[ Закрыто ] вопрос по работе ESET ONLIYN SCANER

RSS
ESET ONLIYN SCANER нашел модифицированный Win32/Toolbar.Coduit.AX - потенциально нежелательную программу в загрузочном секторе - что делать? так как вылечить не может.
DSCN0857[1].JPG (3.85 МБ)
DSCN0860[1].JPG (3.8 МБ)
DSCN0861[1].JPG (3.81 МБ)
Изменено: Татьяна Колдышева - 24.11.2018 12:40:43

Ответы

в панели управления в программах и компонентах доктора вебера не было потому я скачала с их сайта утилиту для удаления и запустила ее - вроде как было написано что все ок. Файлы прилагаю.  
Цитата
Татьяна Колдышева написал:
3 раза пытались запустить  скрипт в uVS из буфера обмена - все 3 раза неудачно - фото прилагается
три раза не надо выполнять скрипт, если возникает ошибка, надо писать об ошибке,
если будет такая необходимость, будет предложен другой вариант решения.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v4.1.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

zoo %SystemDrive%\PROGRAM FILES (X86)\7-ZIP\GUI_7ZS.EXE
addsgn 92047E9A556AB0AB1CD447B766C81236ECD47BF86A0E34890E1D6897887B728F73806EC6CDF0C3E47D118581EBF4B257F0B1F87308DA3D5131C2B8DC6C588F20 8 infostealer 7

chklst
delvir

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC
apply

delref %SystemRoot%\TEMP\C4B98924-F08E-47F1-BE70-48B20519BA79
delref %SystemRoot%\TEMP\17559C02-E61E-4C7E-9984-2FED890DCA18
delref %SystemRoot%\TEMP\4983953D-F1A5-4D8A-8DED-8B78BD7141C5
delref %SystemRoot%\TEMP\52AAC2AA-3080-4FE7-8958-5F8353173227
delref %SystemDrive%\PROGRAM FILES\AVAST SOFTWARE\AVAST\AVEMUPDATE.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\AVAST SOFTWARE\OVERSEER\OVERSEER.EXE
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref %SystemRoot%\SYSWOW64\TBSSVC.DLL
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\UMPO.DLL
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\RDVGKMD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\63.0.3239.132\INSTALLER\CHRMSTP.EXE
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\RDVGKMD.SYS
delref {B1883831-F0D8-4453-8245-EEAAD866DD6E}\[CLSID]
delref {472083B0-C522-11CF-8763-00608CC02F24}\[CLSID]
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\LOCAL\TEMP\1AA38963.SYS
delref %Sys32%\PSXSS.EXE
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.123\PSMACHINE.DLL
delref H:\SETUP.EXE
delref H:\INSTALLER.EXE
delref {8E5E2654-AD2D-48BF-AC2D-D17F00898D06}\[CLSID]
delref D:\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\SNOWBALL.RU\MASSEFFECTGOLD\MASSEFFECTLAUNCHER.EXE
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
если обнаружение троянов в загрузочных сигнатурах повторяется, сделайте образ автозапуска из под загрузочного winpe&uVS
посмотрите здесь инструкция по созданию загрузочного usb live disk
https://forum.esetnod32.ru/forum27/topic2102/
выполнили скрипт с кодом


компьютер перезагрузился
прилагаю файлы
Изменено: Татьяна Колдышева - 28.11.2018 17:21:04
проверьте еще раз  сканером только загрузочные сектора, напишите результат..
просканировали загрузочный сектор ESET ONLIN SCANER проблем не найдено, но в карантине висит несколько записей - это нормально? Их можно вылечить или удалить?
DSCN0869[1].JPG (3.93 МБ)
DSCN0870[1].JPG (3.93 МБ)
то что в карантине можно удалить.
судя по первому рисунку с загрузочным сектором все в порядке.
а как удалить то что в карантине?
Цитата
Татьяна Колдышева написал:
а как удалить то что в карантине?
на первом рисунке у вас написано "управление карантином". поставьте галку - "удалить файлы из карантина".
спасибо
тему можно закрыть  
Читают тему (гостей: 7)