&ts=1435583789&z=472c7becc305590576e3bc7gcz1c2w1w5b8c7mcb3t&from=obw&uid=ST3250310AS_9RY2N68NXXXX9RY2N68N"
CHR StartupUrls: Default -> "hxxp://www.sweet-page.com/?type=hp&ts=1402061031&from=cor&uid=ST3250310AS_9RY2N68NXXXX9RY2N68N","hxxp://www.sweet-page.com/?type=hppp&ts=1402252816&from=cor&uid=ST3250310AS_9RY2N68NXXXX9RY2N68N","hxxp://www.sweet-page.com/?type=hppp&ts=1402575589&from=cor&uid=ST3250310AS_9RY2N68NXXXX9RY2N68N","hxxp://www.sweet-page.com/?type=hppp&ts=1402596290&from=cor&uid=ST3250310AS_9RY2N68NXXXX9RY2N68N","hxxp://www.sweet-page.com/?type=hppp&ts=1402604977&from=cor&uid=ST3250310AS_9RY2N68NXXXX9RY2N68N","hxxp://www.istartsurf.com/?type=hp&ts=1435583789&z=472c7becc305590576e3bc7gcz1c2w1w5b8c7mcb3t&from=obw&uid=ST3250310AS_9RY2N68NXXXX9RY2N68N"
HKU\S-1-5-21-2236991800-2410921705-2708227541-1001\...\Run: [ASRock A-Tuning] => [X]
EmptyEventLogs:
EmptyTemp:
END::
W FRST kliknij na Fix (NAPRAW).===========
CytatError: (08/19/2023 12:52:56 PM) (Source: disk) (EventID: 7) (User: )
Description: W urządzeniu \Device\Harddisk0\DR0 wystąpił zły blok.http://www.fixitpc.pl/forum/43-hardware/
jessi
-
W logach nie ma niczego podejrzanego.
Domyślam się, że Twój telefon nie jest zwykłą komórką, lecz jest smartfonem, i to z łączem internetu.
Ja na smartfonach się nie znam, więc wypada Ci czekać, może znajdzie się tu ktoś na smartfonach i ich bezpieczeństwie.
jessi
-
Sądząc po logach, to wszystko jest OK.
W dolnej części logu Addition.txt widać kilka wymienionych błędów, ale nie wynikają one z infekcji (żadnej nie masz).
jessi
-
Nie wiem, dlaczego opróżniło foldery TEMP, skoro usunąłeś z "fixlist" tę komendę.
Ruskiej infekcji już nie masz.
Kosmetyka:
Uruchom FRST.
Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) - FRST sam znajdzie "fixlist" w schowku systemowymSpoilerSTART::
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\AutorunsDisabled => "AlternateShell"="cmd.exe"
S3 ALSysIO; \??\C:\Users\KurtR\AppData\Local\Temp\ALSysIO64.sys [X] <==== UWAGA
S3 cpuz157; \??\C:\Windows\temp\cpuz157\cpuz157_x64.sys [X]
END::
W FRST kliknij na Fix (NAPRAW).jessi
-
Ruska infekcja powoduje spowolnienie Systemu. Ma swój plik Systemowy, więc prawdopodobnie pobiera jakieś dane z komputera, ale nie wiem, jakie. W każdym razie trzeba było dać ją do usunięcia.
Co "temp" - po prostu usuń z "fixlist" tę całą linijkę, czyli EmptyTemp:
jessi
-
Masz ruską infekcję, ale to nie ma nic wspólnego z Twoim problemem.
Uruchom FRST.
Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) - FRST sam znajdzie "fixlist" w schowku systemowymSpoilerSTART::
Task: {67FC4054-8C18-44A0-87F7-39874691B375} - System32\Tasks\LukeMike => C:\Windows\system32\cmd.exe [289792 2022-09-08] (Microsoft Windows -> Microsoft Corporation) -> /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v LukeMike /t REG_SZ /d "cmd.exe /c start www.exinariuminix.info" <==== UWAGA
S3 mracsvc; C:\Windows\System32\mracsvc.exe [30057640 2023-06-01] (My.Com B.V. -> My.com B.V.)
S3 mracdrv; C:\Windows\System32\drivers\mracdrv1.sys [29287768 2023-06-01] (My.Com B.V. -> My.com B.V.)
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot => "AlternateShell"=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\AutorunsDisabled => "AlternateShell"="cmd.exe"
FirewallRules: [{5ACB0DF8-7EEA-49AE-9241-13ECA65B09E6}] => (Allow) C:\Program Files (x86)\PowerWash Simulator\PowerWashSimulator.exe => Brak pliku
FirewallRules: [{F5B819DD-74C5-4C3C-AA27-4FF802501F1C}] => (Allow) C:\Program Files (x86)\PowerWash Simulator\PowerWashSimulator.exe => Brak pliku
FirewallRules: [{3094CA63-D8F8-4967-8172-E424CFDEFE7F}] => (Allow) C:\Program Files (x86)\PowerWash Simulator\PowerWashSimulator.exe => Brak pliku
FirewallRules: [{BD8E5112-DB33-4F3B-B772-5AFBF806D82E}] => (Allow) C:\Program Files (x86)\PowerWash Simulator\PowerWashSimulator.exe => Brak pliku
AlternateShell:
GroupPolicy: Ograniczenia ? <==== UWAGA
Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA
Task: {6CF75BE2-0B1F-4888-97D5-E0A966210C18} - System32\Tasks\HWiNFO => "C:\Program Files\HWiNFO64\HWiNFO64.EXE" (Brak pliku)
Task: {5606E6F9-1C19-4F63-B002-AC4EB5261EE0} - System32\Tasks\MSIAfterburner => C:\Program Files (x86)\MSI Afterburner\MSIAfterburner.exe /s (Brak pliku)
C:\Users\KurtR\Documents\Euro Truck Simulator 2\readme.rtf.lnk
EmptyEventLogs:
EmptyTemp:
END::
W FRST kliknij na Fix (NAPRAW).Przeinstaluj Chrome - może to pomoże?
jessi
-
Odłącz komputer od dostępu do sieci.
Potem spróbuj włączyć komputer.
Jeśli dalej będzie ciągły reset, to oddasz komputer do jakiegoś serwisu naprawczego.
jessi
-
Nie masz żadnej infekcji.
Uruchom FRST.
Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) - FRST sam znajdzie "fixlist" w schowku systemowymSpoilerSTART::
HKLM\...\Run: [AdobeGCInvoker-1.0] => "C:\Program Files (x86)\Common Files\Adobe\AdobeGCClient\AGCInvokerUtility.exe" (No File)
HKLM-x32\...\Run: [] => [X]
HKLM-x32\...\Run: [Adobe CCXProcess] => C:\Program Files (x86)\Adobe\Adobe Creative Cloud Experience\CCXProcess.exe (No File)
HKU\S-1-5-19\...\Run: [GoogleDriveFS] => C:\Program Files\Google\Drive File Stream\78.0.1.0\GoogleDriveFS.exe --startup_mode (No File)
HKU\S-1-5-20\...\Run: [GoogleDriveFS] => C:\Program Files\Google\Drive File Stream\78.0.1.0\GoogleDriveFS.exe --startup_mode (No File)
HKLM\Software\Microsoft\Active Setup\Installed Components: [{89B4C1CD-B018-4511-B0A1-5476DBF70820}] -> C:\Windows\System32\Rundll32.exe C:\Windows\System32\mscories.dll,Install
HKLM\Software\Wow6432Node\Microsoft\Active Setup\Installed Components: [{89B4C1CD-B018-4511-B0A1-5476DBF70820}] -> C:\Windows\SysWOW64\Rundll32.exe C:\Windows\SysWOW64\mscories.dll,Install
GroupPolicy: Restriction ? <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
Task: {406120A1-EF45-40DD-9DFC-5A301273626C} - System32\Tasks\Activation-Renewal => C:\ProgramData\Activation-Renewal\Activation_task.cmd [15319 2023-07-10] () [File not signed] -> Task
Task: {A79DD81B-7E67-4B19-A237-FAF5BDA0F932} - System32\Tasks\Meta\Messenger-SL-Helper-S-1-5-21-3892982326-4222054075-3637702396-1001 => C:\Users\Y\AppData\Local\Programs\Messenger\MessengerHelper.exe --lassie (No File)
FirewallRules: [TCP Query User{2939C086-98F4-4E49-9B2E-FF2B813D5FA2}C:\users\y\appdata\roaming\spotify\spotify.exe] => (Allow) C:\users\y\appdata\roaming\spotify\spotify.exe => No File
FirewallRules: [UDP Query User{4AE636A2-9999-43A5-AA8C-25234A10A309}C:\users\y\appdata\roaming\spotify\spotify.exe] => (Allow) C:\users\y\appdata\roaming\spotify\spotify.exe => No File
FirewallRules: [{BF87F6E3-E3E0-4B74-BBDD-330730FC463E}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe => No File
FirewallRules: [{4EA5F2A2-9179-4127-9A79-7771377D84AC}] => (Allow) C:\Program Files (x86)\Steam\Steam.exe => No File
FirewallRules: [{B68C52AE-B1A1-491E-A54B-F6802F1B8924}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => No File
FirewallRules: [{A7559B8D-673B-437B-A8B8-57950A6989EC}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => No File
FirewallRules: [TCP Query User{3BBA47CD-5B9D-458F-907B-75EBE9F0FA67}C:\xiaomi\xiaomitool2\bin\javaw.exe] => (Block) C:\xiaomi\xiaomitool2\bin\javaw.exe => No File
FirewallRules: [UDP Query User{F66BB8DB-AAA0-4154-BF76-AD44E29F6A83}C:\xiaomi\xiaomitool2\bin\javaw.exe] => (Block) C:\xiaomi\xiaomitool2\bin\javaw.exe => No File
FirewallRules: [TCP Query User{DBA88330-9AE5-4E5E-ABD5-E258664A8986}C:\riot games\riot client\riotclientservices.exe] => (Allow) C:\riot games\riot client\riotclientservices.exe => No File
FirewallRules: [UDP Query User{11AD2C8E-A0CC-497D-A002-B6BA7958AD61}C:\riot games\riot client\riotclientservices.exe] => (Allow) C:\riot games\riot client\riotclientservices.exe => No File
EmptyEventLogs:
EmptyTemp:
END::
W FRST kliknij na Fix (NAPRAW).jessi
-
Cytat
winmgmt Service is not running. Error while attempting to start winmgmt:
WystĄpi bĄd systemu 1058.Nie moľna uruchomi† okrelonej usugi, poniewaľ jest ona wyĄczona lub poniewaľ nie sĄ wĄczone skojarzone z niĄ urzĄdzenia.
Checking service configuration:
The start type of winmgmt service is set to Disabled. The default start type, depending on the OS, is either Auto or Demand.Uruchom FRST.
Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) - FRST sam znajdzie "fixlist" w schowku systemowymSpoilerSTART::
StartRegedit:
Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt]
"Start"=dword:00000002Reboot:
END::
W FRST kliknij na Fix (NAPRAW)..
Uruchom FRST.
Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) - FRST sam znajdzie "fixlist" w schowku systemowymCytat
SpoilerSTART::
Reg: reg query HKLM\SYSTEM\CurrentControlSet\services\Winmgmt /s
END::
W FRST kliknij na Fix (NAPRAW).Daj z tego raport.
.
Zrób nowy log z FSS.
jessi
-
Infekcji tu nie widzę.
Uruchom FRST.
Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) - FRST sam znajdzie "fixlist" w schowku systemowymSpoilerSTART::
HKLM\Software\Microsoft\Active Setup\Installed Components: [{89B4C1CD-B018-4511-B0A1-5476DBF70820}] -> C:\Windows\System32\Rundll32.exe C:\Windows\System32\mscories.dll,Install
HKLM\Software\Wow6432Node\Microsoft\Active Setup\Installed Components: [{89B4C1CD-B018-4511-B0A1-5476DBF70820}] -> C:\Windows\SysWOW64\Rundll32.exe C:\Windows\SysWOW64\mscories.dll,Install
Task: {145A09F1-BE1C-4591-B903-9A0EEA4E7802} - System32\Tasks\Microsoft\Windows\Application Experience\MareBackup => Command(1): %windir%\system32\compattelrunner.exe -> -m:aeinv.dll -f:UpdateSoftwareInventoryW invsvc
Task: {145A09F1-BE1C-4591-B903-9A0EEA4E7802} - System32\Tasks\Microsoft\Windows\Application Experience\MareBackup => Command(2): %windir%\system32\compattelrunner.exe -> -m:appraiser.dll -f:DoScheduledTelemetryRun
Task: {145A09F1-BE1C-4591-B903-9A0EEA4E7802} - System32\Tasks\Microsoft\Windows\Application Experience\MareBackup => Command(3): %windir%\system32\compattelrunner.exe -> -m:aemarebackup.dll -f:BackupMareData
C:\Windows\Minidump\*.dmp
RemoveDirectory: C:\Users\szewc\Downloads\FRST-OlderVersion
EmptyEventLogs:
EmptyTemp:
END::
W FRST kliknij na Fix (NAPRAW).================
CytatError: (08/08/2023 01:49:28 AM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Usługa iphlpsvc zależy od usługi Winmgmt, której nie można uruchomić z powodu następującego błędu:
Nie można uruchomić określonej usługi, ponieważ jest ona wyłączona lub ponieważ nie są włączone skojarzone z nią urządzenia.+
Error: (08/08/2023 01:20:49 AM) (Source: Application Error) (EventID: 1000) (User: )
Description: Nazwa aplikacji powodującej błąd: svchost.exe_wscsvc, wersja: 10.0.19041.1806, sygnatura czasowa: 0x7dcad237
Nazwa modułu powodującego błąd: wscsvc.dll, wersja: 10.0.19041.3155, sygnatura czasowa: 0x0a392bab+
Niepowodzenie przy listowaniu punktów przywracania
Sprawdź usługę "winmgmt" lub napraw WMI.1) Uruchom FRST.
Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) - FRST sam znajdzie "fixlist" w schowku systemowymCytatSTART::
Reg: reg query HKLM\SYSTEM\CurrentControlSet\services\Winmgmt /s
END::
W FRST kliknij na Fix (NAPRAW).Daj z tego raport.
2) Zrób log z Farbar Service Scanner >http://download.bleepingcomputer.com/farbar/FSS.exe (do skanowania zaznacz wszystko).
jessi
Niedziałające usługi
w Windows 10
Opublikowano
Zrób logi z FRST https://www.fixitpc.pl/topic/61-diagnostyka-ogólne-raporty-systemowe/?tab=comments#comment-160527
Może w nich będzie coś widać?
jessi