Страницы: 1
RSS
wsaudio.com и icloudsrv.com.
 
Доброе утро! С недавнего времени NOD32 стал регулярно показывать  всплывающие окна с блокировкой wsaudio.com/ и  icloudsrv.com.  Нужна помощь
Добавил образ автозапуска
Изменено: Олег Иванов - 05.06.2017 16:56:50
 
Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !


Код

;uVS v4.0.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

deldirex %SystemDrive%\USERS\EVIL\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

deldirex %SystemDrive%\USERS\EVIL\APPDATA\ROAMING\VKMUSIC\SHADOW\VKMUSIC

deldirex %SystemDrive%\PROGRAM FILES (X86)\VKMUSIC 4

deldirex %SystemDrive%\USERS\EVIL\APPDATA\LOCAL\MEDIAGET2

deldirex %SystemDrive%\USERS\EVIL\APPDATA\ROAMING\VKMUSIC\VKMUSIC

deldirex %SystemDrive%\USERS\EVIL\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\MEDIAGET2

delall %SystemDrive%\TEMP\SKY7E55.TMP
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDLJDACFOJGIKOGLDJFFNKDCIELNKLKCE%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3DONDEMAND%26UC
delall %SystemDrive%\TEMP\GPU-Z.SYS
delref %SystemDrive%\USERS\EVIL\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\KCKNBENJNKKJKNPHMNIDANJIFBGPHJKE\4.18_0\THE SAFE SURFING
delref %SystemDrive%\USERS\EVIL\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\MOFELBKEMHLIGELPMJMOHGPHHMOGBKNI\2.5.1_0\TEDDY PROTECTION
delref HTTP://MAIL.RU/CNT/10445?GP=820321
delref HTTP://WWW.BING.COM/SEARCH?Q={SEARCHTERMS}&SRC=IE-SEARCHBOX&FORM=IESR02
apply

regt 28
regt 29
;-------------------------------------------------------------

delall %SystemDrive%\USERS\EVIL\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\MEDIAGET2\MEDIAGET.LNK
delall %SystemDrive%\USERS\EVIL\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\MEDIAGET2\УДАЛИТЬ MEDIAGET.LNK
deldir %SystemDrive%\USERS\EVIL\APPDATA\LOCAL\MEDIAGET2
deltmp
;---------command-block---------
delref %SystemDrive%\PROGRAMDATA\{358F92A4-7FB8-8FF3-358F-F92A47FB4A91}\STEAMHELPER.EXE
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref E:\STELLARIS\STELLARIS.EXE
delref %SystemDrive%\THE WALKING DEAD - A NEW FRONTIER\LAUNCHER.EXE
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\UMPO.DLL
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\RDVGKMD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\RDVGKMD.SYS
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %SystemRoot%\XHUNTER1.SYS
delref %Sys32%\PSXSS.EXE
delref %Sys32%\MISS_APO.DLL
delref %Sys32%\FMAPO64.DLL
delref %Sys32%\MAXXSPEECHAPO64.DLL
delref %Sys32%\AERTAC64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %Sys32%\MAXXVOICEAPO2064.DLL
delref %Sys32%\MAXXAUDIOAPO20.DLL
delref %Sys32%\INTELSSTAPO.DLL
delref %Sys32%\MAXXVOICEAPO3064.DLL
delref %Sys32%\AERTAR64.DLL
delref %Sys32%\MAXXAUDIOAPO4064.DLL
delref %Sys32%\MAXXVOICEAPO4064.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %Sys32%\MAXXAUDIOAPO5064.DLL
delref %Sys32%\MAXXAUDIOAPO6064.DLL
delref %Sys32%\NAHIMICV3APO.DLL
delref %Sys32%\MAXXAUDIOAPO7064.DLL
delref %Sys32%\MAXXVOLUMESDAPO.DLL
delref %Sys32%\NAHIMICAPONSCONTROL.DLL
delref %Sys32%\CX64APO.DLL
delref %Sys32%\CX64PROXY.DLL
delref %Sys32%\CAF64APO2.DLL
delref %Sys32%\MAXXAUDIOAPO30.DLL
delref %Sys32%\INTELSSTCAPOPROPPAGE.DLL
delref %Sys32%\SHAREMEDIACPL.CPL
delref %Sys32%\NAHIMICV2APO.DLL
delref %Sys32%\DTSU2PREC64.DLL
delref %Sys32%\CAF64API.DLL
delref %Sys32%\DTSU2PLFX64.DLL
delref %Sys32%\DTSU2PGFX64.DLL
delref %Sys32%\NAHIMICAPOLFX.DLL
delref %Sys32%\KAAPORT64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemRoot%\SYSWOW64\RTCOM\MAXXSPEECHAPO.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\RTCOM\FMAPO32.DLL
delref %SystemRoot%\SYSWOW64\RTCOM\CX32APO.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\ADOBE PHOTOSHOP CS5\PHOTOSHOP.EXE\AUTOMATION
delref M:\STARTMODEM.EXE
delref %SystemDrive%\USERS\EVIL\APPDATA\LOCAL\MEDIAGET2\MEDIAGET.EXE
delref %SystemDrive%\USERS\EVIL\APPDATA\LOCAL\MEDIAGET2\MEDIAGET-UNINSTALLER.EXE
delref G:\WARTHUNDER\LAUNCHER.EXE
delref G:\WARTHUNDER\UNINS000.EXE
delref D:\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.EXE
delref I:\BIG PHARMA V1.07.10 RUS\BIG PHARMA.EXE
delref I:\CALL TO ARMS\UNINS000.EXE
delref I:\CALL TO ARMS\CALL_TO_ARMS.EXE
delref I:\DEMOLISH AND BUILD COMPANY 2017\DEMOLISH.EXE
delref I:\DEMOLISH AND BUILD COMPANY 2017\UNINS000.EXE
delref I:\DREADNOUGHT\DREADNOUGHTLAUNCHER.EXE
delref I:\DREADNOUGHT\UNINSTALL.EXE
delref I:\8-BIT HORDES\CLIENTLAUNCHERG.EXE
delref I:\8-BIT HORDES\UNINS000.EXE
delref H:\MOUNT & BLADE - WARBAND\-SUSTEMSETUPIS\FIANNA_MB_KEY_REGISTER.EXE
delref H:\MOUNT & BLADE - WARBAND\MODULES\FIANNA_FEUDAL_WORLD\BIN\MBUPDATER.EXE
delref H:\MOUNT & BLADE - WARBAND\MODULES\FIANNA_MERCENARIES\BIN\MBUPDATER.EXE
delref H:\MOUNT & BLADE - WARBAND\MODULES\FIANNA_NORDINVASION\BIN\MBUPDATER.EXE
delref H:\MOUNT & BLADE - WARBAND\MB_WARBAND.EXE
delref H:\MOUNT & BLADE - WARBAND\UNINS000.EXE
delref E:\DARK SECTOR\DS.EXE
delref I:\LOKI\AUTORUN\AUTORUN.EXE
delref G:\THE WALKING DEAD - SEASON 2\LAUNCHER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\UTILITES\REGCLEANER\WISEREGISTRYCLEANER.EXE
delref I:\WOTTS\WOTLAUNCHER.EXE
delref I:\WOTTS\UNINS000.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\XVID\AVIC.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\XVID\AUTOUPDATE-WINDOWS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\XVID\MINICALC.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\XVID\UNINSTALL.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\XVID\UNINSTXVID.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\XVID\MINICONVERT.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\XVID\STATSREADER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE16\DCF\DATABASECOMPARE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE16\DCF\SPREADSHEETCOMPARE.EXE
apply

restart




+
Далее (даже если проблема решена) выполните лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic10688/

Выберите вариант сканирования: Быстрое или Полное сканирование.
Отчет предоставить для анализа ( в своей теме на форуме ).
Отчёт нужно предоставить в .txt ( блокнот )
Изменено: RP55 RP55 - 05.06.2017 19:10:10
 
Скрипт выполнил, Malwarebytes нашел еще кучу всего. Удалил всё что нашел.
 
далее,
3.сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

5.сделайте проверку в FRST
http://forum.esetnod32.ru/forum9/topic2798/
Страницы: 1
Читают тему (гостей: 1)