Выбрать дату в календареВыбрать дату в календаре

[ Закрыто] Угроза удалена. JS/Adware.Revmbill.A, Постоянные всплывающие окна
попробуйте добавить расширение uBlock Origin, чтобы меньше цеплялось со страниц вредоносных js скриптов
https://addons.opera.com/ru/extensions/details/ublock/
[ Закрыто] Угроза удалена. JS/Adware.Revmbill.A, Постоянные всплывающие окна
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.1.9 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGNDELHFHCFBDHNDFPCINEBIJFCJPMPEC%26INSTALLSOURCE%3D­ONDEMAND%26UC
apply


; NitroSense Service
;exec  MsiExec.exe /i {6FC78E80-6385-43D6-8A43-FA80094F1A2E} BOOTSTRATOR=1 GPRODUCTNAME="NitroSense Service" BRANDNAME="Acer" ISDT=0 REBOOT=ReallySuppress /quiet

deltmp
delref %SystemRoot%\SYSWOW64\MACROMED\FLASH\FLASHUTIL32_32_0_0_321_­PEPPER.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE16\OLICENSEHEARTBEAT.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref {D2CBF5F7-5702-440B-8D8F-8203034A6B82}\[CLSID]
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemRoot%\SYSWOW64\VID.DLL
delref %SystemRoot%\SYSWOW64\WEVTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
delref %SystemRoot%\SYSWOW64\W32TIME.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DXGMMS2.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\WINNAT.SYS
delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBUSR.SYS
delref %SystemRoot%\SYSWOW64\BTHSERV.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\REFS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL
delref %SystemRoot%\SYSWOW64\LSM.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS
delref %SystemRoot%\SYSWOW64\MACROMED\FLASH\PEPFLASHPLAYER32_32_0_0­_321.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemRoot%\SYSWOW64\IE4USHOWIE.EXE
delref %SystemRoot%\SYSWOW64\IE4UINIT.EXE
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref D:\FOR GIVNA\DPDFR\DPDFRSHL.DLL
delref {23170F69-40C1-278A-1000-000100020000}\[CLSID]
delref {474C98EE-CF3D-41F5-80E3-4AAB0AB04301}\[CLSID]
delref {7EFA68C6-086B-43E1-A2D2-55A113531240}\[CLSID]
delref {748F920F-FB24-4D09-B360-BAF6F199AD6D}\[CLSID]
delref {B298D29A-A6ED-11DE-BA8C-A68E55D89593}\[CLSID]
delref {4A7C4306-57E0-4C0C-83A9-78C1528F618C}\[CLSID]
delref D:\NASTYA_KIM\SOLO9RUSENGNUM\SOLORES.DLL
delref {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref {2D8B3101-E025-480D-917C-835522C7F628}\[CLSID]
delref %Sys32%\DRIVERS\VNVDIMM.SYS
delref %Sys32%\DRIVERS\INVDIMM.SYS
delref %Sys32%\DRIVERS\NVDIMMN.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref {FE8E6AD6-DABE-45E1-88C2-48DC4578924C}\[CLSID]
delref APPMGMT\[SERVICE]
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref IRENUM\[SERVICE]
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\AUSHELPER@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\E10SROLLOUT@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\FIREFOX@GETPOCKET.COM.XPI
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\WEBCOMPAT@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\EXTENSIONS\{972CE4C6-7E08-4474-A285-3208198CE6FD}.XPI
delref %SystemDrive%\PROGRAM FILES\REMPL\DISKTOAST.EXE
delref %SystemDrive%\PROGRAM FILES\REMPL\STRGSNSADDONS.DLL
delref %Sys32%\TETHERINGSETTINGHANDLER.DLL
delref %Sys32%\QUICKACTIONSPS.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE12\OUTLCTL.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE
delref %SystemRoot%\SYSWOW64\TAPILUA.DLL
delref %SystemRoot%\SYSWOW64\LOCATIONFRAMEWORK.DLL
delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL
delref %SystemRoot%\SYSWOW64\PERCEPTIONSIMULATIONEXTENSIONS.DLL
delref %SystemDrive%\PROGRA~2\MICROS~2\OFFICE12\ONENOTE.EXE
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\IGDLH64.INF_AMD64_B5D4C82C67B39358\IGFXEXPS32.DLL
delref %SystemRoot%\SYSWOW64\COMPPKGSRV.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\MICROSOFT SHARED\INK\IACOM.DLL
delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL
delref %SystemRoot%\SYSWOW64\MAPSCSP.DLL
delref %SystemRoot%\SYSWOW64\LISTSVC.DLL
delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL
delref %SystemRoot%\SYSWOW64\WPCREFRESHTASK.DLL
delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL
delref %SystemRoot%\SYSWOW64\RMSROAMINGSECURITY.DLL
delref %SystemRoot%\SYSWOW64\SYSTEMSETTINGSBROKER.EXE
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SAPI_EXTENSIONS.DLL
delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE
delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL
delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT VISUAL STUDIO\SHARED\COMMON7\IDE\BLEND.EXE
delref %SystemRoot%\SYSWOW64\WIREDNETWORKCSP.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\ADOBE CREATIVE CLOUD\ACC\CREATIVE CLOUD.EXE --SAPCODE=ILST --PRODUCTVERSION=23.0.2 --PRODUCTPLATFORM=WIN64 --APPLETID=APPSPANEL_BL --APPLETVERSION=1.0 --APPMODE=UNINSTALL
delref D:\FOR GIVNA\BADCOPY\BADCOPY.EXE
delref D:\FOR GIVNA\BADCOPY\UNWISE.EXE
delref D:\FOR GIVNA\PC INSPECTOR FILE RECOVERY\FILERECOVERY.EXE
delref D:\FOR GIVNA\PC INSPECTOR FILE RECOVERY\UNINSTALL.EXE
delref D:\FOR GIVNA\DPDFR\DPDFR.EXE
delref D:\FOR GIVNA\DPDFR\UNWISE.EXE
delref D:\FOR GIVNA\DOCREPAIR\DOCREPAIR.EXE
delref D:\FOR GIVNA\DOCREPAIR\UNWISE.EXE
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
При установке ESET NOD32 Smart Security происходи откат установи. Ошибка MSI 1303, Проблема с установкой NOD32 Smart Security
добавьте логи проверки в FRST
http://forum.esetnod32.ru/forum9/topic2798/
файлы зашифрованы с расширением .space; .BOMBO; .ONE; .act; .pgp; .FRM; .wch; .club; .dr; .hack; .HCK; .r3f5s; .bad; hlpp; base; .HOW; .team; .credo; .lxhlp; .NHLP; .gyga; .bmtf; .prnds; .teamV; .GNS; .felix; .null; smpl; .rxx, Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta
День добрый!
подхватили шифровальщика, просьба помочь с расшифровкой файлов.


-----------
[SIZE=14pt]теперь, когда вас шифрануло Crysis, примите серьезные меры безопасности:[/SIZE]

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного  брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

на текущий момент известные варианты CrySis/Dharma, которые не могут быть расшифрованы без выкупа:

[QUOTE]
  .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb/.combo; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .boost; .waifu; .FUNNY; .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx; .santa; .bizer; .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun; .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0day; .hccapx; .cap; .xxxx; .crash; .php; .dqb; .save; kick; .1BTC; .com2; .Acuf2; .nqix; .Q1G; .pdf; .cmd; MGS; .RSA; .ebola; .money; .VIVAL; .UTC; .CASH; .KRAB; .uta; .bot; .wiki; PBD; .one; .xda; .start; .asus; .VIRUS; .rsa; .kr; '.ninja; .nvram; .SySS; .kharma; .abc; .2048; ROGER; .bitx; .IMI; .asd; RIDIK; .Z9; .LIVE; .NEWS; wrar; 2NEW; .msh; .CU; .rajar; .blend; .WHY; .crown; .ncov; self; .PAY; .qbix; .PLEX; .YKUP; .8800; .rxx; '.GTF; .Mark; .IPM; .ONION; .LX; .C-VIR; .2020; .MSPLT; .ccd; .DOT; .dec; .VWA; .love$; .TRAMP; .LOL; .0day0; .PHP; .NET; .R2D2; .lab; .BANG; .payB;  [B].space; .BOMBO; .ONE; .act; .pgp; .FRM; .wch; .club; .dr; .hack; .HCK; .r3f5s; .bad; hlpp; base; .HOW; .team; .credo; .lxhlp; .NHLP; .gyga; .bmtf; .prnds; .teamV; .GNS; .felix; .null; smpl; .rxx [/B] [/QUOTE]
файлы зашифрованы с расширением .Void, VoidCrypt
+ добавьте логи FRST
http://forum.esetnod32.ru/forum9/topic2798/
файлы зашифрованы с расширением .Void, VoidCrypt
[B]VoidCrypt[/B]
Этот вымогатель еще пока изучается.

Опознан как

   ransomnote_email: decoderma@tutanota.com
   sample_extension: .[<email>][ID-<id>].Void
   sample_bytes: [0x149A - 0x149D] 0x79656B

https://id-ransomware.malwarehunterteam.com/identify.php?case=dff85bfcaacbd05560b1425071f0916f033abaeb
---------
доп. информация: https://twitter.com/Amigo_A_/status/1248686694657900552

https://id-ransomware.blogspot.com/2020/04/void-voidcrypt-ransomware.html

логи сейчас проверю
файлы зашифрованы с расширением .Void, VoidCrypt
добавьте несколько зашифрованных файлов и записку о выкупе в архиве,
+
добавьте образ автозапуска системы + логи FRST
JS скрипт при переходе на поисковик google, ХЗ ЧТО ТУТ НЕ ТАК
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.1.9 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
regt 35
hide F:\0PERA12.18\NIRCMD.EXE
hide %SystemDrive%\PROGRAM FILES (X86)\IOBIT\DRIVER BOOSTER\7.4.0\DRIVERBOOSTER.EXE
hide %SystemDrive%\COUNTER-STRIKE 1.6\HL.EXE
;------------------------autoscript---------------------------

setdns Подключение по локальной сети\4\{072439DC-CEFC-4D25-9B6F-8CE936B41B38}\8.8.8.8,8.8.4.4
setdns Подключение по локальной сети 2\4\{BC0B7BCD-FE8B-404B-9D78-14294CE1D7B5}\8.8.8.8,8.8.4.4
delref HTTP://WWW.WINDOWSXLIVE.NET
delref HTTP://WWW.WINDOWSXLIVE.NET/
delref 0HTTPS://ANTIZAPRET.PROSTOVPN.ORG/PROXY.PAC
delref {B164E929-A1B6-4A06-B104-2CD0E90A88FF}\[CLSID]
delref HTTPS://ANTIZAPRET.PROSTOVPN.ORG/PROXY.PAC
apply

deltmp
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\UMPO.DLL
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.EXE
delref {02BCC737-B171-4746-94C9-0D8A0B2C0089}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {3FD37ABB-F90A-4DE5-AA38-179629E64C2F}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {62B4D041-4667-40B6-BB50-4BC0A5043A73}\[CLSID]
delref {65BCBEE4-7728-41A0-97BE-14E1CAE36AAE}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {9203C2CB-1DC1-482D-967E-597AFF270F0D}\[CLSID]
delref {BDEADE98-C265-11D0-BCED-00A0C90AB50F}\[CLSID]
delref {BDEADE9E-C265-11D0-BCED-00A0C90AB50F}\[CLSID]
delref {BDEADEDE-C265-11D0-BCED-00A0C90AB50F}\[CLSID]
delref {BDEADEF5-C265-11D0-BCED-00A0C90AB50F}\[CLSID]
delref {C514A18E-862A-45D3-8A5E-62CF54D912B6}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CDEC13B2-0B3C-400E-B909-E27EE89C6799}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {E18FEC31-2EA1-49A2-A7A6-902DC0D1FF05}\[CLSID]
delref {E543A17A-F212-49C0-B63D-BF09B460250E}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\CHROMIUM\APPLICATION\­CHROME.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\OPERA9\OPERA.EXE
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {42042206-2D85-11D3-8CFF-005004838597}\[CLSID]
delref {05B38830-F4E9-4329-978B-1DD28605D202}\[CLSID]
delref {056D528D-CE28-4194-9BA3-BA2E9197FF8C}\[CLSID]
delref {0596C850-7BDD-4C9D-AFDF-873BE6890637}\[CLSID]
delref {B1883831-F0D8-4453-8245-EEAAD866DD6E}\[CLSID]
delref {596AB062-B4D2-4215-9F74-E9109B0A8153}\[CLSID]
delref {851AAB5C-2010-4157-9C5D-A28DFA7B2660}\[CLSID]
delref {95F35795-64B1-495D-9DE7-390EECC31EC0}\[CLSID]
delref {7CCA70DB-DE7A-4FB7-9B2B-52E2335A3B5A}\[CLSID]
delref {0006F045-0000-0000-C000-000000000046}\[CLSID]
delref {C5F6CDD1-FB7B-4971-A53F-4B00757F756B}\[CLSID]
delref {75EF3512-D401-4172-BA0F-00E000DCBCE4}\[CLSID]
delref {8EEE3CD5-1F70-4B63-B19D-A5F1457761DB}\[CLSID]
delref {9CE04609-A360-4266-9937-9D799E8D2D5A}\[CLSID]
delref {63ADB0D1-6DA0-46A2-89D0-E0CE44536E32}\[CLSID]
delref {472083B0-C522-11CF-8763-00608CC02F24}\[CLSID]
delref %Sys32%\DRIVERS\AMSDK.SYS
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref SWPRV\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\DRIVERS\ASSTAHCI64.SYS
delref %SystemRoot%\TEMP\CPUZ148\CPUZ148_X64.SYS
delref %Sys32%\DRIVERS\HID7906.SYS
delref %Sys32%\DRIVERS\HWINFO.SYS
delref %Sys32%\DRIVERS\MDCORE.SYS
delref %Sys32%\DRIVERS\MMPSY.SYS
delref %Sys32%\DRIVERS\RDVGKMD.SYS
delref %Sys32%\DRIVERS\XHUNTER1.SYS
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\FORMAUTOFILL@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\SCREENSHOTS@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\WEBCOMPAT-REPORTER@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\WEBCOMPAT@MOZILLA.ORG.XPI
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemRoot%\SYSWOW64\PLASRV.EXE
delref %SystemDrive%\PROGRAM FILES\COMODO\COMODO INTERNET SECURITY\CMDCOM32.DLL
delref P:\INSTALL.EXE
delref T:\SEVEN.EXE
delref I:\SEVEN.EXE
delref V:\AUTORUN.EXE
delref J:\AUTORUN.EXE
delref E:\HISUITEDOWNLOADER.EXE
delref I:\SETUP.EXE
delref {11C9DD7B-CCF5-4502-90A1-FEE8889976D5}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\IMAGE UPLOADER\IMAGE UPLOADER.EXE
delref %Sys32%\BLANK.HTM
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\PYTHON\PYTHO­N36-32\DOC\PYTHON365.CHM
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
JS скрипт при переходе на поисковик google, ХЗ ЧТО ТУТ НЕ ТАК
как минимум, левые DNS сервера есть в системе
https://www.nic.ru/whois/?searchWord=156.154.70.25
образ сейчас проверю
поговорить о uVS, Carberp, планете Земля
это и понятно, что удалить не сможет,
но если видит ключ скрытого (из норм и безопасного режима) сервиса в реестре (т.е. руткита), чего не увидел специализированный антируткит tdsskilller - уже хорошо.

[QUOTE]"{45487F67-EC9F-4449-A6F2-2D0970F9B80B}" => service could not be unlocked. <==== ATTENTION => Error: No automatic fix found for this entry.
HKLM\SYSTEM\ControlSet001\Services\{45487F67-EC9F-4449-A6F2-2D0970F9B80B} => C:\WINDOWS\System32\drivers\Wdf41348.sys [6562192 2020-05-31] (Access Denied) [File not signed] <==== ATTENTION (Rootkit!/Locked Service) => Error: No automatic fix found for this entry.[/QUOTE]

понятно, что и на VT улетел файл нулевого размера, а удаление данного файла после перезагрузки самой системой под вопросом,
скорее всего руткит отменит это задание.

[QUOTE]
VirusTotal: C:\WINDOWS\system32\Drivers\Wdf41348.sys => https://www.virustotal.com/file/e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca49­5991b7852b855/analysis/1591036135/
Could not move "C:\WINDOWS\system32\Drivers\Wdf41348.sys" => Scheduled to move on reboot.[/QUOTE]

uVS тоже ничего не смог сделать из нормального режима.

[QUOTE]Копирование файла в Zoo: C:\WINDOWS\SYSTEM32\DRIVERS\WDF41348.SYS
Нет доступа к файлу, возможно файл защищен [ C:\WINDOWS\SYSTEM32\DRIVERS\WDF41348.SYS ]
(!) Не удалось получить доступ к C:\WINDOWS\SYSTEM32\DRIVERS\WDF41348.SYS
Нет доступа к файлу, возможно файл защищен [ C:\WINDOWS\SYSTEM32\DRIVERS\WDF41348.SYS ]
(!) Не удалось получить доступ к C:\WINDOWS\SYSTEM32\DRIVERS\WDF41348.SYS
\\?\C:\USERS\PHGOGIN\FAVORITES\DOWNLOADS\UVS\SUPPORT\ZOO\WDF41348.SYS.---
Не удалось скопировать файл [Отказано в доступе. ]

Удаление файлов...
C:\WINDOWS\SYSTEM32\DRIVERS\WDF41348.SYS будет удален после перезагрузки[/QUOTE]