Исчезла командная строка, файла cmd.exe в папке sistem32 нет. Вирус?

[movka 0]

Доброго времени суток!

При попытке запустить командную строку, столкнулся с ошибкой. Заглянув в .../sistem32 оказалось, что программы cmd.exe попросту нет. Самостоятельно ее удалением не занимался. На компьютере установлен kaspersky internet security, полное сканирование показало, что все в порядке, очевидных признаков заражения не наблюдается. Так же воспользовался tdsskiller и adwcleaner: вредоносные вещи они нашли и почистили, но командная строка так и не вернулась. Так же выполнил проверку целостности системы с помощью установочного диска с windows - не помогло. Не могу сказать, когда именно исчез cmd.exe, пользовался им очень давно.
С чем может быть связана эта пропажа? Заранее спасибо.

CollectionLog-2018.07.11-15.53.zip

[regist 617]

- Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.
 

Скачайте этот скрипт, запустите стандартную проверку. Полученные логи потом выложите здесь.
 

[movka 0]

Скрипт, который Вы прикрепляли - не запускается, скрин ошибки отправил вместе с логом.
К слову, любой .bat файл на компьютере не запускается, каждый раз выдавая одну и ту же ошибку

ClearLNK-2018.07.11_23.27.06.log

[regist 617]

• Скачайте Universal Virus Sniffer (uVS)
• Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

  !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

• Дождитесь окончания работы программы и прикрепите лог к посту в теме.

  !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Изменено 11 июля, 2018 пользователем regist

[movka 0]

 

• Скачайте Universal Virus Sniffer (uVS)
• Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

  !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

• Дождитесь окончания работы программы и прикрепите лог к посту в теме.

  !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

 

USER-DNS_2018-07-12_01-50-40.7z

[regist 617]

1) Распакуйте содержимое этого архива в корень папки с uVS.

2)

1. [*]Закройте все программы,

временно выгрузите антивирус, файрволл и прочее защитное ПО. [*]Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". [*]Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

;uVS v4.0.12 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
BREG
RKNOWN
sfcall
;---------command-block---------
delref {0563DB41-F538-4B37-A92D-4659049B7766}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\INSTALLER2\INSTALLER.{DA651CF4-443B-4A30-8927-2F40C8506549}\NVI2.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {219C3416-8CB2-491A-A3C7-D9FCDDC9D600}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
apply
restart

[*]В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." [*]Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер будет перезагружен.
LIST]
 

3) Программы/расширения от Mail.ru используете?
 

4) Сделайте свежий образ автозапуска.

[movka 0]

Сработало! Я очень благодарен вам за помощь, спасибо!

Нет, программами/расширениями от mail.ru никогда не пользовался

USER-DNS_2018-07-12_12-44-16.7z

[regist 617]

1) Снова распакуйте содержимое архива  в папку с uVS. (Просто добавил туда ещё один файл, но и старый оставил, так что наверно будет вопрос о замене файла).

2) выполните скрипт uVS

;uVS v4.0.12 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
BREG
RKNOWN
;---------command-block---------
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LBJJFIIHGFEGNIOLCKPHPNFAOKDKBMDM\7.0.25_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB\7.0.25_0\ПОИСК MAIL.RU
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAEEMBEEJEKGHKOPIABADONPMFPIGOJOK%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLBJJFIIHGFEGNIOLCKPHPNFAOKDKBMDM%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemRoot%\WICCODECS\{A6D092A4-081A-4F0E-9356-DA167E87D922}\RASTER FORMATS\JPEG\%PROCESSOR_ARCHITECTURE%\JPGCODEC.DLL
delref %SystemRoot%\WICCODECS\{A6D092A4-081A-4F0E-9356-DA167E87D922}\RASTER FORMATS\JPEG\%PROCESSOR_ARCHITECTURE%\JPGDECORATOR.DLL
delref %SystemRoot%\WICCODECS\{A6D092A4-081A-4F0E-9356-DA167E87D922}\RAW CONVERTER\%PROCESSOR_ARCHITECTURE%\RAWCODEC.DLL
delref %SystemRoot%\WICCODECS\{A6D092A4-081A-4F0E-9356-DA167E87D922}\RAW FORMATS\ADOBE\%PROCESSOR_ARCHITECTURE%\ADOBECODEC.DLL
delref %SystemRoot%\WICCODECS\{A6D092A4-081A-4F0E-9356-DA167E87D922}\RAW FORMATS\CANON\%PROCESSOR_ARCHITECTURE%\CANONCODEC.DLL
delref %SystemRoot%\WICCODECS\{A6D092A4-081A-4F0E-9356-DA167E87D922}\RAW FORMATS\EPSON\%PROCESSOR_ARCHITECTURE%\EPSONCODEC.DLL
delref %SystemRoot%\WICCODECS\{A6D092A4-081A-4F0E-9356-DA167E87D922}\RAW FORMATS\FUJI\%PROCESSOR_ARCHITECTURE%\FUJICODEC.DLL
delref %SystemRoot%\WICCODECS\{A6D092A4-081A-4F0E-9356-DA167E87D922}\RAW FORMATS\HASSELBLAD\%PROCESSOR_ARCHITECTURE%\HASSELBLADCODEC.DLL
delref %SystemRoot%\WICCODECS\{A6D092A4-081A-4F0E-9356-DA167E87D922}\RAW FORMATS\KODAK\%PROCESSOR_ARCHITECTURE%\KODAKCODEC.DLL
delref %SystemRoot%\WICCODECS\{A6D092A4-081A-4F0E-9356-DA167E87D922}\RAW FORMATS\LEICA\%PROCESSOR_ARCHITECTURE%\LEICACODEC.DLL
delref %SystemRoot%\WICCODECS\{A6D092A4-081A-4F0E-9356-DA167E87D922}\RAW FORMATS\MAMIYA\%PROCESSOR_ARCHITECTURE%\MAMIYACODEC.DLL
delref %SystemRoot%\WICCODECS\{A6D092A4-081A-4F0E-9356-DA167E87D922}\RAW FORMATS\MINOLTA\%PROCESSOR_ARCHITECTURE%\MINOLTACODEC.DLL
delref %SystemRoot%\WICCODECS\{A6D092A4-081A-4F0E-9356-DA167E87D922}\RAW FORMATS\NIKON\%PROCESSOR_ARCHITECTURE%\NIKONCODEC.DLL
delref %SystemRoot%\WICCODECS\{A6D092A4-081A-4F0E-9356-DA167E87D922}\RAW FORMATS\OLYMPUS\%PROCESSOR_ARCHITECTURE%\OLYMPUSCODEC.DLL
delref %SystemRoot%\WICCODECS\{A6D092A4-081A-4F0E-9356-DA167E87D922}\RAW FORMATS\PANASONIC\%PROCESSOR_ARCHITECTURE%\PANASONICCODEC.DLL
delref %SystemRoot%\WICCODECS\{A6D092A4-081A-4F0E-9356-DA167E87D922}\RAW FORMATS\PENTAX\%PROCESSOR_ARCHITECTURE%\PENTAXCODEC.DLL
delref %SystemRoot%\WICCODECS\{A6D092A4-081A-4F0E-9356-DA167E87D922}\RAW FORMATS\SAMSUNG\%PROCESSOR_ARCHITECTURE%\SAMSUNGCODEC.DLL
delref %SystemRoot%\WICCODECS\{A6D092A4-081A-4F0E-9356-DA167E87D922}\RAW FORMATS\SIGMA\%PROCESSOR_ARCHITECTURE%\SIGMACODEC.DLL
delref %SystemRoot%\WICCODECS\{A6D092A4-081A-4F0E-9356-DA167E87D922}\RAW FORMATS\SINAR\%PROCESSOR_ARCHITECTURE%\SINARCODEC.DLL
delref %SystemRoot%\WICCODECS\{A6D092A4-081A-4F0E-9356-DA167E87D922}\RAW FORMATS\SONY\%PROCESSOR_ARCHITECTURE%\SONYCODEC.DLL
delref %SystemRoot%\WICCODECS\{A6D092A4-081A-4F0E-9356-DA167E87D922}\SPECIAL CODECS\RAWZOR PREVIEWER\%PROCESSOR_ARCHITECTURE%\RAWZORCODEC.DLL
delref D:\ASRSETUP.EXE
delref {8DCB7100-DF86-4384-8842-8FA844297B3F}\[CLSID]
delref {D2CE3E00-F94A-4740-988E-03DC2F38C34F}\[CLSID]
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.6998.0830\FILECOAUTHLIB.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.6998.0830\AMD64\FILECOAUTHLIB64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\MICROSOFT SHARED\OFFICE14\MUOPTIN.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\MICROSOFT SHARED\OFFICE14\OPTINPS.DLL
apply

restart

3) Батник, что выше давал тоже выполните и отчёты покажите.

Изменено 12 июля, 2018 пользователем regist

[movka 0]

Батник все так же не запускается, но теперь выдает другую ошибку.

Через командную строку запустил sfc /scannow - были обнаружены поврежденные файлы. Если вдруг понадобится - прикрепил лог

USER-DNS_2018-07-12_14-57-51.7z

CBS.log

[regist 617]

@movka, с файлами сейчас вроде порядок. По поводу CBS.log там ругается на cmd.exe, но сейчас обоих разрядностей у вас файл должен быть.

Удалить у себя этот лог и заново выполните проверку sfc. Затем свежий лог прикрепите.

 

 

Батник все так же не запускается, но теперь выдает другую ошибку.

скрин ошибки покажите.

[movka 0]

Вот

CBS.log

[regist 617]

Похоже не нравится версия C:\Windows\SysWOW64\cmd.exe

 

 

Прикрепленные изображения

попробуйте удалить из названия батника русские буквы, то есть до sfc_

 

А в целом это уже к вирусам отношение не имеет, так что лучше создайте новую тему в разделе Компьютерная помощь

 

 

Похоже не нравится версия C:\Windows\SysWOW64\cmd.exe

если у вас есть аналогичная система (желательно с тем же набором обновлений), то можете попробовать подменить на файл оттуда.

[movka 0]

попробуйте удалить из названия батника русские буквы, то есть до sfc_

 

Не помогло

К сожалению, любой батник, запускаемый от имени администратора, выдает такую ошибку

 

если у вас есть аналогичная система (желательно с тем же набором обновлений), то можете попробовать подменить на файл оттуда

 

Попробовал, результат без изменений

[regist 617]

 

 

создайте новую тему в разделе Компьютерная помощь

и свежий лог cbs тогда там прикрепите.

[regist 617]

@movka, на всякий случай свежий образ автозапуска сделайте.