Sandor 1 268 Опубликовано 6 ноября, 2019 Share Опубликовано 6 ноября, 2019 (изменено) не представляю как это сделать? Как отключить гостя Затем: Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена: ;uVS v4.1.8 [http://dsrt.dyndns.org:8888] ;Target OS: NTv6.1 v400c dirzooex %SystemDrive%\USERS\СОТРУДНИК\DESKTOP\SUPPORT zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\IMG001.EXE bl 4000806BEBEAB1BBDA1EAF0FCF9FEA27 7079539 addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6E96B5F78B63503F874C251B33627B3173E3D9CC92B807B8AF66609FA2E20FD0E279AB04625D4FC78BB06CA82 59 Trojan.BtcMine.815 [DrWeb] 7 zoo %SystemDrive%\1\IMG001.EXE zoo %SystemDrive%\1\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\IMG001.EXE zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\SEARCH\DATA\APPLICATIONS\WINDOWS\TMP.EDB bl 6481DD6DDF75096E306ABA94D4E2E3B0 8454144 zoo %SystemDrive%\USERS\1\START MENU\PROGRAMS\STARTUP\IMG001.EXE zoo %SystemDrive%\USERS\10.0.1.11\START MENU\PROGRAMS\STARTUP\IMG001.EXE chklst delvir czoo deltmp В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z) Если архив отсутствует, то заархивруйте папку ZOO с паролем virus. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Подробнее читайте в этом руководстве. Соберите свежий образ автозапуска uVS. Изменено 6 ноября, 2019 пользователем Sandor Цитата Ссылка на сообщение Поделиться на другие сайты
мик 0 Опубликовано 6 ноября, 2019 Автор Share Опубликовано 6 ноября, 2019 Соберите свежий образ автозапуска uVS. выполнено: отправил почтой архив. П.С. "Левые" папки также продолжают появляться. ASUS_2019-11-06_16-55-40_v4.1.8.7z Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 268 Опубликовано 6 ноября, 2019 Share Опубликовано 6 ноября, 2019 Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена: ;uVS v4.1.8 [http://dsrt.dyndns.org:8888] ;Target OS: NTv6.1 v400c ;---------command-block--------- delref %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\NSMINER\IMG001.EXE apply zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\IMG001.EXE bl 4000806BEBEAB1BBDA1EAF0FCF9FEA27 7079539 addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6E96B5F78B63503F874C251B33627B3173E3D9CC92B807B8AF66609FA2E20FD0E279AB04625D4FC78BB06CA82 59 Trojan.BtcMine.815 [DrWeb] 7 zoo %SystemDrive%\1\IMG001.EXE zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\SEARCH\DATA\APPLICATIONS\WINDOWS\TMP.EDB bl 6481DD6DDF75096E306ABA94D4E2E3B0 8454144 zoo %SystemDrive%\USERS\USER\START MENU\PROGRAMS\STARTUP\IMG001.EXE chklst delvir В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. Подробнее читайте в этом руководстве. После перезагрузки отключите этот компьютер от локальной сети и понаблюдайте. Результат сообщите. Цитата Ссылка на сообщение Поделиться на другие сайты
мик 0 Опубликовано 6 ноября, 2019 Автор Share Опубликовано 6 ноября, 2019 (изменено) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена: ;uVS v4.1.8 [http://dsrt.dyndns.org:8888] ;Target OS: NTv6.1 v400c ;---------command-block--------- delref %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\NSMINER\IMG001.EXE apply zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\IMG001.EXE bl 4000806BEBEAB1BBDA1EAF0FCF9FEA27 7079539 addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6E96B5F78B63503F874C251B33627B3173E3D9CC92B807B8AF66609FA2E20FD0E279AB04625D4FC78BB06CA82 59 Trojan.BtcMine.815 [DrWeb] 7 zoo %SystemDrive%\1\IMG001.EXE zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\SEARCH\DATA\APPLICATIONS\WINDOWS\TMP.EDB bl 6481DD6DDF75096E306ABA94D4E2E3B0 8454144 zoo %SystemDrive%\USERS\USER\START MENU\PROGRAMS\STARTUP\IMG001.EXE chklst delvir В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. Подробнее читайте в этом руководстве. После перезагрузки отключите этот компьютер от локальной сети и понаблюдайте. Результат сообщите. Ок, спасибо. о результатах наблюдения сообщу в понедельник. У нас длинные выходные. На почту надо отправлять папку ZOO? Изменено 6 ноября, 2019 пользователем мик Цитата Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 6 ноября, 2019 Share Опубликовано 6 ноября, 2019 На почту надо отправлять папку ZOO? нет, сейчас не надо. Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 6 ноября, 2019 Share Опубликовано 6 ноября, 2019 RDP используете? ++++Запустите стандартную проверку https://safezone.cc/resources/proverka-celostnosti-sistemnyx-fajlov-utilitoj-sfc.55/ Цитата Ссылка на сообщение Поделиться на другие сайты
мик 0 Опубликовано 11 ноября, 2019 Автор Share Опубликовано 11 ноября, 2019 RDP используете? ++++Запустите стандартную проверку https://safezone.cc/resources/proverka-celostnosti-sistemnyx-fajlov-utilitoj-sfc.55/ Выполнил CBS.LOG sfcdoc.log Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 268 Опубликовано 11 ноября, 2019 Share Опубликовано 11 ноября, 2019 Соберите и прикрепите свежий образ автозапуска uVS. Цитата Ссылка на сообщение Поделиться на другие сайты
мик 0 Опубликовано 11 ноября, 2019 Автор Share Опубликовано 11 ноября, 2019 (изменено) Соберите и прикрепите свежий образ автозапуска uVS. Выполнил: антивирус вроде бы перестал ругаться, но он почему-то не может обновиться, хотя просит... ASUS_2019-11-11_13-53-09_v4.1.8.7z Изменено 11 ноября, 2019 пользователем мик Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 268 Опубликовано 11 ноября, 2019 Share Опубликовано 11 ноября, 2019 Чуть ещё почистим мусор: Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена: ;uVS v4.1.8 [http://dsrt.dyndns.org:8888] ;Target OS: NTv6.1 v400c ;---------command-block--------- delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.115\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE_64.DLL apply restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. Подробнее читайте в этом руководстве. Что сейчас с проблемой? Цитата Ссылка на сообщение Поделиться на другие сайты
мик 0 Опубликовано 11 ноября, 2019 Автор Share Опубликовано 11 ноября, 2019 Что сейчас с проблемой? Выполнил. Вроде бы вирус перестал вылазить. Понаблюдаю. Большое спасибо за помощь! Цитата Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 15 ноября, 2019 Share Опубликовано 15 ноября, 2019 Чуть ещё почистим мусор:+ - Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите. ++++Запустите стандартную проверку https://safezone.cc/resources/proverka-celostnosti-sistemnyx-fajlov-utilitoj-sfc.55/ и эту проверку ещё раз повторите и свежие логи выложите. Цитата Ссылка на сообщение Поделиться на другие сайты
мик 0 Опубликовано 18 ноября, 2019 Автор Share Опубликовано 18 ноября, 2019 Чуть ещё почистим мусор:+ - Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите. ++++Запустите стандартную проверку https://safezone.cc/resources/proverka-celostnosti-sistemnyx-fajlov-utilitoj-sfc.55/ и эту проверку ещё раз повторите и свежие логи выложите. Здравствуйте! Выполнил: ClearLNK-2019.11.18_09.11.31.log CBS.LOG sfcdoc.log Цитата Ссылка на сообщение Поделиться на другие сайты
мик 0 Опубликовано 25 ноября, 2019 Автор Share Опубликовано 25 ноября, 2019 @regist,???? Цитата Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 25 ноября, 2019 Share Опубликовано 25 ноября, 2019 @мик, что в прошлый раз. что в этот раз у вас восстанавливало кучу файлов. К вирусам это отношение не имеет, но это странно. Возможно с диском проблемы. Виндоус не сборка случаем стоит? Проверьте нарушения файловой системы chkdsk X: /x /f /r Скачайте отсюда архив "UpdateClean.zip", распакуйте, запустите и выполните первый пункт. В папке со скриптом должен появиться файл "Packages.txt" - прикрепите его. @мик, что в прошлый раз. что в этот раз у вас восстанавливало кучу файлов. К вирусам это отношение не имеет, но это странно. Возможно с диском проблемы. Виндоус не сборка случаем стоит? Проверьте нарушения файловой системы chkdsk X: /x /f /r Скачайте отсюда архив "UpdateClean.zip", распакуйте, запустите и выполните первый пункт. В папке со скриптом должен появиться файл "Packages.txt" - прикрепите его. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.