NVDisplayPluginWatchdog

[Gosha Petrovich]

Всем трям

 

Буквально сегодня словил вирус. Ко всем папкам и файлам на всех дисках практически в одно и то же время приписалось ".exe". 

Не особо раздумывая перезагрузил, система загружаться отказалась (win7х64).

Переустановил по быстрому без форматирования, а все, кроме системного, харды отключил.

 

Какое-то время система работала нормально, а потом опять папка одного из приложений, установленного в корне, переименовалась с дописыванием .exe.

Стал смотреть\тестить и убивать процессы. Не знаю, как дальше складно изложить - перечислю тезисно:

- Все папки с .exe имеют размер 7.5кб и определяются как приложения, хотя имеют значок папки.

- По двойному щелчку открывается новое окно и я перехожу в реальное содержание папки, но путь к ней C:\NVDisplayPluginWatchdog\..

- В настройках папок в системе стоит, чтобы открывать по двойному в том же окне и так и было по началу после переустановки винды, но сейчас открывает в новом окне.

- В корне есть скрытая папка NVDisplayPluginWatchdog и в ней все эти папки в нормальном виде без расширений.

- В процессах был процесс NVDisplayPluginWatchdog, появлявшийся после двойных щелчков в папках. Сначала он ссылался на одноименный скрытый файл в папке C:\Users\Администратор\AppData\Roaming, удалил. Затем на такой же в  C:\NVDisplayPluginWatchdog, тоже удалил. Сейчас процесс не появляется, но, вероятно, есть еще какие-то связанные процессы. Вообще поубивал все, что имело приписку nvidia.

 

 

Что это может быть и как вылечить? До сегодняшнего дня с вирусами особо не сталкивался..

 

upd увидел про файлы логов - попробую сделать все по инструкции и добавить, но просто может проблема известная и уже есть решение?

Изменено 17 августа, 2017 пользователем Gosha Petrovich

[regist]

Скорее всего вирус скрыл ваши папки, а вместо них создал ярлык или файл с её именем маскирующимся под вашу папку. Так что удалять всё подряд пока не торопитесь (особенно если место на диске занимаете, столько же сколько и раньше).

 

А чтобы помочь с лечением нужны логи, каждый случай индивидуален.

[Gosha Petrovich]

Вот логи

CollectionLog-2017.08.19-00.39.zip

[regist]

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\NVDisplayPluginWatchdog.exe', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\NVDisplayPluginWatchdog.URL', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\NVDisplayPluginWatchdog.exe', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\NVDisplayPluginWatchdog.js', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\NVDisplayPluginWatchdog.vbs', '');
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\NVDisplayPluginWatchdog.lnk', '');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\NVDisplayPluginWatchdog.exe', '32');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\NVDisplayPluginWatchdog.js', '32');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\NVDisplayPluginWatchdog.URL', '32');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\NVDisplayPluginWatchdog.vbs', '32');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\NVDisplayPluginWatchdog.exe', '32');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\NVDisplayPluginWatchdog.js', '');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\NVDisplayPluginWatchdog.vbs', '');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\NVDisplayPluginWatchdog.exe');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\NVDisplayPluginWatchdog.lnk');
 ExecuteFile('schtasks.exe', '/delete /TN "NVDisplayPluginWatchdog" /F', 0, 15000, true);
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'NVDisplayPluginWatchdog');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

 

Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.

[Gosha Petrovich]

Результаты последовательно буду выкладывать

 

VirusDetector:

https://virusinfo.info/showthread.php?t=214784

https://virusinfo.info/virusdetector/report.php?md5=EAE3AB0973E0281254C153F126690E3C

по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

KLAN-6679888207

 

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
NVDisplayPluginWatchdog.exe
NVDisplayPluginWatchdog.URL
NVDisplayPluginWatchdog.js
NVDisplayPluginWatchdog.vbs
NVDisplayPluginWatchdog.lnk

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

ClearLNK:

 

Логи:

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

 

Один раз или два сделать повторно? Сделал один

 Malwarebytes:

 

ClearLNK-19.08.2017_13-29.log

CollectionLog-2017.08.19-13.36.zip

Malwarebytes_Scan_13.47.txt

[regist]

1) Этот файл вам знаком?

C:\Windows\REG\Profile.cmd

2) Удалите в MBAM всё найденное.

 

3)

1. Вставьте диск, с которого устанавливали Windows (либо другой но с той же локализацией и тем же сервис паком (SP) что установлен у вас.
2. • Если у вас windows Vista или windows 7 откройте меню "Пуск" ("Start") и в строке поиска введите "cmd". На результатах поиска нажмите правой клавишей мыши и выберите пункт "Запуск от имени администратора".
   • Если у вас windows XP откройте меню Пуск (Start) -> Выполнить (Run)
     

  [*]Введите sfc /scannow и нажмите Энтер. [*]Система восстановит недостающие или изменённые системные файлы, для этого может потребоваться перезагрузка. [*]После того как закончится проверка в командной строке введите команду:

findstr /c:"[SR]" %windir%\Logs\CBS\CBS.log>%SYSTEMDRIVE%\sfcdetails.txt

[*]После выполнения вышеописанных операций в корне системного диска (тот диск,на котором установлена операционная система-как правило диск С) найдите файл sfcdetails.txt, прикрепите его к следующему сообщению.

 

[Gosha Petrovich]

 

 

1) Этот файл вам знаком?

Нет..

 

После всего еще прогнал проверку Malwarebytes - нашел какой-то 1 троян 

Trojan.Perseus.MSIL  путь C:\$RECYCLE.BIN\S-1-5-21-(много цифр)\$RYKRFCT.EXE

Папки стали открываться в своих окнах   

sfcdetails.txt

Изменено 19 августа, 2017 пользователем Gosha Petrovich

[regist]

 

 

После всего еще прогнал проверку Malwarebytes - нашел какой-то 1 троян Trojan.Perseus.MSIL путь C:\$RECYCLE.BIN\S-1-5-21-(много цифр)\$RYKRFCT.EXE

мусор с корзины надо выкидывать

 

MBAM деинсталируйте.

 

 

 

Нет..

Откройте тогда

C:\Windows\REG\Profile.cmd

блокнотом и напишите тут его содержимое.

[Gosha Petrovich]

C:\Windows\REG\Profile.txt

 

содержимое:

@echo off


echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [ 0%% ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [= 2%% ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [== 4%% ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [=== 6%% ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [==== 8%% ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [===== 10%% ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [====== 12%% ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [======= 14%% ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [======== 16%% ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [========= 18%% ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [========== 20%% ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [=========== 22%% ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [============ 24%% ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [============= 26%% ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [============== 28%% ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [=============== 30%% ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [================ 32%% ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [================= 34%% ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [================== 36%% ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [=================== 38%% ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [==================== 40%% ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [===================== 42%% ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [====================== 44%% ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [=======================46%% ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [=======================48%% ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [=======================50%% ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [=======================52%% ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [=======================54%% ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [=======================56%%= ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [=======================58%%== ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [=======================60%%=== ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [=======================62%%==== ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [=======================64%%===== ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [=======================66%%====== ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [=======================68%%======= ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [=======================70%%======== ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [=======================72%%========= ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [=======================74%%========== ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [=======================76%%=========== ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [=======================78%%============ ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [=======================80%%============= ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [=======================82%%============== ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [=======================86%%=============== ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [=======================88%%================ ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [=======================90%%================= ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [=======================92%%================== ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [=======================94%%=================== ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [=======================96%%==================== ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [=======================98%%===================== ]
sleep 1
cls
echo €¤св ­ бва®©Є  Їа®дЁ«п. ’ҐЄгйЁ© ᥠ­б Ўг¤Ґв § ўҐаис­.
echo Џ®¤®¦¤ЁвҐ, Ї®¦ «г©бв ...
echo [=======================100%%=====================]
sleep 1
cls

start /wait REGEDIT /S "%SystemRoot%\REG\HKCU.reg"
start /wait REGEDIT /S "%SystemRoot%\REG\IE9.reg"
start /wait REGEDIT /S "%SystemRoot%\REG\WMP12.reg"
start /wait REGEDIT /S "%SystemRoot%\REG\ProfileSetDel.reg"
start /wait REGEDIT /S "%SystemRoot%\REG\AutoLogonDel.reg"

shutdown -l -f


exit

 

PROFILE.txt

[regist]

Странный батник. А посмотрите ещё там файлы

C:\Windows\REG\HKCU.reg
C:\Windows\REG\IE9.reg
C:\Windows\REG\WMP12.reg
C:\Windows\REG\ProfileSetDel.reg
C:\Windows\REG\AutoLogonDel.reg

заархивируйте их и тоже прикрепите. Или сразу целиком эту папку reg

[Gosha Petrovich]

Это очень похоже на твики, которые шли после установки винды, но могу ошибаться

 

REG.zip

[regist]

 

 

похоже на твики, которые шли после установки винды, но могу ошибаться

Судя по их содержимому не ошибаетесь.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 

[Gosha Petrovich]

@regist, и это все, мы вылечены?))

 

А можно уже точно констатировать, что вирус делал? Изменял ли файлы или только 

переносил всё в папку NVDisplayPluginWatchdog? И видимо переносил все, раз винда не смогла перезагрузиться?

 

Вроде файлы он не менял.. Я полностью вчера скопировал в корень прогу из папки прежней винды и она благополучно работала. И заметной разницы в объемах дисков не было, когда вирус обнаружился.

 

И как мне привести все в нормальный вид..

Вообще, системный хард меня не сильно беспокоит. Там даже если бы была потеря данных, было бы неприятно, но некритично. Все равно скорее всего его отформатирую и заново поставлю винду. Меня беспокоят других два харда с кучей инфы, которые нужно будет приводить в порядок после системного.

[regist]

и это все, мы вылечены?))

Да.

 

 

 

А можно уже точно констатировать, что вирус делал?

с этим к аналитикам. Вы же файлы прямо в вирлаб к ним посылали, а не ко мне. И я никакого отношения к ним не .имею.

 

 

 

Все равно скорее всего его отформатирую и заново поставлю винду.

и опять эту же сборку? Тут помимо этих твиков у вас ещё кучу системных файлов восстановили, не факт что это не родный дефект вашей сборки. У неё много глюков может быть.

 

 

И как мне привести все в нормальный вид..

В чём сейчас проблема заключается? Я же не вижу, что у вас там творится.

[Gosha Petrovich]

 

Да.

Ураа!!    Отделался испугом..

 

с этим к аналитикам

 

На форум virusinfo?

 

В чём сейчас проблема заключается? Я же не вижу, что у вас там творится.

 

Вот как выглядит диск С сейчас:

https://yadi.sk/i/P9w1DEkn3MA2fi

У неё много глюков может быть.

 

оффтоп:

 

Вопрос, конечно, интересный... Я несколько лет пользовался этой сборкой. Проблемы начались только последние несколько месяцев. Основные плюсы были - делал админ для себя, постустановка мелочей разных, которые ненужно руками ставить, и производительность (люблю скорость, простоту и отсутствие ненужных красивостей   ). Сборка по-своему известная и одобренная в инете - Windows7 Twilight Angel Edition. Жаль он ее перестал поддерживать.

Я бы поставил чего-нибудь поновее, но что? Если можете подсказать что-то в таком духе - напишите плз) Тут или в личке

Последний скрипт для AVZ выдал 7 уязвимостей. Может дело было лишь в этом, как знать...