Skocz do zawartości

CMD - po uruchomieniu pojawia się małe czarne okienko i po chwili znika


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

W raportach widoczna jest infekcja uruchamiana przez wiersz poleceń. Podobny temat z tą samą infekcją: KLIK

 

Przeprowadź następujące działania (dezynfekcja oraz czyszczenie szczątek po oprogramowaniu / martwych wpisów / lokalizacji tymczasowych (w tym czyszczenie kosza):

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
AlternateDataStreams: C:\Users\Public\AppData:CSM [472]
HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe 
HKU\S-1-5-21-1868502681-3022822754-2520019933-1001\...\MountPoints2: {c64b12cd-fc9d-11e7-9a64-0c5b8f279a64} - "E:\LG_PC_Programs.exe" 
HKU\S-1-5-21-1868502681-3022822754-2520019933-1001\...\Command Processor: @mode 15,1 & tasklist /FI "IMAGENAME eq SoundMixer.exe" 2>NUL | find /I /N "SoundMixer.exe">NUL && exit & if exist "C:\Users\Admin\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe" ( start /MIN "" "C:\Users\Admin\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe" & tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) else ( tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) 
C:\Users\Admin\AppData\Roaming\Microsoft\SoundMixer
ShortcutTarget: System.lnk -> C:\appzip\windowsx10.exe (Brak pliku)
Folder: C:\appzip
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

 

3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i koniecznie brakującym Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Witam ponownie,

zrobiłem wszystko według porad i wiersz poleceń uruchamia się bez problemu. 
Bardzo za to dziękuję  :) .
Niestety podczas skanowania Malwarebytes wyskoczyło 5 problemów. 
Przesyłam pliki skanowania FRST po naprawie oraz treść błędów skanowania Malwarebytes.

Czekam cierpliwie na odpowiedź. Do usłyszenia.

Shortcut.txt

FRST.txt

Fixlog.txt

Addition.txt

Skanowanie.txt

Odnośnik do komentarza

Wszystkie zalecone akcje zostały pomyślnie wykonane. Infekcja usunięta. 

 

Niestety podczas skanowania Malwarebytes wyskoczyło 5 problemów.

 

To detekcje PUP w stanie szczątkowym (pojedyncze klucze w rejestrze). Wykonaj skan ponownie i zastosuj akcję Usuń dla wszystkich wyników. 

 

Przesyłam pliki skanowania FRST po naprawie (...)

 

Za pomocą kombinacji klawiszy SHIFT + DELETE (omijanie kosza) skasuj poniższe martwe skróty / lokalizacje (z tego co widzę gra Postal nie jest zainstalowana):

  • C:\Users\Bartek\Desktop\Postal 2 PL.lnk
  • C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Postal 2 PL
Po tych akcjach, jeśli nadal będzie wszystko w porządku przejdź do finalizacji tematu.

 

Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...