Ahoj, můžete mi, prosím, poradit? Už druhý den mi to vyskočí při zapnutí PC a vůbec těm příkazům nerozumím.

22 comments

1. a kdybys to zkusil spustit jak spravce? a bezis na nejnovejsim windowsu 11? taky jsem ted mel nejake problemy ale aktualizace to vyresila

2. Nepoužívám windows, takže o tom tolik nevím, ale vypadá to, že máš nějaký powershell skript co se spustí při startupu. (a chce kopírovat nějaké soubory; nevím co znamená to 24)

   Asi se zkus podívat do startup složky (doporučuji zobrazit skryté soubory a přípony souborů; `windows+R` a `shell:startup` by to mělo otevřít) a zkontrolovat co tam je.

3. Reinstaluj si windowsy.

4. zkus do cmd v admin modu napsat: sfc /scannow .

5. Jako ono jde zakazat aby se ti powershell otevrel pri spusteni coz by problem zcasti vyresilo. pouzivas powershell na praci? mozna bych jeste zkusil pro jistotu stahnout nejaky antivirus, malwarebytes a hitmanpro ty jsou asi nejspolehlivejsi pust oba a rekni jestli neco nasly. Hitman ti mozna flagne soubory ktere jsou safe, ale to poznas. mely by mit overeneho vydavatele. zkusebni verze obou postaci

6. Jo, tento problém znám, stačí smazat tu složku System32 a restartovat počítač, pak by to mělo běžet v pořádku. Věř mi určitě, 100% real, no cap

7. Pokud po zapnuti PC problikne nebo se primo zobrazi neznamy PowerShell, doporucuji reinstall.

8. Mimo jiné rady, co tu píšou ostatní: pokud sis nenastavil PS, aby se ti automaticky zapínal po startu, může jít o nějaký virus, který se snaží spustit nějaký skript.

9. Skontroluj či v nasledujúcom priečinku nemáš nejaký súbor s koncovkou .cmd

   > %AppData%/Microsoft/Windows/Start Menu/Programs/Startup/

10. https://preview.redd.it/m1dzxpnrcthc1.png?width=861&format=png&auto=webp&s=4615e942cc51e09d221c9bd6ed1f763582fa578f

    Ve správci úloh je toto:

11. Start -> napiš task scheduler nebo plánovač úloh, tam budou různé úlohy, můžeš si projít které se pouští při startu/loginu. Když si ty úlohy otevřeš tak bys tam měl vidět co přesně se tam pouští, tím bys měl najít konkrétní script. samozřejmě není od věci si pustit scan v Defenderu.

12. Vypada to, ze se ti po startu spousti nejaky script, ktery se snazi neco nekam kopirovat. Muze to byt vir, ale muze to byt i pozustatek nejake nepovedene instalace nebo aktualizace. Doporucuji prozkoumat vsechny mista, kde se daji zadefinovat tasky co se maji spoustet po startu, jestli tam neni neco podezreleho. Takovych mist je vic, mimojine to muze byt i v registrech. Windows uz nejakou dobu nepouzivam, takze z hlavy uz nevim. Doporucuju pogooglit, kde vsude to muze byt.

    EDIT: Doporucil bych primarne otevrit MSConfig a podivat se tam, co se vsechno spousti.

13. Trochu to vypadá na malware/virus, který se pokouší usadit ve Windows…

14. Asi virus

15. No, nějaký program/script se snaží použít powershell na zkopírování souborů z jedné složky do druhé to. Ale z nějakého důvodu byl tomu programu odepřen přístup. Asi bych nejdřív zkusil zjistit jaký program se takhle automaticky spouští (ve Správci úloh, záložka po spuštění, tak je můžeš povypínat). A nebo to můžeš nechat plavat, pokud vše funguje, tak je to asi jedno. Možná bych spustil antivirus, normálně Windows Defender (teď je to Ochrana Windows pojmenovaný asi) a potom ještě sfc /scannow jak už zmiňuje jiný komentář

16. Ještě se můžeš podívat do Task Scheduler (v češtině myslím Plánovač úloh), je trochu bordel tam něco hledat, ale třeba se poštěstí.
    Instaloval jsi něco před dvěma dny? Možná nějaký malware.
    Každopádně reinstal to kdyžtak jistí.

17. OK tak jo ted pomalu. Kluci maji pravdu neco nekam neco kopiruje. Může to byt legitimni požadavek nějaké aplikace, ale nemusí.
    Co je ale zajímavé je že proměnné jsou v dánštině. Máš tam něco od dánské firmy? Nějakou apku?
    Proměnna pro zdrojobou složku je Omfolderen32 – Složka 32 a pro cílovou složku je Udgraverer – Bagr což je hodně divné. Vypadá to jako by někdo kopíroval složku System 32 to něčeho co ma vybagrovat něco. Takže skoro jasný virus.

    Jestli je tohle soukromé PC, tak bych neriskoval a tvrdej reinstal. Jo a neinstalov bych to apku na VPN, krypto, pristup na hry nebo s cim se to vlastně přítáhlo. Jo a bacha až budeš kopírovat čísla účtu při placení, nebo krypto peněženku, může dojít ke změně ve schránce. Pro jsitou bych nic nekopíroval.

    Jestli je tohle firemní stroj, pak co tu dělár a napíš vaší IT.

18. nejspíše posrané systémové soubory. už to tu někdo napsal, ale do hledání napiš cmd, klikni pravým a dej “spustit jako administrátor”, napiš do toho “sfc /scannow” a modli se, že to, co se zkazilo, windows opraví.

19. Jelikož udgraveren znamená dánsky “the digger”, tak bych to tipoval na dánský malware.

    Prohlédnout vše, co se pouští po spuštění. Startu složka, záložka v task manageru a task scheduler 

20. Já ti zkusím poradit, máš tam totiž asi určitě nějakou sviňárnu, co tam nechceš mít.

    1. Spusť Windows Powershell ISE jako administrátor. Stačí napsat do toho okýnka na vyhledávání ve startu “ISE” a ono už ti to nabídne.
    2. Zkopíruj tam funkci z [https://pastebin.com/rXfasZUZ](https://pastebin.com/rXfasZUZ) , kterou jsem vzal odsud [MSDN](https://learn.microsoft.com/en-us/powershell/module/microsoft.powershell.core/about/about_logging?view=powershell-5.1#using-the-registry) a lehce upravil, aby logovala i vykonávání jednotlivých příkazů.
    3. Až ji tam zkopíruješ, tak zmáčkní ENTER, tím funkce bude dostupná a můžeš ji zavolat.
    4. Zavolej funkci tím, že napíšeš `Enable-PSLogging` a zmáčkneš ENTER.
    5. Ideálně pak zavolej cmdlet `Write-Host “Nazdar bazar”` opět tím, že to tam napíšeš a dáš ENTER. Budeš se pak mít čeho chytit v logu, že to tam opravdu najdeš.
    6. Teď by se ti mělo logovat, co Windows Powershell spouští. Zkontroluj to radši v registrech (spusť regedit a podívej se do pod klíč `HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsPowerShellScriptBlockLogging` měly by tam být dvě hodnoty nastaveny na 1 viz obrázek níže.

    https://preview.redd.it/cifr7dzqbuhc1.png?width=662&format=png&auto=webp&s=7d37e5d4a9321d1545554ecbd7511849ee105ac5

    6. Proveď pak restart nebo cokoliv co vyvolá spuštění toho kódu, na který si stěžuješ.

    7. **Teď bude potřeba spustit Event Viewer a tam se podívat, co se zalogovalo. Dej pak vědět, až to budeš mít připravené. Uděláme to asi tak, že vyexportuješ z vieweru ten log a pošleš mi ho.**

21. Ahoj, myslim ze ta vec co se ti objevi po startu pocitace je Windows. Obecne je to docela problematicky a clovek se toho tezko zbavuje.

22. Tohle vypadá žes chytil nějakýho pěknýho vira kterýho zablokovalo čístě náhodou to že nejsi admin svýho pc.

    Vypnout, odpojit od sítě. Komplet smazat. A to nejlépe včera ještě lépe předevčírem.