Перейти к содержанию

Прошу помочь в лечении Trojan.Multi.Accesstr.a.sh


victuar

Рекомендуемые сообщения

Антивирус Касперского Internet Security обнаружил на удалённой машине :Trojan.Multi.Accesstr.a.sh. Лечение невозможно. Архив с логами прилагаю.

CollectionLog-2018.10.11-10.47.zip

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files\Internet Explorer\iexplore.url', '');
 QuarantineFile('C:\Users\Аделина\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk', '');
 QuarantineFile('C:\Users\Аделина\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk', '');
 QuarantineFile('C:\Users\Аделина\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\установка-лечение-читать!!!.txt', '');
 QuarantineFile('C:\Users\Аделина\Desktop\Internet Explorer.lnk', '');
 DeleteFile('C:\Program Files\Internet Explorer\iexplore.url', '32');
 DeleteFile('C:\Users\Аделина\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\установка-лечение-читать!!!.txt', '32');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Аделина^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^установка-лечение-читать!!!.txt','x32');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

 

После перезагрузки:

- Выполните в АВЗ:

 

 

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

- Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты

Добрый день! Спасибо за быстрое реагирование!

Ссылка на результаты проверки VirusDetector  https://virusinfo.info/virusdetector/report.php?md5=D124A4A63B09A9DE727DBC8198F84B31

Ссылка на обсуждение https://virusinfo.info/showthread.php?t=220527

 

AVZ ругается на строку в присланном Вами скрипте: "Тоо many actual parameters в позиции 13.11"

 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^???????^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^?????????-???????-??????!!!.txt', '32');   

Ссылка на комментарий
Поделиться на другие сайты

 

 


AVZ ругается на строку в присланном Вами скрипте: "Тоо many actual parameters в позиции 13.11" RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^???????^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^?????????-???????-??????!!!.txt', '32');
а вы точно по инструкции всё делаете?

 

Как выполнить скрипт в AVZ?
 
Утилита AVZ находится в папке ..\AutoLogger\AVZ, т.е. там, откуда Вы запускали автоматический сборщик логов.

Только что проверил. В этом AVZ не ругается.


да и то что у вас русские символы заменились на вопросы говорит о том, что вы пытаетесь использовать устаревшую версию AVZ.

Ссылка на комментарий
Поделиться на другие сайты

Да, извините, я скачал с сайта с VirusDetector старую версию AVZ (ссылка на шаге 1). Теперь  все скрипты выполнились.

Высылаю ClearLnk лог и ответ от newvirus@kaspersky.com:

 

KLAN-8900957907

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
iexplore.url

В следующих файлах обнаружен вредоносный код, определяемый продуктами с включенной технологией KSN:
Launch Internet Explorer Browser.lnk - UDS:DangerousObject.Multi.Generic
Internet Explorer (No Add-ons).lnk - UDS:DangerousObject.Multi.Generic
Internet Explorer.lnk - UDS:DangerousObject.Multi.Generic
bcqr00003.dat - UDS:DangerousObject.Multi.Generic
bcqr00004.dat - UDS:DangerousObject.Multi.Generic
bcqr00005.dat - UDS:DangerousObject.Multi.Generic
bcqr00006.dat - UDS:DangerousObject.Multi.Generic
bcqr00009.dat - UDS:DangerousObject.Multi.Generic
bcqr00010.dat - UDS:DangerousObject.Multi.Generic

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.


Также высылаю новый лог автоматического сборщика (после лечения)

ClearLNK-2018.10.11_15.10.50.log

CollectionLog-2018.10.11-15.45.zip

Ссылка на комментарий
Поделиться на другие сайты

1) деинсталируйте

Weatherbar [20130930]-->MsiExec.exe /I{BE742AE3-0C95-46CC-B5C8-9F942FDD9360}
WinDealist [20131124]-->MsiExec.exe /X{B8F10001-9552-4F40-8F61-6765CD22DD9E}

2) 

Java 8 Update 91 [20160630]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83218091F0}

устаревшая версия, её тоже деинсталируйте. Если она нужна, то потом скачайте и поставьте свежую.

 

3) "Пофиксите" в HijackThis:

O2 - HKLM\..\BHO: windealist.BHO - {B8F10001-9552-4F40-8F61-6765CD22DD9E} - C:\Program Files\windealist\Internet Explorer\windealist.dll (file missing)
O4 - HKCU\..\RunOnce: [Application Restart #3] = C:\Users\Аделина\AppData\Local\Yandex\YandexBrowser\Application\browser.exe  --flag-switches-begin --flag-switches-end --flag-switches-begin --flag-switches-end --disable-ssl-false-start --disable-client-side-phishing-detection --disable-breadcrumbs-api --gaia-profile-info --disable-sync-search-engines --disable-sync-tabs --disable-sync-themes --sync-try-ssltcp-first-for-xmpp --restore-last-session http://www.rambler.ru/ (file missing)
O4 - MSConfig\startupreg: BlueStacks Agent [command] = C:\Program Files\Bluestacks\HD-Agent.exe (HKCU) (2017/10/03) (file missing)
O4 - MSConfig\startupreg: CA Research [command] = C:\Users\Аделина\AppData\Local\CA Research\CAResearch.exe (HKLM) (2013/12/26) (file missing)
O4 - MSConfig\startupreg: CoolStartUp [command] = C:\Program Files\OSTEC\CoolGram\CoolGramS.exe (HKLM) (2017/10/03) (file missing)
O4 - MSConfig\startupreg: Discord [command] = C:\Users\Аделина\AppData\Local\Discord\app-0.0.298\Discord.exe (HKCU) (2017/10/03) (file missing)
O4 - MSConfig\startupreg: LogMeIn Hamachi Ui [command] = C:\hamachi-2-ui.exe --auto-start (HKLM) (2015/08/22) (file missing)
O4 - MSConfig\startupreg: RaidCall [command] = C:\Program Files\RaidCall.RU\raidcall.exe (HKLM) (2017/10/03) (file missing)
O4 - MSConfig\startupreg: Safe-Ads [command] = C:\Users\Аделина\AppData\Local\delta\delta\1.3.28.0\safeads.exe (HKCU) (2015/11/28) (file missing)
O4 - MSConfig\startupreg: Skype [command] = C:\Program Files\Skype\Phone\Skype.exe /minimized /regrun (HKCU) (2015/09/04) (file missing)
O18 - HKLM\Software\Classes\Protocols\Handler\skype4com: [CLSID] = {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file)
O22 - Task: Raidcall_EN - C:\Program Files\RaidCall.RU\raidcall.exe (file missing)
O22 - Task: \Microsoft\Microsoft Antimalware\Microsoft Antimalware Scheduled Scan - c:\Program Files\Microsoft Security Client\MpCmdRun.exe Scan -ScheduleJob -RestrictPrivileges (file missing)
O23 - Service S3: BlueStacks Android Service  - (BstHdAndroidSvc) - C:\Program Files\Bluestacks\HD-Service.exe BstHdAndroidSvc Android (file missing)
O23 - Service S3: BlueStacks Plus Android Service  - (BstHdPlusAndroidSvc) - C:\Program Files\Bluestacks\HD-Plus-Service.exe BstHdPlusAndroidSvc Android (file missing)

 

4)

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[s00].txt.
  • Прикрепите отчет к своему следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты

Рассширения от Яндекс сами ставили? Если нет, то

 

  • Запустите повторно AdwCleaner через правую кн. мыши от имени администратора.
  • В меню Tools ->Options (Инструменты ->Настройки) отметьте:
    • Сброс политик IE
    • Сброс политик Chrome

    [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[C00].txt. [*]Прикрепите отчет к своему следующему сообщению


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Ссылка на комментарий
Поделиться на другие сайты

Всё сделал по инструкции,лог AdwCleaner прилагаю. Но Антивирус Касперского по-прежнему сигнализирует о наличии Trojan.Multi.Accesstr.a.sh в системной памяти.

AdwCleanerC04.txt

Ссылка на комментарий
Поделиться на другие сайты

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,      

  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание.
    Если у вас установлены архиваторы
    WinRAR
    или
    7-Zip
    , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    !!! Обратите внимание
    , что утилиты необходимо запускать от имени Администратора. По умолчанию в
    Windows XP
    так и есть. В
    Windows Vista
    и
    Windows 7
    администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
    Запуск от имени Администратора
    , при необходимости укажите пароль администратора и нажмите
    "Да"
    .


Ссылка на комментарий
Поделиться на другие сайты

1) Media View - деинсталируйте. Там у вас две такие рекламные программы с одним именем должны быть. Деинсталируйте обе.

Media Player - также деинсталируйте.

 

2)

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    ;uVS v4.1 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    BREG
    deltmp
    ;---------command-block---------
    delref %SystemDrive%\USERS\АДЕЛИНА\APPDATA\LOCAL\YANDEX\BROWSERMANAGER\BROWSERMANAGERSHOW.EXE
    bl CA5BCAC7BBA74ED47B540A80C88B8927 544
    zoo %SystemDrive%\$RECYCLE.BIN\S-1-5-21-3411243170-982897956-1389545595-1000\$IK7JYTP.EXE
    delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-3411243170-982897956-1389545595-1000\$IK7JYTP.EXE
    zoo %SystemDrive%\PROGRAM FILES\LYRMIX\133.XPI
    delall %SystemDrive%\PROGRAM FILES\LYRMIX\133.XPI
    zoo %SystemDrive%\PROGRAM FILES\LYRMIX\133.CRX
    delall %SystemDrive%\PROGRAM FILES\LYRMIX\133.CRX
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.169\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
    delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
    delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
    delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
    delref {B8F10001-9552-4F40-8F61-6765CD22DD9E}\[CLSID]
    delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {8479696E-499A-4D3D-B4F3-B5B9A5498BFF}\[CLSID]
    delref {444785F1-DE89-4295-863A-D46C3A781394}\[CLSID]
    delref {74F475FA-6C75-43BD-AAB9-ECDA6184F600}\[CLSID]
    delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {5A8FF410-F3CE-4844-B31B-F18D911239E8}\[CLSID]
    delref {56A58823-AE99-11D5-B90B-0050DACD1F75}\[CLSID]
    delref {CAFEEFAC-DEC7-0000-0001-ABCDEFFEDCBA}\[CLSID]
    delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
    delref {0D012ABD-CEED-11D2-9C76-00105AA73033}\[CLSID]
    delref {17177FAA-3830-43D3-A70B-FDE532676B1E}\[CLSID]
    delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
    delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
    delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
    delref {E01D1C6A-4F40-11D3-8958-00105A272DCF}\[CLSID]
    zoo %SystemDrive%\PROGRAM FILES\MEDIAVIEWV1\MEDIAVIEWV1ALPHA5725\CH\MEDIAVIEWV1ALPHA5725.CRX
    delall %SystemDrive%\PROGRAM FILES\MEDIAVIEWV1\MEDIAVIEWV1ALPHA5725\CH\MEDIAVIEWV1ALPHA5725.CRX
    zoo %SystemDrive%\PROGRAM FILES\MEDIAVIEWV1\MEDIAVIEWV1ALPHA8669\CH\MEDIAVIEWV1ALPHA8669.CRX
    delall %SystemDrive%\PROGRAM FILES\MEDIAVIEWV1\MEDIAVIEWV1ALPHA8669\CH\MEDIAVIEWV1ALPHA8669.CRX
    zoo %SystemDrive%\PROGRAM FILES\BETTERSURF\BETTERSURFPLUSV1\FF
    delall %SystemDrive%\PROGRAM FILES\BETTERSURF\BETTERSURFPLUSV1\FF
    zoo %SystemDrive%\USERS\АДЕЛИНА\APPDATA\LOCAL\XPOM\APPLICATION\28.0.1500.74\DELEGATE_EXECUTE.EXE
    delall %SystemDrive%\USERS\АДЕЛИНА\APPDATA\LOCAL\XPOM\APPLICATION\28.0.1500.74\DELEGATE_EXECUTE.EXE
    zoo %SystemDrive%\USERS\АДЕЛИНА\APPDATA\LOCAL\XPOM\APPLICATION\CHROME.EXE
    delall %SystemDrive%\USERS\АДЕЛИНА\APPDATA\LOCAL\XPOM\APPLICATION\CHROME.EXE
    zoo %SystemDrive%\PROGRAM FILES\JAVA\JRE1.8.0_91\BIN\WSDETECT.DLL
    delall %SystemDrive%\PROGRAM FILES\JAVA\JRE1.8.0_91\BIN\WSDETECT.DLL
    delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGDLJKKMGHDKCKHAOGAEMGBGDFOPHKFCO%26INSTALLSOURCE%3DONDEMAND%26UC
    delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNECFMKPLPMINFJAGBLFABGGOMDPAAKAN%26INSTALLSOURCE%3DONDEMAND%26UC
    delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD%26INSTALLSOURCE%3DONDEMAND%26UC
    apply
    
    dirzooex %SystemDrive%\PROGRAM FILES\MEDIAPLAYERV1\MEDIAPLAYERV1ALPHA579\FF
    dirzooex %SystemDrive%\PROGRAM FILES\MEDIAVIEWV1\MEDIAVIEWV1ALPHA5725\FF
    delref HTTPS://SECURE.VUUPC.COM/
    bl FB4CA2A48477AB82FE1C4182BB8AAF3A 151
    zoo %SystemDrive%\USERS\АДЕЛИНА\APPDATA\LOCAL\DELTA\DELTA\UPDT.JS
    delall %SystemDrive%\USERS\АДЕЛИНА\APPDATA\LOCAL\DELTA\DELTA\UPDT.JS
    deldir %SystemDrive%\PROGRAM FILES\MEDIAVIEWV1\MEDIAVIEWV1ALPHA5725\FF
    deldir %SystemDrive%\PROGRAM FILES\MEDIAPLAYERV1\MEDIAPLAYERV1ALPHA579\FF
    dirzooex %SystemDrive%\PROGRAM FILES\WEBEXPENHANCEDV1\WEBEXPENHANCEDV1ALPHA5350\FF
    bl 78AA0D02EC8889D9E118DAF1C654A617 785
    zoo %SystemDrive%\PROGRAM FILES\MEDIAVIEWV1\MEDIAVIEWV1ALPHA8669\FF\INSTALL.RDF
    delall %SystemDrive%\PROGRAM FILES\MEDIAVIEWV1\MEDIAVIEWV1ALPHA8669\FF\INSTALL.RDF
    deldir %SystemDrive%\PROGRAM FILES\WEBEXPENHANCEDV1\WEBEXPENHANCEDV1ALPHA5350\FF
    dirzooex %SystemDrive%\PROGRAM FILES\VIDEOPLAYERV3\VIDEOPLAYERV3BETA418\FF
    deldir %SystemDrive%\PROGRAM FILES\VIDEOPLAYERV3\VIDEOPLAYERV3BETA418\FF
    zoo %SystemDrive%\PROGRAM FILES\WEBEXPENHANCEDV1\WEBEXPENHANCEDV1ALPHA5350\CH\WEBEXPENHANCEDV1ALPHA5350.CRX
    delall %SystemDrive%\PROGRAM FILES\WEBEXPENHANCEDV1\WEBEXPENHANCEDV1ALPHA5350\CH\WEBEXPENHANCEDV1ALPHA5350.CRX
    zoo %SystemDrive%\PROGRAM FILES\VIDEOPLAYERV3\VIDEOPLAYERV3BETA418\CH\VIDEOPLAYERV3BETA418.CRX
    delall %SystemDrive%\PROGRAM FILES\VIDEOPLAYERV3\VIDEOPLAYERV3BETA418\CH\VIDEOPLAYERV3BETA418.CRX
    ;---------command-block---------
    zoo %SystemDrive%\PROGRAM FILES\BETTERSURF\BETTERSURFPLUSV1\CH\BETTERSURFPLUSV1.CRX
    delall %SystemDrive%\PROGRAM FILES\BETTERSURF\BETTERSURFPLUSV1\CH\BETTERSURFPLUSV1.CRX
    zoo %SystemDrive%\USERS\АДЕЛИНА\APPDATA\ROAMING\BABSOLUTION\CR\DELTA.CRX
    delall %SystemDrive%\USERS\АДЕЛИНА\APPDATA\ROAMING\BABSOLUTION\CR\DELTA.CRX
    apply
    
    regt 27
    czoo
    restart 
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то
    с паролем
    virus
    .

  7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


 

3) Сделайте свежий образ автозапуска.


+ раз у вас столько адвари в компе. То обязательно стоит включить обнаружение нежелательных программ.

Ссылка на комментарий
Поделиться на другие сайты

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    ;uVS v4.1 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    BREG
    ;---------command-block---------
    zoo %SystemDrive%\PROGRAM FILES\MEDIAVIEWV1\MEDIAVIEWV1ALPHA5725\FF
    delall %SystemDrive%\PROGRAM FILES\MEDIAVIEWV1\MEDIAVIEWV1ALPHA5725\FF
    zoo %SystemDrive%\PROGRAM FILES\MEDIAPLAYERV1\MEDIAPLAYERV1ALPHA579\FF
    delall %SystemDrive%\PROGRAM FILES\MEDIAPLAYERV1\MEDIAPLAYERV1ALPHA579\FF
    zoo %SystemDrive%\PROGRAM FILES\VIDEOPLAYERV3\VIDEOPLAYERV3BETA418\FF
    delall %SystemDrive%\PROGRAM FILES\VIDEOPLAYERV3\VIDEOPLAYERV3BETA418\FF
    zoo %SystemDrive%\PROGRAM FILES\WEBEXPENHANCEDV1\WEBEXPENHANCEDV1ALPHA5350\FF
    delall %SystemDrive%\PROGRAM FILES\WEBEXPENHANCEDV1\WEBEXPENHANCEDV1ALPHA5350\FF
    delref %SystemDrive%\USERS\E3FA~1\APPDATA\LOCAL\TEMP\HYD935E.TMP.1488631820\HTA\3RDPARTY\FS.OCX
    delref %Sys32%\DRIVERS\QXAGRGTZ.SYS
    apply
    
    czoo
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то
    с паролем
    virus
    .

  7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

е

ещё раз свежий образ автозапуска сделайте.
 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • pZjQ
      От pZjQ
      Проверял через cureit, вирус не удаляется прошу помочь.cureit.zip
    • in-digp
      От in-digp
      Здравствуйте!
       
      Прошу помочь с восстановлением запуска службы BFE
       
      https://support.kaspersky.ru/common/error/installation/11099#error5
       
      Данная инструкция не помогает, есть ли другие способы восстановления ?
       
       

    • Константин agromoll34
      От Константин agromoll34
      У нас сейчас точно такая же проблема, как решить вопрос?
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Ra11lex
      От Ra11lex
      Касперский плюс нашел вирус HEUR: Trojan. Multi.GenBadur.genw Расположение: Системная память, после лечения с перезагрузкой опять его нашел, а потом лечение с перезагрузкой и опять он тут. AVT его тоже находит, лечит, но после перезагрузки он опять тут. Пробовал в безопасном режиме, AVT его уже не находит. Windows 11, с последними обновлениями. Протокол прилагается. Также логи FRST. И результаты отчета uvs. 
      Это уже мой второй ноутбук. Видимо я переносил данные и вирус перенес. Прошлая ветка и решение: 
       
      ОтчетКасперский.txt Addition.txt FRST.txt ITAN_RA_2024-10-24_23-37-40_v4.99.2v x64.7z
    • Fast_diesel
      От Fast_diesel
      Касперский тотал секьюрити вирус HEUR: Trojan. Multi.GenBadur.genw Расположение: Системная память, после лечения с перезагрузкой опять его нашел, а потом лечение с перезагрузкой и опять он тут. KTS его тоже находит, лечит, но после перезагрузки он опять тут. Windows 11, с последними обновлениями.
      Данная проблема возможно появилась после скачивания и установки игр с Torrent с сайта https://stoigr.org/dlya-geimpada/10267-hogwarts-legacy.html
      CollectionLog-2024.11.08-21.18.zip
×
×
  • Создать...