Cmd завершает работу после сканирования MB и карантина

270
pbies

Недавно я отсканировал диск с помощью MalwareBytes Anti-Malware, а затем принял карантин конкретного раздела реестра (не помню, какой именно), который, похоже, был связан с cmd.exe. После этого сканирования и карантина cmd.exe запускается, изменяя размер окна на очень маленький и выходя менее чем за секунду. Даже из powershell он делает то же самое, но оставляет меня в powershell, не закрывая окно powershell. Я подозревал какое-то вредоносное ПО, но MBAM ничего не основал. Может быть редакция раздела реестра, связанная с cmd, который MBAM удалил, и теперь он не работает должным образом.

Что я могу сделать, чтобы исправить проблему с cmd.exe?

0
Какую версию Windows вы используете? Можете ли вы загрузиться в консоль восстановления и запустить SFC? Jeff Zeitlin 6 лет назад 0
Windows 10 Pro x64, версия 1709 - 16299,309. SFC не нашел ничего плохого. У меня нет точки восстановления. pbies 6 лет назад 0
«Карантин» предполагает, что он сохраняется MBAM и может быть проверен (и, возможно, восстановлен). Вы смотрели, чтобы увидеть, что эта запись была? Что еще, кроме SFC, вы пытались проанализировать или исправить проблему? Jeff Zeitlin 6 лет назад 0
Если вы _have_ просмотрели помещенную на карантин запись, что конкретно это было? Jeff Zeitlin 6 лет назад 0
У меня нет идей, что делать. Журнал из MBAM: PUM.Optional.CMDShell, HKU \ S-1-5-21-3182972637-540971354-4033272233-1001 \ SOFTWARE \ MICROSOFT \ WINDOWS NT \ CURRENTVERSION \ WINLOGON | SHELL, добавлен в карантин, [6749], [ 464572], 1.0.4528 pbies 6 лет назад 0
Я попробовал delfix и очиститель реестра - не повезло. Я восстановил ключ в реестре - тоже не повезло. pbies 6 лет назад 0

1 ответ на вопрос

0
pbies

Это была вредоносная программа под названием «Sound Mixer», криптовалютный майнер. Не обнаруживается MalwareBytes Anti-Malware, но обнаруживается MalwareBytes Anti-Rootkit. Я удалил ключ автозапуска в [HKEY_CURRENT_USER \ Software \ Microsoft \ Command Processor] и теперь cmd работает нормально.

Пожалуйста, не используйте незнакомые сокращения Ramhound 6 лет назад 0

Похожие вопросы