Касперский не может вылечить от трояна: MEM:Trojan.Win32.Stantinko.gen

[jura.abramchuk 0]

Касперский не может вылечить от трояна: MEM:Trojan.Win32.Stantinko.gen

CollectionLog-2018.06.23-16.49.zip

Изменено 23 июня, 2018 пользователем jura.abramchuk

[regist 617]

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\WINDOWS\System32\wsaudio.dll', '');
 DeleteFile('C:\WINDOWS\system32\wsaudio.dll', '');
 DeleteFile('C:\WINDOWS\System32\wsaudio.dll', '64');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\wsaudio\');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.


 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

[jura.abramchuk 0]

Re: MEM:Trojan.Win32.Stantinko.gen [KLAN-8274878087]

 

Thank you for contacting Kaspersky Lab

The files have been scanned in automatic mode.

No information about the specified files can be found in the antivirus databases:
wsaudio.dll

We will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.

This is an automatically generated message. Please do not reply to it.

Anti-Virus Lab, Kaspersky Lab HQ

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia
Tel./Fax: + 7 (495) 797 8700 
http://www.kaspersky.com https://www.securelist.com"

[regist 617]

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

это тоже сделайте.

[jura.abramchuk 0]

По каким правилам повторить логи?

Что еще тоже сделать?

[akoK 138]

 

 

Что еще тоже сделать?

Запустите автологер который соберет новый комплект логов.

[jura.abramchuk 0]

DONE

CollectionLog-2018.06.24-00.06.zip

[regist 617]

Здравствуйте!

 

1) Удалите остатки avast https://safezone.cc:443/threads/chistka-sistemy-posle-nekorrektnogo-udalenija-antivirusa.58/

 

2)

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\WINDOWS\system32\wsaudio.dll', '');
 DeleteFile('C:\WINDOWS\system32\wsaudio.dll', '');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

3)  - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

4) "Пофиксите" в HijackThis:

O21 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive1 - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive2 - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive3 - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive4 - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive5 - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive6 - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive7 - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers: 00asw - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers: 00avast - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive1 - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive2 - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive3 - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive4 - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive5 - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive6 - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers:  OneDrive7 - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O22 - Task: (disabled) \Microsoft\Windows\Shell\FamilySafetyUpload - {EBF00FCB-0769-4B81-9BEC-6C05514111AA},4 - (no file)
O22 - Task: \Microsoft\Windows\NetCfg\BindingWorkItemQueueHandler - {5AA199A0-1CED-43A5-9B85-3226086738A3} - (no file)
O22 - Task: \Microsoft\Windows\PerfTrack\BackgroundConfigSurveyor - {EA9155A3-8A39-40B4-8963-D3C761B18371} - (no file)
O22 - Task: \Microsoft\Windows\SkyDrive\Idle Sync Maintenance Task - {BF6C1E47-86EC-4194-9CE5-13C15DCB2001},IdleSyncMaintenance - (no file)
O22 - Task: \Microsoft\Windows\SkyDrive\Routine Maintenance Task - {1B1F472E-3221-4826-97DB-2C2324D389AE},RoutineMaintenance - (no file)

5) 7-Zip 9.38 (x64 edition) - советую обновить.

 

Skype Click to Call - советую деинсталировать.

Unity Web Player [2018/05/26 01:17:46]-->C:\Users\Jura\AppData\Local\Unity\WebPlayer\Uninstall.exe /CurrentUser
Менеджер браузеров [20170914]-->MsiExec.exe /X{FABA89D9-D588-4770-9F85-F6FF9F064257}
Менеджер браузеров [2018/05/26 01:17:46]-->"C:\Users\Jura\AppData\Local\Package Cache\{d4bb3741-07a4-443a-8c73-0cfda821c697}\BrowserManagerInstaller.exe"  /uninstall

если не используете, то тоже деинсталировать.

 

6) - Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:
 

>>>  "C:\Users\Jura\AppData\Local\Amigo\User Data\Default\Web Applications\_crx_mbipmajmbfjakbcfnjdldckninlnmhoe\Амиго.Музыка.lnk"           -> ["C:\Users\Jura\AppData\Local\Amigo\Application\amigo.exe"  =>> --profile-directory=Default --app-id=mbipmajmbfjakbcfnjdldckninlnmhoe]
>>>  "C:\Users\Jura\AppData\Local\Packages\Evernote.Evernote_q4d96b2w5wcc2\LocalCache\Roaming\Microsoft\Windows\SendTo\Evernote.lnk"         -> ["C:\Program Files\WindowsApps\Evernote.Evernote_6.4.3788.0_x86__q4d96b2w5wcc2\VFS\Evernote.exe"]
>>>  "C:\Users\Jura\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\archive.lnk"     -> ["C:\Users\Jura\Downloads\archive.rar.exe"]
>>>  "C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk"     -> ["C:\Users\Administrator\AppData\Local\Microsoft\OneDrive\OneDrive.exe"]
>>>  "C:\Users\Jura\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk"    -> ["C:\Users\Jura\AppData\Local\Microsoft\OneDrive\OneDrive.exe"]

 
7) Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,      

• Скачайте Universal Virus Sniffer (uVS)
• Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
  

  !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

• Дождитесь окончания работы программы и прикрепите лог к посту в теме.
  

  !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

+ рассширения Стартовая — Яндекс, Mail.ru сами ставили?

Изменено 24 июня, 2018 пользователем regist

[jura.abramchuk 0]

Re: MEM:Trojan.Win32.Stantinko.gen [KLAN-8278301700]

 

Thank you for contacting Kaspersky Lab

The files have been scanned in automatic mode.

No information about the specified files can be found in the antivirus databases:
wsaudio.dll

We will thoroughly analyze the files you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.

This is an automatically generated message. Please do not reply to it.

Anti-Virus Lab, Kaspersky Lab HQ

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia
Tel./Fax: + 7 (495) 797 8700 
http://www.kaspersky.com https://www.securelist.com"

ОТВЕТ НА: 6) - Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:

ОТВЕТ НА: 7) Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования

ClearLNK-2018.06.24_12.12.53.log

JURA-PC_2018-06-24_12-24-19.7z

[regist 617]

 

 

рассширения Стартовая — Яндекс, Mail.ru сами ставили?

не ответили.

[jura.abramchuk 0]

не уверен. можно удалить.

[regist 617]

 

 

Удалите остатки avast https://safezone.cc:...-antivirusa.58/

Там же посмотрите инструкцию и удалите остатки MCAFEE

 

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   

   ;uVS v4.0.12 [http://dsrt.dyndns.org]
   ;Target OS: NTv10.0
   v400c
   BREG
   ;---------command-block---------
   delref %SystemDrive%\USERS\JURA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\FHEOGGKFDFCHFPHCEEIFDBEPAOOICAHO\5.0.544.0_1\MCAFEE® WEBADVISOR
   zoo %SystemDrive%\PROGRAM FILES (X86)\MCAFEE\SITEADVISOR\SAUI.EXE
   delall %SystemDrive%\PROGRAM FILES (X86)\MCAFEE\SITEADVISOR\SAUI.EXE
   delref %SystemDrive%\USERS\JURA\APPDATA\LOCAL\YANDEX\BROWSERMANAGER\MBLAUNCHER.EXE
   delref %SystemDrive%\USERS\JURA\APPDATA\LOCAL\PROGRAMS\OPERA\LAUNCHER.EXE
   delref HTTP://MAIL.RU/CNT/10445?GP=811203
   delref HTTP://MAIL.RU/CNT/10445?GP=818408
   delref HTTP://MAIL.RU/CNT/10445?GP=818410
   delref %SystemDrive%\USERS\JURA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\ODIJCGAFKHPOBJLNFDGIACPDENPMBGME\11.0.4_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
   delref %SystemDrive%\USERS\JURA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\ICANJJKADCEEBMHANPEKKOFDHCLNOIJL\11.0.29_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
   delref %SystemDrive%\USERS\JURA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\EHFJIHAHBPHDPLJPIADBKMGMHNFEHHGI\11.0.25_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
   delref %SystemDrive%\USERS\JURA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CCFIFBOJENKENPKMNBNNDEADPFDIFFOF\11.0.26_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
   delref %SystemDrive%\USERS\JURA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ\7.1.30_0\ВИЗУАЛЬНЫЕ ЗАКЛАДКИ MAIL.RU
   delref %SystemDrive%\USERS\JURA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NECFMKPLPMINFJAGBLFABGGOMDPAAKAN\2.0.3.11_1\ПОИСК  ЯНДЕКСA
   delref %SystemDrive%\USERS\JURA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JDFONANKHFNHIHDCPAAGPABBAOCLNJFP\2.0.1.11_0\ПОИСК  ЯНДЕКСA
   delref %SystemDrive%\USERS\JURA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BEJNPNKHFGFKCPGIKIINOJLMDCJIMOBI\1.2.9.2_0\ПОИСК  ЯНДЕКСA
   delref %SystemDrive%\USERS\JURA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PHKDCINMMLJBLPNKOHLIPAIODLONPINF\11.0.3_0\ПОИСК MAIL.RU
   delref %SystemDrive%\USERS\JURA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB\7.0.25_0\ПОИСК MAIL.RU
   delref %SystemDrive%\USERS\JURA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PFIGAOAMNNCIJBGOMIFAMKMKIDNNLIKL\2.0.1.14_0\ПОИСК И СТАРТОВАЯ  – ЯНДЕКС
   delref %SystemDrive%\USERS\JURA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEIDJEEFDDHGEFEPLHDLEGOLDLGIODON\2.0.2.11_1\ПОИСК И СТАРТОВАЯ  – ЯНДЕКС
   delref %SystemDrive%\USERS\JURA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GDLJKKMGHDKCKHAOGAEMGBGDFOPHKFCO\1.2.9.3_0\ПОИСК И СТАРТОВАЯ  – ЯНДЕКС
   delref %SystemDrive%\USERS\JURA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PMPOAAHLECCAIBBHFJFIMIGEPMFMMBBK\3.3.36_0\ПУЛЬС
   delref %SystemDrive%\USERS\JURA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PPIAOJPBCLPEGKKKMIKABINLPBAHHBHA\3.1.13.46_0\СОВЕТНИК ЯНДЕКС.МАРКЕТА
   delref %SystemDrive%\USERS\JURA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD\2.0.1.11_0\СТАРТОВАЯ — ЯНДЕКС
   delref %SystemDrive%\USERS\JURA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\HPCGHCDJNEHPKDECAFLPEDHKLIMNEJIA\2.0.0.11_1\СТАРТОВАЯ — ЯНДЕКС
   delref %SystemDrive%\USERS\JURA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\DKEKDLKMDPIPIHONAPOLEOPFEKMAPADH\1.2.9.2_0\СТАРТОВАЯ — ЯНДЕКС
   delref %SystemDrive%\USERS\JURA\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\APHFHBBGCCFPEACNHCIDBAFBEGHEPPFG\3.0.1.50_0\ЯНДЕКС.СОВЕТНИК
   delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBEJNPNKHFGFKCPGIKIINOJLMDCJIMOBI%26INSTALLSOURCE%3DONDEMAND%26UC
   delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGDLJKKMGHDKCKHAOGAEMGBGDFOPHKFCO%26INSTALLSOURCE%3DONDEMAND%26UC
   delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD%26INSTALLSOURCE%3DONDEMAND%26UC
   delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3DONDEMAND%26UC
   delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3DONDEMAND%26UC
   delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEHFJIHAHBPHDPLJPIADBKMGMHNFEHHGI%26INSTALLSOURCE%3DONDEMAND%26UC
   delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DICANJJKADCEEBMHANPEKKOFDHCLNOIJL%26INSTALLSOURCE%3DONDEMAND%26UC
   delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DODIJCGAFKHPOBJLNFDGIACPDENPMBGME%26INSTALLSOURCE%3DONDEMAND%26UC
   delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3DONDEMAND%26UC
   delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPHKDCINMMLJBLPNKOHLIPAIODLONPINF%26INSTALLSOURCE%3DONDEMAND%26UC
   delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPMPOAAHLECCAIBBHFJFIMIGEPMFMMBBK%26INSTALLSOURCE%3DONDEMAND%26UC
   delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\MCAFEE\PLATFORM\PLATFORMSERVICEFWPS.DLL
   delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MCAFEE\HACKERWATCH\HWAPI.DLL
   delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MCAFEE\PLATFORM\MCSVCHOST\MCSVHVER.DLL
   delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MCAFEE\SYSTEMCORE\\MFEFIRE.EXE
   delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MCAFEE\UPDMGR\308053~1.4\MCCOREPS.DLL
   delref %SystemDrive%\PROGRAM FILES\MCAFEE\MPF\MPFPP.DLL
   delref %SystemDrive%\PROGRAM FILES\MCAFEE\VIRUSSCAN\MCCTXMNU.DLL
   delref %SystemDrive%\PROGRAM FILES\MCAFEE\VIRUSSCAN\MCOASSHM.DLL
   delref %SystemDrive%\PROGRAM FILES\MCAFEE\VIRUSSCAN\MCVSOCFG.DLL
   delref %SystemDrive%\PROGRAM FILES\MCAFEE\VIRUSSCAN\MCVSPS.DLL
   delref %SystemDrive%\PROGRAM FILES\MCAFEE\VIRUSSCAN\MVSAP.DLL
   delref %SystemDrive%\PROGRAM FILES\MCAFEE\VIRUSSCAN\MVSVER.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.5\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.5\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
   delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
   delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
   delref {19916E01-B44E-4E31-94A4-4696DF46157B}\[CLSID]
   delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
   delref {444785F1-DE89-4295-863A-D46C3A781394}\[CLSID]
   delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
   delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
   delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
   delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
   delref {DFEAF541-F3E1-4C24-ACAC-99C30715084A}\[CLSID]
   delref HTTP://GO.MAIL.RU/DISTIB/EP/?Q={SEARCHTERMS}&PRODUCT_ID=%7B316F2802-948D-422D-9A5B-71669BEF615E%7D&GP=811041
   delref HTTP://ACER13.MSN.COM/?PC=ACJB
   delref %Sys32%\DTSBASSENHANCEMENTDLL64.DLL
   bl 43468F513384F779BF7DCBDDDA2C5F5C 681984
   zoo %SystemRoot%\SYSWOW64\WSAUDIO.DLL
   delall %SystemRoot%\SYSWOW64\WSAUDIO.DLL
   apply
   
   czoo
   restart

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
   
   Если архив отсутствует, то
   заархивруйте папку ZOO
   с паролем
   virus
   .

7. Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

+ отпишитесь, что с проблемой?

+

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ClearQuarantine;
 QuarantineFile('C:\Users\Jura\AppData\Local\Amigo\User Data\Default\Web Applications\_crx_mbipmajmbfjakbcfnjdldckninlnmhoe\Амиго.Музыка.lnk', '');
CreateQurantineArchive(GetAVZDirectory + 'Shotcut.zip');
end.

Файл Shotcut.zip из папки AVZ прикрепите к сообщению.

[jura.abramchuk 0]

DONE

ФАЙЛ ОТСУТСТВУЕТ: 'C:\Users\Jura\AppData\Local\Amigo\User Data\Default\Web Applications\_crx_mbipmajmbfjakbcfnjdldckninlnmhoe\Амиго.Музыка.lnk'

Shotcut.zip

[regist 617]

Навсякий случай свежие логи Автологером сделайте.

+

 

 

отпишитесь, что с проблемой?

[jura.abramchuk 0]

После очередного обновления Касперскому удалось удалить файл "C:\WINDOWS\System32\wsaudio.dll"

Теперь все ОК!

 

Спасибо!