Помогите с удалением, архив с логом во вложении
Printable View
Помогите с удалением, архив с логом во вложении
Уважаемый(ая) [B]posehn[/B], спасибо за обращение на наш форум!
Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Я все сделал как в инструкции, жду ответ...
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe[/url]:[code]begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
TerminateProcessByName('c:\programdata\windows host\windows host.exe');
TerminateProcessByName('c:\users\den\appdata\local\temp\csrss\ethm2305.exe');
TerminateProcessByName('c:\users\den\appdata\local\temp\csrss\mg20201223-1.exe');
TerminateProcessByName('c:\users\den\appdata\local\temp\csrss\ml20201223.exe');
TerminateProcessByName('c:\users\den\appdata\local\temp\csrss\wup\z\zz.exe');
TerminateProcessByName('c:\users\den\appdata\local\temp\csrss\ww31.exe');
TerminateProcessByName('c:\windows\rss\csrss.exe');
TerminateProcessByName('c:\windows\windefender.exe');
QuarantineFile('c:\users\den\appdata\local\temp\csrss\ethm2305.exe', '');
QuarantineFile('c:\users\den\appdata\local\temp\csrss\mg20201223-1.exe', '');
QuarantineFile('c:\users\den\appdata\local\temp\csrss\ml20201223.exe', '');
QuarantineFile('c:\users\den\appdata\local\temp\csrss\wup\z\zz.exe', '');
QuarantineFile('c:\users\den\appdata\local\temp\csrss\ww31.exe', '');
QuarantineFile('C:\Users\DEN\AppData\Roaming\sysinfotool\sitool.exe', '');
QuarantineFile('c:\windows\rss\csrss.exe', '');
QuarantineFile('C:\Windows\System32\drivers\Winmon.sys', '');
QuarantineFile('C:\Windows\System32\drivers\WinmonFS.sys', '');
QuarantineFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys', '');
QuarantineFile('c:\windows\windefender.exe', '');
QuarantineFileF('c:\programdata\windows host', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', false, '', 0 , 0);
QuarantineFileF('c:\windows\rss', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', false, '', 0 , 0);
DeleteFile('C:\Games\Gothic_Lossless\system\GothicStarter.exe', '64');
DeleteFile('c:\programdata\windows host\windows host.exe', '');
DeleteFile('c:\users\den\appdata\local\temp\csrss\ethm2305.exe', '');
DeleteFile('c:\users\den\appdata\local\temp\csrss\mg20201223-1.exe', '');
DeleteFile('c:\users\den\appdata\local\temp\csrss\ml20201223.exe', '');
DeleteFile('c:\users\den\appdata\local\temp\csrss\wup\z\zz.exe', '');
DeleteFile('c:\users\den\appdata\local\temp\csrss\ww31.exe', '');
DeleteFile('C:\Users\DEN\AppData\Roaming\sysinfotool\sitool.exe', '64');
DeleteFile('c:\windows\rss\csrss.exe', '');
DeleteFile('C:\Windows\rss\csrss.exe', '32');
DeleteFile('C:\Windows\rss\csrss.exe', '64');
DeleteFile('C:\Windows\System32\drivers\Winmon.sys', '64');
DeleteFile('C:\Windows\System32\drivers\WinmonFS.sys', '64');
DeleteFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys', '64');
DeleteFile('c:\windows\windefender.exe', '');
DeleteFile('C:\Windows\windefender.exe', '64');
DeleteService('WinDefender');
DeleteService('Winmon');
DeleteService('WinmonFS');
DeleteService('WinmonProcessMonitor');
DeleteFileMask('c:\users\den\appdata\local\temp\csrss', '*', true);
DeleteFileMask('C:\Users\DEN\AppData\Roaming\sysinfotool', '*', true);
DeleteFileMask('c:\windows\rss', '*', true);
DeleteDirectory('c:\users\den\appdata\local\temp\csrss');
DeleteDirectory('C:\Users\DEN\AppData\Roaming\sysinfotool');
DeleteDirectory('c:\windows\rss');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'SummerWater', '32');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'SummerWater', '64');
DeleteSchedulerTask('csrss');
DeleteSchedulerTask('Microsoft\Windows\Windows Error Reporting\SystemInfoTool');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 3, 3, true);
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке [COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR] над над первым сообщением в теме.
Скачайте, распакуйте и запустите [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]утилиту ClearLNK[/url]. Скопируйте текст ниже в окно утилиты и нажмите "[B]Лечить[/B]".[CODE]>>> "C:\Users\DEN\Links\Найти в Яндексе.lnk" -> ["C:\Users\DEN\AppData\Local\Yandex\yapin\YandexWorking.exe" =>> --from_links]
>>> "C:\Users\DEN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Touch\Uninstall.lnk" -> ["C:\Games\Touch\uninst.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\1C\Vivendi universal\SWAT3\Удалить 'SWAT 3'.lnk" -> ["C:\Games\SWAT3\unins000.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Office Tab\Деинсталлировать Office Tab.lnk" -> ["C:\Program Files (x86)\Detong\Office Tab\unins000.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Office Tab\Office Tab Center 2013-16.lnk" -> ["C:\Program Files (x86)\Detong\Office Tab\TabsforOfficeCenter1316.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Office Tab\Office Tab Center 2013-16(Admin).lnk" -> ["C:\Program Files (x86)\Detong\Office Tab\TabsforOfficeCenter1316(Admin).exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Autodesk Backburner 2016\Server.lnk" -> ["C:\Program Files (x86)\Autodesk\Backburner\Server.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Autodesk Backburner 2016\Manager.lnk" -> ["C:\Program Files (x86)\Autodesk\Backburner\Manager.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Autodesk Backburner 2016\Monitor.lnk" -> ["C:\Program Files (x86)\Autodesk\Backburner\Monitor.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gothic\Gothic.lnk" -> ["C:\Games\Gothic_Lossless\system\GothicStarter.exe"]
>>> "C:\Users\DEN\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gothic.lnk" -> ["C:\Games\Gothic_Lossless\system\GothicStarter.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gothic\Удалить игру.lnk" -> ["C:\Games\Gothic_Lossless\unins000.exe"]
>>> "C:\Users\DEN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Katawa Shoujo\Uninstall Katawa Shoujo.lnk" -> ["C:\Games\Katawa Shoujo\Uninstall Katawa Shoujo.exe"]
>>> "C:\Users\DEN\AppData\Roaming\Microsoft\Windows\Start Menu\ScreenShooter.lnk" -> ["C:\Program Files (x86)\ScreenShooter\ScreenShooter.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\I.R.I.S. Applications\Readiris Pro 10\Registration Wizard.lnk" -> ["C:\Program Files (x86)\Readiris10\regri50.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CyberLink PowerDirector 365.lnk" -> ["C:\Program Files\CyberLink\PowerDirector19\PDR.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CyberLink Screen Recorder 4.lnk" -> ["C:\Program Files\CyberLink\ScreenRecorder4\ScreenRecorder.exe"][/CODE]Отчёт о работе прикрепите.
Запустите HijackThis, расположенный в папке Autologger и [url="http://virusinfo.info/showthread.php?t=4491"]пофиксите только эти строки[/url]:[code]O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [10] = Cezurity_Scanner_Pro_Free.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [11] = Cube.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [1] = eav_trial_rus.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [2] = avast_free_antivirus_setup_online.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [3] = eis_trial_rus.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [4] = essf_trial_rus.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [5] = hitmanpro_x64.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [6] = ESETOnlineScanner_UKR.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [7] = ESETOnlineScanner_RUS.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [8] = HitmanPro.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [9] = 360TS_Setup_Mini.exe (disabled)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ FSOverlayIcon: (no name) - {C0829D19-E5A0-44F5-B56E-D15030C53BB9} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)[/code]
Скачайте утилиту Universal Virus Sniffer [URL="https://yadi.sk/d/6A65LkI1WEuqC"]отсюда[/URL] и [url=https://virusinfo.info/showthread.php?t=121767&p=897810&viewfull=1#post897810]сделайте полный образ автозапуска uVS[/url].
Архив карантина отправляется с ошибкой, якобы файл был уже прикреплен ранее. Выложу сюда
Если карантин не грузится по назначению, т. е. по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме - не надо его крепить к сообщению, он просто пуст. А если не пуст - тем более, не надо, там вирусы и Вы их на форуме в общий доступ выложите >:(
Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):[code];uVS v4.11.6 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
deltmp
delref %SystemDrive%\USERS\DEN\APPDATA\LOCAL\TEMP\CHROME_BITS_7048_29416944\1EF3B929E76A5DDF15C044DCC28686C70C100960E741ED2995981167B624E12F.CRXD
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\GOOGLE TOOLBAR\GOOGLETOOLBAR_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\GOOGLE TOOLBAR\GOOGLETOOLBAR_32.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\92.0.4515.107\ELEVATION_SERVICE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\GOOGLEUPDATE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\COMMON\GOOGLE UPDATER\GOOGLEUPDATERSERVICE.EXE
delref %SystemDrive%\USERS\DEN\APPDATA\LOCAL\MICROSOFT\TEAMSMEETINGADDIN\1.0.20244.4\X64\MICROSOFT.TEAMS.ADDINLOADER.DLL
delref %SystemDrive%\USERS\DEN\APPDATA\LOCAL\MICROSOFT\TEAMSMEETINGADDIN\1.0.20244.4\X86\MICROSOFT.TEAMS.ADDINLOADER.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.82\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRA~2\DETONG\OFFICE~1\TABSFO~3.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.92\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.72\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\DISPLAY\NVLICENSINGS.DLL
delref %SystemDrive%\PROGRAM FILES\ADOBE\ADOBE PREMIERE PRO 2021\WMENCODINGHELPER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\92.0.4515.107\NOTIFICATION_HELPER.EXE
delref %SystemDrive%\PROGRAM FILES\CYBERLINK\SHARED FILES\RICHVIDEO64.EXE
delref %SystemDrive%\PROGRA~2\DETONG\OFFICE~1\TABSFO~2.DLL
delref %SystemDrive%\PROGRAM FILES\CYBERLINK\SHARED FILES\RICHVIDEOPS64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\GOOGLETOOLBARNOTIFIER\GOOGLETOOLBARNOTIFIER.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.82\PSMACHINE.DLL
delref %SystemDrive%\PROGRA~2\DETONG\OFFICE~1\TABSFO~4.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.92\GOOGLEUPDATEONDEMAND.EXE
delref %SystemDrive%\GAMES\COMMAND AND CONQUER - GENERALS\COMMAND AND CONQUER GENERALS\BROWSERENGINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\HOME MEDIA SERVER\TRANSCODERS\STREAMER.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.92\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.72\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.92\GOOGLEUPDATEBROKER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\GOOGLETOOLBARNOTIFIER\5.12.11510.1228\SWG.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\READIRIS10\READIRIS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\ACROBAT READER DC\ACRORD32INFO.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\GOOGLEUPDATEBROKER.EXE
delref %SystemDrive%\PROGRA~2\DETONG\OFFICE~1\TABSFO~1.DLL
delref D:\PROGRAM FILES\AUTODESK\3DS MAX 2016\AEC32BITAPPSERVER57.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref G:\HISUITEDOWNLOADER.EXE
delref F:\AUTORUN.EXE
apply
restart[/code]
Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.
Сообщите, что с проблемой.
[QUOTE=Vvvyg;1521136]Если карантин не грузится по назначению, т. е. по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме - не надо его крепить к сообщению, он просто пуст. А если не пуст - тем более, не надо, там вирусы и Вы их на форуме в общий доступ выложите >:(
[/QUOTE]
Тогда укажите пожалуйста этот момент в тексте при добавлении архива с карантином, я это воспринял как временную ошибку и не знал как поступить.
Проблема решена?
Да, спасибо. Только я ещё KVRT применил. Не знаю, что именно мне помогло, но проблемы более нет
Т. к. карантин был пуст, видимо, KVRT сработал.