При включении компьютера запускается cmd.exe и открывается браузер с сайтом

@Shket111 · Регистрация: 16.11.2017

Студворк — интернет-сервис помощи студентам

При включении компьютера запускается cmd.exe и пытается загрузить какой то файл , и открывается браузер и заходит на сайт про игры

@thyrex · 17.11.2017, 00:10

Выполните скрипт в AVZ

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Admin\AppData\Roaming\Microsoft\msi.exe','');
 QuarantineFile('C:\Users\Admin\AppData\Local\hzpfdia.bat','');
 QuarantineFile('C:\Users\Admin\AppData\Local\auqqbagk.bat','');
 DeleteFile('C:\Users\Admin\AppData\Local\auqqbagk.bat','32');
 DeleteFile('C:\Windows\system32\Tasks\hhhkxslsu','64');
 DeleteFile('C:\Users\Admin\AppData\Local\hzpfdia.bat','32');
 DeleteFile('C:\Windows\system32\Tasks\zhrvuy','64');
 DeleteFile('C:\Users\Admin\AppData\Roaming\Microsoft\msi.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\MSI','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Code
1
2
3
begin
CreateQurantineArchive('c:\quarantine.zip');
end.

Отправьте c:\quarantine.zip при помощи формы над первым сообщением темы или (если размер архива превышает 16 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Карантин прикреплять к сообщениям на данном форуме ЗАПРЕЩЕНО!!!

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

@Shket111 · 17.11.2017, 22:42 **[ТС]**

Все сделал после перезагрузки Cmd не появилось

@Shket111 · 17.11.2017, 23:06 **[ТС]**

Браузер все ровно открывается сам (

@thyrex · 17.11.2017, 23:40

Скачайте Farbar Recovery Scan Tool [img]https://i.**********/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
[img]https://i.**********/3munStB.png[/img]
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

@Shket111 · 18.11.2017, 00:08 **[ТС]**

Все проверил

@thyrex · 18.11.2017, 17:39

Амиго
Служба автоматического обновления программ

удалите через Установку программ.

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
CreateRestorePoint:
CHR HKLM-x32\...\Chrome\Extension: [bhjhnafpiilpffhglajcaepjbnbjemci] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hcadgijmedbfgciegjomfpjcdchlhnif] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lhemechcanjmilllmccjbjldonmnnjjj] - hxxps://clients2.google.com/service/update2/crx
2017-11-10 22:47 - 2017-11-10 22:47 - 000000348 _____ C:\Users\Admin\AppData\Local\vrwxmactwqhk.bat
2017-11-10 22:47 - 2017-11-10 22:47 - 000000348 _____ C:\Users\Admin\AppData\Local\vbkfiijqheac.bat
2017-11-10 22:45 - 2017-11-10 22:45 - 000003614 _____ C:\Windows\System32\Tasks\up2news1comrioalz
2017-08-23 23:50 - 2017-08-23 23:50 - 000000000 ____D C:\Users\Admin\AppData\Local\Tempzxpsign3a67042736bc5a76
2017-08-23 23:19 - 2017-08-23 23:19 - 000000000 ____D C:\Users\Admin\AppData\Local\Tempzxpsign450f8865f7a959d5
2017-08-23 23:18 - 2017-08-23 23:18 - 000000000 ____D C:\Users\Admin\AppData\Local\Tempzxpsignfae4913d47e00f77
2017-08-23 23:18 - 2017-08-23 23:18 - 000000000 ____D C:\Users\Admin\AppData\Local\Tempzxpsign3b4264fa2dcf7c2e
2017-08-23 23:17 - 2017-08-23 23:17 - 000000000 ____D C:\Users\Admin\AppData\Local\Tempzxpsignf9047975dce75ccf
2017-08-23 23:17 - 2017-08-23 23:17 - 000000000 ____D C:\Users\Admin\AppData\Local\Tempzxpsigndb66381e8056481e
2017-08-21 22:41 - 2017-08-21 22:41 - 000000000 ____D C:\Users\Admin\AppData\Local\Tempzxpsign5904b29c1191d9a0
2017-08-21 22:32 - 2017-08-21 22:32 - 000000000 ____D C:\Users\Admin\AppData\Local\Tempzxpsignd16cb1213c130bdc
2017-08-21 22:07 - 2017-08-21 22:07 - 000000000 ____D C:\Users\Admin\AppData\Local\Tempzxpsign953ce2945993b621
2017-08-21 22:05 - 2017-08-21 22:05 - 000000000 ____D C:\Users\Admin\AppData\Local\Tempzxpsign9261c097c693c24d
2017-08-21 22:04 - 2017-08-21 22:04 - 000000000 ____D C:\Users\Admin\AppData\Local\Tempzxpsignf38aeddad0ec5740
2017-08-21 22:04 - 2017-08-21 22:04 - 000000000 ____D C:\Users\Admin\AppData\Local\Tempzxpsign96b1c9bc92f7ca2e
2017-08-21 22:04 - 2017-08-21 22:04 - 000000000 ____D C:\Users\Admin\AppData\Local\Tempzxpsign3640964464e68092
2017-10-13 23:09 - 2017-10-13 23:09 - 055352312 _____ (Mail.Ru) C:\Users\Admin\AppData\Local\Temp\amigo_setup.exe
2017-11-05 22:05 - 2017-11-12 22:47 - 000038912 _____ () C:\Users\Admin\AppData\Local\Temp\api.dll
2017-11-05 22:04 - 2017-11-05 22:04 - 002643640 _____ () C:\Users\Admin\AppData\Local\Temp\KB5B748D11DA94095A.exe
2017-11-10 22:45 - 2017-11-10 22:45 - 002643640 _____ () C:\Users\Admin\AppData\Local\Temp\KBFAC0930811DB832D.exe
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [126]
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [144]
AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [200]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [126]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC [144]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:D8999815 [200]
Task: {79739C4B-7EBB-4258-A62A-7AFF95C599FC} - System32\Tasks\up2news1comrioalz => C:\Users\Admin\AppData\Local\Amigo\Application\amigo.exe [2017-09-18] (Mail.Ru)
Task: {7D27AFE7-2966-43E8-8BB6-83B2ADAA760A} - \MSI -> No File <==== ATTENTION
Task: {1519ED27-32A4-43F6-AA2C-8DEE6D87381D} - \zhrvuy -> No File <==== ATTENTION
Task: {450D20D7-013D-41D8-B5EC-F75A475851F6} - \hhhkxslsu -> No File <==== ATTENTION
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> No File
C:\Users\Admin\AppData\Local\Amigo
C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Амиго.lnk
C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Амиго.lnk
C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание: будет выполнена перезагрузка компьютера.

@Shket111 · 18.11.2017, 21:50 **[ТС]**

Амиго
Служба автоматического обновления программ удалил

@thyrex · 18.11.2017, 22:10

Проблема решена?

@Shket111 · 18.11.2017, 22:15 **[ТС]**

да все норм )) спасибо ))

@thyrex · 18.11.2017, 22:29

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
Процитируйте содержимое файла в своем следующем сообщении.

Новые блоги и статьи Все статьи Все блоги /
Семь CDC на одном интерфейсе: 5 U[S]ARTов, 1 CAN и 1 SSI Eddy_Em 18.02.2026 Постепенно допиливаю свою "многоинтерфейсную плату". Выглядит вот так: https:/ / www. cyberforum. ru/ blog_attachment. php?attachmentid=11617&stc=1&d=1771445347 Основана на STM32F303RBT6. На борту пять. . .	Символьное дифференцирование igorrr37 13.02.2026 / * Программа принимает математическое выражение в виде строки и выдаёт его производную в виде строки и вычисляет значение производной при заданном х Логарифм записывается как: (x-2)log(x^2+2) -. . .	Камера Toupcam IUA500KMA Eddy_Em 12.02.2026 Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .	И ясному Солнцу zbw 12.02.2026 И ясному Солнцу, и светлой Луне. В мире покоя нет и люди не могут жить в тишине. А жить им немного лет.
«Знание-Сила» zbw 12.02.2026 «Знание-Сила» «Время-Деньги» «Деньги -Пуля»	SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL3_image 8Observer8 10.02.2026 Содержание блога Библиотека SDL3_image содержит инструменты для расширенной работы с изображениями. Пошагово создадим проект для загрузки изображения формата PNG с альфа-каналом (с прозрачным. . .

@Shket111 0 / 0 / 0 Регистрация: 16.11.2017 Сообщений: 6
	17.11.2017, 23:06 [ТС]
	Браузер все ровно открывается сам ( 0

@thyrex 14445 / 7486 / 1580 Регистрация: 06.09.2009 Сообщений: 27,129
	17.11.2017, 23:40
	Скачайте Farbar Recovery Scan Tool [img]https://i.********/NAAC5Ba.png[/img] и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan** отмечены List BCD, Driver MD5 и 90 Days Files. [img]https://i.********/3munStB.png[/img] 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив**) и прикрепите к сообщению. 0

@thyrex 14445 / 7486 / 1580 Регистрация: 06.09.2009 Сообщений: 27,129
	18.11.2017, 22:10
	Сообщение было отмечено Shket111 как решение Решение Проблема решена? 1

@Shket111 0 / 0 / 0 Регистрация: 16.11.2017 Сообщений: 6
	18.11.2017, 22:15 [ТС]
	да все норм )) спасибо )) 0

@thyrex 14445 / 7486 / 1580 Регистрация: 06.09.2009 Сообщений: 27,129
	18.11.2017, 22:29
	Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10); Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу; Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt; Процитируйте содержимое файла в своем следующем сообщении. 0

При включении компьютера запускается cmd.exe и открывается браузер с сайтом

Решение