victuar Опубликовано 11 октября, 2018 Опубликовано 11 октября, 2018 Антивирус Касперского Internet Security обнаружил на удалённой машине :Trojan.Multi.Accesstr.a.sh. Лечение невозможно. Архив с логами прилагаю. CollectionLog-2018.10.11-10.47.zip
regist Опубликовано 11 октября, 2018 Опубликовано 11 октября, 2018 (изменено) Здравствуйте! - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantineEx(true); QuarantineFile('C:\Program Files\Internet Explorer\iexplore.url', ''); QuarantineFile('C:\Users\Аделина\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk', ''); QuarantineFile('C:\Users\Аделина\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk', ''); QuarantineFile('C:\Users\Аделина\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\установка-лечение-читать!!!.txt', ''); QuarantineFile('C:\Users\Аделина\Desktop\Internet Explorer.lnk', ''); DeleteFile('C:\Program Files\Internet Explorer\iexplore.url', '32'); DeleteFile('C:\Users\Аделина\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\установка-лечение-читать!!!.txt', '32'); RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Аделина^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^установка-лечение-читать!!!.txt','x32'); BC_ImportALL; ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. После перезагрузки: - Выполните в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) - Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Изменено 11 октября, 2018 пользователем regist
victuar Опубликовано 11 октября, 2018 Автор Опубликовано 11 октября, 2018 Добрый день! Спасибо за быстрое реагирование! Ссылка на результаты проверки VirusDetector https://virusinfo.info/virusdetector/report.php?md5=D124A4A63B09A9DE727DBC8198F84B31 Ссылка на обсуждение https://virusinfo.info/showthread.php?t=220527 AVZ ругается на строку в присланном Вами скрипте: "Тоо many actual parameters в позиции 13.11" RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^???????^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^?????????-???????-??????!!!.txt', '32');
regist Опубликовано 11 октября, 2018 Опубликовано 11 октября, 2018 AVZ ругается на строку в присланном Вами скрипте: "Тоо many actual parameters в позиции 13.11" RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^???????^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^?????????-???????-??????!!!.txt', '32'); а вы точно по инструкции всё делаете? Как выполнить скрипт в AVZ? Утилита AVZ находится в папке ..\AutoLogger\AVZ, т.е. там, откуда Вы запускали автоматический сборщик логов. Только что проверил. В этом AVZ не ругается. да и то что у вас русские символы заменились на вопросы говорит о том, что вы пытаетесь использовать устаревшую версию AVZ.
victuar Опубликовано 11 октября, 2018 Автор Опубликовано 11 октября, 2018 Да, извините, я скачал с сайта с VirusDetector старую версию AVZ (ссылка на шаге 1). Теперь все скрипты выполнились. Высылаю ClearLnk лог и ответ от newvirus@kaspersky.com: KLAN-8900957907 Благодарим за обращение в Антивирусную Лабораторию Присланные вами файлы были проверены в автоматическом режиме.В антивирусных базах информация по присланным вами файлам отсутствует:iexplore.urlВ следующих файлах обнаружен вредоносный код, определяемый продуктами с включенной технологией KSN:Launch Internet Explorer Browser.lnk - UDS:DangerousObject.Multi.GenericInternet Explorer (No Add-ons).lnk - UDS:DangerousObject.Multi.GenericInternet Explorer.lnk - UDS:DangerousObject.Multi.Genericbcqr00003.dat - UDS:DangerousObject.Multi.Genericbcqr00004.dat - UDS:DangerousObject.Multi.Genericbcqr00005.dat - UDS:DangerousObject.Multi.Genericbcqr00006.dat - UDS:DangerousObject.Multi.Genericbcqr00009.dat - UDS:DangerousObject.Multi.Genericbcqr00010.dat - UDS:DangerousObject.Multi.GenericФайлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте. Также высылаю новый лог автоматического сборщика (после лечения) ClearLNK-2018.10.11_15.10.50.log CollectionLog-2018.10.11-15.45.zip
regist Опубликовано 11 октября, 2018 Опубликовано 11 октября, 2018 1) деинсталируйте Weatherbar [20130930]-->MsiExec.exe /I{BE742AE3-0C95-46CC-B5C8-9F942FDD9360} WinDealist [20131124]-->MsiExec.exe /X{B8F10001-9552-4F40-8F61-6765CD22DD9E} 2) Java 8 Update 91 [20160630]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83218091F0} устаревшая версия, её тоже деинсталируйте. Если она нужна, то потом скачайте и поставьте свежую. 3) "Пофиксите" в HijackThis: O2 - HKLM\..\BHO: windealist.BHO - {B8F10001-9552-4F40-8F61-6765CD22DD9E} - C:\Program Files\windealist\Internet Explorer\windealist.dll (file missing) O4 - HKCU\..\RunOnce: [Application Restart #3] = C:\Users\Аделина\AppData\Local\Yandex\YandexBrowser\Application\browser.exe --flag-switches-begin --flag-switches-end --flag-switches-begin --flag-switches-end --disable-ssl-false-start --disable-client-side-phishing-detection --disable-breadcrumbs-api --gaia-profile-info --disable-sync-search-engines --disable-sync-tabs --disable-sync-themes --sync-try-ssltcp-first-for-xmpp --restore-last-session http://www.rambler.ru/ (file missing) O4 - MSConfig\startupreg: BlueStacks Agent [command] = C:\Program Files\Bluestacks\HD-Agent.exe (HKCU) (2017/10/03) (file missing) O4 - MSConfig\startupreg: CA Research [command] = C:\Users\Аделина\AppData\Local\CA Research\CAResearch.exe (HKLM) (2013/12/26) (file missing) O4 - MSConfig\startupreg: CoolStartUp [command] = C:\Program Files\OSTEC\CoolGram\CoolGramS.exe (HKLM) (2017/10/03) (file missing) O4 - MSConfig\startupreg: Discord [command] = C:\Users\Аделина\AppData\Local\Discord\app-0.0.298\Discord.exe (HKCU) (2017/10/03) (file missing) O4 - MSConfig\startupreg: LogMeIn Hamachi Ui [command] = C:\hamachi-2-ui.exe --auto-start (HKLM) (2015/08/22) (file missing) O4 - MSConfig\startupreg: RaidCall [command] = C:\Program Files\RaidCall.RU\raidcall.exe (HKLM) (2017/10/03) (file missing) O4 - MSConfig\startupreg: Safe-Ads [command] = C:\Users\Аделина\AppData\Local\delta\delta\1.3.28.0\safeads.exe (HKCU) (2015/11/28) (file missing) O4 - MSConfig\startupreg: Skype [command] = C:\Program Files\Skype\Phone\Skype.exe /minimized /regrun (HKCU) (2015/09/04) (file missing) O18 - HKLM\Software\Classes\Protocols\Handler\skype4com: [CLSID] = {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file) O22 - Task: Raidcall_EN - C:\Program Files\RaidCall.RU\raidcall.exe (file missing) O22 - Task: \Microsoft\Microsoft Antimalware\Microsoft Antimalware Scheduled Scan - c:\Program Files\Microsoft Security Client\MpCmdRun.exe Scan -ScheduleJob -RestrictPrivileges (file missing) O23 - Service S3: BlueStacks Android Service - (BstHdAndroidSvc) - C:\Program Files\Bluestacks\HD-Service.exe BstHdAndroidSvc Android (file missing) O23 - Service S3: BlueStacks Plus Android Service - (BstHdPlusAndroidSvc) - C:\Program Files\Bluestacks\HD-Plus-Service.exe BstHdPlusAndroidSvc Android (file missing) 4) Скачайте AdwCleaner и сохраните его на Рабочем столе. Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[s00].txt. Прикрепите отчет к своему следующему сообщению.
victuar Опубликовано 12 октября, 2018 Автор Опубликовано 12 октября, 2018 Всё выполнил, прилагаю лог AdwCleaner. AdwCleanerS02.txt
regist Опубликовано 12 октября, 2018 Опубликовано 12 октября, 2018 Рассширения от Яндекс сами ставили? Если нет, то Запустите повторно AdwCleaner через правую кн. мыши от имени администратора. В меню Tools ->Options (Инструменты ->Настройки) отметьте: Сброс политик IE Сброс политик Chrome [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt. [*]Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.
victuar Опубликовано 12 октября, 2018 Автор Опубликовано 12 октября, 2018 Всё сделал по инструкции,лог AdwCleaner прилагаю. Но Антивирус Касперского по-прежнему сигнализирует о наличии Trojan.Multi.Accesstr.a.sh в системной памяти. AdwCleanerC04.txt
regist Опубликовано 12 октября, 2018 Опубликовано 12 октября, 2018 Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования, Скачайте Universal Virus Sniffer (uVS) Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к посту в теме. !!! Обратите внимание , что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора , при необходимости укажите пароль администратора и нажмите "Да" .
victuar Опубликовано 12 октября, 2018 Автор Опубликовано 12 октября, 2018 Выполнил указанные Вами действия. NEW_2018-10-12_14-55-27_v4.1.7z
regist Опубликовано 12 октября, 2018 Опубликовано 12 октября, 2018 1) Media View - деинсталируйте. Там у вас две такие рекламные программы с одним именем должны быть. Деинсталируйте обе. Media Player - также деинсталируйте. 2) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:;uVS v4.1 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c BREG deltmp ;---------command-block--------- delref %SystemDrive%\USERS\АДЕЛИНА\APPDATA\LOCAL\YANDEX\BROWSERMANAGER\BROWSERMANAGERSHOW.EXE bl CA5BCAC7BBA74ED47B540A80C88B8927 544 zoo %SystemDrive%\$RECYCLE.BIN\S-1-5-21-3411243170-982897956-1389545595-1000\$IK7JYTP.EXE delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-3411243170-982897956-1389545595-1000\$IK7JYTP.EXE zoo %SystemDrive%\PROGRAM FILES\LYRMIX\133.XPI delall %SystemDrive%\PROGRAM FILES\LYRMIX\133.XPI zoo %SystemDrive%\PROGRAM FILES\LYRMIX\133.CRX delall %SystemDrive%\PROGRAM FILES\LYRMIX\133.CRX delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.169\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {B8F10001-9552-4F40-8F61-6765CD22DD9E}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref {8479696E-499A-4D3D-B4F3-B5B9A5498BFF}\[CLSID] delref {444785F1-DE89-4295-863A-D46C3A781394}\[CLSID] delref {74F475FA-6C75-43BD-AAB9-ECDA6184F600}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {5A8FF410-F3CE-4844-B31B-F18D911239E8}\[CLSID] delref {56A58823-AE99-11D5-B90B-0050DACD1F75}\[CLSID] delref {CAFEEFAC-DEC7-0000-0001-ABCDEFFEDCBA}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {0D012ABD-CEED-11D2-9C76-00105AA73033}\[CLSID] delref {17177FAA-3830-43D3-A70B-FDE532676B1E}\[CLSID] delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {E01D1C6A-4F40-11D3-8958-00105A272DCF}\[CLSID] zoo %SystemDrive%\PROGRAM FILES\MEDIAVIEWV1\MEDIAVIEWV1ALPHA5725\CH\MEDIAVIEWV1ALPHA5725.CRX delall %SystemDrive%\PROGRAM FILES\MEDIAVIEWV1\MEDIAVIEWV1ALPHA5725\CH\MEDIAVIEWV1ALPHA5725.CRX zoo %SystemDrive%\PROGRAM FILES\MEDIAVIEWV1\MEDIAVIEWV1ALPHA8669\CH\MEDIAVIEWV1ALPHA8669.CRX delall %SystemDrive%\PROGRAM FILES\MEDIAVIEWV1\MEDIAVIEWV1ALPHA8669\CH\MEDIAVIEWV1ALPHA8669.CRX zoo %SystemDrive%\PROGRAM FILES\BETTERSURF\BETTERSURFPLUSV1\FF delall %SystemDrive%\PROGRAM FILES\BETTERSURF\BETTERSURFPLUSV1\FF zoo %SystemDrive%\USERS\АДЕЛИНА\APPDATA\LOCAL\XPOM\APPLICATION\28.0.1500.74\DELEGATE_EXECUTE.EXE delall %SystemDrive%\USERS\АДЕЛИНА\APPDATA\LOCAL\XPOM\APPLICATION\28.0.1500.74\DELEGATE_EXECUTE.EXE zoo %SystemDrive%\USERS\АДЕЛИНА\APPDATA\LOCAL\XPOM\APPLICATION\CHROME.EXE delall %SystemDrive%\USERS\АДЕЛИНА\APPDATA\LOCAL\XPOM\APPLICATION\CHROME.EXE zoo %SystemDrive%\PROGRAM FILES\JAVA\JRE1.8.0_91\BIN\WSDETECT.DLL delall %SystemDrive%\PROGRAM FILES\JAVA\JRE1.8.0_91\BIN\WSDETECT.DLL delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGDLJKKMGHDKCKHAOGAEMGBGDFOPHKFCO%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNECFMKPLPMINFJAGBLFABGGOMDPAAKAN%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD%26INSTALLSOURCE%3DONDEMAND%26UC apply dirzooex %SystemDrive%\PROGRAM FILES\MEDIAPLAYERV1\MEDIAPLAYERV1ALPHA579\FF dirzooex %SystemDrive%\PROGRAM FILES\MEDIAVIEWV1\MEDIAVIEWV1ALPHA5725\FF delref HTTPS://SECURE.VUUPC.COM/ bl FB4CA2A48477AB82FE1C4182BB8AAF3A 151 zoo %SystemDrive%\USERS\АДЕЛИНА\APPDATA\LOCAL\DELTA\DELTA\UPDT.JS delall %SystemDrive%\USERS\АДЕЛИНА\APPDATA\LOCAL\DELTA\DELTA\UPDT.JS deldir %SystemDrive%\PROGRAM FILES\MEDIAVIEWV1\MEDIAVIEWV1ALPHA5725\FF deldir %SystemDrive%\PROGRAM FILES\MEDIAPLAYERV1\MEDIAPLAYERV1ALPHA579\FF dirzooex %SystemDrive%\PROGRAM FILES\WEBEXPENHANCEDV1\WEBEXPENHANCEDV1ALPHA5350\FF bl 78AA0D02EC8889D9E118DAF1C654A617 785 zoo %SystemDrive%\PROGRAM FILES\MEDIAVIEWV1\MEDIAVIEWV1ALPHA8669\FF\INSTALL.RDF delall %SystemDrive%\PROGRAM FILES\MEDIAVIEWV1\MEDIAVIEWV1ALPHA8669\FF\INSTALL.RDF deldir %SystemDrive%\PROGRAM FILES\WEBEXPENHANCEDV1\WEBEXPENHANCEDV1ALPHA5350\FF dirzooex %SystemDrive%\PROGRAM FILES\VIDEOPLAYERV3\VIDEOPLAYERV3BETA418\FF deldir %SystemDrive%\PROGRAM FILES\VIDEOPLAYERV3\VIDEOPLAYERV3BETA418\FF zoo %SystemDrive%\PROGRAM FILES\WEBEXPENHANCEDV1\WEBEXPENHANCEDV1ALPHA5350\CH\WEBEXPENHANCEDV1ALPHA5350.CRX delall %SystemDrive%\PROGRAM FILES\WEBEXPENHANCEDV1\WEBEXPENHANCEDV1ALPHA5350\CH\WEBEXPENHANCEDV1ALPHA5350.CRX zoo %SystemDrive%\PROGRAM FILES\VIDEOPLAYERV3\VIDEOPLAYERV3BETA418\CH\VIDEOPLAYERV3BETA418.CRX delall %SystemDrive%\PROGRAM FILES\VIDEOPLAYERV3\VIDEOPLAYERV3BETA418\CH\VIDEOPLAYERV3BETA418.CRX ;---------command-block--------- zoo %SystemDrive%\PROGRAM FILES\BETTERSURF\BETTERSURFPLUSV1\CH\BETTERSURFPLUSV1.CRX delall %SystemDrive%\PROGRAM FILES\BETTERSURF\BETTERSURFPLUSV1\CH\BETTERSURFPLUSV1.CRX zoo %SystemDrive%\USERS\АДЕЛИНА\APPDATA\ROAMING\BABSOLUTION\CR\DELTA.CRX delall %SystemDrive%\USERS\АДЕЛИНА\APPDATA\ROAMING\BABSOLUTION\CR\DELTA.CRX apply regt 27 czoo restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z) Если архив отсутствует, то заархивруйте папку ZOO с паролем virus . Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. 3) Сделайте свежий образ автозапуска. + раз у вас столько адвари в компе. То обязательно стоит включить обнаружение нежелательных программ.
victuar Опубликовано 12 октября, 2018 Автор Опубликовано 12 октября, 2018 Архив Zoo отправил. В приложении свежий образ автозапуска. Обнаружение нежелательных программ включено. NEW_2018-10-12_19-44-09_v4.1.7z
regist Опубликовано 12 октября, 2018 Опубликовано 12 октября, 2018 Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:;uVS v4.1 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c BREG ;---------command-block--------- zoo %SystemDrive%\PROGRAM FILES\MEDIAVIEWV1\MEDIAVIEWV1ALPHA5725\FF delall %SystemDrive%\PROGRAM FILES\MEDIAVIEWV1\MEDIAVIEWV1ALPHA5725\FF zoo %SystemDrive%\PROGRAM FILES\MEDIAPLAYERV1\MEDIAPLAYERV1ALPHA579\FF delall %SystemDrive%\PROGRAM FILES\MEDIAPLAYERV1\MEDIAPLAYERV1ALPHA579\FF zoo %SystemDrive%\PROGRAM FILES\VIDEOPLAYERV3\VIDEOPLAYERV3BETA418\FF delall %SystemDrive%\PROGRAM FILES\VIDEOPLAYERV3\VIDEOPLAYERV3BETA418\FF zoo %SystemDrive%\PROGRAM FILES\WEBEXPENHANCEDV1\WEBEXPENHANCEDV1ALPHA5350\FF delall %SystemDrive%\PROGRAM FILES\WEBEXPENHANCEDV1\WEBEXPENHANCEDV1ALPHA5350\FF delref %SystemDrive%\USERS\E3FA~1\APPDATA\LOCAL\TEMP\HYD935E.TMP.1488631820\HTA\3RDPARTY\FS.OCX delref %Sys32%\DRIVERS\QXAGRGTZ.SYS apply czoo restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z) Если архив отсутствует, то заархивруйте папку ZOO с паролем virus . Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. е ещё раз свежий образ автозапуска сделайте.
victuar Опубликовано 13 октября, 2018 Автор Опубликовано 13 октября, 2018 Доброе утро! Выполнил указанные Вами действия. NEW_2018-10-13_09-57-43_v4.1.7z
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти