-
Junior Member
- Вес репутации
- 20
MEM:Trojan/Win32.SEPEH.gen и другие
добрый день. в декабре подхватил целый букет, вовремя выкл.вифи на ноуте, и трое суток удалял файлы-гадости,в т.ч.ветки реестра.
вчера обновил антивирусные тулсы,проверялся как из рабочей вин7, так и с загрузочной флешки каспера. так же и аналогом от конкурента (дрвеб)
были эти:
trojan.win32.autoit.abtxh
mem:trojan.win32.sepeh.gen
trojan-psw.win64.seikooc.b
логи AVZ прикладываю,
virusinfo_syscure.zip + virusinfo_autoquarantine.zip + https://yadi.sk/d/sOOA8tz7JzxIww (virusinfo_files_MSI-GE60.zip)
также,хдд подключал к компу,проверял аналогично и kvrt и дрвеб.
карантин avz
avz_log
CollectionLog-2019.01.10-15.37.zip
CollectionLog-error.JPG
malware тоже ставил, прогонял, вроде как уже не находит ничего, но интересно мнение экспертов
Последний раз редактировалось alxm161; 10.01.2019 в 15:44.
Причина: лог + карантин + CollectionLog
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) alxm161, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Здравствуйте,
HiJackThis (из каталога autologger)профиксить
Код:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Bar] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKA1VtC1mRJr0-ErU7DQvze26qMhqYUPm4hgUwPMS__kHxP00RO543Olo_W9MqqPEfNPodL_jLn4qVaxyYiQmFwczdfnMD_jN6ugDs5XrbTymYQWFdwEAY_TsVwqWk_X9U_l0aPXiGfUz76NVq75FMVLiG1gQAKwwMV3zeHpkwMrWXSKMVtzWF0o&q={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Page] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKA1VtC1mRJr0-ErU7DQvze26qMhqYUPm4hgUwPMS__kHxP00RO543Olo_W9MqqPEfNPodL_jLn4qVaxyYiQmFwczdfnMD_jN6ugDs5XrbTymYQWFdwEAY_TsVwqWk_X9U_l0aPXiGfUz76NVq75FMVLiG1gQAKwwMV3zeHpkwMrWXSKMVtzWF0o&q={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Start Page] = http://securedsearch.lavasoft.com/?pr=vmn&id=webcompa&ent=hp_WCYID10477_754_181217
R1 - HKCU\Software\Microsoft\Internet Explorer\Main: [SearchAssistant] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKA1VtC1mRJr0-ErU7DQvze26qMhqYUPm4hgUwPMS__kHxP00RO543Olo_W9MqqPEfNPodL_jLn4qVaxyYiQmFwczdfnMD_jN6ugDs5XrbTymYQWFdwEAY_TsVwqWk_X9U_l0aPXiGfUz76NVq75FMVLiG1gQAKwwMV3zeHpkwMrWXSKMVtzWF0o&q={searchTerms}
O2 - HKLM\..\BHO: DVDVideoSoft.WebPageAdjuster - {EE932B49-D5C0-4D19-A3DA-CE0849258DE6} - (no file)
O2 - HKLM\..\BHO: RoboForm Toolbar Helper - {724d43a9-0d85-11d4-9908-00400523e39a} - (no file)
O2-32 - HKLM\..\BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - (no file)
O2-32 - HKLM\..\BHO: DVDVideoSoft.WebPageAdjuster - {EE932B49-D5C0-4D19-A3DA-CE0849258DE6} - (no file)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Новая заметка: (default) = (no file)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Скопировать закладку: (default) = (no file)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Скопировать изображение: (default) = (no file)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Скопировать эту страницу: (default) = (no file)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Сохранить выделенный фрагмент: (default) = (no file)
O9 - Button: HKLM\..\{EE932B49-D5C0-4D19-A3DA-CE0849258DE6}: Free YouTube Download - (no file)
O9 - Tools menu item: HKLM\..\{EE932B49-D5C0-4D19-A3DA-CE0849258DE6}: Free YouTube Download - (no file)
O9-32 - Button: HKLM\..\{EE932B49-D5C0-4D19-A3DA-CE0849258DE6}: Free YouTube Download - (no file)
O9-32 - Tools menu item: HKLM\..\{EE932B49-D5C0-4D19-A3DA-CE0849258DE6}: Free YouTube Download - (no file)
AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Program Files\S-Bar\S-Bar.exe','');
BC_ImportQuarantineList;
BC_Activate;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- Выполните в AVZ:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
- Подготовьте лог AdwCleaner и приложите его в теме.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-
-
Junior Member
- Вес репутации
- 20
приветствую
HiJackThis сделано
пути C:\Program Files\S-Bar\ нет, есть C:\Program Files (x86)\S-Bar\ но почему то в карантин он не попадает, avz его туда не хочет класть, хотя скрипт я поправил..
зипанул вручную S-Bar.exe
это родной тулбар ноутбука, на раб.столе дополнения разные.
s-bar.zip
AdwCleaner[S01].txt
после процедур еще раз прогнал HiJackThis
HiJackThis_20190111-1041.txt
Последний раз редактировалось alxm161; 11.01.2019 в 10:48.
Причина: HiJackThis
i like forum.ru-board.com
-
Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-
-
Junior Member
- Вес репутации
- 20
Сообщение от
SQ
два отчета AdwCleaner, после этого каждый перезапуск и сканирование дает тот же результат
и HiJackThis на всякий
https://yadi.sk/d/xicFxh0HXnZtqA
i like forum.ru-board.com
-
- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
- Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
- Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
- Нажмите кнопку Scan.
- После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
- Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-
-
Junior Member
- Вес репутации
- 20
i like forum.ru-board.com
-
- Закройте и сохраните все открытые приложения.
- Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Код:
Start::
CreateRestorePoint:
CloseProcesses:
File: C:\Program Files (x86)\System Explorer\SystemExplorer.exe
File: C:\Windows\system32\ie4uinit.exe
FF NewTab: Mozilla\Firefox\Profiles\x33v3ccs.default -> hxxp://securedsearch.lavasoft.com/?pr=vmn&id=webcompa&ent=hp_WCYID10477_754_181217
FF HKU\S-1-5-21-3972409753-2112280376-687915440-1000\...\Firefox\Extensions: [{B64D9B05-48E1-4CEB-BF58-E0643994E900}] - C:\Program Files (x86)\Common Files\DVDVideoSoft\plugins\ff => not found
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
CHR HKLM-x32\...\Chrome\Extension: [dghncoeocefmhkhiphdgikkamjeglbfh] - C:\Program Files (x86)\ManyCam\chrome-newtab-search.crx <not found>
File: C:\Program Files (x86)\Common Files\Acronis\ActiveProtection\anti_ransomware_service.exe
File: C:\Program Files (x86)\Dokan\DokanLibrary\mounter.exe
File: C:\Windows\WindowsMobile\wcescomm.dll
File: C:\Windows\System32\drivers\archlp.sys
Zip: C:\Windows\System32\drivers\archlp.sys;C:\Users\2\AppData\Roaming\1D959CA221C7573.sys;C:\Users\2\AppData\Local\installer.dat
File: C:\Windows\System32\drivers\dfx11_1x64.sys
File: C:\Windows\system32\drivers\dokan.sys
File: C:\Windows\system32\drivers\semav6msr64.sys
File: C:\Users\2\AppData\Roaming\1D959CA221C7573.sys
File: C:\Users\2\AppData\Local\installer.dat
2018-12-17 14:53 - 2018-12-17 14:53 - 000140800 _____ () C:\Users\2\AppData\Local\installer.dat
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\42201598.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\43755802.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\95541761.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\42201598.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\43755802.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\95541761.sys => ""="Driver"
FirewallRules: [{94B26FF8-E9EE-4460-86FA-FED2C834FE36}] => (Allow) C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe No File
FirewallRules: [{93EBFA4B-3B25-407E-952F-CE7639527DFA}] => (Allow) C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe No File
FirewallRules: [TCP Query User{E697F4C3-1CBF-468E-ACD2-C6AE4B614582}C:\wot\worldoftanks.exe] => (Allow) C:\wot\worldoftanks.exe No File
FirewallRules: [UDP Query User{65AD699A-9481-4CC1-B7A6-4FFEF6F6AFE4}C:\wot\worldoftanks.exe] => (Allow) C:\wot\worldoftanks.exe No File
FirewallRules: [TCP Query User{18FBBB81-39D8-4D91-8DCF-E24F7F727535}E:\soft\office2010\_reg\microsoft toolkit.exe] => (Allow) E:\soft\office2010\_reg\microsoft toolkit.exe No File
FirewallRules: [UDP Query User{FCDA1E93-CDA0-442E-AEC8-A2F28C38E6F4}E:\soft\office2010\_reg\microsoft toolkit.exe] => (Allow) E:\soft\office2010\_reg\microsoft toolkit.exe No File
FirewallRules: [TCP Query User{0806FF5A-8DFF-4C98-9AC4-102B173777CE}E:\games\cs\hl.exe] => (Allow) E:\games\cs\hl.exe No File
FirewallRules: [UDP Query User{74DD09D1-9494-465F-8CDB-6BF539155380}E:\games\cs\hl.exe] => (Allow) E:\games\cs\hl.exe No File
FirewallRules: [TCP Query User{207A4430-2256-412D-A82B-EEA079A83685}E:\games\counter strike v1.6\hl.exe] => (Allow) E:\games\counter strike v1.6\hl.exe No File
FirewallRules: [UDP Query User{0BD269A3-9532-4340-862F-EB6988726FD8}E:\games\counter strike v1.6\hl.exe] => (Allow) E:\games\counter strike v1.6\hl.exe No File
FirewallRules: [TCP Query User{0D484C42-53B8-41B7-BFE3-E7912B54F9D9}E:\games\cs15\hl.exe] => (Allow) E:\games\cs15\hl.exe No File
FirewallRules: [UDP Query User{78DFB85F-2B70-415C-A337-937E440973F4}E:\games\cs15\hl.exe] => (Allow) E:\games\cs15\hl.exe No File
FirewallRules: [TCP Query User{0FDA8BF4-27F0-43F5-8A07-B4E8DD00A289}C:\wot\wotlauncher.exe] => (Allow) C:\wot\wotlauncher.exe No File
FirewallRules: [UDP Query User{C73F091B-5FB4-43DC-91BB-01BE93B5153F}C:\wot\wotlauncher.exe] => (Allow) C:\wot\wotlauncher.exe No File
FirewallRules: [{9F8D8B64-0B5A-43A4-A923-57A36DFE1B87}] => (Allow) C:\Users\2\AppData\Roaming\ICQM\icq.exe No File
FirewallRules: [{8AC9BC3E-8E11-4A9F-9097-2A9D6A132D86}] => (Allow) C:\Users\2\AppData\Roaming\ICQM\icq.exe No File
FirewallRules: [TCP Query User{E63629D6-84C3-4672-A56F-2B8D709BB2FA}C:\myphoneexplorer portable\myphoneexplorer portable.exe] => (Allow) C:\myphoneexplorer portable\myphoneexplorer portable.exe No File
FirewallRules: [UDP Query User{C1F1E107-06DE-4BD9-8D28-15C97D481A19}C:\myphoneexplorer portable\myphoneexplorer portable.exe] => (Allow) C:\myphoneexplorer portable\myphoneexplorer portable.exe No File
FirewallRules: [{19BDC865-09D6-490C-B297-8DB1D8DB5875}] => (Allow) C:\Users\2\AppData\Local\Temp\utt3E1D.tmp.exe No File
FirewallRules: [{15E27F4D-C94C-4004-991E-A1D1A0A8DCAD}] => (Allow) C:\Users\2\AppData\Local\Temp\utt3E1D.tmp.exe No File
FirewallRules: [{ECF049C2-636E-49AD-BE88-D22B558112A2}] => (Allow) C:\Program Files (x86)\Common Files\nokia\service layer\a\nsl_host_process.exe No File
FirewallRules: [TCP Query User{CAF158E4-95FD-4596-B6EF-5087509F9B8B}C:\wot\wotlauncher.exe] => (Allow) C:\wot\wotlauncher.exe No File
FirewallRules: [UDP Query User{F64B89C3-FB73-4BE2-9774-715DDB6E7A64}C:\wot\wotlauncher.exe] => (Allow) C:\wot\wotlauncher.exe No File
FirewallRules: [TCP Query User{5EB6E172-4376-4B94-B855-BB142F1AD118}C:\wot\worldoftanks.exe] => (Allow) C:\wot\worldoftanks.exe No File
FirewallRules: [UDP Query User{9123AA85-BCA4-4AAC-8AF9-1AA7D0B4B3EE}C:\wot\worldoftanks.exe] => (Allow) C:\wot\worldoftanks.exe No File
FirewallRules: [TCP Query User{9B1D550F-2C80-4E05-BCDB-EDA480A4E7D2}C:\users\2\desktop\myphoneexplorer portable\myphoneexplorer portable.exe] => (Allow) C:\users\2\desktop\myphoneexplorer portable\myphoneexplorer portable.exe No File
FirewallRules: [UDP Query User{117E916E-8354-48D2-91A0-72FD20933763}C:\users\2\desktop\myphoneexplorer portable\myphoneexplorer portable.exe] => (Allow) C:\users\2\desktop\myphoneexplorer portable\myphoneexplorer portable.exe No File
FirewallRules: [{8BD225C2-2B2A-4E6A-A43C-D64155BC94E9}] => (Block) C:\users\2\desktop\myphoneexplorer portable\myphoneexplorer portable.exe No File
FirewallRules: [{54011ABE-7097-4E76-B428-AD2D7F476AF2}] => (Block) C:\users\2\desktop\myphoneexplorer portable\myphoneexplorer portable.exe No File
FirewallRules: [{65848B58-7B6D-486A-A3E2-D0E003B513D1}] => (Allow) I:\BitComet\BitComet.exe No File
FirewallRules: [{0C8B6049-1638-421B-8690-A941C265B45B}] => (Allow) I:\BitComet\BitComet.exe No File
FirewallRules: [{402E6C65-D839-4351-84B4-46E8557F25FB}] => (Allow) C:\Program Files (x86)\Common Files\nokia\service layer\a\nsl_host_process.exe No File
FirewallRules: [{9BBECC39-F616-46A0-963B-8652E768EF90}] => (Allow) d:\uTorrent\uTorrent.exe No File
FirewallRules: [{0F199ECF-A059-48D8-839A-0DBBB77098C0}] => (Allow) d:\uTorrent\uTorrent.exe No File
FirewallRules: [{1A614E52-99C5-4D1A-BA26-E09F54AAB9D6}] => (Allow) C:\utt\uTorrent.exe No File
FirewallRules: [{AEA5159A-9EEE-442D-8EB4-BBAE6E1029FB}] => (Allow) C:\utt\uTorrent.exe No File
FirewallRules: [{D912E841-16A8-4509-B640-D76E0056454C}] => (Allow) C:\Users\2\AppData\Local\MediaGet2\mediaget.exe No File
FirewallRules: [{0A25A79A-E870-4A1D-8B76-9051B510785C}] => (Allow) C:\Users\2\AppData\Local\MediaGet2\mediaget.exe No File
FirewallRules: [{BC79893B-FADC-4589-BFFE-F8C3B4FF308A}] => (Allow) C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamUserAgent.exe No File
FirewallRules: [TCP Query User{B64CC682-2621-43F1-8FDC-21B87A6B4B17}C:\users\2\downloads\ffinstonline.exe] => (Allow) C:\users\2\downloads\ffinstonline.exe No File
FirewallRules: [UDP Query User{67D338DD-88C6-4576-BE22-2F9E8FCCB853}C:\users\2\downloads\ffinstonline.exe] => (Allow) C:\users\2\downloads\ffinstonline.exe No File
FirewallRules: [{16DDFE51-0D52-4AE8-BDF9-2C76C3188223}] => (Allow) C:\Program Files (x86)\TradeManager\AliIM.exe No File
FirewallRules: [{8CF1C20F-AD47-4E31-8E6A-B0B5EC8E29AC}] => (Allow) C:\Program Files (x86)\TradeManager\AliIM.exe No File
FirewallRules: [{AF61E7F0-A8B5-491B-911B-795C2F628F87}] => (Allow) C:\Program Files (x86)\Acronis\TrueImageHome\TrueImageTools.exe No File
FirewallRules: [{AD067D3E-DAB5-4C3B-9AE2-BC56BD8F2ABD}] => (Allow) C:\Program Files (x86)\Acronis\TrueImageHome\MediaBuilder.exe No File
FirewallRules: [{C7C73B94-418A-42DD-8738-1A88C0383E22}] => (Allow) C:\Program Files (x86)\Acronis\TrueImageHome\SystemReport.exe No File
FirewallRules: [{E8327AAC-58AB-43C7-A3C2-52B142B484C4}] => (Allow) C:\Program Files (x86)\Acronis\TrueImageHome\acronis_drive.exe No File
FirewallRules: [{C6CA8820-B673-4A8F-A291-65CAB573D15F}] => (Allow) C:\Program Files (x86)\Acronis\TrueImageHome\mobile_backup_status_server.exe No File
FirewallRules: [{40BE3B62-053C-4B71-9E41-087719DF4AAA}] => (Allow) C:\Program Files (x86)\Acronis\TrueImageHome\ga_service.exe No File
FirewallRules: [{0A93FDFB-D7DD-41D6-971A-24EDF3D862F4}] => (Allow) C:\Program Files (x86)\Acronis\TrueImageHome\LicenseActivator.exe No File
FirewallRules: [{BAAA1817-A74E-4F6B-AB03-77E66570378B}] => (Allow) C:\Users\2\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe No File
FirewallRules: [{412B87EE-989E-4700-95C8-FCA720E28BD5}] => (Allow) C:\Windows\rss\csrss.exe No File
Folder: C:\Windows\rss
Reboot:
End::
- Запустите FRST и нажмите один раз на кнопку Fix и подождите.
- Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
На рабочем столе образуется карантин вида <date>.zip загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-
-
Junior Member
- Вес репутации
- 20
Fixlog.txt
**********
Файл сохранён как 190112_072955_12.01.2019_10.27.45_5c39977394657.zi p
Размер файла 185168
MD5 f896c9c8d0cb4d27e78d49b19be473bc
***********
на всякий продублирую тут карантин
i like forum.ru-board.com
-
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-
-
Junior Member
- Вес репутации
- 20
i like forum.ru-board.com
-
Выполните скрипт в uVS:
Код:
;uVS v4.1.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
cexec tools\CreateRestorePoint.exe BeforeCure
;------------------------autoscript---------------------------
zoo %SystemRoot%\EHOME\USRSTS..DLL
zoo %Sys32%\NTKRNLMP.EXE
zoo %Sys32%\DRIVERS\MULTIKEY.SYS
zoo %SystemRoot%\SYSWOW64\DRIVERS\VWIFIKERNELDRV.SYS
delref %SystemDrive%\USERS\2\APPDATA\ROAMING\ALIPAY\CF\ALICUPSRV.EXE
delref %SystemDrive%\USERS\2\APPDATA\ROAMING\ICQM\ICQ\DLL\MRAINPLACEVIEWER.DLL
delref %SystemDrive%\USERS\2\APPDATA\ROAMING\ICQM\ICQ\DLL\MRAMENU.DLL
delref %SystemDrive%\USERS\2\APPDATA\ROAMING\ICQM\ICQ\DLL\MRATAG.DLL
delref %SystemDrive%\USERS\MULTIMEDIA\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.127.1\PSUSER.DLL
delref %SystemDrive%\USERS\MULTIMEDIA\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.129.1\PSUSER.DLL
delref %SystemDrive%\USERS\MULTIMEDIA\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.141.1\PSUSER.DLL
delref %SystemDrive%\USERS\MULTIMEDIA\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.143.1\PSUSER.DLL
delref %SystemDrive%\USERS\MULTIMEDIA\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.27.15\PSUSER.DLL
delref %SystemDrive%\USERS\MULTIMEDIA\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.27.33\PSUSER.DLL
delref %SystemDrive%\USERS\MULTIMEDIA\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.51.1\PSUSER.DLL
delref %SystemDrive%\USERS\MULTIMEDIA\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.55.1\PSUSER.DLL
delref %SystemDrive%\USERS\MULTIMEDIA\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.57.1\PSUSER.DLL
delref %SystemDrive%\USERS\MULTIMEDIA\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.59.1\PSUSER.DLL
delref %SystemDrive%\USERS\MULTIMEDIA\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.63.1\PSUSER.DLL
delref %SystemDrive%\USERS\MULTIMEDIA\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.61.1\PSUSER.DLL
delref %SystemDrive%\USERS\MULTIMEDIA\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.75.1\PSUSER.DLL
delref %SystemDrive%\USERS\MULTIMEDIA\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.77.1\PSUSER.DLL
delref %SystemDrive%\USERS\MULTIMEDIA\APPDATA\ROAMING\ALIPAY\CF\ALICDO.DLL
delref %SystemDrive%\USERS\ГОСТЬ.2-MSI\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.127.1\PSUSER.DLL
delref %SystemDrive%\USERS\ГОСТЬ.2-MSI\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.129.1\PSUSER.DLL
delref %SystemDrive%\USERS\ГОСТЬ.2-MSI\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.141.1\PSUSER.DLL
delref %SystemDrive%\USERS\ГОСТЬ.2-MSI\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.143.1\PSUSER.DLL
delref %SystemDrive%\USERS\ГОСТЬ.2-MSI\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.27.15\PSUSER.DLL
delref %SystemDrive%\USERS\ГОСТЬ.2-MSI\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.27.33\PSUSER.DLL
delref %SystemDrive%\USERS\ГОСТЬ.2-MSI\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.51.1\PSUSER.DLL
delref %SystemDrive%\USERS\ГОСТЬ.2-MSI\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.55.1\PSUSER.DLL
delref %SystemDrive%\USERS\ГОСТЬ.2-MSI\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.57.1\PSUSER.DLL
delref %SystemDrive%\USERS\ГОСТЬ.2-MSI\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.59.1\PSUSER.DLL
delref %SystemDrive%\USERS\ГОСТЬ.2-MSI\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.61.1\PSUSER.DLL
delref %SystemDrive%\USERS\ГОСТЬ.2-MSI\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.63.1\PSUSER.DLL
delref %SystemDrive%\USERS\ГОСТЬ.2-MSI\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.75.1\PSUSER.DLL
delref %SystemDrive%\USERS\ГОСТЬ.2-MSI\APPDATA\LOCAL\DROPBOX\UPDATE\1.3.77.1\PSUSER.DLL
delref %SystemDrive%\USERS\ГОСТЬ.2-MSI\APPDATA\ROAMING\ALIPAY\CF\ALICDO.DLL
czoo
apply
;-------------------------------------------------------------
restart
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-
-
Junior Member
- Вес репутации
- 20
Сообщение от
SQ
что то еще прогнать, AutoLogger или adwcleaner например?
- - - - -Добавлено - - - - -
в adwcleaner чисто
CollectionLog-2019.01.14-19.04.zip
i like forum.ru-board.com
-
Уточните пожалуйста вы выполняли скрипт в uVS, если да могли бы приложить карантин. который должен быть в каталоге uVS.
Карантин необходимо загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-
-
Junior Member
- Вес репутации
- 20
Сообщение от
SQ
.. скрипт в uVS..
.
Карантин в архиве 7z и не проходит по ссылке вверху страницы,
поэтому прикрепил на яндексе (ZOO_2019-01-14_18-59-48.7z)
i like forum.ru-board.com
-
Сслылку на яндекс можете удалять, карантин отправил в Вирлаб. Уточните пожалуйста проблема как-то проявляется?
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-
-
Junior Member
- Вес репутации
- 20
Сообщение от
SQ
...проблема как-то проявляется?
День добрый. Вроде бы нет, но и подключать ноут к интернет пока побаиваюсь, хочется проверить все возможные варианты.
Что еще можно сделать?
i like forum.ru-board.com
-
Сообщение от
SQ
Сслылку на яндекс можете удалять, карантин отправил в Вирлаб.
пришел ответ от Вирлаба, в файлах не было найдено вредоносного ПО.
В логах не было найдено ничего плохого, подозрение на некоторые файлы, котороые были взяты в карантин не оправдались.
Выполните скрипт в AVZ при наличии доступа в интернет:
Код:
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
-
-
Junior Member
- Вес репутации
- 20
Нет, блокнот не открылся, выдал предупреждающую фразу
Код:
Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей
видимо на этом всё
хотя нет!
нет службы винапдейт, невозможно произвести обновление системы
она удалена, или скрыта, как ее восстановить ?
Последний раз редактировалось alxm161; 18.01.2019 в 12:26.
i like forum.ru-board.com