Перейти к содержанию
Правила раздела

Вирусы

Максимовна

Автор Максимовна
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Sandor

Sandor

Опубликовано
Опубликовано

Следующую рекомендацию выполните в безопасном режиме.

  • Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

    ;uVS v3.87.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v388c
BREG
zoo %SystemDrive%\PROGRAM FILES (X86)\141BADEA-873F-4D29-989C-A4C462A79A261486966868\PRO141BADEA-873F-4D29-989C-A4C462A79A26.EXE
bl 47F40568CFFB31C78AB521DEFDBCF7BB 230400
addsgn 1A477C9A5583C28CF42BFB3A8895FBC6D37503CD847E6F3B8531B0BEA21583A5061AC357F202CB1A187F0FDB6202423A00CBAFF901FEA0DBF5807EAC1F06AB37 8 AdWare.Win32.ConvertAd.bxsv [Kaspersky]

zoo %SystemDrive%\PROGRAM FILES (X86)\141BADEA-873F-4D29-989C-A4C462A79A261486966868\KNSFF94.TMP
bl D8AD61DD9A32A8D133DF0BE714EABE3C 545280
addsgn 1A6F729A5583C28CF42B95BCB0D85A05D7FFFE044A08F68083C3C54375B6C30A239C8EA35ADC90492B8084C6194917A1F63AB523A719E048D242A42FC706AF37 64 AdWare.Win32.Generic [Kaspersky]

zoo %Sys32%\DRIVERS:UCDRV-X64.SYS
bl E92C1F9DFA432974A623FCC77EB4D134 50888
addsgn BA652BBE5D3D04F1E7F4E63ABE8099FCCD9DFCF689B294ABCD480AF4DB8A557C6B94077761BCCFB1D47F48530E9D4C5BCA2017376613F9941FD57B025E2D2273 64 UC Web

zoo %SystemDrive%\PROGRAMDATA\{8A1-5A-A0-004FF-92AED-93F8-A5389}\-VFZ01T6G-.EXE
bl 24B8B242995E72635890D4EEAF9DBFE0 633856
delall %SystemDrive%\PROGRAMDATA\{8A1-5A-A0-004FF-92AED-93F8-A5389}\-VFZ01T6G-.EXE
zoo %SystemDrive%\USERS\НАТАША\APPDATA\ROAMING\DREVOSYVPOPH\QALALYVNITY.DLL
bl 255EC811D69203288AAE136AA71ED293 145408
delall %SystemDrive%\USERS\НАТАША\APPDATA\ROAMING\DREVOSYVPOPH\QALALYVNITY.DLL
zoo %SystemDrive%\PROGRAMDATA\{8A1-5A-A0-004FF-92AED-93F8-A5389}\O1J6L3_Ç7R.EXE
bl 1C5F8633E5839CA74053D5316017CF20 837120
delall %SystemDrive%\PROGRAMDATA\{8A1-5A-A0-004FF-92AED-93F8-A5389}\O1J6L3_Ç7R.EXE
chklst
delvir

deltmp
czoo
restart
  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  • После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

  • Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  • Подробнее читайте в этом руководстве.
В обычном режиме повторите образ автозапуска uVS для контроля.
  • Ответов 56
  • Создана
  • Последний ответ

Топ авторов темы

  • Максимовна

    29

  • Sandor

    28

Популярные дни

Топ авторов темы

Популярные дни

Популярные посты

Sandor
Sandor

Через Uninstall Tool удалите форсировано Сообщите что из проблем осталось.

Sandor
Sandor

Uninstall Tool - у Вас в перечне установленных программ.   Или можете удалить через Revo Uninstall

Sandor
Sandor

Хорошо, если проблем не осталось, будем завершать.

Изображения в теме

Максимовна

Максимовна

Опубликовано
  • Автор
Опубликовано

"В обычном режиме повторите образ автозапуска uVS для контроля" -  Отправила файл письмом, сообщением не получилось. Ещё повторила образ uVS для контроля. Теперь ждать результатов проверки в лаборатории? 

Sandor

Sandor

Опубликовано
Опубликовано

ждать результатов проверки в лаборатории?

Подразумевалось повторить лог uVS (как в сообщении №14) и прикрепить здесь.

Sandor

Sandor

Опубликовано
Опубликовано

В обычном режиме:

  • Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

    ;uVS v3.87.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v388c
BREG
zoo %Sys32%\DRIVERS:UCDRV-X64.SYS
bl E92C1F9DFA432974A623FCC77EB4D134 50888
addsgn BA652BBE5D3D04F1E7F4E63ABE8099FCCD9DFCF689B294ABCD480AF4DB8A557C6B94077761BCCFB1D47F48530E9D4C5BCA2017376613F9941FD57B025E2D2273 64 UC Web

delall %Sys32%\BI3.EXE
delref HTTP://D2BUH1BF1G584W.CLOUDFRONT.NET/MSI/REL.PHP?U=WDCXWD3200LPCX-24C6HT0_WD-WX41AB3V8745V8745&AMP;V=2017214
delref HTTP://WWW%2DSEARCHING.COM/?PRD=SET_EPF&AMP;S=H2EZTRMBL10BU,C61D1DC8-FC4C-4743-8460-4F7AFF04B0FC,
zoo %SystemDrive%\PROGRAM FILES (X86)\REERWERGHTSERGALE\MIMOCH.EXE
bl 672F9DFAB8F6B53ED8677148DE9435F1 1023944
delall %SystemDrive%\PROGRAM FILES (X86)\REERWERGHTSERGALE\MIMOCH.EXE
zoo %SystemDrive%\PROGRAMDATA\SEARCHMODULE\SMHE.JS
bl 7BF3C54F6D4DC3E7AD812C9B5CD208FF 403
delall %SystemDrive%\PROGRAMDATA\SEARCHMODULE\SMHE.JS
zoo %SystemDrive%\PROGRAMDATA\SMP2.EXE
bl A2384665E0811BCC6175E5D14EE0A34E 326144
delall %SystemDrive%\PROGRAMDATA\SMP2.EXE
zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\NOOBZO\GNUPDATE\SMU.EXE
bl CB17E6EB1C8916176137C5AA207BDAC6 3110400
delall %SystemDrive%\PROGRAM FILES\COMMON FILES\NOOBZO\GNUPDATE\SMU.EXE
delall %SystemDrive%\USERS\НАТАША\APPDATA\LOCAL\BROWSERAIR\48.0.0.0\UPDATER.EXE
chklst
delvir

czoo
restart
  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  • После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

  • Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  • Подробнее читайте в этом руководстве.
Еще раз, пожалуйста, повторите лог uVS.
Sandor

Sandor

Опубликовано
Опубликовано (изменено)

Еще немного :)

 

В безопасном режиме(!) выполните:

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
R1 ucdrv; C:\Windows\System32\drivers:ucdrv-x64.sys [25444 ] (UC Web Inc.) <==== ATTENTION
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

 

Повторите свежие логи FRST (FRST.txt и Addition.txt) в обычном режиме.

Изменено пользователем Sandor
Максимовна

Максимовна

Опубликовано
  • Автор
Опубликовано

post-14969-0-32595800-1487085448_thumb.png  В целом всё стало нормально. Но при архивации документа архивируется не понятно в какой программе

Sandor

Sandor

Опубликовано
Опубликовано

Сделайте еще раз лог сканирования AdwCleaner.

Sandor

Sandor

Опубликовано
Опубликовано

  • Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

И еще контрольный CollectionLog с помощью Автологера, пожалуйста.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • FL_Sasha
      Вирус по пути c:\programdata\google\chrome
      Автор FL_Sasha
      нашел сегодня вирус по пути C:\programdata\google\chrome, сам гугл не разу не устанавливал, антивирусы пытались удалить не один десяток раз, не увенчалось успехом, я пытался удалить вручную, папка вернулась на место, внутри пусто, антивирусы находя какие то файлы по типу updater.exe и другие, пытался открыть с помощью far manager, он тоже ничего не нашел, как только открываю диспетчер процессор с 40-70% падает на 5-20% (просмотрено по msi afterburner), подскажите что делать, заранее спасибо 
    • Ярослав1_1
      Кажется поймал вирус переименовавший мне некоторые службы из за чего не работает ццентр обновления виндовс
      Автор Ярослав1_1
      CollectionLog-2025.07.16-13.18.zipВот лог, надеюсь чир сможете помочь
      Вирус удалил Центр обновления Windows, переименовал службу в wuauserv_bkp
       
      Похожая проблема 
      Вирус удалил Центр обновления Windows, переименовал службу в wuauserv_bkp
       
    • Сергей1202
      проблема на андроид
      Автор Сергей1202
      Сегодня на смартфоне после перехода по рекламной ссылке появилось  вот ЭТО и постоянно напоминает о себе, может это и не вирус вообще но что значит "name os tone " и откуда оно взялось?


    • Greengo
      Проблема с центром обновления windows, возможно связанная с вирусами
      Автор Greengo
      Здравствуйте. У меня перестал работать центр обновлений windows. При попытке в него зайти либо просто закрывается окно, либо идёт очень долгая загрузка и выдаёт ошибку "что-то пошло не так". Также заметил, что в службах появились подозрительные дубликаты с припиской _bkp у той службы которая отвечает за центр обновления windows и ещё у нескольких: wuauserv_bkp, UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp. При этом ни одна из этих служб не запускается выдавая ошибку. Сканировал пк через kvrt, тот обнаружил несколько троянских угроз которые он вылечил/удалил, но проблема осталась.
      CollectionLog-2025.06.20-14.17.zip
    • MrJackXIII
      Ошибка 0xc0000017 при запуске системных приложений и вводе команд dism.
      Автор MrJackXIII
      Доброго времени суток, скачал новый обход т.к. дискорд не работает, по итогу он не помог, решил найти проблему в интернете, предложили DNS прописать или скачать VP*, по итогу сделал и то и другое. Вначале было все хорошо, что-то из этого помогло, но сегодня зайдя в интернет у меня сразу же писало: "Отсутствует подключение к интернету"(ошибка решилась с помощью перезагрузки). Решил на всякий случай поменять DNS сервера обратно на автоматический (DHCP) и вылазит ошибка. В интернете поискал, многое перепробовал, но ничего не помогает, а может делает только хуже. 

×
×
  • Создать...