Решена Обработчик команд windows

[Scoll]

Обработчик команд windows и хост окна консоли грузят цп на суммарно 30%, предполагаю, что это активатор windows, но не имею понятия как исправить/удалить проблему.

Помогите пожалуйста

 

[akok]

Добрый день. Пока рано с FRST работать. Давайте с начальных логов начнем
https://safezone.cc/pravila/

 

[Scoll]

Ой, извиняюсь

Я кстати лог делал, предварительно убив cmd.exe и благополучно об этом забыл, нужно ли делать лог еще раз после ребута?
На всякий случай прикреплю

 

[akok]

Я кстати лог делал, предварительно убив cmd.exe

Это вы зря.

Файл hosts сами правили?


Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
4. Закачайте полученный архив, как описано на этой странице.
5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:

>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Mechanics\DOOM\Играть DOOM (OpenGL).lnk"       -> ["F:\Games\DOOM\DOOMx64.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Mechanics\DOOM\Играть DOOM (Vulkan API).lnk"   -> ["F:\Games\DOOM\DOOMx64vk.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Герои Меча и Магии III Полное Собрание\Хроники Героев Глава VIII Ледяной Клинок.lnk"        -> ["F:\Heroes of Might and Magic III Complete\The Sword of Frost\Sword.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Overwatch\Overwatch.lnk"        -> ["C:\Program Files (x86)\Overwatch\Overwatch Launcher.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Mechanics\Fallout 4\Играть Fallout 4.lnk"      -> ["F:\Games\Fallout 4\Fallout4Launcher.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMQuake II\KMQuake II.lnk"      -> ["F:\KMQuake II\kmquake2.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Mechanics\Need for Speed - Most Wanted\Играть Need for Speed - Most Wanted.lnk"        -> ["F:\Need for Speed - Most Wanted\speed.exe"]
>>>  "C:\Users\Bob\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Avast Secure Browser.lnk"          -> ["C:\Program Files (x86)\AVAST Software\Browser\Application\AvastBrowser.exe"  =>> --check-run=src=quicklaunch]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMQuake II\Mission Pack I The Reckoning.lnk"        -> ["F:\KMQuake II\kmquake2.exe"  =>> +set game xatrix]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMQuake II\Mission Pack II Ground Zero.lnk"         -> ["F:\KMQuake II\kmquake2.exe"  =>> +set game rogue]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMQuake II\Деинсталлировать KMQuake II.lnk"         -> ["F:\KMQuake II\unins000.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VideoLAN\VLC media player.lnk"  -> ["F:\VLC\vlc.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VideoLAN\VLC media player skinned.lnk"    -> ["F:\VLC\vlc.exe"  =>> -Iskins]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VideoLAN\Documentation.lnk"     -> ["F:\VLC\Documentation.url"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VideoLAN\Release Notes.lnk"     -> ["F:\VLC\NEWS.txt"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VideoLAN\VideoLAN Website.lnk"  -> ["F:\VLC\VideoLAN Website.url"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VideoLAN\VLC media player - reset preferences and cache files.lnk"      -> ["F:\VLC\vlc.exe"  =>> --reset-config --reset-plugins-cache vlc://quit]
>>>  "C:\Users\Bob\AppData\Roaming\Microsoft\Word\66306516753243104586\66.doc.lnk"         -> ["C:\Users\Bob\Downloads\66.doc"  =>> 12]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Warcraft\World of Warcraft.lnk"  -> ["F:\World of Warcraft\World of Warcraft Launcher.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ArtMoney SE\ArtMoney SE v8.01.lnk"        -> ["F:\ArtMoney\am801.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ArtMoney SE\Руководство пользователя.lnk"           -> ["F:\ArtMoney\Help\russian.chm"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ArtMoney SE\Посетить сайт ArtMoney.lnk"   -> ["F:\ArtMoney\artmoney_rus801.url"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ArtMoney SE\Регистрация ArtMoney через Интернет.lnk"          -> ["F:\ArtMoney\register_rus.url"]
>>>  "C:\Users\defaultuser0\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk"      -> ["C:\Users\defaultuser0\AppData\Local\Microsoft\OneDrive\OneDrive.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Overwatch Test\Overwatch Test.lnk"        -> ["F:\Overwatch Test\Overwatch Launcher.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Герои Меча и Магии III Полное Собрание\Герои Меча и Магии III Полное Собрание.lnk"          -> ["F:\Heroes of Might and Magic III Complete\Heroes3.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Герои Меча и Магии III Полное Собрание\Герои Меча и Магии III Полное Собрание HD.lnk"       -> ["F:\Heroes of Might and Magic III Complete\HD_Launcher.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Герои Меча и Магии III Полное Собрание\Хроники Героев Глава I Воины Степей.lnk"   -> ["F:\Heroes of Might and Magic III Complete\Warlords of the Wasteland\Warlords.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Герои Меча и Магии III Полное Собрание\Хроники Героев Глава II Преисподняя.lnk"   -> ["F:\Heroes of Might and Magic III Complete\Conquest of the Underworld\Underworld.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Герои Меча и Магии III Полное Собрание\Хроники Героев Глава III Повелители Стихий.lnk"      -> ["F:\Heroes of Might and Magic III Complete\Masters of the Elements\Elements.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Герои Меча и Магии III Полное Собрание\Хроники Героев Глава IV Схватки Драконов.lnk"        -> ["F:\Heroes of Might and Magic III Complete\Clash of the Dragons\Dragons.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Герои Меча и Магии III Полное Собрание\Хроники Героев Глава V Мировое Древо.lnk"  -> ["F:\Heroes of Might and Magic III Complete\The World Tree\WorldTree.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Герои Меча и Магии III Полное Собрание\Хроники Героев Глава VI Пламенная Луна.lnk"          -> ["F:\Heroes of Might and Magic III Complete\The Fiery Moon\FieryMoon.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Герои Меча и Магии III Полное Собрание\Хроники Героев Глава VII Восстание.lnk"    -> ["F:\Heroes of Might and Magic III Complete\Revolt of the Beastmasters\Beastmaster.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Герои Меча и Магии III Полное Собрание\Деинсталлировать Герои Меча и Магии III Полное Собрание.lnk"   -> ["F:\Heroes of Might and Magic III Complete\unins000.exe"]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('c:\programdata\package\data\dvu.exe','');
 DeleteFile('c:\programdata\package\data\dvu.exe','32');
 DeleteSchedulerTask('Driverupdater');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[S00].txt.
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

[Scoll]

Всё сделал, как описано выше, проблема решена, большое спасибо

 

[akok]

Тогда завершаем.

• Пожалуйста, запустите adwcleaner.exe
• В меню Настройки - Удалить AdwCleaner - выберите Удалить.
• Подтвердите удаление, нажав кнопку: Да.

Подробнее читайте в этом руководстве.


Подготовьте лог SecurityCheck by glax24

Ознакомьтесь: Рекомендации после лечения

 

[Scoll]

Ой, я глупый и просто удалил их ярлыки и папки, надо заново скачать их, чтобы правильно удалить?

 

[akok]

Ой, я глупый и просто удалил их ярлыки и папки, надо заново скачать их, чтобы правильно удалить?

Тоже пойдет. Не нужно

 

[Scoll]

вот

 

[akok]

Исправьте по возомжности
--------------------------- [ FirewallWindows ] ---------------------------
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.50 (32-bit) v.5.50.0 Внимание! Скачать обновления
--------------------------------- [ IM ] ----------------------------------
Skype™ 7.40 v.7.40.151 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 151 v.8.0.1510.12 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u192-windows-i586.exe)^
--------------------------- [ AppleProduction ] ---------------------------
iTunes v.12.7.2.58 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
QuickTime 7 v.7.79.80.95 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО.
---------------------------- [ UnwantedApps ] -----------------------------
Голосовой помощник Алиса v.4.6.0.1790 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
----------------------------- [ End of Log ] ------------------------------

По последнему блоку, если не используете, то деинсталлируйте.