990x.top
Простой компьютерный блог для души)
Обработчик команд Windows в автозагрузке — что это? (Windows 10)
Приветствую друзья! Сегодня будем разбираться с одной записью в автозагрузке — Обработчик команд Windows, в принципе это может быть как системный компонент, так и вирус.
Обработчик команд Windows в автозагрузке — что это такое?
Запись, запускающая работу командой строки, которая в свою очередь может выполнять определенные команды.
В большинстве случаев запись не является драйвером, важным компонентом или важной программой. То есть для эксперимента ее можно спокойно попробовать отключить.
Часто эта запись — вирус, рекламное ПО или даже майнер.
Например под названием Обработчик команд Windows существует вирус, который Касперский определяет как Trojan.BAT.Starter.jf или Trojan.BAT.Miner.ev , последний явно майнер. Что за майнер? Это тип вируса, который добывает криптовалюту за счет ресурсов вашего ПК. Такой вирус может грузить ПК без явной причин.
Еще существует вирус Trojan.BAT.Bitmin.t, который тоже маскируется под это название и судя по названию самого вируса — вроде тоже майнер.
Второй вариант — рекламный вирус. При этом после включения ПК может запускаться например браузер Microsoft Edge и показывать рекламу. Кроме этого вирус может блокировать запуск программ CCleaner (чистилка от мусора, также показывает содержимое автозагрузки, планировщика), AutoLogger (сборщик логов на ПК для дальнейшего анализа зараженной системы и ее восстановления), regedit.exe (редактор реестра).
Вот еще пример, когда запись возможно и не вирус:
Здесь мы видим процесс kdbsync.exe, это компонента AMD Accelerated Video Transcoding, который нужен для ускорения конвертации видео. Но даже если отключить этот компонент — ничего страшного не случится, поэтому если у вас в автозагрузке есть Обработчик команд Windows — отключайте, а потом уже сканируйте проверяйте систему на вирусы.
Что еще важно — запись запускает процесс cmd.exe, это совсем не вирус, а командная строка, которая может выполнять уже команды. Хотя, не исключаю что возможно и под cmd.exe может маскироваться вирус.
Пример как процесс может грузить ПК:
Вот эта ситуация — уже точно ненормальная. Да, запись Обработчик команд Windows может быть не вирусом, но она только для того чтобы выполнить некоторые команды в течении пары секунд (максимум минута) и завершить свою работу. Оставаться висеть и грузить — точно ненормально.
Что делать?
Я находил комментарии в интернете об этой записи в автозагрузке, комментарии были написаны еще пару лет назад и во всех случаях — рекомендуют проверить ПК антивирусными утилитами, а точнее Dr.Web CureIt!. Поэтому если это вирус, то Dr.Web CureIt! скорее всего уже об этом знает и умеет его удалять.
Да, может и не вирус. Но все равно рекомендую проверить ПК антивирусными утилитами.
- Отключите в автозагрузке запись Обработчик команд Windows. Откройте диспетчер задач (правой кнопкой по панели задач), активируйте вкладку Автозагрузка и отключите. PS: в Windows 7 — зажмите Win + R > команда msconfig > вкладка Автозагрузка.
- Проверка антивирусными утилитами. Настоятельно советую сканировать не одной утилитой, а всеми тремя, это даст максимальный эффект — будут удалены как опасные вирусы, так и рекламные.
- Лишнее ПО. Также желательно удалить программы, которые скорее всего вам не нужны, например Driverupdater, DllKitPRO, DriverPack Solution и подобные, которые лично вы — не устанавливали. Откуда они берутся? Они ставятся с другими прогами, которые вы как раз качали, но с сомнительных сайтов.
Антивирусные утилиты, которыми нужно проверить ПК (настаиваю чтобы проверили всеми тремя):
- Dr.Web CureIt! — мощная утилита против опасных вирусов, например трояны, ботнеты, майнеры. Скачивается уже с антивирусными базами, поэтому вес может быть примерно 100 мб. Сканирует весь диск, длительность зависит от количества файлов и обьема диска. Если вы используете SSD, то проверка выполнится быстрее.
- AdwCleaner — утилита против рекламного/шпионского ПО. Эффективно находит рекламные вирусы в расширениях браузеров, ярлыках, в планировщике, сканирует автозапуск программ, реестр. Перед сканированием качает антивирусные базы. Быстро сканирует.
- HimanPro — качественная утилита против таких угроз как руткиты, трояны, ботнеты, майнеры и другие. Легко удаляет рекламное и шпионское ПО. Присутствует антишпионский облачный сканер, использующий для проверки сигнатурные базы Emsisoft, Ikarus, G Data и Dr.Web. Проверяет шустро. Утилита платная, но присутствует бесплатный режим проверки. Ищет угрозы в автозагрузке, планировщике, реестре, в папках браузеров, проверяет все места где может присутствовать вирус.
После сканирования, для полного удаления часто нужна перезагрузка.
Важно! При использовании утилиты Dr.Web CureIt! нужно нажать на Выбрать обьекты для проверки:
Кстати утилиту можно скачать здесь, она полностью бесплатная.
Потом ставим галочки на всех обьектах:
Далее справа есть кнопка-ключик, нажмите ее и установите галочку Автоматически применять действия угрозам:
В итоге проверка может занять много времени, но оно того стоит. Хотя вообще длительность проверки зависит от обьема диска, от количества файлов, если у вас SSD то проверка будет намного быстрее.
Для анализа автозагрузки рекомендую бесплатную прогу AnVir Task Manager. Позволяет просмотреть автозагрузку обычную, из реестра, задания планировщика, также отображает службы (сервисы). Еще подсказывает что опасное, а что нет.
Заключение
- Обработчик команд Windows — запись в автозагрузке, запускающая командную строку, в которой могут выполняться неизвестные команды.
- Запись спокойно может быть как опасным вирусом — майнер, троян, ботнет, так и рекламным/шпионским ПО. Поэтому проверить ПК антивирусными утилитами — обязательно.
Надеюсь информация пригодилась, удачи и добра, до новых встреч друзья!
Обработчик команд windows грузит процессор windows
1\Temp\3ds max.exe »
if exist «C:\DOCUME
1\Temp\3d smax.exe » goto repeat
del «C:\DOCUME
1\Temp\3ds max.BAT »
@cls
Соответственно, получаем бесконечный цикл.
NOD32 этот вирус не ловит. Разочаровался в ноде окончательно.
DwWeb вирус успешно лечит(обнаружил много зараженных файлав, в том числе и нодовские которые запускаются при входе в систему) , но
появляются новые. Поотключал все в автозапуске кроме ctfmon — не
помогает.
Думаю, что возможно заражен explorer.exe, т.к. присутствет еще один трабл — в систему можно войти только с пароля админа, если входиш как юзер, то звучит всем известная музыка, звучащая при входе в систему
и показывается рисунок рабочего стола, ни ярлыков, ни панели задач, ничего не видно. ctrl+alt+del работает. Просмотрел процессы, не нашел explorer.exe. Пытался запустить новую задачу С:\windows\system32\explorer.exe — папка Windows закрыта для пользователей, хотя и диск С: и папка открыта для пользователей, это точно(админ пароль только у меня). Если изменить юзера на админа — продлемма тут же пропадает.
Помогите разобраться друзья.
| полный формат диска С: и новая установка винды |
| что делать если потом винда «не захочет» устанавливаться |
| Это же окно командной строки — попробуйте на него переключиться (ALT+TAB) и посмотреть, что там творится. |
| Винда может не ставится изза неправильной\испорченной разметки жесткого диска. У меня был такой прикол када я пытался поставить венду после линукса не убив при етом линуксовые разделы.. |
Да именно в этом и была проблема. Загрузился с дискет Partition Magic 8.0 перебил линукс разделы.
Что до вируса, штука противная и трудно-выводимая как пятно на белой сорочке. Заражаются все подряд экзешники + грузится проц.
Каспер 2009 и Curelt Dr.Web (новые базы) успешно находят и удаляют инфицированные файлы, но они пявляются снова, т.к. инфицирован процесс Explorer, каким-то образом он маскируется так, что антивири его не определяют как вирус.
Форматирование системного диска + переустановка винды ничего не дает — вирус «перелазит» с др. логических дисков. Проверка в безопасном режиме тоже.
Можно вывести эту заразу так:
1. прогнать винт антивирем на чистой машине.
2. загрузится с LafeCD(или с чистой загрузочной флешки), запустить Curelt Dr.Web, прогнать все логические диски зараженного винта.
Все зараженные ехе файлов будут убиты, так что без переустановки системы не обойтись. А лучше все начать с чистого листа.
Зараза эта называется Afgan.a или Kolumb.(2-3). Если не отключена автозагрузка со сменных носителей, флешка мигом заражается.
Слава богу, что на работу эту заразу не принес.
Обработчик команд windows грузит процессор windows
Профиль | Отправить PM | Цитировать
Вложения
 | hijackthis.zip |
| (1.7 Kb, 9 просмотров) | |
| system.zip |
| (55.7 Kb, 6 просмотров) | |
Ситуация такая: после переустановки системы (Windows 7) первым делом я установила антивирус NOD32. Комп стал тормозить, диспетчер задач показал, что некий cmd.exe (Обработчик команд Windows) грузит процессор на 100%, помогает только отключение процесса.
Проверила на вирусы с помощью NOD32 (он их нашел и удалил), затем CureIt (ничего больше не нашел), и AVZ (только подозрительные файлы).
cmd.exe как запускался, так и запускается.
Как от него можно избавиться?
Сведения о системе и логи (по вашей инструкции):
| Конфигурация компьютера |
| Материнская плата: Gigabyte Technology Co., Ltd. EP41-UD3L (Socket 775) |
| HDD: 466GB Western Digital WDC WD5000AADS-00S9B0 ATA Device (SATA) |
| Звук: Creative Audigy 2 |
| ОС: Windows 8 Pro x86 |
| mbam-log-2011-09-04 (08-34-26).zip |
| (735 байт, 11 просмотров) | |
| Скачайте Malwarebytes’ Anti-Malware или с зеркала, установите, обновите базы, выберите «Perform Full Scan», нажмите «Scan», после сканирования — Ok — Show Results (показать результаты) — Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. » |
Спасибо, эта штука обнаружила и вроде как удалила 3 вируса!
Но, после перезагрузки cmd.exe на месте .
Что дальше?
| Конфигурация компьютера |
| HDD: Seagate 500G |
| Монитор: ACER |
| Прочее: Антивирь отсутствует |
В первую очередь не пользоваться активаторами .
| . добавляет hale.exe, которая в свою очередь запускает cmd.exe под которой запускаются еще. |
А пользоваться легальными версиями ОС. Тогда не получите комплект с «партизанами»-зловредами.
•Скачайте ComboFix или здесь или здесь и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Как использовать ComboFix
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe.
Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista и Windows7 запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
- Sections
- IAT/EAT
- Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
——-
Мягкий и пушистый — если не гладить против шерсти.
Вам помог совет? Нажмите на ссылку Полезное сообщение .
Последний раз редактировалось iskander-k, 04-09-2011 в 11:02 .
