Перейти к содержанию

Проверка на вирусы


Рекомендуемые сообщения

Здравствуйте,

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.

После выполнения скрипта компьютер перезагрузится.


- Подготовьте лог AdwCleaner и приложите его в теме.
 
Ссылка на сообщение
Поделиться на другие сайты

Вот.

А не скажете для чего это AVZ скрипт был?


У еще, windows defender постоянно жалуется на это. Я постоянно выбираю удалить но потом это выскакивает снова

AdwCleanerS00.txt

post-35438-0-46838900-1578315292_thumb.jpg

Изменено пользователем BirdMom
Ссылка на сообщение
Поделиться на другие сайты

А не скажете для чего это AVZ скрипт был?

 

Восстанавливает значения IE для зоны "Internet" Подробнее можете ознакомится тут

 

Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в uVS:

;uVS v4.1.1 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
cexec tools\CreateRestorePoint.exe BeforeCure
zoo %SystemRoot%\SYSWOW64\WMISCRIPTINGAPI\NSSY.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE_64.DLL
delref %SystemDrive%\USERS\GAMERF~1\APPDATA\LOCAL\TEMP\WCT5B0A.TMP
restart

карантин из каталога uVS загрузите пожалуйста через данную форму
 

Ссылка на сообщение
Поделиться на другие сайты

По каким-то причинам карантине только присутствует текстовый файл с описанием файла взятого в карантин.

- Скачайте Farbar Recovery Scan Tool  FRST_Icon.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt".
    FRST.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Ссылка на сообщение
Поделиться на другие сайты
Вам знакома ли сдедующее приложение?
C:\Windows\SysWOW64\WMIScriptingAPI\nssy.exe
 
  • Закройте и сохраните все открытые приложения.
  • Выделите следующий код:
Start::
CMD: wmic /Namespace:\\root\default Path SystemRestore Call Enable "%SystemDrive%"
CreateRestorePoint:
CloseProcesses:
File: C:\Program Files\simplewall\simplewall.exe
File: C:\Windows\SysWOW64\WMIScriptingAPI\nssy.exe
Zip: C:\Windows\SysWOW64\WMIScriptingAPI\nssy.exe;C:\Users\gamerfood\AppData\Local\Temp\Run cmd file\font.bat
Folder: C:\Users\gamerfood\AppData\Local\Temp\Run cmd file
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\06121379.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\06121379.sys => ""="Driver"
FirewallRules: [{E4018960-E6EC-41DF-8D41-65CE9BF27CF7}] => (Allow) C:\Program Files\Waterfox Classic\waterfox.exe No File
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST/FRST64 (от имени администратора).
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .
  • Обратите внимание, что компьютер будет перезагружен.
 
 
На рабочем столе образуется карантин вида <date>.zip загрузите этот архив через данную форму
Ссылка на сообщение
Поделиться на другие сайты

Отправил карантин в вирлаб.

Пришел ответ от Вирлаба, обнаружено новое вредоносное ПО nssy.exe - Trojan-Downloader.Powershell.Agent.kz.

 

Ждем от вас лог Fixlog.txt для того, что удалить все объекты связанные с этим вредоносным ПО.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...