thyrex 1 487 Опубликовано 13 мая Share Опубликовано 13 мая Никаких ручных удалений больше не выполнять. Ждите скрипт от коллеги. Ссылка на сообщение Поделиться на другие сайты
safety 96 Опубликовано 13 мая Share Опубликовано 13 мая (изменено) Выполняем очистку системы в uVS: Выполните в uVS скрипт из буфера обмена. ЗАпускаем start,exe от имени Администратора (если не запущен) текущий пользователь, Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер. В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена" Скрипт автоматически очистит систему и перезагрузит систему. ;uVS v4.15.3v [http://dsrt.dyndns.org:8888] ;Target OS: NTv10.0 v400c OFFSGNSAVE zoo %SystemRoot%\SYSWOW64\MOBSYNC.DLL ;---------command-block--------- delall %SystemRoot%\SYSWOW64\MOBSYNC.DLL delall %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\PROGRAMS\BF5FEC3D9E46\851F9C0816.MSI delall %SystemDrive%\PROGRAM FILES\WPROXY\WINPROXY\WINPROXY.EXE delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMLMEKGIEFHNGCMOOBPNKOMDFGLJEPODF%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFHKBFKKOHCDGPCKFFAKHBLLIFKAKIHMH%26INSTALLSOURCE%3DONDEMAND%26UC apply restart czoo После перезагрузки: Архив ZOO_дата_время.7z из папки, откуда запускали uVS загрузите на облачный диск и дайте ссылку на скачивание в ЛС. Добавьте файл дата_времяlog.txt из папки откуда запускали uVS Далее, Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool. Загрузите в ваше сообщение файлы FRST.txt, Addition.txt Изменено 13 мая пользователем safety Ссылка на сообщение Поделиться на другие сайты
Winlin 0 Опубликовано 13 мая Автор Share Опубликовано 13 мая (изменено) "RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\MobSyncBrokerSvc_8b98b4\Parameters','ServiceDll','x64'); удалил c:\windows\SysWOW64\mobsync.dll удалил после этого при перезагрузке Вирус больше не детектируется. PROGRAM FILES\WPROXY\WINPROXY\WINPROXY.EXE %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\PROGRAMS\BF5FEC3D9E46\851F9C0816.MSI это уже раньше до обращения удалил Изменено 13 мая пользователем Winlin Ссылка на сообщение Поделиться на другие сайты
safety 96 Опубликовано 13 мая Share Опубликовано 13 мая 6 minutes ago, Winlin said: Название: MEM:Backdoor.Win32.Insistent.gen возможно, это детект на активность syswow64/svchost.exe через которую загружается mobsync.dll Ссылка на сообщение Поделиться на другие сайты
thyrex 1 487 Опубликовано 13 мая Share Опубликовано 13 мая Строгое предупреждение от модератора thyrex Повторяю еще раз для непонятливых: никаких самостоятельных действий. Либо тему просто закроем Ждем выполнения написанного выше. 1 Ссылка на сообщение Поделиться на другие сайты
safety 96 Опубликовано 13 мая Share Опубликовано 13 мая 2 minutes ago, Winlin said: это уже раньше до обращения удалил хорошо, сейчас надо выполнить скрипт в uVS, и после перезагрузки сделать логи FRST, по логам FRST посмотрим, что осталось. Или не осталось. Ссылка на сообщение Поделиться на другие сайты
Winlin 0 Опубликовано 13 мая Автор Share Опубликовано 13 мая 12 минут назад, safety сказал: Архив ZOO_дата_время.7z из папки, откуда запускали uVS загрузите на облачный диск и дайте ссылку на скачивание в ЛС. папка пуста, что логично. файлы то я удалял раньше. Ссылка на сообщение Поделиться на другие сайты
safety 96 Опубликовано 13 мая Share Опубликовано 13 мая (изменено) сейчас ваша задача выполнить скрипт в uVS и действовать строго по шагам, описанным в рекомендации: дублирую еще раз сообщение: Выполняем очистку системы в uVS: Выполните в uVS скрипт из буфера обмена. ЗАпускаем start,exe от имени Администратора (если не запущен) текущий пользователь, Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер. В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена" Скрипт автоматически очистит систему и перезагрузит систему. скрипт ниже: ;uVS v4.15.3v [http://dsrt.dyndns.org:8888] ;Target OS: NTv10.0 v400c OFFSGNSAVE zoo %SystemRoot%\SYSWOW64\MOBSYNC.DLL ;---------command-block--------- delall %SystemRoot%\SYSWOW64\MOBSYNC.DLL delall %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\PROGRAMS\BF5FEC3D9E46\851F9C0816.MSI delall %SystemDrive%\PROGRAM FILES\WPROXY\WINPROXY\WINPROXY.EXE delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMLMEKGIEFHNGCMOOBPNKOMDFGLJEPODF%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFHKBFKKOHCDGPCKFFAKHBLLIFKAKIHMH%26INSTALLSOURCE%3DONDEMAND%26UC apply restart czoo После перезагрузки: Архив ZOO_дата_время.7z из папки, откуда запускали uVS загрузите на облачный диск и дайте ссылку на скачивание в ЛС. Добавьте файл дата_времяlog.txt из папки откуда запускали uVS Далее, Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool. Загрузите в ваше сообщение файлы FRST.txt, Addition.txt Изменено 13 мая пользователем safety Ссылка на сообщение Поделиться на другие сайты
Winlin 0 Опубликовано 13 мая Автор Share Опубликовано 13 мая после "Выполните в uVS скрипт из буфера обмена." папка ZOO пуста 2024-05-13_19-43-14_log.txtAddition.txtFRST.txt Ссылка на сообщение Поделиться на другие сайты
safety 96 Опубликовано 13 мая Share Опубликовано 13 мая По очистке системы: Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт автоматически очистит систему, и завершит работу без перезагрузки. Start:: 2024-05-13 15:18 - 2024-05-13 15:18 - 000000000 ____D C:\ProgramData\CloudSecure-18de2eec-220c-4db6-aaba-da309839044f 2024-05-13 15:17 - 2024-05-13 15:17 - 000000048 _____ C:\Users\admin\Desktop\CloudSecure-18de2eec-220c-4db6-aaba-da309839044f.txt End:: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение. Ссылка на сообщение Поделиться на другие сайты
Winlin 0 Опубликовано 13 мая Автор Share Опубликовано 13 мая C:\ProgramData\CloudSecure-18de2eec-220c-4db6-aaba-da309839044f папка пуста. еще до обращения она возникала после удаления при перезагрузке. я ее удалил , создал пустую с тем же именем и запретил у админа и систему запись в нее. скрипт запускаю Ссылка на сообщение Поделиться на другие сайты
safety 96 Опубликовано 13 мая Share Опубликовано 13 мая ждем Fixlog Ссылка на сообщение Поделиться на другие сайты
Winlin 0 Опубликовано 13 мая Автор Share Опубликовано 13 мая Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
safety 96 Опубликовано 13 мая Share Опубликовано 13 мая Хорошо, если других проблем не осталось, тему закрываем. Ссылка на сообщение Поделиться на другие сайты
Winlin 0 Опубликовано 13 мая Автор Share Опубликовано 13 мая спасибо большое!!! Остался вопрос по чистке реестра Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения