Перейти к содержанию
Правила раздела

Вирусы

Максимовна

От Максимовна
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Следующую рекомендацию выполните в безопасном режиме.

  • Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

    ;uVS v3.87.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v388c
BREG
zoo %SystemDrive%\PROGRAM FILES (X86)\141BADEA-873F-4D29-989C-A4C462A79A261486966868\PRO141BADEA-873F-4D29-989C-A4C462A79A26.EXE
bl 47F40568CFFB31C78AB521DEFDBCF7BB 230400
addsgn 1A477C9A5583C28CF42BFB3A8895FBC6D37503CD847E6F3B8531B0BEA21583A5061AC357F202CB1A187F0FDB6202423A00CBAFF901FEA0DBF5807EAC1F06AB37 8 AdWare.Win32.ConvertAd.bxsv [Kaspersky]

zoo %SystemDrive%\PROGRAM FILES (X86)\141BADEA-873F-4D29-989C-A4C462A79A261486966868\KNSFF94.TMP
bl D8AD61DD9A32A8D133DF0BE714EABE3C 545280
addsgn 1A6F729A5583C28CF42B95BCB0D85A05D7FFFE044A08F68083C3C54375B6C30A239C8EA35ADC90492B8084C6194917A1F63AB523A719E048D242A42FC706AF37 64 AdWare.Win32.Generic [Kaspersky]

zoo %Sys32%\DRIVERS:UCDRV-X64.SYS
bl E92C1F9DFA432974A623FCC77EB4D134 50888
addsgn BA652BBE5D3D04F1E7F4E63ABE8099FCCD9DFCF689B294ABCD480AF4DB8A557C6B94077761BCCFB1D47F48530E9D4C5BCA2017376613F9941FD57B025E2D2273 64 UC Web

zoo %SystemDrive%\PROGRAMDATA\{8A1-5A-A0-004FF-92AED-93F8-A5389}\-VFZ01T6G-.EXE
bl 24B8B242995E72635890D4EEAF9DBFE0 633856
delall %SystemDrive%\PROGRAMDATA\{8A1-5A-A0-004FF-92AED-93F8-A5389}\-VFZ01T6G-.EXE
zoo %SystemDrive%\USERS\НАТАША\APPDATA\ROAMING\DREVOSYVPOPH\QALALYVNITY.DLL
bl 255EC811D69203288AAE136AA71ED293 145408
delall %SystemDrive%\USERS\НАТАША\APPDATA\ROAMING\DREVOSYVPOPH\QALALYVNITY.DLL
zoo %SystemDrive%\PROGRAMDATA\{8A1-5A-A0-004FF-92AED-93F8-A5389}\O1J6L3_Ç7R.EXE
bl 1C5F8633E5839CA74053D5316017CF20 837120
delall %SystemDrive%\PROGRAMDATA\{8A1-5A-A0-004FF-92AED-93F8-A5389}\O1J6L3_Ç7R.EXE
chklst
delvir

deltmp
czoo
restart
  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  • После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

  • Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  • Подробнее читайте в этом руководстве.
В обычном режиме повторите образ автозапуска uVS для контроля.
Ссылка на комментарий
Поделиться на другие сайты
  • Ответов 56
  • Created
  • Последний ответ

Top Posters In This Topic

  • Максимовна

    29

  • Sandor

    28

Popular Days

Top Posters In This Topic

Popular Days

Popular Posts

Sandor
Sandor

Через Uninstall Tool удалите форсировано Сообщите что из проблем осталось.

Sandor
Sandor

Uninstall Tool - у Вас в перечне установленных программ.   Или можете удалить через Revo Uninstall

Sandor
Sandor

Хорошо, если проблем не осталось, будем завершать.

Posted Images

Максимовна Опытный

Максимовна

Опубликовано
  • Автор
Опубликовано

"В обычном режиме повторите образ автозапуска uVS для контроля" -  Отправила файл письмом, сообщением не получилось. Ещё повторила образ uVS для контроля. Теперь ждать результатов проверки в лаборатории? 

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

В обычном режиме:

  • Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

    ;uVS v3.87.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v388c
BREG
zoo %Sys32%\DRIVERS:UCDRV-X64.SYS
bl E92C1F9DFA432974A623FCC77EB4D134 50888
addsgn BA652BBE5D3D04F1E7F4E63ABE8099FCCD9DFCF689B294ABCD480AF4DB8A557C6B94077761BCCFB1D47F48530E9D4C5BCA2017376613F9941FD57B025E2D2273 64 UC Web

delall %Sys32%\BI3.EXE
delref HTTP://D2BUH1BF1G584W.CLOUDFRONT.NET/MSI/REL.PHP?U=WDCXWD3200LPCX-24C6HT0_WD-WX41AB3V8745V8745&AMP;V=2017214
delref HTTP://WWW%2DSEARCHING.COM/?PRD=SET_EPF&AMP;S=H2EZTRMBL10BU,C61D1DC8-FC4C-4743-8460-4F7AFF04B0FC,
zoo %SystemDrive%\PROGRAM FILES (X86)\REERWERGHTSERGALE\MIMOCH.EXE
bl 672F9DFAB8F6B53ED8677148DE9435F1 1023944
delall %SystemDrive%\PROGRAM FILES (X86)\REERWERGHTSERGALE\MIMOCH.EXE
zoo %SystemDrive%\PROGRAMDATA\SEARCHMODULE\SMHE.JS
bl 7BF3C54F6D4DC3E7AD812C9B5CD208FF 403
delall %SystemDrive%\PROGRAMDATA\SEARCHMODULE\SMHE.JS
zoo %SystemDrive%\PROGRAMDATA\SMP2.EXE
bl A2384665E0811BCC6175E5D14EE0A34E 326144
delall %SystemDrive%\PROGRAMDATA\SMP2.EXE
zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\NOOBZO\GNUPDATE\SMU.EXE
bl CB17E6EB1C8916176137C5AA207BDAC6 3110400
delall %SystemDrive%\PROGRAM FILES\COMMON FILES\NOOBZO\GNUPDATE\SMU.EXE
delall %SystemDrive%\USERS\НАТАША\APPDATA\LOCAL\BROWSERAIR\48.0.0.0\UPDATER.EXE
chklst
delvir

czoo
restart
  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  • После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

  • Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  • Подробнее читайте в этом руководстве.
Еще раз, пожалуйста, повторите лог uVS.
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано (изменено)

Еще немного :)

 

В безопасном режиме(!) выполните:

 

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
R1 ucdrv; C:\Windows\System32\drivers:ucdrv-x64.sys [25444 ] (UC Web Inc.) <==== ATTENTION
Reboot:
end
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

FRST_move.png

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

 

Повторите свежие логи FRST (FRST.txt и Addition.txt) в обычном режиме.

Изменено пользователем Sandor
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

  • Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора).
  • Нажмите кнопку "Scan" ("Сканировать").
  • Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • San4s2034
      Вирус-майнер
      От San4s2034
      Недавно скачал Game of Thrones Genesis с torrent-game.net. Касперски указал, что сайту можно доверять и он проверен. По итогу через время заметил, что в valorant фпс стал заблоченным на 75 и поднимается вверх только если я двигаю мышкой или нажимаю что-то на клавиатуре. Очевидно, что словил майнер. Запустил быструю и полную проверку, результата не дало. Попробовал через защитник windows 11. Заметил, что прогресс доходит до ~70% и потом просто зависает. Запустился через безопасный режим, зашёл в защитник и вылезла ошибка(скриншот). Проверил реестр и групповые политики, ничего нет, все чисто. 

    • San4s2034
      Вирус-майнер
      От San4s2034
      Недавно скачал Game of Thrones Genesis с torrent-game.net. Касперски указал, что сайту можно доверять и он проверен. По итогу через время заметил, что в valorant фпс стал заблоченным на 75 и поднимается вверх только если я двигаю мышкой или нажимаю что-то на клавиатуре. Очевидно, что словил майнер. Запустил быструю и полную проверку, результата не дало. Попробовал через защитник windows 11. Заметил, что прогресс доходит до ~70% и потом просто зависает. Запустился через безопасный режим, зашёл в защитник и вылезла ошибка(скриншот). Проверил реестр и групповые политики, ничего нет, все чисто. 

    • fertune
      Вирус dialer.exe
      От fertune
      Когда открываешь диспетчер задач то сначала ЦП грузит на 100% а потом на 10% я посмотрел через dr.web cureit и увидел то что это майнер dialer.exe, смотрел в интернете как пофиксить но никакие способы не помогли(может быть я что то делал неправильно)
      можете помочь с проблемой? Еще я пробовал его фиксить удаляя его но он опять появлялся и грузил ЦП на все 100%.
       
    • Temikst
      Поймал какой-то вирус
      От Temikst
      Приветствую. Сын скачивал какую-то программу для игры, как итог словили какой-то вирус. Dr.web ничего не нашел. но обратил внимание что комп стал тупить, до этого не было так
      CollectionLog-2025.02.09-23.46.zip

       
      Даже браузер сильно тормозит. после открывание диспетчер задач сразу же лучше работает\
    • VanyeJ
      Вирус в PowerShell
      От VanyeJ
      Здравствуйте, при включении компьютера и окончательном входе в систему PowerShell пытается перекинуть на вредоносную ссылку. Касперский сразу же блокирует.

      Событие: Остановлен переход на сайт
      Пользователь: WIN-O4R3Q0UCBR5\User
      Тип пользователя: Инициатор
      Имя приложения: powershell.exe
      Путь к приложению: C:\Windows\System32\WindowsPowerShell\v1.0
      Компонент: Интернет-защита
      Описание результата: Запрещено
      Тип: Вредоносная ссылка
      Название: 
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: 1731762779-9803.jpeg
      Путь к объекту: 
      Причина: Облачная защита

      Активировал Windows через cmd после этого появилось (powershell iex (irm 'activated.run/key')) команда после которой вирус появился.
      CollectionLog-2025.02.08-15.48.zip
×
×
  • Создать...