Добрый день, уважаемое сообщество.
Прошу помощи, никак не выводится зловред, антивирус не видит, Cure IT лечит, но после перезагрузки все заново.
Добрый день, уважаемое сообщество.
Прошу помощи, никак не выводится зловред, антивирус не видит, Cure IT лечит, но после перезагрузки все заново.
Уважаемый(ая) [B]Stand[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
TerminateProcessByName('c:\windows\temp\conhost.exe');
QuarantineFile('C:\Windows\debug\item.dat', '');
QuarantineFile('c:\windows\debug\ok.dat', '');
QuarantineFile('C:\Windows\help\lsmosee.exe', '');
QuarantineFile('c:\windows\temp\conhost.exe', '');
DeleteFile('C:\Windows\debug\item.dat', '');
DeleteFile('c:\windows\debug\ok.dat', '');
DeleteFile('C:\Windows\help\lsmosee.exe', '');
DeleteFile('c:\windows\temp\conhost.exe', '');
ExecuteFile('schtasks.exe', '/delete /TN "Mysa" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Mysa1" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Mysa2" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Mysa3" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "ok" /F', 0, 15000, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'start');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 3, 3, true);
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
Скачайте и запустите TDSSKiller: [url]http://support.kaspersky.ru/viruses/disinfection/5350[/url].
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)
Загрузите, распакуйте на Рабочий стол и запустите [URL="https://yadi.sk/d/xIUtpEqJq4wru"]SecurityCheck by glax24 & Severnyj[/URL].
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши [B]Запуск от имени администратора[/B] (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [I]C:\SecurityCheck\SecurityCheck.txt[/I].
Приложите этот файл к своему следующему сообщению.
Карантин приложил, дважды, но выкинуло ошибку.
Буткит должен быть удалён.
Сделайте новый лог такой версией [URL="https://yadi.sk/d/7dgjMleO3E3E9b"]Autologger[/URL].
Выполнил, во вложении.
Надеюсь, после лечения TDSSKiller систему перезагрузили?
Выполните скрипт в новой версии AVZ:[CODE]begin
TerminateProcessByName('c:\windows\help\lsmosee.exe');
QuarantineFile('c:\windows\help\lsmosee.exe', '');
QuarantineFile('C:\Windows\debug\item.dat', '');
QuarantineFile('c:\windows\debug\ok.dat', '');
DeleteFile('c:\windows\help\lsmosee.exe', '');
DeleteFile('C:\Windows\debug\item.dat', '');
DeleteFile('a.exe', '64');
DeleteFile('c:\windows\debug\item.dat', '64');
DeleteFile('c:\windows\debug\ok.dat', '64');
DeleteSchedulerTask('Mysa');
DeleteSchedulerTask('Mysa1');
DeleteSchedulerTask('Mysa2');
DeleteSchedulerTask('Mysa3');
DeleteSchedulerTask('ok');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','start', '32');
ExecuteSysClean;
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.[/CODE]После перезагрузки сообщите, что с проблемой.
да перезагрузил.
не дает выполнить скрипт
[ATTACH=CONFIG]675603[/ATTACH]
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Хотел сказать что
D:\MapDisk.cmd
это нужный файл. точно.
Читайте внимательно, написал же:[QUOTE]Выполните скрипт в новой версии AVZ[/QUOTE]Там, где последний Autologger запускали.
Файл D:\MapDisk.cmd только в карантин брали,не удаляем. Убрал из скрипта, выполняйте.
Скрипт выполнен, перезагрузка.
Cure it нашел всеравно зловред.
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=130828]- Антивирус и Файрвол[/url]
[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -
[code]
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
TerminateProcessByName('C:\Windows\debug\lsmose.exe');
TerminateProcessByName('c:\windows\temp\conhost.exe');
QuarantineFile('C:\Windows\debug\lsmose.exe', '');
QuarantineFile('c:\windows\debug\ok.dat', '');
QuarantineFile('c:\windows\temp\conhost.exe', '');
QuarantineFile('D:\MapDisk.cmd', '');
DeleteFile('C:\Windows\debug\lsmose.exe', '');
DeleteFile('C:\Windows\debug\lsmose.exe', '64');
DeleteFile('c:\windows\debug\ok.dat', '64');
DeleteFile('c:\windows\temp\conhost.exe', '');
DeleteFile('D:\MapDisk.cmd', '64');
DeleteSchedulerTask('Mysa');
DeleteSchedulerTask('ok');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'MapDisk', '64');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'start', '32');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteRepair(1);
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/code]
[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]
Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.
[url=http://virusinfo.info/showthread.php?t=4491]Профиксите[/url] в HijackThis из папки ..\AutoLogger\HiJackThis
[CODE]O4 - HKLM\..\Run: [CL-23-78B4C69C-9942-4129-88AE-FE15008CF35D] = C:\Program Files\Common Files\Bitdefender\SetupInformation\CL-23-78B4C69C-9942-4129-88AE-FE15008CF35D\setuplauncher.exe /run:"C:\Program Files\Common Files\Bitdefender\SetupInformation\CL-23-78B4C69C-9942-4129-88AE-FE15008CF35D\Installer.exe" (file missing)
O7 - IPSec: Name: win (2018/12/19) - {3ef09712-d430-44cc-9b2d-5146af0823d1} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/12/19) - {3ef09712-d430-44cc-9b2d-5146af0823d1} - Source: Any IP - Destination: my IP (Port 137 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/12/19) - {3ef09712-d430-44cc-9b2d-5146af0823d1} - Source: Any IP - Destination: my IP (Port 138 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/12/19) - {3ef09712-d430-44cc-9b2d-5146af0823d1} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/12/19) - {3ef09712-d430-44cc-9b2d-5146af0823d1} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Add to Google Photos Screensa&ver: (default) = C:\Windows\system32\GPhotos.scr (file missing)
O8 - Context menu item: HKU\S-1-5-19\..\Internet Explorer\MenuExt\Add to Google Photos Screensa&ver: (default) = C:\Windows\system32\GPhotos.scr (file missing)
O8 - Context menu item: HKU\S-1-5-20\..\Internet Explorer\MenuExt\Add to Google Photos Screensa&ver: (default) = C:\Windows\system32\GPhotos.scr (file missing)
O22 - Task (.job): (disabled) (Ready) GoogleUpdateTaskUserS-1-5-21-1541470958-3637839021-1478725071-1000Core.job - C:\Users\Андоей\AppData\Local\Google\Update\GoogleUpdate.exe (file missing) /c
O22 - Task (.job): (disabled) (Ready) GoogleUpdateTaskUserS-1-5-21-1541470958-3637839021-1478725071-1000UA.job - C:\Users\Андоей\AppData\Local\Google\Update\GoogleUpdate.exe (file missing) /ua /installsource scheduler
O22 - Task: (telemetry) \Microsoft\Office\Office 15 Subscription Heartbeat - C:\Program Files\Common Files\Microsoft Shared\Office16\OLicenseHeartbeat.exe (file missing)
O22 - Task: GoogleUpdateTaskUserS-1-5-21-1541470958-3637839021-1478725071-1000Core - C:\Users\Андоей\AppData\Local\Google\Update\GoogleUpdate.exe /c (file missing)
O22 - Task: GoogleUpdateTaskUserS-1-5-21-1541470958-3637839021-1478725071-1000UA - C:\Users\Андоей\AppData\Local\Google\Update\GoogleUpdate.exe /ua /installsource scheduler (file missing)
O22 - Task: {47761E2E-7882-4604-90EE-A23FE1F76B2A} - C:\Program Files (x86)\Skype\Phone\Skype.exe (file missing)
O22 - Task: {860ED1FA-334E-4F46-8E20-06D072F99174} - C:\Program Files (x86)\Entensys\UserGate 5\usergate.exe (file missing)
O23 - Service S2: Foxit Cloud Safe Update Service - (FoxitCloudUpdateService) - C:\Program Files (x86)\Foxit Software\Foxit Reader\Foxit Cloud\FCUpdateService.exe (file missing)
[/CODE]
- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url]. Для [u]повторной[/u] диагностики запустите снова Autologger.
И проверку TDSSKiller после этого сразу сделайте, сообщите, если снова Rootkit.Boot.DarkGalaxy.a найдёт.
про TDS прочитал же после загрузки , просканировал после включения интеренета, руткит нашел.
странно, не дает прикрепить лог.
понимаю что не по правилам, но все же, выложил тут [url]https://fex.net/986205260720[/url]
Места не хватает, упакуйте в архив с максимальным сжатием и прикрепите. На том ресурсе требует регистрацию и номер сотового :( Или хоть на rghost.ru залейте.
Скачайте утилиту Universal Virus Sniffer [URL="https://yadi.sk/d/6A65LkI1WEuqC"]отсюда[/URL] и [url=https://virusinfo.info/showthread.php?t=121767&p=897810&viewfull=1#post897810]сделайте полный образ автозапуска uVS[/url]. Залейте тоже на rghost.ru.
[quote="Vvvyg;1493604"]Или хоть на rghost.ru залейте.[/quote]
rghost давно испортился, закачайте архив на любой файлообменник, не требующий ввода капчи (например: [url=https://disk.yandex.ru/]Яндекс.Диск[/url], [url=http://www.zippyshare.com/]Zippyshare[/url], [url=http://my-files.ru/]My-Files.RU[/url], [url=http://file.karelia.ru/]karelia.ru[/url], [url=http://www.ge.tt/]Ge.tt[/url] или [url=http://webfile.ru/]WebFile[/url])
+ [URL="http://virusinfo.info/showthread.php?t=40118"]Сделайте лог Gmer[/URL]
+ [LIST=1][*]Найдите в корне системного диска (обычно это диск [I]C:[/I]) папку [B][I]TDSSkiller_Quarantine[/I][/B].[*]Заархивруйте эту папку с паролем [B]virus[/B]. И загрузите по ссылке [b][color=Red]Прислать запрошенный карантин[/color][/b] вверху темы.[/LIST]
[url]https://my-files.ru/cj78gm[/url]
[url]https://my-files.ru/4m6v58[/url]
[url]https://my-files.ru/uo6eoz[/url]
[url]https://my-files.ru/ngs6xr[/url]
Пролечитесь ещё раз TDSSKiller, [COLOR="#FF0000"]при перезагрузке отключите интернет[/COLOR], просто отключите сетевой кабель.
После перезагрузки, в оффлайне долечите остальное. Для этого (инструкции и текст скрипта сохраните заранее):
Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):[code];uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
delref HTTP://JS.FTP0930.HOST:280/V.SCT
zoo %SystemRoot%\DEBUG\ITEM.DAT
delall %SystemRoot%\DEBUG\ITEM.DAT
zoo %SystemRoot%\HELP\LSMOSEE.EXE
addsgn 9252775A016AC1CC0B84454E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 Trojan.Win64.Miner.ide [Kaspersky] 7
zoo %SystemRoot%\TEMP\CONHOST.EXE
addsgn 9252770A016AC1CC0B54454E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 8 Trojan.Win64.Miner.ijc [Kaspersky] 7
zoo %SystemRoot%\DEBUG\LSMOSE.EXE
addsgn 9AE0D208F282AB8B03D4BE7B0D778E3941C61D7F6E0413CEFB7BE21176F33C517B9494368CC974D41E78F556B4D29A37E64990203885E8CD26C07DF35A3637B8 8 Trojan.BtcMine.3106 [DrWeb] 7
chklst
delvir
deltsk %SystemRoot%\DEBUG\OK.DAT
deltsk A.EXE
deltsk S&C:\WINDOWS\UPDATE.EXE
deltsk S.DAT
deltsk S.RAR
delwmi WMI:\\.\ROOT\SUBSCRIPTION\__INTERVALTIMERINSTRUCTION\FUCKYOUMM2_ITIMER
deltmp
czoo
restart
[/code]
Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.
Сделайте проверку TDSSKiller.
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме. Если не полезет - на файлообменник и ссылку [COLOR="#FF0000"]в личном сообщении[/COLOR].
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
2018.12.21 10:44
2018.12.21 08:44 (UTC)
--------------------------------------------------------
SeDebug привилегии получены
SeRestore привилегии получены
SeBackup привилегии получены
SeShutdown привилегии получены
SeTakeOwnership привилегии получены
SeLoadDriver привилегии получены
SeManageVolume привилегии получены
SeSecurity привилегии получены
SeTcb привилегии получены
SeImpersonate привилегии получены
SeAssignPrimaryToken привилегии получены
SeCreateTokenPrivilege привилегии получены
SeIncreaseQuotaPrivilege привилегии получены
--------------------------------------------------------
Сигнатур в базе: 0
Загружено поисковых критериев: 0
--------------------------------------------------------
uVS v4.1.2 [[url]http://dsrt.dyndns.org]:[/url] Windows 7 Professional x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS]
64-х битный модуль активирован
UAC: 0
Свободно физической памяти 4336Mb из 6042Mb
Свободно на системном диске: 64,8GB
Boot: Normal
--------------------------------------------------------
Internet Explorer v11.0.9600.17843
Firefox v61.0.2 (x64 ru)
--------------------------------------------------------
uVS запущен под пользователем: Andrey-PC\Андрей
Имя компьютера: ANDREY-PC
--------------------------------------------------------
(!) Не удалось открыть файл HOSTS
HOSTS:
C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS
Всего: 0
--------------------------------------------------------
Persistent routes:
Всего: 0
--------------------------------------------------------
Active IPSec Policy [Local]: SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{4eb157e3-72de-46cb-b7b7-306b64b1a9f8}
--------------------------------------------------------
Найден видеоадаптер: PCI#VEN_8086&DEV_0166&SUBSYS_1972103C&REV_09#3&11583659&0&10
Всего найдено видеоадаптеров: 1
Загружено реестров пользователей: 1
Построение списка процессов и модулей...
(!) Процесс нагружает CPU: C:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V3.0\WPF\PRESENTATIONFONTCACHE.EXE
Получен ограниченный доступ к защищенному процессу: audiodg.exe [3372]
Анализ автозапуска...
Не удалось прочитать LNK файл: C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\JAVA DEVELOPMENT KIT\Reference Documentation.LNK
Построение списка системных модулей и драйверов...
VBR NTFS [C:]: Неизвестный загрузчик SHA1: A65563E3D994272197E22FC1C63418D61F3CBA08
IPL NTFS [C:]: Неизвестный загрузчик SHA1: 1822DD5ECD50527D15DA57881AEF4A2753079565
VBR NTFS [D:]: Неизвестный загрузчик SHA1: A65563E3D994272197E22FC1C63418D61F3CBA08
IPL NTFS [D:]: Неизвестный загрузчик SHA1: 1822DD5ECD50527D15DA57881AEF4A2753079565
MBR#0 [698,6GB]: Неизвестный загрузчик SHA1: F317F22913A4C836256186768102F4721B87B653
Анализ файлов в списке...
Анализ завершен.
Список готов.
(!) DCOM: Нестандартные свойства связи
======= Начало исполнения скрипта =======
--------------------------------------------------------
v400c
--------------------------------------------------------
--------------------------------------------------------
OFFSGNSAVE
--------------------------------------------------------
--------------------------------------------------------
delref [url]HTTP://JS.FTP0930.HOST:280/V.SCT[/url]
--------------------------------------------------------
--------------------------------------------------------
zoo %SystemRoot%\DEBUG\ITEM.DAT
--------------------------------------------------------
Копирование файла в Zoo: \\?\C:\WINDOWS\DEBUG\ITEM.DAT
Файл скопирован в ZOO: C:\USERS\АНДРЕЙ\DOWNLOADS\UVS\SUPPORT\ZOO\ITEM.DAT._6646DC410FFF3D7BCB5470C7D894C120F670F9C9
--------------------------------------------------------
delall %SystemRoot%\DEBUG\ITEM.DAT
--------------------------------------------------------
--------------------------------------------------------
zoo %SystemRoot%\HELP\LSMOSEE.EXE
--------------------------------------------------------
Копирование файла в Zoo: \\?\C:\WINDOWS\HELP\LSMOSEE.EXE
Файл скопирован в ZOO: C:\USERS\АНДРЕЙ\DOWNLOADS\UVS\SUPPORT\ZOO\LSMOSEE.EXE._A3C843F323BEF582534AEEB40E27546EFB71CE46
--------------------------------------------------------
addsgn 9252775A016AC1CC0B84454E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 Trojan.Win64.Miner.ide [Kaspersky] 7
--------------------------------------------------------
Добавлена сигнатура: Trojan.Win64.Miner.ide [Kaspersky]
--------------------------------------------------------
zoo %SystemRoot%\TEMP\CONHOST.EXE
--------------------------------------------------------
Копирование файла в Zoo: \\?\C:\WINDOWS\TEMP\CONHOST.EXE
Файл скопирован в ZOO: C:\USERS\АНДРЕЙ\DOWNLOADS\UVS\SUPPORT\ZOO\CONHOST.EXE._5382188BCBEB66B40BDCD8AE618561F9A2FF1464
--------------------------------------------------------
addsgn 9252770A016AC1CC0B54454E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 8 Trojan.Win64.Miner.ijc [Kaspersky] 7
--------------------------------------------------------
Добавлена сигнатура: Trojan.Win64.Miner.ijc [Kaspersky]
--------------------------------------------------------
zoo %SystemRoot%\DEBUG\LSMOSE.EXE
--------------------------------------------------------
Копирование файла в Zoo: \\?\C:\WINDOWS\DEBUG\LSMOSE.EXE
Файл скопирован в ZOO: C:\USERS\АНДРЕЙ\DOWNLOADS\UVS\SUPPORT\ZOO\LSMOSE.EXE._4D1A210BB9C212DF543E18EB31EF041DFA06F9B5
--------------------------------------------------------
addsgn 9AE0D208F282AB8B03D4BE7B0D778E3941C61D7F6E0413CEFB7BE21176F33C517B9494368CC974D41E78F556B4D29A37E64990203885E8CD26C07DF35A3637B8 8 Trojan.BtcMine.3106 [DrWeb] 7
--------------------------------------------------------
Добавлена сигнатура: Trojan.BtcMine.3106 [DrWeb]
--------------------------------------------------------
chklst
--------------------------------------------------------
--------------------------------------------------------
Проверка списка...
--------------------------------------------------------
Не удалось открыть файл: C:\PROGRAM FILES\COMMON FILES\AUTODESK SHARED\WSCOMMCNTR4\LIB\\WSCOMMCNTR4.EXE
Не удалось открыть файл: C:\WINDOWS\SYSTEM32\WBEM\\WMIPJOBJ.DLL
Проверено файлов: 4483
Найдено вирусов: 2
--------------------------------------------------------
delvir
--------------------------------------------------------
--------------------------------------------------------
Применение изменений...
--------------------------------------------------------
Запуск служб блокирован
Построение списка процессов и модулей...
Сбор дополнительной информации...
Остановка сервисов и выгрузка драйверов...
Завершение процессов...
Копирование файла в Zoo: C:\WINDOWS\DEBUG\ITEM.DAT
Файл скопирован в ZOO: C:\USERS\АНДРЕЙ\DOWNLOADS\UVS\SUPPORT\ZOO\ITEM.DAT._6646DC410FFF3D7BCB5470C7D894C120F670F9C9
Удаление ссылок...
Не удалось прочитать LNK файл: C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\JAVA DEVELOPMENT KIT\Reference Documentation.LNK
Удаление файлов...
C:\WINDOWS\DEBUG\ITEM.DAT будет удален после перезагрузки
--------------------------------------------------------
Завершено процессов: 0 из 0
Изменено/удалено объектов автозапуска 1 из 1
Удалено файлов: 1 из 2
--------------------------------------------------------
Запуск служб разблокирован
--------------------------------------------------------
Применение изменений...
--------------------------------------------------------
Запуск служб блокирован
Построение списка процессов и модулей...
Сбор дополнительной информации...
Остановка сервисов и выгрузка драйверов...
Завершение процессов...
Успешно выгружен C:\WINDOWS\HELP\LSMOSEE.EXE [pid=1036]
Копирование файла в Zoo: C:\WINDOWS\HELP\LSMOSEE.EXE
Файл скопирован в ZOO: C:\USERS\АНДРЕЙ\DOWNLOADS\UVS\SUPPORT\ZOO\LSMOSEE.EXE._A3C843F323BEF582534AEEB40E27546EFB71CE46
Копирование файла в Zoo: C:\WINDOWS\DEBUG\LSMOSE.EXE
Файл скопирован в ZOO: C:\USERS\АНДРЕЙ\DOWNLOADS\UVS\SUPPORT\ZOO\LSMOSE.EXE._4D1A210BB9C212DF543E18EB31EF041DFA06F9B5
Удаление ссылок...
Не удалось прочитать LNK файл: C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\JAVA DEVELOPMENT KIT\Reference Documentation.LNK
Удаление файлов...
--------------------------------------------------------
Завершено процессов: 1 из 1
Изменено/удалено объектов автозапуска 0 из 0
Удалено файлов: 2 из 2
--------------------------------------------------------
Запуск служб разблокирован
--------------------------------------------------------
deltsk %SystemRoot%\DEBUG\OK.DAT
--------------------------------------------------------
--------------------------------------------------------
deltsk A.EXE
--------------------------------------------------------
--------------------------------------------------------
deltsk S&C:\WINDOWS\UPDATE.EXE
--------------------------------------------------------
--------------------------------------------------------
deltsk S.DAT
--------------------------------------------------------
--------------------------------------------------------
deltsk S.RAR
--------------------------------------------------------
--------------------------------------------------------
delwmi WMI:\\.\ROOT\SUBSCRIPTION\__INTERVALTIMERINSTRUCTION\FUCKYOUMM2_ITIMER
--------------------------------------------------------
--------------------------------------------------------
deltmp
--------------------------------------------------------
Удаление всех файлов из каталога: C:\$RECYCLE.BIN
Удаление всех файлов из каталога: D:\$RECYCLE.BIN
Удалено файлов: 8 из 8
Удаление всех файлов из каталога: C:\USERS\A4F7~1\APPDATA\LOCAL\TEMP
Удаление всех файлов из каталога: C:\WINDOWS\TEMP
Удаление всех файлов из каталога: C:\WINDOWS\MINIDUMP
Удаление всех файлов из каталога: C:\WINDOWS\LIVEKERNELREPORTS\WATCHDOG
Удаление всех файлов из каталога: C:\WINDOWS\SERVICEPROFILES\LOCALSERVICE\APPDATA\LOCAL\TEMP
Удаление всех файлов из каталога: C:\WINDOWS\SERVICEPROFILES\LOCALSERVICE\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTARCHIVE
Удаление всех файлов из каталога: C:\WINDOWS\SERVICEPROFILES\LOCALSERVICE\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTQUEUE
Удаление всех файлов из каталога: C:\WINDOWS\SERVICEPROFILES\LOCALSERVICE\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\EXPLORER
Удаление всех файлов из каталога: C:\WINDOWS\SERVICEPROFILES\NETWORKSERVICE\APPDATA\LOCAL\TEMP
Удаление всех файлов из каталога: C:\WINDOWS\SERVICEPROFILES\NETWORKSERVICE\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTARCHIVE
Удаление всех файлов из каталога: C:\WINDOWS\SERVICEPROFILES\NETWORKSERVICE\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTQUEUE
Удаление всех файлов из каталога: C:\WINDOWS\SERVICEPROFILES\NETWORKSERVICE\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\EXPLORER
Удаление всех файлов из каталога: C:\USERS\АНДРЕЙ\APPDATA\LOCAL\TEMP
Удаление всех файлов из каталога: C:\USERS\АНДРЕЙ\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES
Удаление всех файлов из каталога: C:\USERS\АНДРЕЙ\APPDATA\LOCALLOW\SUN\JAVA\DEPLOYMENT\CACHE
Удаление всех файлов из каталога: C:\USERS\АНДРЕЙ\APPDATA\LOCALLOW\TEMP
Удаление всех файлов из каталога: C:\USERS\АНДРЕЙ\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTARCHIVE
Удаление всех файлов из каталога: C:\USERS\АНДРЕЙ\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTQUEUE
Удаление всех файлов из каталога: C:\USERS\АНДРЕЙ\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\EXPLORER
Удаление всех файлов из каталога: C:\USERS\АНДРЕЙ\LOCAL SETTINGS\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\N1IMJ646.DEFAULT\CACHE2
Удаление всех файлов из каталога: C:\USERS\АНДРЕЙ\LOCAL SETTINGS\GOOGLE\CHROME\USER DATA\DEFAULT\CACHE
Удаление всех файлов из каталога: C:\USERS\POLYESTER\APPDATA\LOCAL\TEMP
Удаление всех файлов из каталога: C:\USERS\POLYESTER\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES
Удаление всех файлов из каталога: C:\USERS\POLYESTER\APPDATA\LOCALLOW\SUN\JAVA\DEPLOYMENT\CACHE
Удаление всех файлов из каталога: C:\USERS\POLYESTER\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTARCHIVE
Удаление всех файлов из каталога: C:\USERS\POLYESTER\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTQUEUE
Удаление всех файлов из каталога: C:\USERS\POLYESTER\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\EXPLORER
Удаление всех файлов из каталога: C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\APPDATA\LOCAL\TEMP
Удаление всех файлов из каталога: C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTARCHIVE
Удаление всех файлов из каталога: C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTQUEUE
Удаление всех файлов из каталога: C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\EXPLORER
Удаление всех файлов из каталога: C:\USERS\АНДОЕЙ\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTARCHIVE
Удаление всех файлов из каталога: C:\USERS\АНДОЕЙ\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTQUEUE
Удаление всех файлов из каталога: C:\USERS\АНДОЕЙ\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\EXPLORER
Удаление всех файлов из каталога: C:\USERS\DEFAULT\APPDATA\LOCAL\TEMP
Удаление всех файлов из каталога: C:\USERS\DEFAULT\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES
Удаление всех файлов из каталога: C:\USERS\DEFAULT\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTARCHIVE
Удаление всех файлов из каталога: C:\USERS\DEFAULT\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTQUEUE
Удаление всех файлов из каталога: C:\USERS\DEFAULT\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\EXPLORER
Удаление всех файлов из каталога: C:\PROGRAMDATA\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTARCHIVE
Удаление всех файлов из каталога: C:\PROGRAMDATA\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTQUEUE
Удаление всех файлов из каталога: C:\PROGRAMDATA\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\EXPLORER
Удаление всех файлов из каталога: C:\USERS\ARCHIVE\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTARCHIVE
Удаление всех файлов из каталога: C:\USERS\ARCHIVE\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTQUEUE
Удаление всех файлов из каталога: C:\USERS\ARCHIVE\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\EXPLORER
Удаление всех файлов из каталога: C:\USERS\DROPBOX\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTARCHIVE
Удаление всех файлов из каталога: C:\USERS\DROPBOX\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTQUEUE
Удаление всех файлов из каталога: C:\USERS\DROPBOX\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\EXPLORER
Удаление всех файлов из каталога: C:\USERS\JOBS\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTARCHIVE
Удаление всех файлов из каталога: C:\USERS\JOBS\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTQUEUE
Удаление всех файлов из каталога: C:\USERS\JOBS\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\EXPLORER
Удаление всех файлов из каталога: C:\USERS\PUBLIC\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTARCHIVE
Удаление всех файлов из каталога: C:\USERS\PUBLIC\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTQUEUE
Удаление всех файлов из каталога: C:\USERS\PUBLIC\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\EXPLORER
Удаление всех файлов из каталога: C:\USERS\SERVERJOB\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTARCHIVE
Удаление всех файлов из каталога: C:\USERS\SERVERJOB\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTQUEUE
Удаление всех файлов из каталога: C:\USERS\SERVERJOB\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\EXPLORER
Удаление всех файлов из каталога: C:\USERS\SERVERS\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTARCHIVE
Удаление всех файлов из каталога: C:\USERS\SERVERS\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTQUEUE
Удаление всех файлов из каталога: C:\USERS\SERVERS\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\EXPLORER
Удаление всех файлов из каталога: C:\USERS\TEMP\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTARCHIVE
Удаление всех файлов из каталога: C:\USERS\TEMP\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTQUEUE
Удаление всех файлов из каталога: C:\USERS\TEMP\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\EXPLORER
Удаление всех файлов из каталога: C:\USERS\UPDATES\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTARCHIVE
Удаление всех файлов из каталога: C:\USERS\UPDATES\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTQUEUE
Удаление всех файлов из каталога: C:\USERS\UPDATES\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\EXPLORER
Удаление всех файлов из каталога: C:\USERS\ЀнХрей\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTARCHIVE
Удаление всех файлов из каталога: C:\USERS\ЀнХрей\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTQUEUE
Удаление всех файлов из каталога: C:\USERS\ЀнХрей\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\EXPLORER
Удаление всех файлов из каталога: C:\USERS\������\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTARCHIVE
Удаление всех файлов из каталога: C:\USERS\������\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTQUEUE
Удаление всех файлов из каталога: C:\USERS\������\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\EXPLORER
Удалено файлов: 3165 из 3174
Удаление исполняемых файлов из каталога: C:\WINDOWS\FONTS
Удаление исполняемых файлов из каталога: C:\WINDOWS\PREFETCH
Удаление исполняемых файлов из каталога: C:\USERS\АНДРЕЙ\COOKIES
Удаление исполняемых файлов из каталога: C:\USERS\POLYESTER\COOKIES
Удаление исполняемых файлов из каталога: C:\USERS\DEFAULT\COOKIES
Удалено файлов: 0 из 0
Очистка завершена
--------------------------------------------------------
czoo
--------------------------------------------------------
--------------------------------------------------------
restart
--------------------------------------------------------
--------------------------------------------------------
Применение изменений...
--------------------------------------------------------
Удаление ссылок...
Не удалось прочитать LNK файл: C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\JAVA DEVELOPMENT KIT\Reference Documentation.LNK
--------------------------------------------------------
Завершено процессов: 0 из 0
Изменено/удалено объектов автозапуска 1 из 1
Удалено файлов: 4 из 4
--------------------------------------------------------
--------------------------------------------------------
Всего 9636Kb
Архивация...
C:\USERS\АНДРЕЙ\DOWNLOADS\UVS\SUPPORT\ZOO_2018-12-21_10-49-23
Операция успешно завершена.
TDSSKiller буткит удалил? Что с проблемой сейчас?
Да, удалил, но майнер на месте(((
[url]http://prntscr.com/lxvj79[/url]