Перейти к содержанию

Исчезла командная строка, файла cmd.exe в папке sistem32 нет. Вирус?


Рекомендуемые сообщения

Доброго времени суток!

При попытке запустить командную строку, столкнулся с ошибкой. Заглянув в .../sistem32 оказалось, что программы cmd.exe попросту нет. Самостоятельно ее удалением не занимался. На компьютере установлен kaspersky internet security, полное сканирование показало, что все в порядке, очевидных признаков заражения не наблюдается. Так же воспользовался tdsskiller и adwcleaner: вредоносные вещи они нашли и почистили, но командная строка так и не вернулась. Так же выполнил проверку целостности системы с помощью установочного диска с windows - не помогло. Не могу сказать, когда именно исчез cmd.exe, пользовался им очень давно.
С чем может быть связана эта пропажа? Заранее спасибо.

CollectionLog-2018.07.11-15.53.zip

Ссылка на комментарий
Поделиться на другие сайты

- Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.
 

Скачайте этот скрипт, запустите стандартную проверку. Полученные логи потом выложите здесь.
 

Ссылка на комментарий
Поделиться на другие сайты

Скрипт, который Вы прикрепляли - не запускается, скрин ошибки отправил вместе с логом.
К слову, любой .bat файл на компьютере не запускается, каждый раз выдавая одну и ту же ошибку

ClearLNK-2018.07.11_23.27.06.log

post-50376-0-17942600-1531334633_thumb.jpg

Ссылка на комментарий
Поделиться на другие сайты

  • Скачайте Universal Virus Sniffer (uVS)
  • Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  • Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Изменено пользователем regist
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

 

  • Скачайте Universal Virus Sniffer (uVS)
  • Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  • Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

 

USER-DNS_2018-07-12_01-50-40.7z

Ссылка на комментарий
Поделиться на другие сайты

1) Распакуйте содержимое этого архива в корень папки с uVS.

2)

  1. [*]Закройте все программы,
временно выгрузите антивирус, файрволл и прочее защитное ПО. [*]Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". [*]Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
;uVS v4.0.12 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
BREG
RKNOWN
sfcall
;---------command-block---------
delref {0563DB41-F538-4B37-A92D-4659049B7766}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\INSTALLER2\INSTALLER.{DA651CF4-443B-4A30-8927-2F40C8506549}\NVI2.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {219C3416-8CB2-491A-A3C7-D9FCDDC9D600}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
apply
restart
[*]В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." [*]Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер будет перезагружен.
LIST]
 

3) Программы/расширения от Mail.ru используете?
 

4) Сделайте свежий образ автозапуска.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Сработало! Я очень благодарен вам за помощь, спасибо!

Нет, программами/расширениями от mail.ru никогда не пользовался

USER-DNS_2018-07-12_12-44-16.7z

Ссылка на комментарий
Поделиться на другие сайты

1) Снова распакуйте содержимое архива  в папку с uVS. (Просто добавил туда ещё один файл, но и старый оставил, так что наверно будет вопрос о замене файла).

2) выполните скрипт uVS

;uVS v4.0.12 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
BREG
RKNOWN
;---------command-block---------
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LBJJFIIHGFEGNIOLCKPHPNFAOKDKBMDM\7.0.25_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB\7.0.25_0\ПОИСК MAIL.RU
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAEEMBEEJEKGHKOPIABADONPMFPIGOJOK%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLBJJFIIHGFEGNIOLCKPHPNFAOKDKBMDM%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemRoot%\WICCODECS\{A6D092A4-081A-4F0E-9356-DA167E87D922}\RASTER FORMATS\JPEG\%PROCESSOR_ARCHITECTURE%\JPGCODEC.DLL
delref %SystemRoot%\WICCODECS\{A6D092A4-081A-4F0E-9356-DA167E87D922}\RASTER FORMATS\JPEG\%PROCESSOR_ARCHITECTURE%\JPGDECORATOR.DLL
delref %SystemRoot%\WICCODECS\{A6D092A4-081A-4F0E-9356-DA167E87D922}\RAW CONVERTER\%PROCESSOR_ARCHITECTURE%\RAWCODEC.DLL
delref %SystemRoot%\WICCODECS\{A6D092A4-081A-4F0E-9356-DA167E87D922}\RAW FORMATS\ADOBE\%PROCESSOR_ARCHITECTURE%\ADOBECODEC.DLL
delref %SystemRoot%\WICCODECS\{A6D092A4-081A-4F0E-9356-DA167E87D922}\RAW FORMATS\CANON\%PROCESSOR_ARCHITECTURE%\CANONCODEC.DLL
delref %SystemRoot%\WICCODECS\{A6D092A4-081A-4F0E-9356-DA167E87D922}\RAW FORMATS\EPSON\%PROCESSOR_ARCHITECTURE%\EPSONCODEC.DLL
delref %SystemRoot%\WICCODECS\{A6D092A4-081A-4F0E-9356-DA167E87D922}\RAW FORMATS\FUJI\%PROCESSOR_ARCHITECTURE%\FUJICODEC.DLL
delref %SystemRoot%\WICCODECS\{A6D092A4-081A-4F0E-9356-DA167E87D922}\RAW FORMATS\HASSELBLAD\%PROCESSOR_ARCHITECTURE%\HASSELBLADCODEC.DLL
delref %SystemRoot%\WICCODECS\{A6D092A4-081A-4F0E-9356-DA167E87D922}\RAW FORMATS\KODAK\%PROCESSOR_ARCHITECTURE%\KODAKCODEC.DLL
delref %SystemRoot%\WICCODECS\{A6D092A4-081A-4F0E-9356-DA167E87D922}\RAW FORMATS\LEICA\%PROCESSOR_ARCHITECTURE%\LEICACODEC.DLL
delref %SystemRoot%\WICCODECS\{A6D092A4-081A-4F0E-9356-DA167E87D922}\RAW FORMATS\MAMIYA\%PROCESSOR_ARCHITECTURE%\MAMIYACODEC.DLL
delref %SystemRoot%\WICCODECS\{A6D092A4-081A-4F0E-9356-DA167E87D922}\RAW FORMATS\MINOLTA\%PROCESSOR_ARCHITECTURE%\MINOLTACODEC.DLL
delref %SystemRoot%\WICCODECS\{A6D092A4-081A-4F0E-9356-DA167E87D922}\RAW FORMATS\NIKON\%PROCESSOR_ARCHITECTURE%\NIKONCODEC.DLL
delref %SystemRoot%\WICCODECS\{A6D092A4-081A-4F0E-9356-DA167E87D922}\RAW FORMATS\OLYMPUS\%PROCESSOR_ARCHITECTURE%\OLYMPUSCODEC.DLL
delref %SystemRoot%\WICCODECS\{A6D092A4-081A-4F0E-9356-DA167E87D922}\RAW FORMATS\PANASONIC\%PROCESSOR_ARCHITECTURE%\PANASONICCODEC.DLL
delref %SystemRoot%\WICCODECS\{A6D092A4-081A-4F0E-9356-DA167E87D922}\RAW FORMATS\PENTAX\%PROCESSOR_ARCHITECTURE%\PENTAXCODEC.DLL
delref %SystemRoot%\WICCODECS\{A6D092A4-081A-4F0E-9356-DA167E87D922}\RAW FORMATS\SAMSUNG\%PROCESSOR_ARCHITECTURE%\SAMSUNGCODEC.DLL
delref %SystemRoot%\WICCODECS\{A6D092A4-081A-4F0E-9356-DA167E87D922}\RAW FORMATS\SIGMA\%PROCESSOR_ARCHITECTURE%\SIGMACODEC.DLL
delref %SystemRoot%\WICCODECS\{A6D092A4-081A-4F0E-9356-DA167E87D922}\RAW FORMATS\SINAR\%PROCESSOR_ARCHITECTURE%\SINARCODEC.DLL
delref %SystemRoot%\WICCODECS\{A6D092A4-081A-4F0E-9356-DA167E87D922}\RAW FORMATS\SONY\%PROCESSOR_ARCHITECTURE%\SONYCODEC.DLL
delref %SystemRoot%\WICCODECS\{A6D092A4-081A-4F0E-9356-DA167E87D922}\SPECIAL CODECS\RAWZOR PREVIEWER\%PROCESSOR_ARCHITECTURE%\RAWZORCODEC.DLL
delref D:\ASRSETUP.EXE
delref {8DCB7100-DF86-4384-8842-8FA844297B3F}\[CLSID]
delref {D2CE3E00-F94A-4740-988E-03DC2F38C34F}\[CLSID]
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.6998.0830\FILECOAUTHLIB.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.6998.0830\AMD64\FILECOAUTHLIB64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\MICROSOFT SHARED\OFFICE14\MUOPTIN.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\MICROSOFT SHARED\OFFICE14\OPTINPS.DLL
apply

restart

3) Батник, что выше давал тоже выполните и отчёты покажите.

Изменено пользователем regist
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Батник все так же не запускается, но теперь выдает другую ошибку.

Через командную строку запустил sfc /scannow - были обнаружены поврежденные файлы. Если вдруг понадобится - прикрепил лог

USER-DNS_2018-07-12_14-57-51.7z

CBS.log

Ссылка на комментарий
Поделиться на другие сайты

@movka, с файлами сейчас вроде порядок. По поводу CBS.log там ругается на cmd.exe, но сейчас обоих разрядностей у вас файл должен быть.

Удалить у себя этот лог и заново выполните проверку sfc. Затем свежий лог прикрепите.

 

 


Батник все так же не запускается, но теперь выдает другую ошибку.
скрин ошибки покажите.
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Похоже не нравится версия C:\Windows\SysWOW64\cmd.exe

 

 


Прикрепленные изображения
попробуйте удалить из названия батника русские буквы, то есть до sfc_

 

А в целом это уже к вирусам отношение не имеет, так что лучше создайте новую тему в разделе Компьютерная помощь


 

 


Похоже не нравится версия C:\Windows\SysWOW64\cmd.exe
если у вас есть аналогичная система (желательно с тем же набором обновлений), то можете попробовать подменить на файл оттуда.
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

попробуйте удалить из названия батника русские буквы, то есть до sfc_

 

Не помогло

К сожалению, любой батник, запускаемый от имени администратора, выдает такую ошибку

 

если у вас есть аналогичная система (желательно с тем же набором обновлений), то можете попробовать подменить на файл оттуда

 

Попробовал, результат без изменений

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Bionikal
      Автор Bionikal
      Вирус зашифровал все файлы в папках, кроме файлов с расширением *.exe, в каждой папке создал файл #HowToRecover.txt ;расширение зашифрованных файлов *.1cxz
      #HowToRecover.txt Примеры зашифрованных файлов.rar
    • andry-555
      Автор andry-555
      вирус зашифровал все файлы в папках в открытом доступе кроме файлов с расширением *.exe в каждой папке создал файла 2 файла от либо возможно было 2 вируса
      файлы с расширением *.exe заражены вирусом NeshtaFRST.txtAddition.txt
      архив с файлами и требованиями злоумышленников.zip
    • orbita06
      Автор orbita06
      легла вся сеть и 4 сервера вирус удален нужна программа дешифровальщика
    • zsvnet
      Автор zsvnet
      obrazec.zipAddition.txtShortcut.txtFRST.txtДобрый день! Зашифровали файлы.
      Скорее всего проникли через RDP. Исходный ПК неработоспособен. Диск подключен к другому ПК и на нем запускали FRST.
    • вася1525
      Автор вася1525
      virusinfo_syscheck.zip
×
×
  • Создать...