-
[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS[/url] и пришлите карантин
[CODE];uVS v3.83.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v383c
BREG
bl EA5C563DB06D96B90141698AFD27F2FC 187904
zoo %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT SYNC FRAMEWORK\V1.0\DOCUMENTATION\1033\LICENSE AGREEMENTS\DATA\SYSTEM32.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT SYNC FRAMEWORK\V1.0\DOCUMENTATION\1033\LICENSE AGREEMENTS\DATA\SYSTEM32.EXE
dirzooex %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT SYNC FRAMEWORK\V1.0\DOCUMENTATION\1033\LICENSE AGREEMENTS\DATA
deldir %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT SYNC FRAMEWORK\V1.0\DOCUMENTATION\1033\LICENSE AGREEMENTS\DATA
czoo
restart[/CODE]
сделайте свежий образ автозапуска.
-
mbamlog
Свежий mbamlog!
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Свежий образ авто запуска: http://rghost.ru/58103230
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Свежий образ авто запуска: [URL="http://rghost.ru/58103230"]http://rghost.ru/58103230[/URL]
-
карантин не прислали ;)
Снова выполните скрипт в uVS и пришлите карантин
[CODE];uVS v3.83.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v383c
BREG
dirzooex %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT SYNC FRAMEWORK\V1.0\DOCUMENTATION\1033\DATA
dirzooex %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT SYNC FRAMEWORK\V1.0\DOCUMENTATION\1033\LICENSE AGREEMENTS\DATA
exec32 C:\Program Files (x86)\Mircosoft Corporation Company\system32\Uninstall.exe
delref %SystemDrive%\USERS\SPY\DOWNLOADS\DXWEBSETUP.EXE
bl EA5C563DB06D96B90141698AFD27F2FC 187904
bl 7EEE184754DC37123734AA5FC74ED04F 433105
deldir %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT SYNC FRAMEWORK\V1.0\DOCUMENTATION\1033\LICENSE AGREEMENTS\DATA
deldir %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT SYNC FRAMEWORK\V1.0\DOCUMENTATION\1033\DATA
czoo
restart[/CODE]
если будет вопрос об удаление программы соглашайтесь.
прикрепите свежий образ автозапуска.
-
сори! пока делаю новый скрипт хотел бы задать вопрос на иную тематику...:У меня установлен ipblocker, в настройках Сетевой адаптер адаптеру "Realtek PCIe GBE Family Controller" присвоен неизвестный ip адрес, так должно быть или должен высвечиваться ip выделенный провайдером?
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Сделал как вы описали выше!
-
ipblocker-ом не пользовался не в курсе, но по идее там должен быть внутренний (локальный) IP.
насчёт файлов которые вы прикрерили. Карантин надо грузить по ссылке вверху темы (загрузил за вас), а свежий лог uVS вы не прикрепили. Вместо него отчёт о выполнение скрипта.
-
[NOTICE]не надо прикреплять карантин к посту. Ждём лога[/NOTICE]
-
А точно)) сори запамятовал совсем....все сделаю как надо, если они еще нужны
-
конечно не появляется, потому что его надо свежий сделать ;), перечитайте как делать [url]http://virusinfo.info/showthread.php?t=121767[/url]
-
[url]http://rghost.ru/58104814[/url]
-
...
[QUOTE]SPY-VAIO_2014-09-20_01-41-34.7z (811.2 КБ)
Файл удален.[/QUOTE]
-
Итог лечения
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files (x86)\microsoft sync framework\v1.0\documentation\1033\license agreements\data\system32.exe - [B]not-a-virus:RiskTool.Win32.BitCoinMiner.lrc[/B] ( BitDefender: Application.BitCoinMiner.BK )[*] \system32.exe._4da1738b7283ff36f91bb7b762eb7f867a384bb8 - [B]not-a-virus:RiskTool.Win32.BitCoinMiner.lrc[/B] ( BitDefender: Application.BitCoinMiner.BK )[*] \system32.exe._40a903c091336a8108685bf891d5558863346d5f - [B]not-a-virus:RiskTool.Win32.BitCoinMiner.lrc[/B] ( BitDefender: Application.BitCoinMiner.BK )[/LIST][/LIST]
Page generated in 0.00031 seconds with 10 queries