jimmy_fi Опубликовано 11 января, 2019 Автор Опубликовано 11 января, 2019 Проделал. АЛЕКСЕЙ-HP_2019-01-11_21-19-41_v4.1.2.7z
regist Опубликовано 11 января, 2019 Опубликовано 11 января, 2019 @jimmy_fi,1) Сохраните себе куда-нибудь в текстовый файл скрипт, который ниже.2) Отключитесь от интернета.3) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена: ;uVS v4.1.2 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c BREG delref HTTP://173.208.139.170/2.TXT delref HTTP://35.182.171.137/3.TXT delref HTTP://JS.1226BYE.XYZ:280/V.SCT delref HTTP://WMI.1217BYE.HOST/1.TXT delref S.DAT zoo %SystemDrive%\USERS\CD86~1\APPDATA\LOCAL\TEMP\100BAE6C7CA.EXE delall %SystemDrive%\USERS\CD86~1\APPDATA\LOCAL\TEMP\100BAE6C7CA.EXE delref %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.0.1364.22194\DELEGATE_EXECUTE.EXE zoo %SystemRoot%\TEMP\CONHOST.EXE bl DB0E205613407C4E260BCB585270D8CD 782848 addsgn 9252770A016AC1CC0B54454E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 8 Trojan.Win64.Miner.ijc [Kaspersky] 7 zoo %SystemRoot%\HELP\LSMOSEE.EXE bl FEE31E72C90535FC782BC8333CF4F95D 785920 addsgn 9252775A016AC1CC0B84454E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 Trojan.Win64.Miner.ide [Kaspersky] 7 zoo %SystemRoot%\DEBUG\ITEM.DAT bl 5506F673EB568897B1DB7C06EB4E761A 2359296 addsgn 19E477AA516A4C720BD4CE5964C81205780B11E689FA1FF968ABC32D505CF5680B17C357BEAD9C46AF87849F46777A3A3D1DE472BCDEB02C2D30AEEF9EBE4A75 64 Trojan.Win32.DiskWriter.gen [Kaspersky] 7 zoo %SystemRoot%\DEBUG\LSMOSE.EXE bl 0C17491CBA1062BE447C0076EBF47896 5929472 addsgn 9AE0D208F282AB8B03D4BE7B0D778E3941C61D7F6E0413CEFB7BE21176F33C517B9494368CC974D41E78F556B4D29A37E64990203885E8CD26C07DF35A3637B8 8 Trojan.Win64.Miner.jlm [Kaspersky] 7 zoo %SystemRoot%\DEBUG\XMRSTAK_CUDA_BACKEND.DLL bl 3F5363C475177E62AC64309785754C9D 10135552 addsgn BA653BBE5D22C5262FC4E23820EC0A85DF8BF3730BF81F78D69592E9185B446144723C1FB3EB9DA95E7ED3AE9D2780B2FE12179A05DAB02C2CACD02D34C5A96D 64 Win64.BitCoinMiner.irwy [Kaspersky] 7 chklst delvir delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\AVG SECURE SEARCH\13.2.0.5\AVG SECURE SEARCH_TOOLBAR.DLL delref %SystemDrive%\PROGRAMDATA\ALTERGEO\UPDATE FOR HTML5 GEOLOCATION PROVIDER\NPHTML5LOC.DLL delref HTTP://EU.ASK.COM/WEB?Q={SEARCHTERMS}&L=DIS&O=HPNTDF delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.EXE delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\58.0.3029.110\INSTALLER\CHRMSTP.EXE delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\AVG SECURE SEARCH\REWARDSINSTALLER\17.1.2\AVGREWARDSWORKER.DLL delref %SystemDrive%\PROGRAM FILES (X86)\AVG SECURE SEARCH\GENERICWNDAPI.DLL delref A.EXE bl 4BAA91B9BFE6BD714B8BE58F9BDD4E0B 304543 zoo %SystemRoot%\INF\MSIEF.EXE delall %SystemRoot%\INF\MSIEF.EXE bl BF69865A3ACD3379B0A8D870CCD43618 113 zoo %SystemRoot%\WEB\N.VBS delall %SystemRoot%\WEB\N.VBS bl BC7FC83CE9762EB97DC28ED1B79A0A10 662528 zoo %SystemRoot%\UPDATE.EXE delall %SystemRoot%\UPDATE.EXE delref S.RAR delref PS&C:\WINDOWS\HELP\LSMOSEE.EXE delref S&C:\WINDOWS\UPDATE.EXE czoo restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)Если архив отсутствует, то заархивруйте папку ZOO с паролем virus. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. 4) Пролечитесь ещё раз (если что-то найдёт) с помощью TDSSKiller. 5) Подключитесь к интернете. 6) Соберите свежий лог uVS. 1
jimmy_fi Опубликовано 12 января, 2019 Автор Опубликовано 12 января, 2019 Проделал. Отправил письмо (размер был около 16 мегабайт). Процессы с иероглифами в диспетчере сейчас не видны. АЛЕКСЕЙ-HP_2019-01-12_11-48-12_v4.1.2.7z
regist Опубликовано 12 января, 2019 Опубликовано 12 января, 2019 свежая проверка TDSSKiller-ом что-нибудь находит? Что с проблемой?
jimmy_fi Опубликовано 13 января, 2019 Автор Опубликовано 13 января, 2019 Ничего больше не видно. Никаких процессов. Ничто процессор не нагружает. Удалось без проблем установить антивирус. Большое спасибо.
regist Опубликовано 13 января, 2019 Опубликовано 13 января, 2019 Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.Выполните рекомендации после лечения. 1
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти