Перейти к содержанию

NVDisplayPluginWatchdog


Рекомендуемые сообщения

Всем трям

 

Буквально сегодня словил вирус. Ко всем папкам и файлам на всех дисках практически в одно и то же время приписалось ".exe". 

Не особо раздумывая перезагрузил, система загружаться отказалась (win7х64).

Переустановил по быстрому без форматирования, а все, кроме системного, харды отключил.

 

Какое-то время система работала нормально, а потом опять папка одного из приложений, установленного в корне, переименовалась с дописыванием .exe.

Стал смотреть\тестить и убивать процессы. Не знаю, как дальше складно изложить - перечислю тезисно:

- Все папки с .exe имеют размер 7.5кб и определяются как приложения, хотя имеют значок папки.

- По двойному щелчку открывается новое окно и я перехожу в реальное содержание папки, но путь к ней C:\NVDisplayPluginWatchdog\..

- В настройках папок в системе стоит, чтобы открывать по двойному в том же окне и так и было по началу после переустановки винды, но сейчас открывает в новом окне.

- В корне есть скрытая папка NVDisplayPluginWatchdog и в ней все эти папки в нормальном виде без расширений.

- В процессах был процесс NVDisplayPluginWatchdog, появлявшийся после двойных щелчков в папках. Сначала он ссылался на одноименный скрытый файл в папке C:\Users\Администратор\AppData\Roaming, удалил. Затем на такой же в  C:\NVDisplayPluginWatchdog, тоже удалил. Сейчас процесс не появляется, но, вероятно, есть еще какие-то связанные процессы. Вообще поубивал все, что имело приписку nvidia.

 

 

Что это может быть и как вылечить? До сегодняшнего дня с вирусами особо не сталкивался..

 

upd увидел про файлы логов - попробую сделать все по инструкции и добавить, но просто может проблема известная и уже есть решение?

Изменено пользователем Gosha Petrovich
Ссылка на сообщение
Поделиться на другие сайты

Скорее всего вирус скрыл ваши папки, а вместо них создал ярлык или файл с её именем маскирующимся под вашу папку. Так что удалять всё подряд пока не торопитесь (особенно если место на диске занимаете, столько же сколько и раньше).

 

А чтобы помочь с лечением нужны логи, каждый случай индивидуален.

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\NVDisplayPluginWatchdog.exe', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\NVDisplayPluginWatchdog.URL', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\NVDisplayPluginWatchdog.exe', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\NVDisplayPluginWatchdog.js', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\NVDisplayPluginWatchdog.vbs', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\NVDisplayPluginWatchdog.lnk', '');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\NVDisplayPluginWatchdog.exe', '32');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\NVDisplayPluginWatchdog.js', '32');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\NVDisplayPluginWatchdog.URL', '32');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\NVDisplayPluginWatchdog.vbs', '32');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\NVDisplayPluginWatchdog.exe', '32');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\NVDisplayPluginWatchdog.js', '');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\NVDisplayPluginWatchdog.vbs', '');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\NVDisplayPluginWatchdog.exe');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\NVDisplayPluginWatchdog.lnk');
 ExecuteFile('schtasks.exe', '/delete /TN "NVDisplayPluginWatchdog" /F', 0, 15000, true);
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'NVDisplayPluginWatchdog');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

 

Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Результаты последовательно буду выкладывать

 

VirusDetector:

https://virusinfo.info/showthread.php?t=214784

https://virusinfo.info/virusdetector/report.php?md5=EAE3AB0973E0281254C153F126690E3C


по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

KLAN-6679888207

 

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
NVDisplayPluginWatchdog.exe
NVDisplayPluginWatchdog.URL
NVDisplayPluginWatchdog.js
NVDisplayPluginWatchdog.vbs
NVDisplayPluginWatchdog.lnk

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.


ClearLNK:

 


Логи:

 


Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

 

Один раз или два сделать повторно? Сделал один


 Malwarebytes:

 

ClearLNK-19.08.2017_13-29.log

CollectionLog-2017.08.19-13.36.zip

Malwarebytes_Scan_13.47.txt

Ссылка на сообщение
Поделиться на другие сайты

1) Этот файл вам знаком?

C:\Windows\REG\Profile.cmd

2) Удалите в MBAM всё найденное.

 

3)

  1. Вставьте диск, с которого устанавливали Windows (либо другой но с той же локализацией и тем же сервис паком (SP) что установлен у вас.
    • Если у вас windows Vista или windows 7 откройте меню "Пуск" ("Start") и в строке поиска введите "cmd". На результатах поиска нажмите правой клавишей мыши и выберите пункт "Запуск от имени администратора".
    • Если у вас windows XP откройте меню Пуск (Start) -> Выполнить (Run)


  [*]Введите sfc /scannow и нажмите Энтер. [*]Система восстановит недостающие или изменённые системные файлы, для этого может потребоваться перезагрузка. [*]После того как закончится проверка в командной строке введите команду:

findstr /c:"[SR]" %windir%\Logs\CBS\CBS.log>%SYSTEMDRIVE%\sfcdetails.txt
[*]После выполнения вышеописанных операций в корне системного диска (тот диск,на котором установлена операционная система-как правило диск С) найдите файл sfcdetails.txt, прикрепите его к следующему сообщению.


 

Ссылка на сообщение
Поделиться на другие сайты

 

 

1) Этот файл вам знаком?

Нет..

 

После всего еще прогнал проверку Malwarebytes - нашел какой-то 1 троян 

Trojan.Perseus.MSIL  путь C:\$RECYCLE.BIN\S-1-5-21-(много цифр)\$RYKRFCT.EXE

Папки стали открываться в своих окнах :)   :ura:

sfcdetails.txt

Изменено пользователем Gosha Petrovich
Ссылка на сообщение
Поделиться на другие сайты

 

 


После всего еще прогнал проверку Malwarebytes - нашел какой-то 1 троян Trojan.Perseus.MSIL путь C:\$RECYCLE.BIN\S-1-5-21-(много цифр)\$RYKRFCT.EXE
мусор с корзины надо выкидывать ;)

 

MBAM деинсталируйте.

 

 

 


Нет..
Откройте тогда
C:\Windows\REG\Profile.cmd

блокнотом и напишите тут его содержимое.

Ссылка на сообщение
Поделиться на другие сайты

C:\Windows\REG\Profile.txt

 

содержимое:

@echo off


echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [ 0%% ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [= 2%% ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [== 4%% ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [=== 6%% ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [==== 8%% ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [===== 10%% ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [====== 12%% ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [======= 14%% ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [======== 16%% ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [========= 18%% ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [========== 20%% ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [=========== 22%% ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [============ 24%% ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [============= 26%% ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [============== 28%% ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [=============== 30%% ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [================ 32%% ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [================= 34%% ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [================== 36%% ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [=================== 38%% ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [==================== 40%% ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [===================== 42%% ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [====================== 44%% ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [=======================46%% ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [=======================48%% ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [=======================50%% ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [=======================52%% ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [=======================54%% ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [=======================56%%= ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [=======================58%%== ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [=======================60%%=== ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [=======================62%%==== ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [=======================64%%===== ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [=======================66%%====== ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [=======================68%%======= ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [=======================70%%======== ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [=======================72%%========= ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [=======================74%%========== ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [=======================76%%=========== ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [=======================78%%============ ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [=======================80%%============= ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [=======================82%%============== ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [=======================86%%=============== ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [=======================88%%================ ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [=======================90%%================= ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [=======================92%%================== ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [=======================94%%=================== ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [=======================96%%==================== ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [=======================98%%===================== ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [=======================100%%=====================]
sleep 1
cls

start /wait REGEDIT /S "%SystemRoot%\REG\HKCU.reg"
start /wait REGEDIT /S "%SystemRoot%\REG\IE9.reg"
start /wait REGEDIT /S "%SystemRoot%\REG\WMP12.reg"
start /wait REGEDIT /S "%SystemRoot%\REG\ProfileSetDel.reg"
start /wait REGEDIT /S "%SystemRoot%\REG\AutoLogonDel.reg"

shutdown -l -f


exit

 

PROFILE.txt

Ссылка на сообщение
Поделиться на другие сайты

Странный батник. А посмотрите ещё там файлы

C:\Windows\REG\HKCU.reg
C:\Windows\REG\IE9.reg
C:\Windows\REG\WMP12.reg
C:\Windows\REG\ProfileSetDel.reg
C:\Windows\REG\AutoLogonDel.reg

заархивируйте их и тоже прикрепите. Или сразу целиком эту папку reg

Ссылка на сообщение
Поделиться на другие сайты

 

 


похоже на твики, которые шли после установки винды, но могу ошибаться
Судя по их содержимому не ошибаетесь.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
Ссылка на сообщение
Поделиться на другие сайты

@regist, и это все, мы вылечены?))

 

А можно уже точно констатировать, что вирус делал? Изменял ли файлы или только 

переносил всё в папку NVDisplayPluginWatchdog? И видимо переносил все, раз винда не смогла перезагрузиться?

 

Вроде файлы он не менял.. Я полностью вчера скопировал в корень прогу из папки прежней винды и она благополучно работала. И заметной разницы в объемах дисков не было, когда вирус обнаружился.

 

И как мне привести все в нормальный вид..

Вообще, системный хард меня не сильно беспокоит. Там даже если бы была потеря данных, было бы неприятно, но некритично. Все равно скорее всего его отформатирую и заново поставлю винду. Меня беспокоят других два харда с кучей инфы, которые нужно будет приводить в порядок после системного.

Ссылка на сообщение
Поделиться на другие сайты

и это все, мы вылечены?))

Да.

 

 

 

А можно уже точно констатировать, что вирус делал?

с этим к аналитикам. Вы же файлы прямо в вирлаб к ним посылали, а не ко мне. И я никакого отношения к ним не .имею.

 

 

 

Все равно скорее всего его отформатирую и заново поставлю винду.

и опять эту же сборку? Тут помимо этих твиков у вас ещё кучу системных файлов восстановили, не факт что это не родный дефект вашей сборки. У неё много глюков может быть.

 

 

И как мне привести все в нормальный вид..

В чём сейчас проблема заключается? Я же не вижу, что у вас там творится.

Ссылка на сообщение
Поделиться на другие сайты

 

Да.

Ураа!!  :lol:  Отделался испугом..

 

с этим к аналитикам

 

На форум virusinfo?

 

В чём сейчас проблема заключается? Я же не вижу, что у вас там творится.

 

Вот как выглядит диск С сейчас:

https://yadi.sk/i/P9w1DEkn3MA2fi

У неё много глюков может быть.

 

оффтоп:

 

Вопрос, конечно, интересный... Я несколько лет пользовался этой сборкой. Проблемы начались только последние несколько месяцев. Основные плюсы были - делал админ для себя, постустановка мелочей разных, которые ненужно руками ставить, и производительность (люблю скорость, простоту и отсутствие ненужных красивостей  :) ). Сборка по-своему известная и одобренная в инете - Windows7 Twilight Angel Edition. Жаль он ее перестал поддерживать.

Я бы поставил чего-нибудь поновее, но что? Если можете подсказать что-то в таком духе - напишите плз) Тут или в личке

Последний скрипт для AVZ выдал 7 уязвимостей. Может дело было лишь в этом, как знать...

 

 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...