появляется майнер и вирусы при сканировании CURE IT [Trojan.Boot.DarkGalaxy.a]

**Stand** · 17.12.2018, 16:17

Добрый день, уважаемое сообщество.
Прошу помощи, никак не выводится зловред, антивирус не видит, Cure IT лечит, но после перезагрузки все заново.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 17.12.2018, 16:18

Уважаемый(ая) Stand, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 17.12.2018, 21:05

Выполните скрипт в AVZ:

Код:

begin
 TerminateProcessByName('c:\windows\temp\conhost.exe');
 QuarantineFile('C:\Windows\debug\item.dat', '');
 QuarantineFile('c:\windows\debug\ok.dat', '');
 QuarantineFile('C:\Windows\help\lsmosee.exe', '');
 QuarantineFile('c:\windows\temp\conhost.exe', '');
 DeleteFile('C:\Windows\debug\item.dat', '');
 DeleteFile('c:\windows\debug\ok.dat', '');
 DeleteFile('C:\Windows\help\lsmosee.exe', '');
 DeleteFile('c:\windows\temp\conhost.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "Mysa" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Mysa1" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Mysa2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Mysa3" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "ok" /F', 0, 15000, true);
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'start');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 3, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте и запустите TDSSKiller: http://support.kaspersky.ru/viruses/disinfection/5350.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

**Stand** · 18.12.2018, 10:54

Карантин приложил, дважды, но выкинуло ошибку.

**Vvvyg** · 18.12.2018, 11:53

Буткит должен быть удалён.

Сделайте новый лог такой версией Autologger.

**Stand** · 18.12.2018, 14:31

Выполнил, во вложении.

**Vvvyg** · 18.12.2018, 15:54

Надеюсь, после лечения TDSSKiller систему перезагрузили?

Выполните скрипт в новой версии AVZ:

Код:

begin
 TerminateProcessByName('c:\windows\help\lsmosee.exe');
 QuarantineFile('c:\windows\help\lsmosee.exe', '');
 QuarantineFile('C:\Windows\debug\item.dat', '');
 QuarantineFile('c:\windows\debug\ok.dat', '');
 DeleteFile('c:\windows\help\lsmosee.exe', '');
 DeleteFile('C:\Windows\debug\item.dat', '');
 DeleteFile('a.exe', '64');
 DeleteFile('c:\windows\debug\item.dat', '64');
 DeleteFile('c:\windows\debug\ok.dat', '64');
 DeleteSchedulerTask('Mysa');
 DeleteSchedulerTask('Mysa1');
 DeleteSchedulerTask('Mysa2');
 DeleteSchedulerTask('Mysa3');
 DeleteSchedulerTask('ok');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','start', '32');
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

После перезагрузки сообщите, что с проблемой.

**Stand** · 18.12.2018, 17:40

да перезагрузил.
не дает выполнить скрипт
Вложение 675603

- - - - -Добавлено - - - - -

Хотел сказать что
D:\MapDisk.cmd
это нужный файл. точно.

**Vvvyg** · 18.12.2018, 19:42

Читайте внимательно, написал же:

Выполните скрипт в новой версии AVZ

Там, где последний Autologger запускали.
Файл D:\MapDisk.cmd только в карантин брали,не удаляем. Убрал из скрипта, выполняйте.

**Stand** · 19.12.2018, 14:55

Скрипт выполнен, перезагрузка.
Cure it нашел всеравно зловред.

**regist** · 19.12.2018, 15:46

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('C:\Windows\debug\lsmose.exe');
 TerminateProcessByName('c:\windows\temp\conhost.exe');
 QuarantineFile('C:\Windows\debug\lsmose.exe', '');
 QuarantineFile('c:\windows\debug\ok.dat', '');
 QuarantineFile('c:\windows\temp\conhost.exe', '');
 QuarantineFile('D:\MapDisk.cmd', '');
 DeleteFile('C:\Windows\debug\lsmose.exe', '');
 DeleteFile('C:\Windows\debug\lsmose.exe', '64');
 DeleteFile('c:\windows\debug\ok.dat', '64');
 DeleteFile('c:\windows\temp\conhost.exe', '');
 DeleteFile('D:\MapDisk.cmd', '64');
 DeleteSchedulerTask('Mysa');
 DeleteSchedulerTask('ok');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'MapDisk', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'start', '32');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

Профиксите в HijackThis из папки ..\AutoLogger\HiJackThis

Код:

O4 - HKLM\..\Run: [CL-23-78B4C69C-9942-4129-88AE-FE15008CF35D] = C:\Program Files\Common Files\Bitdefender\SetupInformation\CL-23-78B4C69C-9942-4129-88AE-FE15008CF35D\setuplauncher.exe /run:"C:\Program Files\Common Files\Bitdefender\SetupInformation\CL-23-78B4C69C-9942-4129-88AE-FE15008CF35D\Installer.exe" (file missing)
O7 - IPSec: Name: win (2018/12/19) - {3ef09712-d430-44cc-9b2d-5146af0823d1} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/12/19) - {3ef09712-d430-44cc-9b2d-5146af0823d1} - Source: Any IP - Destination: my IP (Port 137 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/12/19) - {3ef09712-d430-44cc-9b2d-5146af0823d1} - Source: Any IP - Destination: my IP (Port 138 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/12/19) - {3ef09712-d430-44cc-9b2d-5146af0823d1} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/12/19) - {3ef09712-d430-44cc-9b2d-5146af0823d1} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Add to Google Photos Screensa&ver: (default) = C:\Windows\system32\GPhotos.scr (file missing)
O8 - Context menu item: HKU\S-1-5-19\..\Internet Explorer\MenuExt\Add to Google Photos Screensa&ver: (default) = C:\Windows\system32\GPhotos.scr (file missing)
O8 - Context menu item: HKU\S-1-5-20\..\Internet Explorer\MenuExt\Add to Google Photos Screensa&ver: (default) = C:\Windows\system32\GPhotos.scr (file missing)
O22 - Task (.job): (disabled) (Ready) GoogleUpdateTaskUserS-1-5-21-1541470958-3637839021-1478725071-1000Core.job - C:\Users\Андоей\AppData\Local\Google\Update\GoogleUpdate.exe (file missing) /c
O22 - Task (.job): (disabled) (Ready) GoogleUpdateTaskUserS-1-5-21-1541470958-3637839021-1478725071-1000UA.job - C:\Users\Андоей\AppData\Local\Google\Update\GoogleUpdate.exe (file missing) /ua /installsource scheduler
O22 - Task: (telemetry) \Microsoft\Office\Office 15 Subscription Heartbeat - C:\Program Files\Common Files\Microsoft Shared\Office16\OLicenseHeartbeat.exe (file missing)
O22 - Task: GoogleUpdateTaskUserS-1-5-21-1541470958-3637839021-1478725071-1000Core - C:\Users\Андоей\AppData\Local\Google\Update\GoogleUpdate.exe /c (file missing)
O22 - Task: GoogleUpdateTaskUserS-1-5-21-1541470958-3637839021-1478725071-1000UA - C:\Users\Андоей\AppData\Local\Google\Update\GoogleUpdate.exe /ua /installsource scheduler (file missing)
O22 - Task: {47761E2E-7882-4604-90EE-A23FE1F76B2A} - C:\Program Files (x86)\Skype\Phone\Skype.exe (file missing)
O22 - Task: {860ED1FA-334E-4F46-8E20-06D072F99174} - C:\Program Files (x86)\Entensys\UserGate 5\usergate.exe (file missing)
O23 - Service S2: Foxit Cloud Safe Update Service - (FoxitCloudUpdateService) - C:\Program Files (x86)\Foxit Software\Foxit Reader\Foxit Cloud\FCUpdateService.exe  (file missing)

- Сделайте повторные логи по правилам. Для повторной диагностики запустите снова Autologger.

**Vvvyg** · 19.12.2018, 15:54

И проверку TDSSKiller после этого сразу сделайте, сообщите, если снова Rootkit.Boot.DarkGalaxy.a найдёт.

**Stand** · 19.12.2018, 18:47

про TDS прочитал же после загрузки , просканировал после включения интеренета, руткит нашел.
странно, не дает прикрепить лог.
понимаю что не по правилам, но все же, выложил тут https://fex.net/986205260720

**Vvvyg** · 19.12.2018, 19:55

Места не хватает, упакуйте в архив с максимальным сжатием и прикрепите. На том ресурсе требует регистрацию и номер сотового

Или хоть на rghost.ru залейте.
Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS. Залейте тоже на rghost.ru.

**regist** · 19.12.2018, 21:48

Сообщение от Vvvyg

Или хоть на rghost.ru залейте.

rghost давно испортился, закачайте архив на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile)

+ Сделайте лог Gmer

+

Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine.
Заархивруйте эту папку с паролем virus. И загрузите по ссылке Прислать запрошенный карантин вверху темы.

**Stand** · 20.12.2018, 17:38

https://my-files.ru/cj78gm
https://my-files.ru/4m6v58
https://my-files.ru/uo6eoz
https://my-files.ru/ngs6xr

**Vvvyg** · 20.12.2018, 22:31

Пролечитесь ещё раз TDSSKiller, при перезагрузке отключите интернет, просто отключите сетевой кабель.
После перезагрузки, в оффлайне долечите остальное. Для этого (инструкции и текст скрипта сохраните заранее):
Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):

Код:

;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
delref HTTP://JS.FTP0930.HOST:280/V.SCT
zoo %SystemRoot%\DEBUG\ITEM.DAT
delall %SystemRoot%\DEBUG\ITEM.DAT
zoo %SystemRoot%\HELP\LSMOSEE.EXE
addsgn 9252775A016AC1CC0B84454E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 Trojan.Win64.Miner.ide [Kaspersky] 7

zoo %SystemRoot%\TEMP\CONHOST.EXE
addsgn 9252770A016AC1CC0B54454E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 8 Trojan.Win64.Miner.ijc [Kaspersky] 7

zoo %SystemRoot%\DEBUG\LSMOSE.EXE
addsgn 9AE0D208F282AB8B03D4BE7B0D778E3941C61D7F6E0413CEFB7BE21176F33C517B9494368CC974D41E78F556B4D29A37E64990203885E8CD26C07DF35A3637B8 8 Trojan.BtcMine.3106 [DrWeb] 7

chklst
delvir

deltsk %SystemRoot%\DEBUG\OK.DAT
deltsk A.EXE
deltsk S&AMP;C:\WINDOWS\UPDATE.EXE
deltsk S.DAT
deltsk S.RAR
delwmi WMI:\\.\ROOT\SUBSCRIPTION\__INTERVALTIMERINSTRUCTION\FUCKYOUMM2_ITIMER
deltmp
czoo
restart

Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.

Сделайте проверку TDSSKiller.

В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме. Если не полезет - на файлообменник и ссылку в личном сообщении.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

**Stand** · 21.12.2018, 13:10

2018.12.21 10:44
2018.12.21 08:44 (UTC)
--------------------------------------------------------
SeDebug привилегии получены
SeRestore привилегии получены
SeBackup привилегии получены
SeShutdown привилегии получены
SeTakeOwnership привилегии получены
SeLoadDriver привилегии получены
SeManageVolume привилегии получены
SeSecurity привилегии получены
SeTcb привилегии получены
SeImpersonate привилегии получены
SeAssignPrimaryToken привилегии получены
SeCreateTokenPrivilege привилегии получены
SeIncreaseQuotaPrivilege привилегии получены
--------------------------------------------------------
Сигнатур в базе: 0
Загружено поисковых критериев: 0
--------------------------------------------------------
uVS v4.1.2 [http://dsrt.dyndns.org]: Windows 7 Professional x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS]
64-х битный модуль активирован
UAC: 0
Свободно физической памяти 4336Mb из 6042Mb
Свободно на системном диске: 64,8GB
Boot: Normal
--------------------------------------------------------
Internet Explorer v11.0.9600.17843
Firefox v61.0.2 (x64 ru)
--------------------------------------------------------
uVS запущен под пользователем: Andrey-PC\Андрей
Имя компьютера: ANDREY-PC
--------------------------------------------------------
(!) Не удалось открыть файл HOSTS
HOSTS:
C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS
Всего: 0
--------------------------------------------------------
Persistent routes:
Всего: 0
--------------------------------------------------------
Active IPSec Policy [Local]: SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\L ocal\ipsecPolicy{4eb157e3-72de-46cb-b7b7-306b64b1a9f8}
--------------------------------------------------------
Найден видеоадаптер: PCI#VEN_8086&DEV_0166&SUBSYS_1972103C&REV_09#3&115 83659&0&10
Всего найдено видеоадаптеров: 1
Загружено реестров пользователей: 1
Построение списка процессов и модулей...
(!) Процесс нагружает CPU: C:\WINDOWS\MICROSOFT.NET\FRAMEWORK64\V3.0\WPF\PRES ENTATIONFONTCACHE.EXE
Получен ограниченный доступ к защищенному процессу: audiodg.exe [3372]
Анализ автозапуска...
Не удалось прочитать LNK файл: C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\JAVA DEVELOPMENT KIT\Reference Documentation.LNK
Построение списка системных модулей и драйверов...
VBR NTFS [C:]: Неизвестный загрузчик SHA1: A65563E3D994272197E22FC1C63418D61F3CBA08
IPL NTFS [C:]: Неизвестный загрузчик SHA1: 1822DD5ECD50527D15DA57881AEF4A2753079565
VBR NTFS [D:]: Неизвестный загрузчик SHA1: A65563E3D994272197E22FC1C63418D61F3CBA08
IPL NTFS [D:]: Неизвестный загрузчик SHA1: 1822DD5ECD50527D15DA57881AEF4A2753079565
MBR#0 [698,6GB]: Неизвестный загрузчик SHA1: F317F22913A4C836256186768102F4721B87B653
Анализ файлов в списке...
Анализ завершен.
Список готов.
(!) DCOM: Нестандартные свойства связи
======= Начало исполнения скрипта =======
--------------------------------------------------------
v400c
--------------------------------------------------------
--------------------------------------------------------
OFFSGNSAVE
--------------------------------------------------------
--------------------------------------------------------
delref HTTP://JS.FTP0930.HOST:280/V.SCT
--------------------------------------------------------
--------------------------------------------------------
zoo %SystemRoot%\DEBUG\ITEM.DAT
--------------------------------------------------------
Копирование файла в Zoo: \\?\C:\WINDOWS\DEBUG\ITEM.DAT
Файл скопирован в ZOO: C:\USERS\АНДРЕЙ\DOWNLOADS\UVS\SUPPORT\ZOO\ITEM.DAT ._6646DC410FFF3D7BCB5470C7D894C120F670F9C9
--------------------------------------------------------
delall %SystemRoot%\DEBUG\ITEM.DAT
--------------------------------------------------------
--------------------------------------------------------
zoo %SystemRoot%\HELP\LSMOSEE.EXE
--------------------------------------------------------
Копирование файла в Zoo: \\?\C:\WINDOWS\HELP\LSMOSEE.EXE
Файл скопирован в ZOO: C:\USERS\АНДРЕЙ\DOWNLOADS\UVS\SUPPORT\ZOO\LSMOSEE. EXE._A3C843F323BEF582534AEEB40E27546EFB71CE46
--------------------------------------------------------
addsgn 9252775A016AC1CC0B84454E334BDFFACE9A6C66196A8FE80F C583345791709756104849BDBB6158F0F26927471649FA7C04 9D75DEC433C2D1667F3E0707F900 8 Trojan.Win64.Miner.ide [Kaspersky] 7
--------------------------------------------------------
Добавлена сигнатура: Trojan.Win64.Miner.ide [Kaspersky]
--------------------------------------------------------
zoo %SystemRoot%\TEMP\CONHOST.EXE
--------------------------------------------------------
Копирование файла в Zoo: \\?\C:\WINDOWS\TEMP\CONHOST.EXE
Файл скопирован в ZOO: C:\USERS\АНДРЕЙ\DOWNLOADS\UVS\SUPPORT\ZOO\CONHOST. EXE._5382188BCBEB66B40BDCD8AE618561F9A2FF1464
--------------------------------------------------------
addsgn 9252770A016AC1CC0B54454E33231995AF8CBA7E8EBD1EA3F0 C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE 336395DB6B5F26028CA4D985CC8F 8 Trojan.Win64.Miner.ijc [Kaspersky] 7
--------------------------------------------------------
Добавлена сигнатура: Trojan.Win64.Miner.ijc [Kaspersky]
--------------------------------------------------------
zoo %SystemRoot%\DEBUG\LSMOSE.EXE
--------------------------------------------------------
Копирование файла в Zoo: \\?\C:\WINDOWS\DEBUG\LSMOSE.EXE
Файл скопирован в ZOO: C:\USERS\АНДРЕЙ\DOWNLOADS\UVS\SUPPORT\ZOO\LSMOSE.E XE._4D1A210BB9C212DF543E18EB31EF041DFA06F9B5
--------------------------------------------------------
addsgn 9AE0D208F282AB8B03D4BE7B0D778E3941C61D7F6E0413CEFB 7BE21176F33C517B9494368CC974D41E78F556B4D29A37E649 90203885E8CD26C07DF35A3637B8 8 Trojan.BtcMine.3106 [DrWeb] 7
--------------------------------------------------------
Добавлена сигнатура: Trojan.BtcMine.3106 [DrWeb]
--------------------------------------------------------
chklst
--------------------------------------------------------
--------------------------------------------------------
Проверка списка...
--------------------------------------------------------
Не удалось открыть файл: C:\PROGRAM FILES\COMMON FILES\AUTODESK SHARED\WSCOMMCNTR4\LIB\\WSCOMMCNTR4.EXE
Не удалось открыть файл: C:\WINDOWS\SYSTEM32\WBEM\\WMIPJOBJ.DLL
Проверено файлов: 4483
Найдено вирусов: 2
--------------------------------------------------------
delvir
--------------------------------------------------------
--------------------------------------------------------
Применение изменений...
--------------------------------------------------------
Запуск служб блокирован
Построение списка процессов и модулей...
Сбор дополнительной информации...
Остановка сервисов и выгрузка драйверов...
Завершение процессов...
Копирование файла в Zoo: C:\WINDOWS\DEBUG\ITEM.DAT
Файл скопирован в ZOO: C:\USERS\АНДРЕЙ\DOWNLOADS\UVS\SUPPORT\ZOO\ITEM.DAT ._6646DC410FFF3D7BCB5470C7D894C120F670F9C9
Удаление ссылок...
Не удалось прочитать LNK файл: C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\JAVA DEVELOPMENT KIT\Reference Documentation.LNK
Удаление файлов...
C:\WINDOWS\DEBUG\ITEM.DAT будет удален после перезагрузки
--------------------------------------------------------
Завершено процессов: 0 из 0
Изменено/удалено объектов автозапуска 1 из 1
Удалено файлов: 1 из 2
--------------------------------------------------------
Запуск служб разблокирован
--------------------------------------------------------
Применение изменений...
--------------------------------------------------------
Запуск служб блокирован
Построение списка процессов и модулей...
Сбор дополнительной информации...
Остановка сервисов и выгрузка драйверов...
Завершение процессов...
Успешно выгружен C:\WINDOWS\HELP\LSMOSEE.EXE [pid=1036]
Копирование файла в Zoo: C:\WINDOWS\HELP\LSMOSEE.EXE
Файл скопирован в ZOO: C:\USERS\АНДРЕЙ\DOWNLOADS\UVS\SUPPORT\ZOO\LSMOSEE. EXE._A3C843F323BEF582534AEEB40E27546EFB71CE46
Копирование файла в Zoo: C:\WINDOWS\DEBUG\LSMOSE.EXE
Файл скопирован в ZOO: C:\USERS\АНДРЕЙ\DOWNLOADS\UVS\SUPPORT\ZOO\LSMOSE.E XE._4D1A210BB9C212DF543E18EB31EF041DFA06F9B5
Удаление ссылок...
Не удалось прочитать LNK файл: C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\JAVA DEVELOPMENT KIT\Reference Documentation.LNK
Удаление файлов...
--------------------------------------------------------
Завершено процессов: 1 из 1
Изменено/удалено объектов автозапуска 0 из 0
Удалено файлов: 2 из 2
--------------------------------------------------------
Запуск служб разблокирован
--------------------------------------------------------
deltsk %SystemRoot%\DEBUG\OK.DAT
--------------------------------------------------------
--------------------------------------------------------
deltsk A.EXE
--------------------------------------------------------
--------------------------------------------------------
deltsk S&AMP;C:\WINDOWS\UPDATE.EXE
--------------------------------------------------------
--------------------------------------------------------
deltsk S.DAT
--------------------------------------------------------
--------------------------------------------------------
deltsk S.RAR
--------------------------------------------------------
--------------------------------------------------------
delwmi WMI:\\.\ROOT\SUBSCRIPTION\__INTERVALTIMERINSTRUCTI ON\FUCKYOUMM2_ITIMER
--------------------------------------------------------
--------------------------------------------------------
deltmp
--------------------------------------------------------
Удаление всех файлов из каталога: C:\$RECYCLE.BIN
Удаление всех файлов из каталога: D:\$RECYCLE.BIN
Удалено файлов: 8 из 8
Удаление всех файлов из каталога: C:\USERS\A4F7~1\APPDATA\LOCAL\TEMP
Удаление всех файлов из каталога: C:\WINDOWS\TEMP
Удаление всех файлов из каталога: C:\WINDOWS\MINIDUMP
Удаление всех файлов из каталога: C:\WINDOWS\LIVEKERNELREPORTS\WATCHDOG
Удаление всех файлов из каталога: C:\WINDOWS\SERVICEPROFILES\LOCALSERVICE\APPDATA\LO CAL\TEMP
Удаление всех файлов из каталога: C:\WINDOWS\SERVICEPROFILES\LOCALSERVICE\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTARCHIVE
Удаление всех файлов из каталога: C:\WINDOWS\SERVICEPROFILES\LOCALSERVICE\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTQUEUE
Удаление всех файлов из каталога: C:\WINDOWS\SERVICEPROFILES\LOCALSERVICE\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\EXPLORER
Удаление всех файлов из каталога: C:\WINDOWS\SERVICEPROFILES\NETWORKSERVICE\APPDATA\ LOCAL\TEMP
Удаление всех файлов из каталога: C:\WINDOWS\SERVICEPROFILES\NETWORKSERVICE\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTARCHIVE
Удаление всех файлов из каталога: C:\WINDOWS\SERVICEPROFILES\NETWORKSERVICE\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTQUEUE
Удаление всех файлов из каталога: C:\WINDOWS\SERVICEPROFILES\NETWORKSERVICE\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\EXPLORER
Удаление всех файлов из каталога: C:\USERS\АНДРЕЙ\APPDATA\LOCAL\TEMP
Удаление всех файлов из каталога: C:\USERS\АНДРЕЙ\APPDATA\LOCAL\MICROSOFT\WINDOWS\TE MPORARY INTERNET FILES
Удаление всех файлов из каталога: C:\USERS\АНДРЕЙ\APPDATA\LOCALLOW\SUN\JAVA\DEPLOYME NT\CACHE
Удаление всех файлов из каталога: C:\USERS\АНДРЕЙ\APPDATA\LOCALLOW\TEMP
Удаление всех файлов из каталога: C:\USERS\АНДРЕЙ\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTARCHIVE
Удаление всех файлов из каталога: C:\USERS\АНДРЕЙ\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTQUEUE
Удаление всех файлов из каталога: C:\USERS\АНДРЕЙ\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\EXPLORER
Удаление всех файлов из каталога: C:\USERS\АНДРЕЙ\LOCAL SETTINGS\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\N1IMJ646.DEFAULT\CAC HE2
Удаление всех файлов из каталога: C:\USERS\АНДРЕЙ\LOCAL SETTINGS\GOOGLE\CHROME\USER DATA\DEFAULT\CACHE
Удаление всех файлов из каталога: C:\USERS\POLYESTER\APPDATA\LOCAL\TEMP
Удаление всех файлов из каталога: C:\USERS\POLYESTER\APPDATA\LOCAL\MICROSOFT\WINDOWS \TEMPORARY INTERNET FILES
Удаление всех файлов из каталога: C:\USERS\POLYESTER\APPDATA\LOCALLOW\SUN\JAVA\DEPLO YMENT\CACHE
Удаление всех файлов из каталога: C:\USERS\POLYESTER\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTARCHIVE
Удаление всех файлов из каталога: C:\USERS\POLYESTER\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTQUEUE
Удаление всех файлов из каталога: C:\USERS\POLYESTER\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\EXPLORER
Удаление всех файлов из каталога: C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\APPDATA\L OCAL\TEMP
Удаление всех файлов из каталога: C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTARCHIVE
Удаление всех файлов из каталога: C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTQUEUE
Удаление всех файлов из каталога: C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\EXPLORER
Удаление всех файлов из каталога: C:\USERS\АНДОЕЙ\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTARCHIVE
Удаление всех файлов из каталога: C:\USERS\АНДОЕЙ\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTQUEUE
Удаление всех файлов из каталога: C:\USERS\АНДОЕЙ\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\EXPLORER
Удаление всех файлов из каталога: C:\USERS\DEFAULT\APPDATA\LOCAL\TEMP
Удаление всех файлов из каталога: C:\USERS\DEFAULT\APPDATA\LOCAL\MICROSOFT\WINDOWS\T EMPORARY INTERNET FILES
Удаление всех файлов из каталога: C:\USERS\DEFAULT\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTARCHIVE
Удаление всех файлов из каталога: C:\USERS\DEFAULT\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTQUEUE
Удаление всех файлов из каталога: C:\USERS\DEFAULT\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\EXPLORER
Удаление всех файлов из каталога: C:\PROGRAMDATA\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTARCHIVE
Удаление всех файлов из каталога: C:\PROGRAMDATA\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTQUEUE
Удаление всех файлов из каталога: C:\PROGRAMDATA\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\EXPLORER
Удаление всех файлов из каталога: C:\USERS\ARCHIVE\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTARCHIVE
Удаление всех файлов из каталога: C:\USERS\ARCHIVE\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTQUEUE
Удаление всех файлов из каталога: C:\USERS\ARCHIVE\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\EXPLORER
Удаление всех файлов из каталога: C:\USERS\DROPBOX\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTARCHIVE
Удаление всех файлов из каталога: C:\USERS\DROPBOX\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTQUEUE
Удаление всех файлов из каталога: C:\USERS\DROPBOX\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\EXPLORER
Удаление всех файлов из каталога: C:\USERS\JOBS\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTARCHIVE
Удаление всех файлов из каталога: C:\USERS\JOBS\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTQUEUE
Удаление всех файлов из каталога: C:\USERS\JOBS\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\EXPLORER
Удаление всех файлов из каталога: C:\USERS\PUBLIC\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTARCHIVE
Удаление всех файлов из каталога: C:\USERS\PUBLIC\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTQUEUE
Удаление всех файлов из каталога: C:\USERS\PUBLIC\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\EXPLORER
Удаление всех файлов из каталога: C:\USERS\SERVERJOB\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTARCHIVE
Удаление всех файлов из каталога: C:\USERS\SERVERJOB\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTQUEUE
Удаление всех файлов из каталога: C:\USERS\SERVERJOB\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\EXPLORER
Удаление всех файлов из каталога: C:\USERS\SERVERS\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTARCHIVE
Удаление всех файлов из каталога: C:\USERS\SERVERS\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTQUEUE
Удаление всех файлов из каталога: C:\USERS\SERVERS\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\EXPLORER
Удаление всех файлов из каталога: C:\USERS\TEMP\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTARCHIVE
Удаление всех файлов из каталога: C:\USERS\TEMP\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTQUEUE
Удаление всех файлов из каталога: C:\USERS\TEMP\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\EXPLORER
Удаление всех файлов из каталога: C:\USERS\UPDATES\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTARCHIVE
Удаление всех файлов из каталога: C:\USERS\UPDATES\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTQUEUE
Удаление всех файлов из каталога: C:\USERS\UPDATES\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\EXPLORER
Удаление всех файлов из каталога: C:\USERS\РЂРЅРҐСЂРµР№\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTARCHIVE
Удаление всех файлов из каталога: C:\USERS\РЂРЅРҐСЂРµР№\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTQUEUE
Удаление всех файлов из каталога: C:\USERS\РЂРЅРҐСЂРµР№\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\EXPLORER
Удаление всех файлов из каталога: C:\USERS\��\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTARCHIVE
Удаление всех файлов из каталога: C:\USERS\��\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\WER\REPORTQUEUE
Удаление всех файлов из каталога: C:\USERS\��\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\EXPLORER
Удалено файлов: 3165 из 3174
Удаление исполняемых файлов из каталога: C:\WINDOWS\FONTS
Удаление исполняемых файлов из каталога: C:\WINDOWS\PREFETCH
Удаление исполняемых файлов из каталога: C:\USERS\АНДРЕЙ\COOKIES
Удаление исполняемых файлов из каталога: C:\USERS\POLYESTER\COOKIES
Удаление исполняемых файлов из каталога: C:\USERS\DEFAULT\COOKIES
Удалено файлов: 0 из 0
Очистка завершена
--------------------------------------------------------
czoo
--------------------------------------------------------
--------------------------------------------------------
restart
--------------------------------------------------------
--------------------------------------------------------
Применение изменений...
--------------------------------------------------------
Удаление ссылок...
Не удалось прочитать LNK файл: C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\JAVA DEVELOPMENT KIT\Reference Documentation.LNK
--------------------------------------------------------
Завершено процессов: 0 из 0
Изменено/удалено объектов автозапуска 1 из 1
Удалено файлов: 4 из 4
--------------------------------------------------------
--------------------------------------------------------
Всего 9636Kb
Архивация...
C:\USERS\АНДРЕЙ\DOWNLOADS\UVS\SUPPORT\ZOO_2018-12-21_10-49-23
Операция успешно завершена.

**Vvvyg** · 21.12.2018, 13:46

TDSSKiller буткит удалил? Что с проблемой сейчас?

**Stand** · 21.12.2018, 14:37

Да, удалил, но майнер на месте(((
http://prntscr.com/lxvj79

появляется майнер и вирусы при сканировании CURE IT [Trojan.Boot.DarkGalaxy.a] (заявка № 221137)

Опции темы