Печаль-беда, придётся врукопашную лечить.
Пробуйте: [URL="https://virusinfo.info/showthread.php?t=121767&p=899113&viewfull=1#post899113"]Загрузка и сканирование при помощи Live CD с uVS[/URL]
Образ также на Я.Диск выложите.
Printable View
Печаль-беда, придётся врукопашную лечить.
Пробуйте: [URL="https://virusinfo.info/showthread.php?t=121767&p=899113&viewfull=1#post899113"]Загрузка и сканирование при помощи Live CD с uVS[/URL]
Образ также на Я.Диск выложите.
[url]https://yadi.sk/d/P5MrKQmSW0EXNA[/url]
Кажется, разобрались.
Выполняйте в UVS на загруженной системе.
Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):[code];uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
icsuspend
zoo %SystemDrive%\USERS\BEARD\APPDATA\ROAMING\GOOGLEUPDATE\GOOPDATE.DLL
addsgn 9A01B2C27E824762F02BEB34928111F7DA6C15AAD749E04B5FF83CDAD12A2E1FCA530BFBC114CA0824235BDB770A6D023CD052859BBCF1D3E236FBC617CFE68C 24 Malware.Strealer [Rising] 7
chklst
delvir
delref %SystemDrive%\USERS\BEARD\APPDATA\ROAMING\CPPREDISTX86.EXE
apply
czoo
deltmp
restart
[/code]
Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
Карантин загрузил
[QUOTE]Файл сохранён как 190124_175037_ZOO_2019-01-24_22-46-41_5c49faed146cb.zip[/QUOTE]
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
За 30 минут не одного сообщения о блокировке, похоже получилось :)
Хорошо, последите до завтра, не будет ли рецидива.
Буду смотреть, отпишу :)
После каждого перезапуска находит в реестре, а вот сообщений о блокировке исходящих подключений к сайтам нет
[CODE]
Значение реестра: 1
Trojan.Agent.IGen, HKU\S-1-5-21-330745489-1970633256-486591948-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|GOOGLEUPDATE, Проигнорировано пользователем, [6430], [215682],1.0.8958
[/CODE]
Зловред использовал службу Google Update Helper, так что страшного, видимо, ничего.
=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:
[LIST][*]=CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: [B]1[/B][*]=CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: [B]2[/B][*]=C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=
=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB =E2 =EA=E0=F0=E0=ED=F2=E8=ED=E0=F5 =ED=
=E5 =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB[/LIST]