Случайно запустил из почты скрипт

[Viktor3954135 0]

Пришло письмо якобы Сбербанк выставил счет, пытался открыть только потом дошло что это скрипт...

Что он мог натворить и как избавиться???
 
AVZ зависает при начале прямого чтения много багов...
 
Помогите исправить....
 
прикрепил логи AVZ и тот скрипт что приехал...
 
 
Заранее спасибо...

Изменено 6 апреля, 2017 пользователем kmscom
удалены вложения, не удовлетворяющие правилам раздела Уничтожение вирусов

[Viktor3954135 0]

Здравствуйте.

Во первых вам в соседнюю тему, но наверное модераторы перенесут, можете новую не создавать.

а во вторых переделайте логи по правилам https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

Сделал как просили...

Вот логи

CollectionLog-2017.04.06-10.52.zip

[regist 617]

 

 

Сделал как просили...

1) что сделали? Где логи по указанным правилам?

2) Раз вы онлайн, то отредактируйте первый пост и уберите из него вложение по скриптом, пока никто ещё не заразился и не пошифровал себе файлы.

У вас, кстати, файлы пошифровало или не успело?

[Viktor3954135 0]

​архив с загрузчиком из сообщения удалите.

удалил...

 

Сделал как просили...

1) что сделали? Где логи по указанным правилам?

2) Раз вы онлайн, то отредактируйте первый пост и уберите из него вложение по скриптом, пока никто ещё не заразился и не пошифровал себе файлы.

У вас, кстати, файлы пошифровало или не успело?

 

логи чуть выше в предыдущ сообщении, файл удалил

логи

 

Сделал как просили...

1) что сделали? Где логи по указанным правилам?

2) Раз вы онлайн, то отредактируйте первый пост и уберите из него вложение по скриптом, пока никто ещё не заразился и не пошифровал себе файлы.

У вас, кстати, файлы пошифровало или не успело?

 

Файлы вроде целы, а лог я что неправильно сделал???

CollectionLog-2017.04.06-10.52.zip

[regist 617]

 

 

файлы пошифровало или не успело?

Не ответили.

 

И подождите пока тему перенесут, потом или я, или коллеги вам ответят.

[Viktor3954135 0]

 

файлы пошифровало или не успело?

Не ответили.

 

И подождите пока тему перенесут, потом или я, или коллеги вам ответят.

 

файлы вроде целы комп работает, при загрузке хрома, хром говорит что от меня какието запросы множественные и просит подвердить что я не робот, В AVZ много багов и разрешено то чего лучше закрыть, раньше вроде скрипт давали на поправку...

 

 

файлы пошифровало или не успело?

Не ответили.

 

И подождите пока тему перенесут, потом или я, или коллеги вам ответят.

 

файлы вроде целы комп работает, при загрузке хрома, хром говорит что от меня какието запросы множественные и просит подвердить что я не робот, В AVZ много багов и разрешено то чего лучше закрыть, раньше вроде скрипт давали на поправку...

 

А куда тему перенесут, где искать потом??? И вот еще AVZ при проверке диска С зависает при начале прямого сканирования не доделывая проверку...???

[regist 617]

А куда тему перенесут, где искать потом???

В раздел Уничтожение вирусов.

[kmscom 2 288]

Сообщение от модератора kmscom

тема перемещена из раздела Компьютерная помощь 

[regist 617]

@Viktor3954135,

 

 

1)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

2) McAfee Security Scan Plus - деинсталируйте.

 

3) Malwarebytes - раз уже установлен, то лог полного сканирования покажите.

[Sandor 1 253]

(разрешен запуск того-то того-то) можно скрипт для приведения в порядок?

Пока делайте пункты 2 и 3.

[regist 617]

 

 

Malwarebytes пробная версия, срок закончился, пока нет возможности преобрести лицензию...

перейдите на вкладку Мой кабинет и там деактивируйте Премиум лицензию, после этого перейдёт на бесплатный режим.

 

 

а вот вот позакрывать баги из AVZ (разрешен запуск того-то того-то)

Это не баги, а нормальное состояние системы.

 

 

(разрешен запуск того-то того-то) можно скрипт для приведения в порядок???

Что именно из того вас беспокоит?

 

 

+

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

[Viktor3954135 0]

Беспокоит...
 

9. Мастер поиска и устранения проблем

 >>  Разрешен автозапуск с HDD

 >>  Разрешен автозапуск с сетевых дисков

 >>  Разрешен автозапуск со сменных носителей

 

 

 

 

AdwCleanerS16.txt

[regist 617]

1) Для отключения автозапуска выполните скрипт AVZ

begin
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
end.

2) C:\AdwCleaner\AdwCleaner[C0].txt - этот лог покажите.

 

3) Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

[Viktor3954135 0]

1) Для отключения автозапуска выполните скрипт AVZ

begin
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
end.

2) C:\AdwCleaner\AdwCleaner[C0].txt - этот лог покажите.

 

3) Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Уезжал по делам счас все будет...

Вот вроде то

 

но С0 старый...??? 

AdwCleanerC0.txt

Addition.txt

FRST.txt

Shortcut.txt

[regist 617]

1)

• Пожалуйста, запустите adwcleaner.exe
• Нажмите File (Файл) Uninstall (Деинсталлировать).
• Подтвердите удаление нажав кнопку: Да.

 

 

2) Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
HKU\S-1-5-21-1710131963-2152578087-2280759506-1000\...\MountPoints2: {28ff2afa-a983-11e6-81ab-806e6f6e6963} - R:\AutoRun.exe
HKU\S-1-5-21-1710131963-2152578087-2280759506-1000\...\MountPoints2: {3a7e7464-d320-11e6-9480-d43d7e95c65d} - L:\AutoRun.exe
HKU\S-1-5-21-1710131963-2152578087-2280759506-1000\...\MountPoints2: {5b62bd92-a98a-11e6-a394-d43d7e95c65d} - T:\SISetup.exe
HKU\S-1-5-21-1710131963-2152578087-2280759506-1000\...\MountPoints2: {5b62bdaa-a98a-11e6-a394-d43d7e95c65d} - Q:\AutoRun.exe
HKU\S-1-5-21-1710131963-2152578087-2280759506-1000\...\MountPoints2: {8105262c-dbe4-11e6-bb9f-d43d7e95c65d} - L:\AutoRun.exe
HKU\S-1-5-21-1710131963-2152578087-2280759506-1000\...\MountPoints2: {8f1d7dc3-f2f5-11e6-8ba7-d43d7e95c65d} - L:\AutoRun.exe
HKU\S-1-5-21-1710131963-2152578087-2280759506-1000\...\MountPoints2: {8f580e81-d35b-11e6-9480-001e101f1ed9} - L:\AutoRun.exe
HKU\S-1-5-21-1710131963-2152578087-2280759506-1000\...\MountPoints2: {b25c4983-1161-11e7-9440-d43d7e95c65d} - L:\AutoRun.exe
HKU\S-1-5-21-1710131963-2152578087-2280759506-1000\...\MountPoints2: {ce102096-aa08-11e6-b7fe-d43d7e95c65d} - L:\AutoRun.exe
HKU\S-1-5-21-1710131963-2152578087-2280759506-1000\...\MountPoints2: {ce1020d9-aa08-11e6-b7fe-d43d7e95c65d} - L:\AutoRun.exe
HKU\S-1-5-21-1710131963-2152578087-2280759506-1000\...\MountPoints2: {ea407dcc-d265-11e6-a68c-d43d7e95c65d} - L:\AutoRun.exe
HKU\S-1-5-21-1710131963-2152578087-2280759506-1000\...\MountPoints2: {ede04b07-d57a-11e6-8d62-d43d7e95c65d} - M:\AutoRun.exe
GroupPolicy: Restriction ? <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
Toolbar: HKU\S-1-5-21-1710131963-2152578087-2280759506-1000 -> No Name - {4BAAC1B8-0800-42C9-8FA6-08B211F356B8} -  No File
CHR HKLM\...\Chrome\Extension: [hdpgllbnilfcbckbdchjcfgopijgllcm] - hxxp://clients2.google.com/service/update2/crx
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

3) Удалите остатки McAfee с помощью файла MCPR.exe, дважды нажав левой кнопкой мыши на файл.
После того, как процесс удаления продуктов McAfee будет завершен (этот процесс займет примерно около минуты), появится окно McAfee Cleanup с сообщением (на английском языке): Reboot required to remove all files. Would you like to reboot now? (в переводе на русский язык:"Для удаления всех файлов, компьютер необходимо перезагрузить. Сделать это сейчас?").
Нажмите на кнопку Да, чтобы перезагрузить компьютер сейчас и завершить процесс удаления продуктов McAfee.

Изменено 6 апреля, 2017 пользователем regist