Перейти к содержанию
Правила раздела

Загрузка виндовс и биткоинт майнер

Андрей Тарнуев

Автор Андрей Тарнуев
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Андрей Тарнуев

Андрей Тарнуев

Опубликовано
Опубликовано

идет загрузка виндовс заходит на профиль PC и потом пишет logging off и все.пытаться ещё раз зайти пишет logging off пришлось создать профиль гостя потом после захождения на профиль гостя lsmose биткоинт начинает загружать видеокарту и комп виснет удаляя ее после перезагрузки она восстанавливается удалял с помошью Malwarebytes но больше волнует почему не заходит на профиль PC

regist

regist

Опубликовано
Опубликовано

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.

После выполнения скрипта компьютер перезагрузится.

 
Менеджер браузеров [20170707]-->MsiExec.exe /X{53973A23-9AED-4859-9DA6-B2C554FCB7BB}

деинсталируйте.

 

- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:

C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Counter-Strike 1.6.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Games\World of Tanks - Common Test\World of Tanks - Common Test.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Games\World of Tanks - Common Test\Деинсталлировать World of Tanks - Common Test.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\World of Tanks.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Руководство по игре.lnk
E:\our games\World of Tanks\game_manual.url
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Официальный сайт игры.lnk
E:\our games\World of Tanks\website.url
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Энциклопедия.lnk
E:\our games\World of Tanks\wiki.url
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Последние изменения.lnk
E:\our games\World of Tanks\readme.url
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Деинсталлировать World of Tanks.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Addon App\Application addon.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\WarThunder.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\Деинсталлировать War Thunder.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\Повторы боев.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\Журнал ошибок.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\Скриншоты.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Uninstall RaidCall.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky Internet Security\Лаборатория Касперского в интернете.lnk
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\kl.url
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky Internet Security\Лицензионное соглашение.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UltraISO\UltraISO Help.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UltraISO\UltraISO Readme.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UltraISO\UltraISO Revision History.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinRAR\Новости в последней версии.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinRAR\Руководство по консольной версии RAR.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinRAR\Справка WinRAR.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Проблемы в игре.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Hammer & Chisel, Inc\Discord.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR\Новости в последней версии.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR\Руководство по консольной версии RAR.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR\Справка WinRAR.lnk
C:\Users\PC\Desktop\Discord.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RaidCall.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RaidCall\RaidCall.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RaidCall\Uninstall RaidCall.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Одноклассники.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\ВКонтакте.lnk
C:\Users\PC\AppData\Local\Yandex\yapin\Yandex.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yandex (2).lnk
C:\Users\PC\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yandex.lnk
C:\Users\PC\Desktop\Yandex.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\SendTo\МойМир@Mail.ru.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Яндекс\Менеджер браузеров\Менеджер браузеров.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yandex.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Амиго.lnk
 

Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.
 

Андрей Тарнуев

Андрей Тарнуев

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

 

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.
После выполнения скрипта компьютер перезагрузится.

 

 

Менеджер браузеров [20170707]-->MsiExec.exe /X{53973A23-9AED-4859-9DA6-B2C554FCB7BB}

деинсталируйте.

 

- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:

C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Counter-Strike 1.6.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Games\World of Tanks - Common Test\World of Tanks - Common Test.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Games\World of Tanks - Common Test\Деинсталлировать World of Tanks - Common Test.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\World of Tanks.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Руководство по игре.lnk
E:\our games\World of Tanks\game_manual.url
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Официальный сайт игры.lnk
E:\our games\World of Tanks\website.url
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Энциклопедия.lnk
E:\our games\World of Tanks\wiki.url
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Последние изменения.lnk
E:\our games\World of Tanks\readme.url
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Деинсталлировать World of Tanks.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Addon App\Application addon.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\WarThunder.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\Деинсталлировать War Thunder.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\Повторы боев.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\Журнал ошибок.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\Скриншоты.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Uninstall RaidCall.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky Internet Security\Лаборатория Касперского в интернете.lnk
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\kl.url
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky Internet Security\Лицензионное соглашение.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UltraISO\UltraISO Help.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UltraISO\UltraISO Readme.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UltraISO\UltraISO Revision History.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinRAR\Новости в последней версии.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinRAR\Руководство по консольной версии RAR.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinRAR\Справка WinRAR.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Проблемы в игре.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Hammer & Chisel, Inc\Discord.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR\Новости в последней версии.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR\Руководство по консольной версии RAR.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR\Справка WinRAR.lnk
C:\Users\PC\Desktop\Discord.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RaidCall.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RaidCall\RaidCall.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RaidCall\Uninstall RaidCall.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Одноклассники.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\ВКонтакте.lnk
C:\Users\PC\AppData\Local\Yandex\yapin\Yandex.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yandex (2).lnk
C:\Users\PC\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yandex.lnk
C:\Users\PC\Desktop\Yandex.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\SendTo\МойМир@Mail.ru.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Яндекс\Менеджер браузеров\Менеджер браузеров.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yandex.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Амиго.lnk
 

Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.

 

ClearLNK-25.08.2017_01-58.log

PC-PC_2017-08-25_02-04-08.7z

regist

regist

Опубликовано
Опубликовано

 

 


- Исправьте с помощью утилиты ClearLNK следующие ярлыки
я же просил только указанные, а не весь лог перетаскивать :(. Что от нечего делать по вашему я список составлял.

по логу uVS отвечу немного позже.

Андрей Тарнуев

Андрей Тарнуев

Опубликовано
  • Автор
Опубликовано

 

- Исправьте с помощью утилиты ClearLNK следующие ярлыки

я же просил только указанные, а не весь лог перетаскивать :(. Что от нечего делать по вашему я список составлял.

по логу uVS отвечу немного позже.

 

извиняй просто чайник и спать хочю 

regist

regist

Опубликовано
Опубликовано

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    ;uVS v4.0.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
BREG
zoo %SystemRoot%\HELP\LSMOSEE.EXE
bl 325D0D49D549CA2BD776A06F6037B828 239048
addsgn 9204779A556A147751DFAEB1EFF811F50E4A7708EF57DE9889480DECFDFDB94FD29C0B006F1C170D12860C9B7763BFD1BD7363BAD53B400822B645234DEE8E78 64 Win32.BitCoinMiner.idyc 7
zoo %SystemDrive%\USERS\PC\APPDATA\LOCAL\TEMP\CHROME_BITS_4992_4129\19.108.1_WIN64_SOFTWAREREPORTER.CRX2
delall %SystemDrive%\USERS\PC\APPDATA\LOCAL\TEMP\CHROME_BITS_4992_4129\19.108.1_WIN64_SOFTWAREREPORTER.CRX2
zoo %SystemDrive%\USERS\PC\APPDATA\LOCAL\TEMP\CHROME_BITS_4992_27552\19.108.1_WIN64_SOFTWAREREPORTER.CRX2
delall %SystemDrive%\USERS\PC\APPDATA\LOCAL\TEMP\CHROME_BITS_4992_27552\19.108.1_WIN64_SOFTWAREREPORTER.CRX2
zoo %SystemDrive%\USERS\PC\APPDATA\LOCAL\TEMP\CHROME_BITS_3760_1344\19.108.1_WIN64_SOFTWAREREPORTER.CRX2
delall %SystemDrive%\USERS\PC\APPDATA\LOCAL\TEMP\CHROME_BITS_3760_1344\19.108.1_WIN64_SOFTWAREREPORTER.CRX2
delref WMI_.[FUCKYOUMM2_FILTER]
zoo %SystemRoot%\DEBUG\LSMOSE.EXE
bl A38A1E11F7222F7C48AAF33E20C78F48 1843656
addsgn 1B148294558305780BD4A13DDC9A12052A0F66827205798742A5CA11AF5D0B6845921D6FE41D9C8EDE69021BBDE9C933089761AB871259D24779A4463883E8C3 8 Win32.CoinMiner 7
delref HTTP://VK.IJMELTO.RU/INDEX.XML?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DKNEGGODALBCMGDKKFHBHBICBBAHNACJB%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT UNINSTALLER\IOBITUNINSTALER.EXE
zoo %SystemRoot%\DEBUG\ITEM.DAT
delall %SystemRoot%\DEBUG\ITEM.DAT
delref %SystemDrive%\USERS\PC\APPDATA\LOCAL\TEMP\YUPDATE-PING-YABROWSER.TEMP
delref {E01D1C6A-4F40-11D3-8958-00105A272DCF}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {56A58823-AE99-11D5-B90B-0050DACD1F75}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {0D012ABD-CEED-11D2-9C76-00105AA73033}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {472083B0-C522-11CF-8763-00608CC02F24}\[CLSID]
zoo %SystemRoot%\DEBUG\OK.DAT
delall %SystemRoot%\DEBUG\OK.DAT
delref E:\OUR GAMES\WORLD OF TANKS\WOTLAUNCHER.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\UTORRENT\UTORRENT.EXE
chklst
delvir
czoo
restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то
    с паролем
    virus
    .

  7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  8. Подробнее читайте в этом руководстве.

 

  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки.
  3. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  4. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  5. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    ;uVS v4.0.5 [http://dsrt.dyndns.org]
v400c

adddir %SystemRoot%\
crimg
  6. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  7. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.
  8. После этого в папке с программой будет создан образ автозапуска название, которого имеет формат "имя_компьютера_дата_сканирования". Прикрепите этот образ к следующему сообщению

  9. !!! Обратите внимание
    , что утилиты необходимо запускать от имени Администратора. По умолчанию в
    Windows XP
    так и есть. В
    Windows Vista
    и
    Windows 7
    администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
    Запуск от имени Администратора
    , при необходимости укажите пароль администратора и нажмите
    "Да"
    .





 

Андрей Тарнуев

Андрей Тарнуев

Опубликовано
  • Автор
Опубликовано

 

 

  • Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

    ;uVS v4.0.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
BREG
zoo %SystemRoot%\HELP\LSMOSEE.EXE
bl 325D0D49D549CA2BD776A06F6037B828 239048
addsgn 9204779A556A147751DFAEB1EFF811F50E4A7708EF57DE9889480DECFDFDB94FD29C0B006F1C170D12860C9B7763BFD1BD7363BAD53B400822B645234DEE8E78 64 Win32.BitCoinMiner.idyc 7
zoo %SystemDrive%\USERS\PC\APPDATA\LOCAL\TEMP\CHROME_BITS_4992_4129\19.108.1_WIN64_SOFTWAREREPORTER.CRX2
delall %SystemDrive%\USERS\PC\APPDATA\LOCAL\TEMP\CHROME_BITS_4992_4129\19.108.1_WIN64_SOFTWAREREPORTER.CRX2
zoo %SystemDrive%\USERS\PC\APPDATA\LOCAL\TEMP\CHROME_BITS_4992_27552\19.108.1_WIN64_SOFTWAREREPORTER.CRX2
delall %SystemDrive%\USERS\PC\APPDATA\LOCAL\TEMP\CHROME_BITS_4992_27552\19.108.1_WIN64_SOFTWAREREPORTER.CRX2
zoo %SystemDrive%\USERS\PC\APPDATA\LOCAL\TEMP\CHROME_BITS_3760_1344\19.108.1_WIN64_SOFTWAREREPORTER.CRX2
delall %SystemDrive%\USERS\PC\APPDATA\LOCAL\TEMP\CHROME_BITS_3760_1344\19.108.1_WIN64_SOFTWAREREPORTER.CRX2
delref WMI_.[FUCKYOUMM2_FILTER]
zoo %SystemRoot%\DEBUG\LSMOSE.EXE
bl A38A1E11F7222F7C48AAF33E20C78F48 1843656
addsgn 1B148294558305780BD4A13DDC9A12052A0F66827205798742A5CA11AF5D0B6845921D6FE41D9C8EDE69021BBDE9C933089761AB871259D24779A4463883E8C3 8 Win32.CoinMiner 7
delref HTTP://VK.IJMELTO.RU/INDEX.XML?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DKNEGGODALBCMGDKKFHBHBICBBAHNACJB%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT UNINSTALLER\IOBITUNINSTALER.EXE
zoo %SystemRoot%\DEBUG\ITEM.DAT
delall %SystemRoot%\DEBUG\ITEM.DAT
delref %SystemDrive%\USERS\PC\APPDATA\LOCAL\TEMP\YUPDATE-PING-YABROWSER.TEMP
delref {E01D1C6A-4F40-11D3-8958-00105A272DCF}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {56A58823-AE99-11D5-B90B-0050DACD1F75}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {0D012ABD-CEED-11D2-9C76-00105AA73033}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {472083B0-C522-11CF-8763-00608CC02F24}\[CLSID]
zoo %SystemRoot%\DEBUG\OK.DAT
delall %SystemRoot%\DEBUG\OK.DAT
delref E:\OUR GAMES\WORLD OF TANKS\WOTLAUNCHER.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\UTORRENT\UTORRENT.EXE
chklst
delvir
czoo
restart
  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  • После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

  • Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  • Подробнее читайте в этом руководстве.

 

 

  • Скачайте Universal Virus Sniffer (uVS)
  • Извлеките uVS из архива или из zip-папки.
  • Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

    ;uVS v4.0.5 [http://dsrt.dyndns.org]
v400c

adddir %SystemRoot%\
crimg
  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.
  • После этого в папке с программой будет создан образ автозапуска название, которого имеет формат "имя_компьютера_дата_сканирования". Прикрепите этот образ к следующему сообщению

  • !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

 

 

 

 

а что насчет учетной записи когда я пытаюсь зайти на нее то пишет завершение работ

regist

regist

Опубликовано
Опубликовано

Давайте пока с вирусом закончим, а по учётной записи в другом разделе потом будете разбираться.

 

И не надо оверквотингом заниматься, внизу есть поле для быстрого ответа.

Андрей Тарнуев

Андрей Тарнуев

Опубликовано
  • Автор
Опубликовано

Давайте пока с вирусом закончим, а по учётной записи в другом разделе потом будете разбираться.

 

И не надо оверквотингом заниматься, внизу есть поле для быстрого ответа.

извини просто я недавно на сайте правил незнаю 

Давайте пока с вирусом закончим, а по учётной записи в другом разделе потом будете разбираться.

 

И не надо оверквотингом заниматься, внизу есть поле для быстрого ответа.

;uVS v4.0.5 [http://dsrt.dyndns.org]

v400c

 

adddir %SystemRoot%\

crimg 

этот скрипт уже минут 20-30 идет это нормально ?!

Андрей Тарнуев

Андрей Тарнуев

Опубликовано
  • Автор
Опубликовано

Давайте пока с вирусом закончим, а по учётной записи в другом разделе потом будете разбираться.

 

И не надо оверквотингом заниматься, внизу есть поле для быстрого ответа.

PC-PC_2017-08-25_05-06-20.7z

regist

regist

Опубликовано
Опубликовано

И почему вы игнорируете и постоянно цитируете весь предыдущий пост? Это же только затрудняет чтение темы и как следствие помочь вам.

 

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    ;uVS v4.0.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
BREG
zoo %SystemRoot%\HELP\LSMOSEE.EXE
bl 325D0D49D549CA2BD776A06F6037B828 239048
addsgn 9204779A556A147751DFAEB1EFF811F50E4A7708EF57DE9889480DECFDFDB94FD29C0B006F1C170D12860C9B7763BFD1BD7363BAD53B400822B645234DEE8E78 64 Win32.BitCoinMiner.idyc 7

zoo %SystemRoot%\DEBUG\LSMOSE.EXE
bl A38A1E11F7222F7C48AAF33E20C78F48 1843656
addsgn 1B148294558305780BD4A13DDC9A12052A0F66827205798742A5CA11AF5D0B6845921D6FE41D9C8EDE69021BBDE9C933089761AB871259D24779A4463883E8C3 8 Win32.CoinMiner 7

zoo %SystemRoot%\SYSWOW64\LSMOS.EXE
bl 1DAD4DCD1919F768740A373B47C6AB4D 4257224
addsgn 19E4232D6F6A4C720BD44703630EED0059E703BA700DCFB94DC0FE74A9E5A9A56B9803A83DAD748552457B60A119FA3AF069148DAA25D62396A7C2207DFEE2B3 8 Win32/BitCoinMiner.BV 7

chklst
delvir
deltmp
czoo
restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то
    с паролем
    virus
    .

  7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  8. Подробнее читайте в этом руководстве.


 

 

После этого снова повторите создание образа через скрипт

:

;uVS v4.0.5 [http://dsrt.dyndns.org]
v400c

adddir %SystemRoot%\
crimg

 

Андрей Тарнуев

Андрей Тарнуев

Опубликовано
  • Автор
Опубликовано

выполнил но папки ноой нету ZOO_2013-06-30_22-04-27.7z)


и скрипте какая-то ошибка

 :

;uVS v4.0.5 [http://dsrt.dyndns.org]

v400c

adddir %SystemRoot%\
crimg

 

regist

regist

Опубликовано
Опубликовано

 

 


выполнил но папки ноой нету ZOO_2013-06-30_22-04-27.7z)
C таким именем конечно не будет, там будет дата когда вы его выполняли.

 

 

 


и скрипте какая-то ошибка
не в скрипте с оформлением. Могли  бы в принципе и сами догадаться, до этого же один раз создавали так образ. Вот создавайте через такой скрипт
;uVS v4.0.5 [http://dsrt.dyndns.org]
v400c

adddir %SystemRoot%\
crimg

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • жаждущий ответа
      Проблемы с загрузкой виндовс
      Автор жаждущий ответа
      Здравствуйте,возникла проблема с виндовс 10, система начала дольше грузиться, яндекс и вовсе сразу  в панели не отображается, проверил через касперски пишет,что trojan win32 sepeh gen,вылечить не получается,после перрезагрузки он появляется снова,и также не открывается редакто реестра,что делать не знаю
       
      Сообщение от модератора kmscom Тема перемещена из раздела Интервью с экспертами Лаборатории Касперского
    • wolfson
      Возможно был майнер и теперь не переустанавливаться виндовс и не обновляется биос
      Автор wolfson
      Заметил, что видюха и оперативка начали долбиться в сотку. Решил пофиксить переустановкой винды, но обнаружил, что после выбора флешки из под биос выдает черный экран. По видосикам скачал avbr и майнер сёрч, всё прогнал, вроде грузить ресурсы перестало, но осадок остался, решил всё же переустановить виндовс, но увы после выбора флэшки загрузочной на сек вылетает логотип материнки и черный экран. После заиетил что к папке на диске д нет доступа, хоть и есть права админа. Отформатировал диск д. Попробовал стереть все через обновление/восстановление. Теперь диск ц как будто переустановлен, но из под биос все ещё черный экран. Был в соседнем разделе 
      Отправили сюда. Подскажите пожалуйста почему не могу переустановить виндовс с удалением разделов из под биос?
      П.с. думал может биос устарел. Скачал с офф сайта материнки, всё делаю по инструкции(асер) но пишет, что любая из прошивок биоса файл поврежден.
    • Serega2025
      Переустановка виндовс
      Автор Serega2025
      Я включаю компьютер и компьютер не реагирует ни на что
    • Sqwerno
      Проблема с переустановкой виндовс
      Автор Sqwerno
      Добрый день.
      Это продолжение моей проблемы, на которую так никто и не ответил, приведу текст ниже;
      Добрый день. Сразу скажу, что логи и действия из статьи я выполнить чисто физически не могу, так как банально не могу войти в систему. Причины приведу ниже.
       
      Мой ноутбук, купленный с маркетплейса у каких то китайских производителей со сразу скачанной виндой потерпел "крушение " - я скачал вирус. На следующий день после скачивания программы я включаю ноутбук, жду пока загрузится система, и тут - он просто не загружается. Вечно загружает и все. Не стал унывать, зашел в среду восстановления и откатил через точку восстановления - благо она там была. Ждал около 4 часов, на что компьютер выдал ошибку - восстановление завершено безуспешно. После перезагрузки пк меня таки запустило в систему, на рабочем столе была ошибка того, что восстановления прошло с ошибкой. После минуты пребывания в ней вылез BSOD с ошибкой CRITICAL PROCESS DIED. Теперь так с каждой перезагрузкой. Пытался зайти в безопасный режим через горячую клавишу f8 и другие различные вариации - запускает обычную систему. Через среду восстановления - также. В командую строку также не могу зайти. Кроме сноса винды и восстановления через USB способов решения не вижу, но пока такой возможности нет, поэтому пишу это сообщение. Надеюсь, что вы сможете решить данную проблему"
      Не дождавшись ответа, я просто решил поставить новую систему.
      Скачал iso-файл, поставил. Начал процесс переустановки. На моменте выбора диска необходимо отформатировать диск, что у меня не получилось. Пытался удалить разделы, они просто не удаляются.
      Пробовал через diskpart, говорит, что отказано в доступе, хотя графа "только для чтения" выключена. Попробовал уже все, что есть на просторах интернета, уже начинаю сдаваться. Думаю, что проблема в битых секторах диска. Все это делал на установочной среде флешки.
       
      UPD: В биосе я также выключил Secure Boot
    • sem1131313
      Майнер
      Автор sem1131313
      Поймал майнер, грузит комп. Не дает войти в program data/msconfig
×
×
  • Создать...