Размещено 06.04.2017 23:21:42
Здравствуйте, после сканирования компьютера антивирус нашел файлы модифицированного Win32/FusionCore.K, удалить не смог.
Как удалить этот вирус?
Как удалить этот вирус?
Уважаемые пользователи!
Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новый антивирус от компании PRO32.
Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.
Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.
[ Закрыто ] Win32/FusionCore.K
1
Размещено 07.04.2017 00:24:45
Игорь,
скрипт ваш? hidden.vbs
скрипт ваш? hidden.vbs
| Цитата |
|---|
| Dim WSHShell Set WSHShell = WScript.CreateObject("WScript.Shell") sTitle1 = "SSH=0" sTitle2 = "SSH=1" if WSHShell.RegRead("HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Adv WSHShell.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Adv WSHShell.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Adv WSHShell.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\55", "Показать скрытые файлы и папки", "REG_SZ" WSHShell.SendKeys "{F5}" else WSHShell.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Adv WSHShell.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Adv WSHShell.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\55", "Скрыть скрытые файлы и папки", "REG_SZ" WSHShell.SendKeys "{F5}" end if Set WSHShell = Nothing WScript.Quit(0) |
Размещено 07.04.2017 00:27:57
+
выполните очистку в uVS
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
выполните очистку в uVS
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
| Код |
|---|
;uVS v4.0b6 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------
chklst
delvir
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDKEKDLKMDPIPIHONAPOLEOPFEKMAPADH%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLGDNILODCPLJOMELBBNPGDOGDBMCLBNI%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPFIGAOAMNNCIJBGOMIFAMKMKIDNNLIKL%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\DKEKDLKMDPIPIHONAPOLEOPFEKMAPADH\2.0.2.14_3\СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD\2.0.1.14_0\СТАРТОВАЯ — ЯНДЕКС
;-------------------------------------------------------------
deltmp
;---------command-block---------
delref {596AB062-B4D2-4215-9F74-E9109B0A8153}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %Sys32%\DRIVERS\TPM.SYS
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID]
delref %Sys32%\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref HELPSVC\[SERVICE]
delref PEVSYSTEMSTART\[SERVICE]
delref %Sys32%\DRIVERS\PROCEXP90.SYS
delref SACSVR\[SERVICE]
delref SWPRV\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\CATCHME.SYS
delref %SystemDrive%\PROGRAM FILES\TRUEKEY\MCAFEE.TRUEKEY.INSTALLERSERVICE.EXE
delref %Sys32%\DRIVERS\RDVGKMD.SYS
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\BVTBIN\TESTS\INSTALLPACKAGE\CBSTEST\X86\CSITEST.DLL
delref %SystemDrive%\PROGRAM FILES\ADOBE\ACROBAT READER DC\ACRORD32INFO.EXE
delref %Sys32%\SHAREMEDIACPL.CPL
apply
restart
|
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
Размещено 07.04.2017 05:31:00
Скрипт не мой, очистил uVS, прошел проверку в малваребайте было найдено четыре файла, поместил в карантин, удалил. Включил повторное сканирование антивируса, антивирус вредоносных файлов не нашел.
Изменено: Игорь Жадько - 07.04.2017 05:31:25
Размещено 07.04.2017 06:16:24
такой еще скрипт выполните в uVS:
без перезагрузки.
| Код |
|---|
;uVS v4.0b6 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE ;---------command-block--------- delall %SystemRoot%\HIDDEN.VBS apply QUIT |
без перезагрузки.
Размещено 07.04.2017 15:20:37
santy,сделал, спасибо за помощь.
1
Читают тему