Перейти к содержанию
Правила раздела

Загрузка виндовс и биткоинт майнер

Андрей Тарнуев

От Андрей Тарнуев
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Андрей Тарнуев Новичок

Андрей Тарнуев

Опубликовано
Опубликовано

идет загрузка виндовс заходит на профиль PC и потом пишет logging off и все.пытаться ещё раз зайти пишет logging off пришлось создать профиль гостя потом после захождения на профиль гостя lsmose биткоинт начинает загружать видеокарту и комп виснет удаляя ее после перезагрузки она восстанавливается удалял с помошью Malwarebytes но больше волнует почему не заходит на профиль PC

Ссылка на комментарий
Поделиться на другие сайты
Андрей Тарнуев Новичок

Андрей Тарнуев

Опубликовано
  • Автор
Опубликовано

вот проверил


вот проверил

Прикрепленные файлы

CollectionLog-2017.08.24-23.32.zip

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.

После выполнения скрипта компьютер перезагрузится.

 
Менеджер браузеров [20170707]-->MsiExec.exe /X{53973A23-9AED-4859-9DA6-B2C554FCB7BB}

деинсталируйте.

 

- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:

C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Counter-Strike 1.6.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Games\World of Tanks - Common Test\World of Tanks - Common Test.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Games\World of Tanks - Common Test\Деинсталлировать World of Tanks - Common Test.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\World of Tanks.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Руководство по игре.lnk
E:\our games\World of Tanks\game_manual.url
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Официальный сайт игры.lnk
E:\our games\World of Tanks\website.url
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Энциклопедия.lnk
E:\our games\World of Tanks\wiki.url
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Последние изменения.lnk
E:\our games\World of Tanks\readme.url
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Деинсталлировать World of Tanks.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Addon App\Application addon.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\WarThunder.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\Деинсталлировать War Thunder.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\Повторы боев.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\Журнал ошибок.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\Скриншоты.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Uninstall RaidCall.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky Internet Security\Лаборатория Касперского в интернете.lnk
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\kl.url
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky Internet Security\Лицензионное соглашение.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UltraISO\UltraISO Help.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UltraISO\UltraISO Readme.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UltraISO\UltraISO Revision History.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinRAR\Новости в последней версии.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinRAR\Руководство по консольной версии RAR.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinRAR\Справка WinRAR.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Проблемы в игре.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Hammer & Chisel, Inc\Discord.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR\Новости в последней версии.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR\Руководство по консольной версии RAR.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR\Справка WinRAR.lnk
C:\Users\PC\Desktop\Discord.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RaidCall.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RaidCall\RaidCall.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RaidCall\Uninstall RaidCall.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Одноклассники.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\ВКонтакте.lnk
C:\Users\PC\AppData\Local\Yandex\yapin\Yandex.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yandex (2).lnk
C:\Users\PC\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yandex.lnk
C:\Users\PC\Desktop\Yandex.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\SendTo\МойМир@Mail.ru.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Яндекс\Менеджер браузеров\Менеджер браузеров.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yandex.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Амиго.lnk
 

Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.
 

Ссылка на комментарий
Поделиться на другие сайты
Андрей Тарнуев Новичок

Андрей Тарнуев

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

 

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.
После выполнения скрипта компьютер перезагрузится.

 

 

Менеджер браузеров [20170707]-->MsiExec.exe /X{53973A23-9AED-4859-9DA6-B2C554FCB7BB}

деинсталируйте.

 

- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:

C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Counter-Strike 1.6.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Games\World of Tanks - Common Test\World of Tanks - Common Test.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Games\World of Tanks - Common Test\Деинсталлировать World of Tanks - Common Test.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\World of Tanks.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Руководство по игре.lnk
E:\our games\World of Tanks\game_manual.url
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Официальный сайт игры.lnk
E:\our games\World of Tanks\website.url
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Энциклопедия.lnk
E:\our games\World of Tanks\wiki.url
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Последние изменения.lnk
E:\our games\World of Tanks\readme.url
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Деинсталлировать World of Tanks.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Addon App\Application addon.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\WarThunder.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\Деинсталлировать War Thunder.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\Повторы боев.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\Журнал ошибок.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\Скриншоты.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Uninstall RaidCall.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky Internet Security\Лаборатория Касперского в интернете.lnk
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\kl.url
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky Internet Security\Лицензионное соглашение.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UltraISO\UltraISO Help.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UltraISO\UltraISO Readme.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UltraISO\UltraISO Revision History.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinRAR\Новости в последней версии.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinRAR\Руководство по консольной версии RAR.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinRAR\Справка WinRAR.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Проблемы в игре.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Hammer & Chisel, Inc\Discord.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR\Новости в последней версии.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR\Руководство по консольной версии RAR.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR\Справка WinRAR.lnk
C:\Users\PC\Desktop\Discord.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RaidCall.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RaidCall\RaidCall.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RaidCall\Uninstall RaidCall.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Одноклассники.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\ВКонтакте.lnk
C:\Users\PC\AppData\Local\Yandex\yapin\Yandex.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yandex (2).lnk
C:\Users\PC\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yandex.lnk
C:\Users\PC\Desktop\Yandex.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\SendTo\МойМир@Mail.ru.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Яндекс\Менеджер браузеров\Менеджер браузеров.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yandex.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Амиго.lnk
 

Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.

 

ClearLNK-25.08.2017_01-58.log

PC-PC_2017-08-25_02-04-08.7z

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

 

 


- Исправьте с помощью утилиты ClearLNK следующие ярлыки
я же просил только указанные, а не весь лог перетаскивать :(. Что от нечего делать по вашему я список составлял.

по логу uVS отвечу немного позже.

Ссылка на комментарий
Поделиться на другие сайты
Андрей Тарнуев Новичок

Андрей Тарнуев

Опубликовано
  • Автор
Опубликовано

 

- Исправьте с помощью утилиты ClearLNK следующие ярлыки

я же просил только указанные, а не весь лог перетаскивать :(. Что от нечего делать по вашему я список составлял.

по логу uVS отвечу немного позже.

 

извиняй просто чайник и спать хочю 

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    ;uVS v4.0.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
BREG
zoo %SystemRoot%\HELP\LSMOSEE.EXE
bl 325D0D49D549CA2BD776A06F6037B828 239048
addsgn 9204779A556A147751DFAEB1EFF811F50E4A7708EF57DE9889480DECFDFDB94FD29C0B006F1C170D12860C9B7763BFD1BD7363BAD53B400822B645234DEE8E78 64 Win32.BitCoinMiner.idyc 7
zoo %SystemDrive%\USERS\PC\APPDATA\LOCAL\TEMP\CHROME_BITS_4992_4129\19.108.1_WIN64_SOFTWAREREPORTER.CRX2
delall %SystemDrive%\USERS\PC\APPDATA\LOCAL\TEMP\CHROME_BITS_4992_4129\19.108.1_WIN64_SOFTWAREREPORTER.CRX2
zoo %SystemDrive%\USERS\PC\APPDATA\LOCAL\TEMP\CHROME_BITS_4992_27552\19.108.1_WIN64_SOFTWAREREPORTER.CRX2
delall %SystemDrive%\USERS\PC\APPDATA\LOCAL\TEMP\CHROME_BITS_4992_27552\19.108.1_WIN64_SOFTWAREREPORTER.CRX2
zoo %SystemDrive%\USERS\PC\APPDATA\LOCAL\TEMP\CHROME_BITS_3760_1344\19.108.1_WIN64_SOFTWAREREPORTER.CRX2
delall %SystemDrive%\USERS\PC\APPDATA\LOCAL\TEMP\CHROME_BITS_3760_1344\19.108.1_WIN64_SOFTWAREREPORTER.CRX2
delref WMI_.[FUCKYOUMM2_FILTER]
zoo %SystemRoot%\DEBUG\LSMOSE.EXE
bl A38A1E11F7222F7C48AAF33E20C78F48 1843656
addsgn 1B148294558305780BD4A13DDC9A12052A0F66827205798742A5CA11AF5D0B6845921D6FE41D9C8EDE69021BBDE9C933089761AB871259D24779A4463883E8C3 8 Win32.CoinMiner 7
delref HTTP://VK.IJMELTO.RU/INDEX.XML?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DKNEGGODALBCMGDKKFHBHBICBBAHNACJB%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT UNINSTALLER\IOBITUNINSTALER.EXE
zoo %SystemRoot%\DEBUG\ITEM.DAT
delall %SystemRoot%\DEBUG\ITEM.DAT
delref %SystemDrive%\USERS\PC\APPDATA\LOCAL\TEMP\YUPDATE-PING-YABROWSER.TEMP
delref {E01D1C6A-4F40-11D3-8958-00105A272DCF}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {56A58823-AE99-11D5-B90B-0050DACD1F75}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {0D012ABD-CEED-11D2-9C76-00105AA73033}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {472083B0-C522-11CF-8763-00608CC02F24}\[CLSID]
zoo %SystemRoot%\DEBUG\OK.DAT
delall %SystemRoot%\DEBUG\OK.DAT
delref E:\OUR GAMES\WORLD OF TANKS\WOTLAUNCHER.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\UTORRENT\UTORRENT.EXE
chklst
delvir
czoo
restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то
    с паролем
    virus
    .

  7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  8. Подробнее читайте в этом руководстве.

 

  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки.
  3. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  4. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  5. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    ;uVS v4.0.5 [http://dsrt.dyndns.org]
v400c

adddir %SystemRoot%\
crimg
  6. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  7. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.
  8. После этого в папке с программой будет создан образ автозапуска название, которого имеет формат "имя_компьютера_дата_сканирования". Прикрепите этот образ к следующему сообщению

  9. !!! Обратите внимание
    , что утилиты необходимо запускать от имени Администратора. По умолчанию в
    Windows XP
    так и есть. В
    Windows Vista
    и
    Windows 7
    администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
    Запуск от имени Администратора
    , при необходимости укажите пароль администратора и нажмите
    "Да"
    .





 

Ссылка на комментарий
Поделиться на другие сайты
Андрей Тарнуев Новичок

Андрей Тарнуев

Опубликовано
  • Автор
Опубликовано

 

 

  • Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

    ;uVS v4.0.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
BREG
zoo %SystemRoot%\HELP\LSMOSEE.EXE
bl 325D0D49D549CA2BD776A06F6037B828 239048
addsgn 9204779A556A147751DFAEB1EFF811F50E4A7708EF57DE9889480DECFDFDB94FD29C0B006F1C170D12860C9B7763BFD1BD7363BAD53B400822B645234DEE8E78 64 Win32.BitCoinMiner.idyc 7
zoo %SystemDrive%\USERS\PC\APPDATA\LOCAL\TEMP\CHROME_BITS_4992_4129\19.108.1_WIN64_SOFTWAREREPORTER.CRX2
delall %SystemDrive%\USERS\PC\APPDATA\LOCAL\TEMP\CHROME_BITS_4992_4129\19.108.1_WIN64_SOFTWAREREPORTER.CRX2
zoo %SystemDrive%\USERS\PC\APPDATA\LOCAL\TEMP\CHROME_BITS_4992_27552\19.108.1_WIN64_SOFTWAREREPORTER.CRX2
delall %SystemDrive%\USERS\PC\APPDATA\LOCAL\TEMP\CHROME_BITS_4992_27552\19.108.1_WIN64_SOFTWAREREPORTER.CRX2
zoo %SystemDrive%\USERS\PC\APPDATA\LOCAL\TEMP\CHROME_BITS_3760_1344\19.108.1_WIN64_SOFTWAREREPORTER.CRX2
delall %SystemDrive%\USERS\PC\APPDATA\LOCAL\TEMP\CHROME_BITS_3760_1344\19.108.1_WIN64_SOFTWAREREPORTER.CRX2
delref WMI_.[FUCKYOUMM2_FILTER]
zoo %SystemRoot%\DEBUG\LSMOSE.EXE
bl A38A1E11F7222F7C48AAF33E20C78F48 1843656
addsgn 1B148294558305780BD4A13DDC9A12052A0F66827205798742A5CA11AF5D0B6845921D6FE41D9C8EDE69021BBDE9C933089761AB871259D24779A4463883E8C3 8 Win32.CoinMiner 7
delref HTTP://VK.IJMELTO.RU/INDEX.XML?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DKNEGGODALBCMGDKKFHBHBICBBAHNACJB%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT UNINSTALLER\IOBITUNINSTALER.EXE
zoo %SystemRoot%\DEBUG\ITEM.DAT
delall %SystemRoot%\DEBUG\ITEM.DAT
delref %SystemDrive%\USERS\PC\APPDATA\LOCAL\TEMP\YUPDATE-PING-YABROWSER.TEMP
delref {E01D1C6A-4F40-11D3-8958-00105A272DCF}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {56A58823-AE99-11D5-B90B-0050DACD1F75}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {0D012ABD-CEED-11D2-9C76-00105AA73033}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {472083B0-C522-11CF-8763-00608CC02F24}\[CLSID]
zoo %SystemRoot%\DEBUG\OK.DAT
delall %SystemRoot%\DEBUG\OK.DAT
delref E:\OUR GAMES\WORLD OF TANKS\WOTLAUNCHER.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\UTORRENT\UTORRENT.EXE
chklst
delvir
czoo
restart
  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  • После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

  • Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  • Подробнее читайте в этом руководстве.

 

 

  • Скачайте Universal Virus Sniffer (uVS)
  • Извлеките uVS из архива или из zip-папки.
  • Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

    ;uVS v4.0.5 [http://dsrt.dyndns.org]
v400c

adddir %SystemRoot%\
crimg
  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.
  • После этого в папке с программой будет создан образ автозапуска название, которого имеет формат "имя_компьютера_дата_сканирования". Прикрепите этот образ к следующему сообщению

  • !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

 

 

 

 

а что насчет учетной записи когда я пытаюсь зайти на нее то пишет завершение работ

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

Давайте пока с вирусом закончим, а по учётной записи в другом разделе потом будете разбираться.

 

И не надо оверквотингом заниматься, внизу есть поле для быстрого ответа.

Ссылка на комментарий
Поделиться на другие сайты
Андрей Тарнуев Новичок

Андрей Тарнуев

Опубликовано
  • Автор
Опубликовано

Давайте пока с вирусом закончим, а по учётной записи в другом разделе потом будете разбираться.

 

И не надо оверквотингом заниматься, внизу есть поле для быстрого ответа.

извини просто я недавно на сайте правил незнаю 

Давайте пока с вирусом закончим, а по учётной записи в другом разделе потом будете разбираться.

 

И не надо оверквотингом заниматься, внизу есть поле для быстрого ответа.

;uVS v4.0.5 [http://dsrt.dyndns.org]

v400c

 

adddir %SystemRoot%\

crimg 

этот скрипт уже минут 20-30 идет это нормально ?!

Ссылка на комментарий
Поделиться на другие сайты
Андрей Тарнуев Новичок

Андрей Тарнуев

Опубликовано
  • Автор
Опубликовано

Давайте пока с вирусом закончим, а по учётной записи в другом разделе потом будете разбираться.

 

И не надо оверквотингом заниматься, внизу есть поле для быстрого ответа.

PC-PC_2017-08-25_05-06-20.7z

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

И почему вы игнорируете и постоянно цитируете весь предыдущий пост? Это же только затрудняет чтение темы и как следствие помочь вам.

 

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    ;uVS v4.0.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
BREG
zoo %SystemRoot%\HELP\LSMOSEE.EXE
bl 325D0D49D549CA2BD776A06F6037B828 239048
addsgn 9204779A556A147751DFAEB1EFF811F50E4A7708EF57DE9889480DECFDFDB94FD29C0B006F1C170D12860C9B7763BFD1BD7363BAD53B400822B645234DEE8E78 64 Win32.BitCoinMiner.idyc 7

zoo %SystemRoot%\DEBUG\LSMOSE.EXE
bl A38A1E11F7222F7C48AAF33E20C78F48 1843656
addsgn 1B148294558305780BD4A13DDC9A12052A0F66827205798742A5CA11AF5D0B6845921D6FE41D9C8EDE69021BBDE9C933089761AB871259D24779A4463883E8C3 8 Win32.CoinMiner 7

zoo %SystemRoot%\SYSWOW64\LSMOS.EXE
bl 1DAD4DCD1919F768740A373B47C6AB4D 4257224
addsgn 19E4232D6F6A4C720BD44703630EED0059E703BA700DCFB94DC0FE74A9E5A9A56B9803A83DAD748552457B60A119FA3AF069148DAA25D62396A7C2207DFEE2B3 8 Win32/BitCoinMiner.BV 7

chklst
delvir
deltmp
czoo
restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то
    с паролем
    virus
    .

  7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  8. Подробнее читайте в этом руководстве.


 

 

После этого снова повторите создание образа через скрипт

:

;uVS v4.0.5 [http://dsrt.dyndns.org]
v400c

adddir %SystemRoot%\
crimg

 

Ссылка на комментарий
Поделиться на другие сайты
Андрей Тарнуев Новичок

Андрей Тарнуев

Опубликовано
  • Автор
Опубликовано

выполнил но папки ноой нету ZOO_2013-06-30_22-04-27.7z)


и скрипте какая-то ошибка

 :

;uVS v4.0.5 [http://dsrt.dyndns.org]

v400c

adddir %SystemRoot%\
crimg

 

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

 

 


выполнил но папки ноой нету ZOO_2013-06-30_22-04-27.7z)
C таким именем конечно не будет, там будет дата когда вы его выполняли.

 

 

 


и скрипте какая-то ошибка
не в скрипте с оформлением. Могли  бы в принципе и сами догадаться, до этого же один раз создавали так образ. Вот создавайте через такой скрипт
;uVS v4.0.5 [http://dsrt.dyndns.org]
v400c

adddir %SystemRoot%\
crimg
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • wolfson
      Возможно был майнер и теперь не переустанавливаться виндовс и не обновляется биос
      От wolfson
      Заметил, что видюха и оперативка начали долбиться в сотку. Решил пофиксить переустановкой винды, но обнаружил, что после выбора флешки из под биос выдает черный экран. По видосикам скачал avbr и майнер сёрч, всё прогнал, вроде грузить ресурсы перестало, но осадок остался, решил всё же переустановить виндовс, но увы после выбора флэшки загрузочной на сек вылетает логотип материнки и черный экран. После заиетил что к папке на диске д нет доступа, хоть и есть права админа. Отформатировал диск д. Попробовал стереть все через обновление/восстановление. Теперь диск ц как будто переустановлен, но из под биос все ещё черный экран. Был в соседнем разделе 
      Отправили сюда. Подскажите пожалуйста почему не могу переустановить виндовс с удалением разделов из под биос?
      П.с. думал может биос устарел. Скачал с офф сайта материнки, всё делаю по инструкции(асер) но пишет, что любая из прошивок биоса файл поврежден.
    • zerrods134
      Не работает центр обновления виндовс
      От zerrods134
      Не работает центр обновления виндовс,не могу обновить винду
    • ванькаветер
      Подозрение на майнер.
      От ванькаветер
      Подозрение на майнер. Вентилятор включается на видекарте в ноутбуке на несколько минут. Температура видеокарты 51 градус, хотя я включал в msi ценре турбообдув температура падает до38 градусов ротом опять поднимается. Загрузка gpu прыгает до 20%. В основном до 5%. Подозрительно. Возможно планировщик или драйвера nvidia шалят. Все драйвера обновлены в данный момент с помощью SDI программы.
      CollectionLog-2024.11.25-13.39.zip
    • Cybermancubus
      Майнер John
      От Cybermancubus
      Обнаружил случайно пользователя в учетных записях. В папке "Пользователи" он не отображается. Скачивал doctor web cureit, но он ничего не обнаружил. Скачал Farbar Recovery Scan Tool. Файлы прикрепляю, спасибо! Какие действия нужно предпринимать?
      FRST.txt Addition.txt
    • David Faker
      Майнер
      От David Faker
      Здравствуйте. Недавно скачал Microsoft Office и, видимо, там попался майнер. Долго боролся с ним. Еле запустил avbr. Потому что даже смена имени и директории не помогала. Вирус запрещал использовать msconfig, диспетчер задач, разнообразные службы Windows, в некоторых ситуациях запрещал использование CMD
       
      После первой попытки запустить AVbr - видимо сработала какая-то защита майнера и он обрубал все попытки разобраться в проблеме, не давая ничего сделать в этом направлении.
       
      Если кто встречался - поможет запуск AVbr в безопасном режиме.
       
      Помогите пожалуйста понять, удалился ли майнер с компьютера, а также остались ли хвосты. Прилагаю файлы с FRST. Заранее, спасибо вам большое
      FRST.txt Addition.txt
×
×
  • Создать...