PROBLEMA CMD all'avvio di Windows

[Spezzolo]

Salve a tutti, ho visto che il problema è già stato segnalato da altre persone, e purtroppo senza risposte... ma ci provo anche io.
Nei giorni passati mi sono trovato un virus di quelli che minano i bitcoin, seguito la procedura trovata in rete, ed ora il problema è sparito.. ma ne è apparso un altro. Cioè, all'avvio del pc, dopo la password, schermata nera e cmd aperto. Alla scrittura di "explorer.exe" (sempre trovato in rete) il computer riparte... ma va da se che ovviamente non è normale tutto ciò.

Ho cercato nelle guide VIRUS E ALTRI COMPORTAMENTI STRANI per postare eventuali log, però i link non sembrano collegati, ed allora ho postato qui nella speranza di qualche anima pia che mi aiuti. Chiaramente vorrei evitare un format se non è indispensabile. Grazie mille in anticipo

 

[dave91]

Qualche dettaglio in più? Hai fatto scansioni antivirus? antimalware..? Che pc hai e che sistema operativo?

 

[Spezzolo]

Ciao, grazie intanto, ho fatto scansioni antivirus con il tool di windows (10), antimalware, wrcleaner.
Come pc ho un i5 un po vecchiotto, 8gb ram e scheda video amd radeon r9 serie 200. Fino a una settimana fa andava lento ma tranquillo.

Ho eseguito scansione con FRST, allego file

A seguito della presenza del virus (SoundMixer mi pare si chiamasse) ho anche aggiornato i driver della scheda video (pensavo potesse essere un problema di driver inizialmente). Oggi ho provato a disinstallarli e reinstallarli (magari da qualche codice d'errore, ma almeno sapete il motivo)

 

[meiyo]

Ti dico che un mio cliente lo ha preso tempo fa... Dopo una giornata a cercare di togliere questo problema che chiaramente in una azienda è di estrema pericolosità , siamo arrivati alla soluzione più radicale ma più sicura.
Ripristino da immagine che a loro faccio ad ogni aggiornamento di 10 per sicurezza più recupero dati da backup.
Secondo me non fidarti anche se non ti compare più, oggi sono diventati più malevoli

Inviato dal mio Redmi Note 7 utilizzando Tapatalk

 

[Spezzolo]

Update: ho visto che il problema si presenta SOLO sul mio account. Ho creato un altro account sul pc, e questo non avviene. Quindi c'è qualcosa che non va direttamente sull'account utente. Però anche controllando sul registro e sulle impostazioni di avvio, non c'è nessun file "strano". Mi viene da pensare che è come se cercasse di avviare il file che ora non esiste più del virus, e vada in questo stato di "boh". Però chiedo magari a voi che ne sapete sicuramente molto più di me

Ti ringrazio Meiyo del consiglio, onestamente spero di riuscire a risolvere, per l'utilizzo che faccio ora del pc è davvero una cosa che vorrei evitare il format se non come metodo estremo (anche perché non ho ripristini purtroppo, dovrei ripartire da capo).

 

[dave91]

Hai provato a fare una bella pulizia con ccleaner sia dei temporanei che delle chiavi di registro?
Prova inoltre ad andare su msconfig (tasto windows+r e digita msconfig)ed avviare il tuo account in modalità diagnostica, dai un'occhiata anche li nel pannello servizi (nascondi i servizi microsoft) per eventuali voci strane.

Dal log che posti non ho notato voci sospette, tranne degli errori con windows defender, suppongo perchè in modalità provvisoria. Normalmente è tutto ok?

 

[R16]

Ho eseguito scansione con FRST, allego file

I log di FRST devono essere 2.
Manca il log FRST.txt.

 

[Spezzolo]

Allego anche il file fatto al momento dell'altro, era la prima volta che lo usavo e me ne è sfuggito uno :)
Pulito le chiavi di registro, faccio al volo un giro in modalità diagnostico e riaggiorno. Controllato e praticamente ho tolto tutto tranne i servizi microsoft, non c'è nulla. Per Defender li ho letti anche io, e onestamente non saprei, non ci ho mai fatto caso, ha dato ogni tanto qualche problema ad aggiornarsi, ma poi funzionava.

EDIT: provato in modalità diagnostica, e sì, il problema continua a presentarsi.

 

[dave91]

Onestamente dal log io non ci vedo nulla di anomalo. R16 saprà aiutarti meglio di me :ok:
Ho però notato una marea di estensioni su chrome che potresti eliminare se non ti servono.

Ho notato questa stringa:
Task: {6D886AFF-B185-4AB8-A197-4C7E28FF9EF9} - System32\Tasks\CreateExplorerShellUnelevatedTask => C:\WINDOWS\explorer.exe /NOUACCHECK

Si tratta dell'avvio automatico del processo explorer.exe, /nouaccheck, serve a "bypassare" lo il controllo utente di windows perciò se è presente la voce come mai non ti si avvia in automatico? ti succede ancora, se non sbaglio.

Non vorrei che il problema delle finestre non fosse legato ad un virus ma ad un problema di windows.

 

[Spezzolo]

Ho notato questa stringa:
Task: {6D886AFF-B185-4AB8-A197-4C7E28FF9EF9} - System32\Tasks\CreateExplorerShellUnelevatedTask => C:\WINDOWS\explorer.exe /NOUACCHECK

Si tratta dell'avvio automatico del processo explorer.exe, /nouaccheck, serve a "bypassare" lo il controllo utente di windows perciò se è presente la voce come mai non ti si avvia in automatico? ti succede ancora, se non sbaglio.

Non vorrei che il problema delle finestre non fosse legato ad un virus ma ad un problema di windows.

Ora controllo casomai cosa sfoltire da Chrome, almeno 2-3 sicuramente sono di troppo.
Su questi invece mi trovo impreparato, sì il problema si presenta sempre, qualche indicazione su cosa posso fare per "sistemare"? Almeno per fare delle prove.

 

[R16]

Disinstalla da "Programmi e funzionalità" questo programma:
Lanzador de juegos de FX Interactive

Poi:
Scarica questo file sul desktop: (dove si trova FRST)

WikiFortio - Wikifortio

www.wikifortio.com

Avvia FRST e clicca su FIX una sola volta.
Attendi la fine della scansione.
Se il pc non si riavvia da solo, lo devi riavviare tu.
Posta il file fixlog.txt.

Vedi se il problema persiste.

 

[Spezzolo]

Ho eseguito tutto, ho riavviato il pc, ma non trovo il file fixlog.txt
Cercando rapidamente su internet dice che dovrebbe essere nella cartella di FRST (cioè il desktop) ma no, non compare.
Anche con esplora risorse ho fatto una ricerca ma non è da nessuna parte. Eppure dopo aver cliccato su FIX ha svolto una rapidissima operazione (ho dovuto riavviare manualmente).

Ripeto l'operazione? (lo chiedo per via della specifica "una sola volta" che non mi era mai capitato di leggere, magari non cambia nulla, ma meglio chiedere prima di far danni). Comunque, per ora il pc continua a presentare l'anomalia

 

[meiyo]

Io piallerei a zero.. Però prima fai un sfc/ scannow da prompt dei comandi come amministratore

Inviato dal mio Redmi Note 7 utilizzando Tapatalk

 

[R16]

Io piallerei a zero..

Per favore......non essere ripetitivo, lo abbiamo capito qual'è la tua soluzione.
Vuoi permettere che provi la mia ?

Ripeto l'operazione?

Ho bisogno di quel log (fixlist.txt) per sapere se sono state eseguite le eliminazioni.
Riprova.

 

[meiyo]

Mi sembra di aver solo dichiarato quale è la mia idea... Non ho detto all'utente che DEVE seguire la mia.
Se l'utente segue la tua ben venga, se vuoi ti metto un applauso.
Il sono qui per consigliare in base all'esperienza, a volte l'esperienza vuole che ci si arrenda non a soluzioni drastiche ma quelle che non fanno perdere tempo e che sono più sicure nel risolvere il problema.
Ma se ripeto l'utente DEVE ( e qui uso il maiuscolo per il tuo tono perentorio e poco incline ai modi che si usano in un forum), seguire la TUA soluzione... fai pure... Io sono solo qui a titolo gratuito per aiutare... Non per imporre nulla a nessuno..