Вирус (глупый) запускает очень много окон cmd.exe просто загружая оперативку. Как его отследить и устранить?

Question

[keeichi]

Как-то умудрился скачать вирус на ПК. С майнерами раньше справлялся, но тут без понятия как решить вопрос и отследить его. Прикрепляю фото с процессами (на фото нет и одной десятой от того что он запускает). Сейчас прогоняю полную проверку через Касперского, но сильно сомневаюсь, что он его найдет. Как его можно найти через proccess hacker или proccess explorer? Ведь если переходить по пути, то просто открывается папка с cmd.exe. Его последствия - просто загруженная оперативка и немного процессор.

Comments

[rPman]

посмотри в process explorer, с какими ключами (коммандная строка) запущены эти cmd.exe, там почти наверняка будет указан .cmd/.bat скрипт или еще что

Answer 1

[VoidVolker]

1. Загрузиться в безопасном режиме
   
2. Скачать пакет Sysinternals
   
3. Запустить Autoruns
   
4. Найти и убрать лишние записи в атозагрузке
   

Comments

[Единорог Безрогов]

Не обязательно качать этот пакет с непонятными прогамм, достаточно скачать anvir, получше будет чем autoruns , в большинстве случаев. Autoruns хорош тем что можно отложить проги на время какое хочешь, и всё, anvir же предлагает блокирувку и защиту автозапуска, уведомление и подтверждение допустить новую программу в автозапуск или нет. Или удалить исполняемый файл, отправить в карантин.

[VoidVolker]

Единорог Безрогов, что за бред? Очень даже обязательно. Это не "пакет с непонятными прогамм", а пакет из категории "маст хэв", который должен быть на любом ПК с виндой. Разработчиком этого пакета является Марк Русинович, а потом весь этот пакет вместе с компанией перекупили мелкомягкие, куда и перешёл работать Марк. Так что сейчас это официальный пакет от мелкомягких. А вот ваш анвир как раз и является непонятной сторонней программой (как мининум для простых пользователей). Кроме того, ваше утверждение "Autoruns хорош тем что можно отложить проги на время какое хочешь, и всё" является ложью, ибо в Autoruns таки можно удалить как запись о приложении, так и сам исполняемый файл тоже, даже можно найти место в реестре, где находится данная запись. Так что рекомендую сначала разобраться в предмете, прежде чем ругать его и рекламировать непонятно что.

[Единорог Безрогов]

VoidVolker, ‍♂️ ну вот, сам же сказал, анвир не понятный для обычного пользователя, а из этого пака типа все понятные и знакомы даже бабушкам да?

Answer 2

[Вадим]

Без анализа автозагрузки невозможно дать какие-либо дельные рекомендации.
Если Dr. Web CureIt, KVRT не помогли, обращайтесь на форумы лечения:
virusinfo.info
safezone.cc
forum.kasperskyclub.ru
Сразу читаем правила раздела, создаём тему с логами.
На первых двух форумах я присутствую. Почему лечиться лучше там, а не спрашивать совета здесь - 2 основные причины:
1. Удобнее, ответят быстро и только компетентные специалисты.
2. Приватность, посторонние не увидят ваши логи, в которых может быть конфиденциальная информация.
Можете выложить ссылкой лог по правилам этих форумов здесь, можно ссылкой, отвечу.

Answer 3

[Алексей Денисов]

Запусти Windows в безопасном режиме (F8 перед и во время загрузки)
Как загрузится безопасный режим, смотри автозапуск разных программ, скриптов, бантиков.