Перейти к содержанию
Правила раздела
Конкурс по разработке Telegram-бота Kaspersky Club

Загрузка виндовс и биткоинт майнер

Андрей Тарнуев

Автор Андрей Тарнуев
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Андрей Тарнуев Новичок

Андрей Тарнуев

Опубликовано
Опубликовано

идет загрузка виндовс заходит на профиль PC и потом пишет logging off и все.пытаться ещё раз зайти пишет logging off пришлось создать профиль гостя потом после захождения на профиль гостя lsmose биткоинт начинает загружать видеокарту и комп виснет удаляя ее после перезагрузки она восстанавливается удалял с помошью Malwarebytes но больше волнует почему не заходит на профиль PC

Ссылка на комментарий
Поделиться на другие сайты
Андрей Тарнуев Новичок

Андрей Тарнуев

Опубликовано
  • Автор
Опубликовано

вот проверил


вот проверил

Прикрепленные файлы

CollectionLog-2017.08.24-23.32.zip

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.

После выполнения скрипта компьютер перезагрузится.

 
Менеджер браузеров [20170707]-->MsiExec.exe /X{53973A23-9AED-4859-9DA6-B2C554FCB7BB}

деинсталируйте.

 

- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:

C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Counter-Strike 1.6.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Games\World of Tanks - Common Test\World of Tanks - Common Test.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Games\World of Tanks - Common Test\Деинсталлировать World of Tanks - Common Test.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\World of Tanks.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Руководство по игре.lnk
E:\our games\World of Tanks\game_manual.url
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Официальный сайт игры.lnk
E:\our games\World of Tanks\website.url
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Энциклопедия.lnk
E:\our games\World of Tanks\wiki.url
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Последние изменения.lnk
E:\our games\World of Tanks\readme.url
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Деинсталлировать World of Tanks.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Addon App\Application addon.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\WarThunder.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\Деинсталлировать War Thunder.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\Повторы боев.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\Журнал ошибок.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\Скриншоты.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Uninstall RaidCall.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky Internet Security\Лаборатория Касперского в интернете.lnk
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\kl.url
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky Internet Security\Лицензионное соглашение.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UltraISO\UltraISO Help.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UltraISO\UltraISO Readme.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UltraISO\UltraISO Revision History.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinRAR\Новости в последней версии.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinRAR\Руководство по консольной версии RAR.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinRAR\Справка WinRAR.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Проблемы в игре.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Hammer & Chisel, Inc\Discord.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR\Новости в последней версии.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR\Руководство по консольной версии RAR.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR\Справка WinRAR.lnk
C:\Users\PC\Desktop\Discord.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RaidCall.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RaidCall\RaidCall.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RaidCall\Uninstall RaidCall.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Одноклассники.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\ВКонтакте.lnk
C:\Users\PC\AppData\Local\Yandex\yapin\Yandex.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yandex (2).lnk
C:\Users\PC\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yandex.lnk
C:\Users\PC\Desktop\Yandex.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\SendTo\МойМир@Mail.ru.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Яндекс\Менеджер браузеров\Менеджер браузеров.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yandex.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Амиго.lnk
 

Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.
 

Ссылка на комментарий
Поделиться на другие сайты
Андрей Тарнуев Новичок

Андрей Тарнуев

Опубликовано
  • Автор
Опубликовано

Здравствуйте!

 

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.
После выполнения скрипта компьютер перезагрузится.

 

 

Менеджер браузеров [20170707]-->MsiExec.exe /X{53973A23-9AED-4859-9DA6-B2C554FCB7BB}

деинсталируйте.

 

- Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:

C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Counter-Strike 1.6.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Games\World of Tanks - Common Test\World of Tanks - Common Test.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Games\World of Tanks - Common Test\Деинсталлировать World of Tanks - Common Test.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\World of Tanks.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Руководство по игре.lnk
E:\our games\World of Tanks\game_manual.url
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Официальный сайт игры.lnk
E:\our games\World of Tanks\website.url
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Энциклопедия.lnk
E:\our games\World of Tanks\wiki.url
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Последние изменения.lnk
E:\our games\World of Tanks\readme.url
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Деинсталлировать World of Tanks.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Addon App\Application addon.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\WarThunder.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\Деинсталлировать War Thunder.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\Повторы боев.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\Журнал ошибок.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\Скриншоты.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Uninstall RaidCall.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky Internet Security\Лаборатория Касперского в интернете.lnk
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 17.0.0\kl.url
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky Internet Security\Лицензионное соглашение.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UltraISO\UltraISO Help.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UltraISO\UltraISO Readme.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UltraISO\UltraISO Revision History.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinRAR\Новости в последней версии.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinRAR\Руководство по консольной версии RAR.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinRAR\Справка WinRAR.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Проблемы в игре.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Hammer & Chisel, Inc\Discord.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR\Новости в последней версии.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR\Руководство по консольной версии RAR.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR\Справка WinRAR.lnk
C:\Users\PC\Desktop\Discord.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RaidCall.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RaidCall\RaidCall.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RaidCall\Uninstall RaidCall.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Одноклассники.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\ВКонтакте.lnk
C:\Users\PC\AppData\Local\Yandex\yapin\Yandex.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yandex (2).lnk
C:\Users\PC\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yandex.lnk
C:\Users\PC\Desktop\Yandex.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\SendTo\МойМир@Mail.ru.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Яндекс\Менеджер браузеров\Менеджер браузеров.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yandex.lnk
C:\Users\PC\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Амиго.lnk
 

Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.

 

ClearLNK-25.08.2017_01-58.log

PC-PC_2017-08-25_02-04-08.7z

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

 

 


- Исправьте с помощью утилиты ClearLNK следующие ярлыки
я же просил только указанные, а не весь лог перетаскивать :(. Что от нечего делать по вашему я список составлял.

по логу uVS отвечу немного позже.

Ссылка на комментарий
Поделиться на другие сайты
Андрей Тарнуев Новичок

Андрей Тарнуев

Опубликовано
  • Автор
Опубликовано

 

- Исправьте с помощью утилиты ClearLNK следующие ярлыки

я же просил только указанные, а не весь лог перетаскивать :(. Что от нечего делать по вашему я список составлял.

по логу uVS отвечу немного позже.

 

извиняй просто чайник и спать хочю 

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    ;uVS v4.0.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
BREG
zoo %SystemRoot%\HELP\LSMOSEE.EXE
bl 325D0D49D549CA2BD776A06F6037B828 239048
addsgn 9204779A556A147751DFAEB1EFF811F50E4A7708EF57DE9889480DECFDFDB94FD29C0B006F1C170D12860C9B7763BFD1BD7363BAD53B400822B645234DEE8E78 64 Win32.BitCoinMiner.idyc 7
zoo %SystemDrive%\USERS\PC\APPDATA\LOCAL\TEMP\CHROME_BITS_4992_4129\19.108.1_WIN64_SOFTWAREREPORTER.CRX2
delall %SystemDrive%\USERS\PC\APPDATA\LOCAL\TEMP\CHROME_BITS_4992_4129\19.108.1_WIN64_SOFTWAREREPORTER.CRX2
zoo %SystemDrive%\USERS\PC\APPDATA\LOCAL\TEMP\CHROME_BITS_4992_27552\19.108.1_WIN64_SOFTWAREREPORTER.CRX2
delall %SystemDrive%\USERS\PC\APPDATA\LOCAL\TEMP\CHROME_BITS_4992_27552\19.108.1_WIN64_SOFTWAREREPORTER.CRX2
zoo %SystemDrive%\USERS\PC\APPDATA\LOCAL\TEMP\CHROME_BITS_3760_1344\19.108.1_WIN64_SOFTWAREREPORTER.CRX2
delall %SystemDrive%\USERS\PC\APPDATA\LOCAL\TEMP\CHROME_BITS_3760_1344\19.108.1_WIN64_SOFTWAREREPORTER.CRX2
delref WMI_.[FUCKYOUMM2_FILTER]
zoo %SystemRoot%\DEBUG\LSMOSE.EXE
bl A38A1E11F7222F7C48AAF33E20C78F48 1843656
addsgn 1B148294558305780BD4A13DDC9A12052A0F66827205798742A5CA11AF5D0B6845921D6FE41D9C8EDE69021BBDE9C933089761AB871259D24779A4463883E8C3 8 Win32.CoinMiner 7
delref HTTP://VK.IJMELTO.RU/INDEX.XML?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DKNEGGODALBCMGDKKFHBHBICBBAHNACJB%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT UNINSTALLER\IOBITUNINSTALER.EXE
zoo %SystemRoot%\DEBUG\ITEM.DAT
delall %SystemRoot%\DEBUG\ITEM.DAT
delref %SystemDrive%\USERS\PC\APPDATA\LOCAL\TEMP\YUPDATE-PING-YABROWSER.TEMP
delref {E01D1C6A-4F40-11D3-8958-00105A272DCF}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {56A58823-AE99-11D5-B90B-0050DACD1F75}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {0D012ABD-CEED-11D2-9C76-00105AA73033}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {472083B0-C522-11CF-8763-00608CC02F24}\[CLSID]
zoo %SystemRoot%\DEBUG\OK.DAT
delall %SystemRoot%\DEBUG\OK.DAT
delref E:\OUR GAMES\WORLD OF TANKS\WOTLAUNCHER.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\UTORRENT\UTORRENT.EXE
chklst
delvir
czoo
restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то
    с паролем
    virus
    .

  7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  8. Подробнее читайте в этом руководстве.

 

  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки.
  3. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  4. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  5. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    ;uVS v4.0.5 [http://dsrt.dyndns.org]
v400c

adddir %SystemRoot%\
crimg
  6. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  7. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.
  8. После этого в папке с программой будет создан образ автозапуска название, которого имеет формат "имя_компьютера_дата_сканирования". Прикрепите этот образ к следующему сообщению

  9. !!! Обратите внимание
    , что утилиты необходимо запускать от имени Администратора. По умолчанию в
    Windows XP
    так и есть. В
    Windows Vista
    и
    Windows 7
    администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
    Запуск от имени Администратора
    , при необходимости укажите пароль администратора и нажмите
    "Да"
    .





 

Ссылка на комментарий
Поделиться на другие сайты
Андрей Тарнуев Новичок

Андрей Тарнуев

Опубликовано
  • Автор
Опубликовано

 

 

  • Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

    ;uVS v4.0.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
BREG
zoo %SystemRoot%\HELP\LSMOSEE.EXE
bl 325D0D49D549CA2BD776A06F6037B828 239048
addsgn 9204779A556A147751DFAEB1EFF811F50E4A7708EF57DE9889480DECFDFDB94FD29C0B006F1C170D12860C9B7763BFD1BD7363BAD53B400822B645234DEE8E78 64 Win32.BitCoinMiner.idyc 7
zoo %SystemDrive%\USERS\PC\APPDATA\LOCAL\TEMP\CHROME_BITS_4992_4129\19.108.1_WIN64_SOFTWAREREPORTER.CRX2
delall %SystemDrive%\USERS\PC\APPDATA\LOCAL\TEMP\CHROME_BITS_4992_4129\19.108.1_WIN64_SOFTWAREREPORTER.CRX2
zoo %SystemDrive%\USERS\PC\APPDATA\LOCAL\TEMP\CHROME_BITS_4992_27552\19.108.1_WIN64_SOFTWAREREPORTER.CRX2
delall %SystemDrive%\USERS\PC\APPDATA\LOCAL\TEMP\CHROME_BITS_4992_27552\19.108.1_WIN64_SOFTWAREREPORTER.CRX2
zoo %SystemDrive%\USERS\PC\APPDATA\LOCAL\TEMP\CHROME_BITS_3760_1344\19.108.1_WIN64_SOFTWAREREPORTER.CRX2
delall %SystemDrive%\USERS\PC\APPDATA\LOCAL\TEMP\CHROME_BITS_3760_1344\19.108.1_WIN64_SOFTWAREREPORTER.CRX2
delref WMI_.[FUCKYOUMM2_FILTER]
zoo %SystemRoot%\DEBUG\LSMOSE.EXE
bl A38A1E11F7222F7C48AAF33E20C78F48 1843656
addsgn 1B148294558305780BD4A13DDC9A12052A0F66827205798742A5CA11AF5D0B6845921D6FE41D9C8EDE69021BBDE9C933089761AB871259D24779A4463883E8C3 8 Win32.CoinMiner 7
delref HTTP://VK.IJMELTO.RU/INDEX.XML?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DKNEGGODALBCMGDKKFHBHBICBBAHNACJB%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT UNINSTALLER\IOBITUNINSTALER.EXE
zoo %SystemRoot%\DEBUG\ITEM.DAT
delall %SystemRoot%\DEBUG\ITEM.DAT
delref %SystemDrive%\USERS\PC\APPDATA\LOCAL\TEMP\YUPDATE-PING-YABROWSER.TEMP
delref {E01D1C6A-4F40-11D3-8958-00105A272DCF}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {56A58823-AE99-11D5-B90B-0050DACD1F75}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {0D012ABD-CEED-11D2-9C76-00105AA73033}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {472083B0-C522-11CF-8763-00608CC02F24}\[CLSID]
zoo %SystemRoot%\DEBUG\OK.DAT
delall %SystemRoot%\DEBUG\OK.DAT
delref E:\OUR GAMES\WORLD OF TANKS\WOTLAUNCHER.EXE
delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\UTORRENT\UTORRENT.EXE
chklst
delvir
czoo
restart
  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  • После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

  • Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  • Подробнее читайте в этом руководстве.

 

 

  • Скачайте Universal Virus Sniffer (uVS)
  • Извлеките uVS из архива или из zip-папки.
  • Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

    ;uVS v4.0.5 [http://dsrt.dyndns.org]
v400c

adddir %SystemRoot%\
crimg
  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.
  • После этого в папке с программой будет создан образ автозапуска название, которого имеет формат "имя_компьютера_дата_сканирования". Прикрепите этот образ к следующему сообщению

  • !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

 

 

 

 

а что насчет учетной записи когда я пытаюсь зайти на нее то пишет завершение работ

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

Давайте пока с вирусом закончим, а по учётной записи в другом разделе потом будете разбираться.

 

И не надо оверквотингом заниматься, внизу есть поле для быстрого ответа.

Ссылка на комментарий
Поделиться на другие сайты
Андрей Тарнуев Новичок

Андрей Тарнуев

Опубликовано
  • Автор
Опубликовано

Давайте пока с вирусом закончим, а по учётной записи в другом разделе потом будете разбираться.

 

И не надо оверквотингом заниматься, внизу есть поле для быстрого ответа.

извини просто я недавно на сайте правил незнаю 

Давайте пока с вирусом закончим, а по учётной записи в другом разделе потом будете разбираться.

 

И не надо оверквотингом заниматься, внизу есть поле для быстрого ответа.

;uVS v4.0.5 [http://dsrt.dyndns.org]

v400c

 

adddir %SystemRoot%\

crimg 

этот скрипт уже минут 20-30 идет это нормально ?!

Ссылка на комментарий
Поделиться на другие сайты
Андрей Тарнуев Новичок

Андрей Тарнуев

Опубликовано
  • Автор
Опубликовано

Давайте пока с вирусом закончим, а по учётной записи в другом разделе потом будете разбираться.

 

И не надо оверквотингом заниматься, внизу есть поле для быстрого ответа.

PC-PC_2017-08-25_05-06-20.7z

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

И почему вы игнорируете и постоянно цитируете весь предыдущий пост? Это же только затрудняет чтение темы и как следствие помочь вам.

 

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    ;uVS v4.0.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
BREG
zoo %SystemRoot%\HELP\LSMOSEE.EXE
bl 325D0D49D549CA2BD776A06F6037B828 239048
addsgn 9204779A556A147751DFAEB1EFF811F50E4A7708EF57DE9889480DECFDFDB94FD29C0B006F1C170D12860C9B7763BFD1BD7363BAD53B400822B645234DEE8E78 64 Win32.BitCoinMiner.idyc 7

zoo %SystemRoot%\DEBUG\LSMOSE.EXE
bl A38A1E11F7222F7C48AAF33E20C78F48 1843656
addsgn 1B148294558305780BD4A13DDC9A12052A0F66827205798742A5CA11AF5D0B6845921D6FE41D9C8EDE69021BBDE9C933089761AB871259D24779A4463883E8C3 8 Win32.CoinMiner 7

zoo %SystemRoot%\SYSWOW64\LSMOS.EXE
bl 1DAD4DCD1919F768740A373B47C6AB4D 4257224
addsgn 19E4232D6F6A4C720BD44703630EED0059E703BA700DCFB94DC0FE74A9E5A9A56B9803A83DAD748552457B60A119FA3AF069148DAA25D62396A7C2207DFEE2B3 8 Win32/BitCoinMiner.BV 7

chklst
delvir
deltmp
czoo
restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то
    с паролем
    virus
    .

  7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  8. Подробнее читайте в этом руководстве.


 

 

После этого снова повторите создание образа через скрипт

:

;uVS v4.0.5 [http://dsrt.dyndns.org]
v400c

adddir %SystemRoot%\
crimg

 

Ссылка на комментарий
Поделиться на другие сайты
Андрей Тарнуев Новичок

Андрей Тарнуев

Опубликовано
  • Автор
Опубликовано

выполнил но папки ноой нету ZOO_2013-06-30_22-04-27.7z)


и скрипте какая-то ошибка

 :

;uVS v4.0.5 [http://dsrt.dyndns.org]

v400c

adddir %SystemRoot%\
crimg

 

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

 

 


выполнил но папки ноой нету ZOO_2013-06-30_22-04-27.7z)
C таким именем конечно не будет, там будет дата когда вы его выполняли.

 

 

 


и скрипте какая-то ошибка
не в скрипте с оформлением. Могли  бы в принципе и сами догадаться, до этого же один раз создавали так образ. Вот создавайте через такой скрипт
;uVS v4.0.5 [http://dsrt.dyndns.org]
v400c

adddir %SystemRoot%\
crimg
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • жаждущий ответа
      Проблемы с загрузкой виндовс
      Автор жаждущий ответа
      Здравствуйте,возникла проблема с виндовс 10, система начала дольше грузиться, яндекс и вовсе сразу  в панели не отображается, проверил через касперски пишет,что trojan win32 sepeh gen,вылечить не получается,после перрезагрузки он появляется снова,и также не открывается редакто реестра,что делать не знаю
       
      Сообщение от модератора kmscom Тема перемещена из раздела Интервью с экспертами Лаборатории Касперского
    • Polina52
      [РЕШЕНО] Появился майнер
      Автор Polina52
      Начал греться ноутбук, грузится цп. На многие сайты не смогла зайти и некоторые программы поставить. Благодарю за ответ.
      Логи прилагаю
      Addition.txt FRST.txt
    • Полислава
      Майнер в Kaspersky
      Автор Полислава
      Здравствуйте! 30 марта 2025 на ноутбук была совершена вирусная атака.
      Я успела в диспетчере отследить три процесса, которые затем исчезли. У меня был Kaspersky Total Security и он поймал вирус и решил с ним справиться. Но, к сожалению, вирус его благополучно поломал..
      Сильно грузит систему, я выследила, откуда майнер - он спрятался в png файлах папки WindowsApps/KasperskyShellEx20
      Папка не удаляется никак, пыталась и изменять владельца и при помощи Revo Uninstaller - не получается.
      Сделала в FarBar Recover SearchAll: Kaspersky и вот что обнаружено. Учитывая, что официальная утилита на удаление антивируса - ничего из этого не видит.

       
      Search.txt
      Так же прикрепляю результаты сканирования FarBar
      FRST.txt
    • Namido
      Помогите избавиться от майнера
      Автор Namido
      Уже два года как меня терроризирует непонятный майнер, никакие средства очистки не находят абсолютно ничего. Признаки: периодически как будто бы удаленный доступ к ноуту, открываются вкладки, курсор живет своей жизнью, нагружается процессор, иногда при заходе на любой сайт вылезает окно всплывающее "пароль" и "логин" с сылкой на сайт с казино(zagent?что-то такое). Сегодня совершенно случайно чистила ноут и увидела в логе строку"проверка пользователя John", загуглила, увидела, что проблема не новая.

      CollectionLog-2025.04.20-20.12.zip
    • gehrakl12
      Поймал жесткий майнер
      Автор gehrakl12
      Не удаляется через Avbr, ломает доктор веб, при этом нет явных признаков, типа закрытия браузера при переходе на страницу антивируса в браузере.Addition.txtFRST.txt
×
×
  • Создать...