Перейти к содержанию
Правила раздела

Исчезла командная строка, файла cmd.exe в папке sistem32 нет. Вирус?

movka

Автор movka
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

regist

regist

Опубликовано
Опубликовано (изменено)

1) Удалите папку Store внутри папки uVS.

2) Распакуйте туда из архива эту.

3) Выполните скрипт uVS

;uVS v4.0.12 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
BREG
;---------command-block---------
del %SystemRoot%\SYSWOW64\CMD.EXE
rf %SystemRoot%\SYSWOW64\CMD.EXE
apply

restart

4) В папке с uVS найдете текстовый файл с датой и временем выполнения скрипта в название файла. Прикрепите его.

5) Проверьте проблему.

Изменено пользователем regist
movka

movka

Опубликовано
  • Автор
Опубликовано

К сожалению, без изменений. Если запускать батники не от имени администратора, то ошибка пропадает, но при этом они становятся нерабочими и требуют права администратора

2018-07-13_14-34-59_log.txt

regist

regist

Опубликовано
Опубликовано

@movka, свежий лог cbs покажите.

 

 


К сожалению, без изменений.
да, по логу видно

 

--------------------------------------------------------
del %SystemRoot%\SYSWOW64\CMD.EXE
--------------------------------------------------------
--------------------------------------------------------
rf %SystemRoot%\SYSWOW64\CMD.EXE
--------------------------------------------------------
Восстановление файла: C:\WINDOWS\SYSWOW64\CMD.EXE
--------------------------------------------------------
Восстановление файла: C:\WINDOWS\SYSWOW64\CMD.EXE
Файл успешно восстановлен: C:\WINDOWS\SYSWOW64\CMD.EXE
--------------------------------------------------------
apply
--------------------------------------------------------
--------------------------------------------------------
Применение изменений...
--------------------------------------------------------
Удаление файлов...
--------------------------------------------------------
Завершено процессов: 0 из 0
Изменено/удалено объектов автозапуска 0 из 0
Удалено файлов: 1 из 1
--------------------------------------------------------

не смотря на то что в скрипте команда удаления шла до восстановления утилита отработала наоборот. Ещё одним скриптом уже восстановили бы.

 

 


Благодарю, вроде бы все заработало как надо
а какой пункт там выбрали? Для восстановления файлов в этой утилитн используется sfc которое вы уже несколько раз запускали и оно не могло восстановить.

+

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
movka

movka

Опубликовано
  • Автор
Опубликовано

а какой пункт там выбрали?

Выбрал 4 пункта:

Reset Registry Permissions

Reset File Permissions

Reset Service Permissions

Restore Important Windows Services

Выполните скрипт в AVZ при наличии доступа в интернет

У меня почему-то скрипт не запускается, скрин ошибки прикрепил

CBS.log

post-50376-0-87751600-1531514691_thumb.jpg

regist

regist

Опубликовано
Опубликовано (изменено)

У меня почему-то скрипт не запускается, скрин ошибки прикрепил

потому что вы его в UVS пытаетесь выполнить. А это скрипт AVZ http://forum.kasperskyclub.ru/index.php?showtopic=7607]

AVZ находится в папке ..\AutoLogger\AVZ

Проблема с C:\Windows\SysWOW64\cmd.exe никуда не ушла. Поэтому выполните ещё один скрипт uVS

;uVS v4.0.12 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
rf %SystemRoot%\SYSWOW64\CMD.EXE

restart
После этого свежий лог выполнения uVS прикрепите для контроля. И батники если у вас заработали, то логи полученные после того батника (если батник не отработает, то просто снова cbs прикрепите). Изменено пользователем regist
movka

movka

Опубликовано
  • Автор
Опубликовано

потому что вы его в UVS пытаетесь выполнить

Точно, прошу прощения

Запустил скрипт в AVZ, выполнил предложенные рекомендации, при повторном запуске скрипта уязвимостей обнаружено не было

Логи батника и uVS:

CBS.LOG

sfcdoc.log

USER-DNS_2018-07-14_14-24-08.7z

regist

regist

Опубликовано
Опубликовано

Попрежнему там сидит файл не той разрядности, хотя судя по отчёту прошлый скрипт его должен был удалить :eyes:
1) Выполните скрипт uVS

;uVS v4.0.12 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
;---------command-block---------
del %SystemRoot%\SYSWOW64\CMD.EXE
apply
rf %SystemRoot%\SYSWOW64\CMD.EXE
sfcall

restart

2) В папке с uVS найдете текстовый файл с датой и временем выполнения скрипта в название файла. Прикрепите его.
 
3) Снова запустите этот батник и его отчёты прикрепите.
 
если снова не восстановится, то дам инструкцию как вручную заменить файл.

regist

regist

Опубликовано
Опубликовано

@movka, файл по указанному пути после скрипта похоже восстановился и в теории всё должно работать нормально. А в хранилище файлов насколько понимаю остался неправильный. Как поправить в хранилище у меня пока идей нет. С этим лучше продолжайте в соседнем разделе. Тем более вам там уже написали.

  • Согласен 1

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...