При запуске системы, выходит, окно C: \Windows\system32\сmd. exe и сразу запускается хром

@Костя1977 · Регистрация: 18.05.2011

Author24 — интернет-сервис помощи студентам

Прикрепляю логи. При запуске системы выходит окно C:\Windows\system32\сmd.exe и сразу запускается хром. Просто делет не удаляется пишет запросите разрешение у ТрустедИнсталлер, Унлокер не видит, в автозагрузке отсутствует, в процессах его тоже нет.

@Kиpилл · 25.03.2015, 19:19

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код

 begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\Семья\AppData\Roaming\Browsers\exe.rehcnual.bat', '');
 QuarantineFile('C:\Users\Семья\AppData\Roaming\Browsers\exe.erolpxei.bat', '');
 QuarantineFile('C:\Users\Семья\AppData\Roaming\Browsers\exe.rehcnualtow.bat', '');
 QuarantineFile('C:\Users\Семья\AppData\Roaming\Browsers\exe.resworbaidem.bat', '');
 QuarantineFile('C:\Users\Семья\AppData\Roaming\Browsers\exe.resworbemagraxaz.bat', '');
 QuarantineFile('C:\Users\Семья\AppData\Roaming\Browsers\exe.emorhc.bat', '');
 QuarantineFile('C:\Windows\system32\wlanmgr.dll', '');
 QuarantineFile('C:\Windows\system32\ir16_32.dll', '');
 QuarantineFile('C:\Windows\system32\d3dadapter.dll', '');
 DeleteFile('C:\Users\Семья\AppData\Roaming\Browsers\exe.rehcnual.bat', '');
 DeleteFile('C:\Users\Семья\AppData\Roaming\Browsers\exe.emorhc.bat', '');
 DeleteFile('C:\Users\Семья\AppData\Roaming\Browsers\exe.erolpxei.bat', '');
 DeleteFile('C:\Users\Семья\AppData\Roaming\Browsers\exe.rehcnualtow.bat', '');
 DeleteFile('C:\Users\Семья\AppData\Roaming\Browsers\exe.resworbaidem.bat', '');
 DeleteFile('C:\Users\Семья\AppData\Roaming\Browsers\exe.resworbemagraxaz.bat', '');
 DeleteFile('C:\Users\Семья\AppData\Roaming\Browsers\exe.emorhc.bat');QuarantineFile('C:\Users\Семья\appdata\local\microsoft\internet explorer\extensions\apihelper.dll', '');
 DeleteFile('C:\Windows\system32\d3dadapter.dll', '32');
 DeleteFile('C:\Windows\system32\ir16_32.dll', '32');
 DeleteFile('C:\Windows\system32\wlanmgr.dll', '32');
 DeleteFile('C:\Users\Семья\appdata\local\microsoft\internet explorer\extensions\apihelper.dll', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'yrcpgoodgw');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

Код

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

@Костя1977 · 25.03.2015, 22:23 **[ТС]**

Парни вы красавчики, все пропало. Спасибо!!! Все отправил что требовалось.

@thyrex · 25.03.2015, 23:02

Где новые логи по правилам и дополнительно запрошенные логи других утилит?

@Sandor · 26.03.2015, 11:01

Не по теме:

ТС ошибочно отправил логи на карантин.

Костя1977,

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления потребуется перезагрузка компьютера!!!.

Очистите средствами AdwCleaner всё, кроме папок от mail.ru. Если программами от mail.ru не пользуетесь, то их тоже очистите.

Сообщение от Koza Nozdri

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".

@Kиpилл · 26.03.2015, 16:59

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

**Если используете mail.ru и mediaget то снимите галочки напротив строк,содержащих упоминание об mail.ru и mediaget

Повторите сканирование,новый отчет прикрепите.

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
Новые логи прикрепите.

Загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

Подробнее читайте в этом разделе форума поддержки утилиты.

@Костя1977 · 27.03.2015, 10:07 **[ТС]**

А я все на почту отправил

@Sandor · 27.03.2015, 10:34

Костя1977, эти логи я оттуда достал))
Выполняйте следующие рекомендации, которые дал Koza Nozdri.

@Костя1977 · 27.03.2015, 18:53 **[ТС]**

adwcleaner

@Костя1977 · 27.03.2015, 18:59 **[ТС]**

После перезагрузки

@Костя1977 · 27.03.2015, 19:21 **[ТС]**

Повторная диагностика

@Костя1977 · 27.03.2015, 19:24 **[ТС]**

SecurityCheck

@Kиpилл · 28.03.2015, 05:46

Пофиксите в HijackThis следующие строчки:

Код

O2 - BHO: (no name) - AutorunsDisabled - (no file)
O4 - Global Startup: AutorunsDisabled
O9 - Extra button: (no name) - AutorunsDisabled - (no file) (HKCU)
O16 - DPF: {093500E9-F79F-4C52-A9B5-D8C7E4B3023E} (ParallelGraphics Installer Class) - file:///C:/Users/Lenovo/AppData/Local/Temp/o3d8CF6.tmp.cab
O16 - DPF: {810B649C-CEAE-4AC9-BF26-81341B49E913} (ParallelGraphics PlanEditor Control) - file:///C:/Users/Lenovo/AppData/Local/Temp/o3d8009.tmp.cab

Устраните уязвимости:

Security Check by glax24 version 0.2.5.61 rc2
WebSite: safezone.cc

-------------Windows------------------------------
Internet Explorer 11.0.9600.17691
Контроль учётных записей пользователя отключен
^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^
Загружать автоматически обновления и устанавливать по заданному расписанию
Дата установки обновлений: 2015-03-22 20:15:10
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает

-------------Java---------------------------------
Java 8 Update 31 (64-bit) v.8.0.310 Внимание! Скачать обновления
^Скачайте jre-8u40-windows-x64.exe^
Java Auto Updater v.2.8.31.13
-------------AdobeProduction----------------------
Adobe Flash Player 16 ActiveX v.16.0.0.305 Внимание! Скачать обновления
Adobe Reader XI (11.0.10) v.11.0.10
Adobe Reader XI (11.0.09) - Russian v.11.0.09 Внимание! Скачать обновления
-------------Browser------------------------------
Opera Stable 24.0.1558.64 v.24.0.1558.64 Внимание! Скачать обновления
-------------RunningProcess-----------------------
C:\Program Files (x86)\Opera\24.0.1558.64\opera.exe v.24.0.1558.64
-------------EndLog-------------------------------

Выполните рекомендации после лечения.

Удачи.

@Костя1977 · 28.03.2015, 14:52 **[ТС]**

Спасибо!!!

@Kиpилл · 28.03.2015, 16:46

Костя1977, забыл:

Пожалуйста, запустите adwcleaner.exe
Нажмите Uninstall (Удалить).
Подтвердите удаление нажав кнопку: Да.

Подробнее читайте в этом руководстве.

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

Запустите AVZ.
Выполните обновление баз (Меню Файл - Обновление баз)
Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
Закачайте полученный архив, как описано на этой странице.
Если размер архива превышает 100 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zalil, UkrShara или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

Вот теперь все)

@Kиpилл Особый статус 8428 / 1707 / 87 Регистрация: 15.04.2011 Сообщений: 5,520
	25.03.2015, 19:19	2
	Сообщение было отмечено Костя1977 как решение Решение Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): Код begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Users\Семья\AppData\Roaming\Browsers\exe.rehcnual.bat', ''); QuarantineFile('C:\Users\Семья\AppData\Roaming\Browsers\exe.erolpxei.bat', ''); QuarantineFile('C:\Users\Семья\AppData\Roaming\Browsers\exe.rehcnualtow.bat', ''); QuarantineFile('C:\Users\Семья\AppData\Roaming\Browsers\exe.resworbaidem.bat', ''); QuarantineFile('C:\Users\Семья\AppData\Roaming\Browsers\exe.resworbemagraxaz.bat', ''); QuarantineFile('C:\Users\Семья\AppData\Roaming\Browsers\exe.emorhc.bat', ''); QuarantineFile('C:\Windows\system32\wlanmgr.dll', ''); QuarantineFile('C:\Windows\system32\ir16_32.dll', ''); QuarantineFile('C:\Windows\system32\d3dadapter.dll', ''); DeleteFile('C:\Users\Семья\AppData\Roaming\Browsers\exe.rehcnual.bat', ''); DeleteFile('C:\Users\Семья\AppData\Roaming\Browsers\exe.emorhc.bat', ''); DeleteFile('C:\Users\Семья\AppData\Roaming\Browsers\exe.erolpxei.bat', ''); DeleteFile('C:\Users\Семья\AppData\Roaming\Browsers\exe.rehcnualtow.bat', ''); DeleteFile('C:\Users\Семья\AppData\Roaming\Browsers\exe.resworbaidem.bat', ''); DeleteFile('C:\Users\Семья\AppData\Roaming\Browsers\exe.resworbemagraxaz.bat', ''); DeleteFile('C:\Users\Семья\AppData\Roaming\Browsers\exe.emorhc.bat');QuarantineFile('C:\Users\Семья\appdata\local\microsoft\internet explorer\extensions\apihelper.dll', ''); DeleteFile('C:\Windows\system32\d3dadapter.dll', '32'); DeleteFile('C:\Windows\system32\ir16_32.dll', '32'); DeleteFile('C:\Windows\system32\wlanmgr.dll', '32'); DeleteFile('C:\Users\Семья\appdata\local\microsoft\internet explorer\extensions\apihelper.dll', '32'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'yrcpgoodgw'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); BC_ImportALL; ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. "Пофиксите" в HijackThis (некоторые строки могут отсутствовать): Код Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift". - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите. Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. 1

@Костя1977 0 / 0 / 0 Регистрация: 18.05.2011 Сообщений: 25
	25.03.2015, 22:23 [ТС]	3
	Парни вы красавчики, все пропало. Спасибо!!! Все отправил что требовалось. 0

@thyrex 13271 / 7395 / 1565 Регистрация: 06.09.2009 Сообщений: 26,956
	25.03.2015, 23:02	4
	Где новые логи по правилам и дополнительно запрошенные логи других утилит? 0

@Kиpилл Особый статус 8428 / 1707 / 87 Регистрация: 15.04.2011 Сообщений: 5,520
	26.03.2015, 16:59	6
	Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. Если используете mail.ru и mediaget то снимите галочки напротив строк,содержащих упоминание об mail.ru и mediaget Повторите сканирование,новый отчет прикрепите. Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift". Новые логи прикрепите. Загрузите SecurityCheck by glax24** отсюда и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7) Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу. Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. Подробнее читайте в этом разделе форума поддержки утилиты. 0

@Sandor 22286 / 15770 / 3048 Регистрация: 08.10.2012 Сообщений: 64,109
	27.03.2015, 10:34	8
	Костя1977, эти логи я оттуда достал)) Выполняйте следующие рекомендации, которые дал Koza Nozdri. 0

@Kиpилл Особый статус 8428 / 1707 / 87 Регистрация: 15.04.2011 Сообщений: 5,520
	28.03.2015, 05:46	13
	Пофиксите в HijackThis следующие строчки: Код O2 - BHO: (no name) - AutorunsDisabled - (no file) O4 - Global Startup: AutorunsDisabled O9 - Extra button: (no name) - AutorunsDisabled - (no file) (HKCU) O16 - DPF: {093500E9-F79F-4C52-A9B5-D8C7E4B3023E} (ParallelGraphics Installer Class) - file:///C:/Users/Lenovo/AppData/Local/Temp/o3d8CF6.tmp.cab O16 - DPF: {810B649C-CEAE-4AC9-BF26-81341B49E913} (ParallelGraphics PlanEditor Control) - file:///C:/Users/Lenovo/AppData/Local/Temp/o3d8009.tmp.cab Устраните уязвимости: Security Check by glax24 version 0.2.5.61 rc2 WebSite: safezone.cc -------------Windows------------------------------ Internet Explorer 11.0.9600.17691 Контроль учётных записей пользователя отключен ^Рекомендуется включить: Win+R ввести UserAccountControlSettings и Enter^ Загружать автоматически обновления и устанавливать по заданному расписанию Дата установки обновлений: 2015-03-22 20:15:10 Центр обновления Windows (wuauserv) - Служба работает Центр обеспечения безопасности (wscsvc) - Служба работает -------------Java--------------------------------- Java 8 Update 31 (64-bit) v.8.0.310 Внимание! Скачать обновления ^Скачайте jre-8u40-windows-x64.exe^ Java Auto Updater v.2.8.31.13 -------------AdobeProduction---------------------- Adobe Flash Player 16 ActiveX v.16.0.0.305 Внимание! Скачать обновления Adobe Reader XI (11.0.10) v.11.0.10 Adobe Reader XI (11.0.09) - Russian v.11.0.09 Внимание! Скачать обновления -------------Browser------------------------------ Opera Stable 24.0.1558.64 v.24.0.1558.64 Внимание! Скачать обновления -------------RunningProcess----------------------- C:\Program Files (x86)\Opera\24.0.1558.64\opera.exe v.24.0.1558.64 -------------EndLog------------------------------- Выполните рекомендации после лечения. Удачи. 0

@Костя1977 0 / 0 / 0 Регистрация: 18.05.2011 Сообщений: 25
	28.03.2015, 14:52 [ТС]	14
	Спасибо!!! 0

@Kиpилл Особый статус 8428 / 1707 / 87 Регистрация: 15.04.2011 Сообщений: 5,520
	28.03.2015, 16:46	15
	Костя1977, забыл: Пожалуйста, запустите adwcleaner.exe Нажмите Uninstall (Удалить). Подтвердите удаление нажав кнопку: Да. Подробнее читайте в этом руководстве. Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ: Запустите AVZ. Выполните обновление баз (Меню Файл - Обновление баз) Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины) В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем *virusinfo_files_<имя_ПК>.zip* Закачайте полученный архив, как описано на этой странице. Если размер архива превышает 100 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zalil, UkrShara или WebFile) и укажите ссылку на скачивание в своём следующем сообщении. Вот теперь все) 0

При запуске системы, выходит, окно C: \Windows\system32\сmd. exe и сразу запускается хром

Решение