Выбрать дату в календареВыбрать дату в календаре

[ Закрыто] Модифицированный MSIL/CoinMiner.BLB
файлы из карантина ZOO** вышлите в почту safety@chklst.ru в архиве с паролем infected
+
сделайте копию данной папки:
C:\USERS\****\APPDATA\ROAMING\STEAMAPI\
[ Закрыто] Модифицированный MSIL/CoinMiner.BLB
файлы из карантина ZOO** вышлите в почту safety@chklst.ru в архиве с паролем infected
[ Закрыто] угроза MSIL/CoinMiner.BLB
+ образ переделайте актуальной версией uVS 4.11.8
https://www.dropbox.com/s/w3pagxu3ys4jewr/uvs_latest.zip?dl=0
это вирус?
по очистке системы выполните:
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.11.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
hide %Sys32%\OPENSSH\SSH-AGENT.EXE
;------------------------autoscript---------------------------

zoo %SystemDrive%\USERS\ГЕРМАН\APPDATA\LOCAL\HOST APP SERVICE\ENGINE\HOSTAPPSERVICEUPDATER.EXE
addsgn BA6F9BB2BD2945720B9C2D754C21E4F8DA75303AC9A957FB69E38D3789E5­B8B336D4194B3E1D1682D495DE7F5A16B6EF1905F4721D5178962473A4EF­8F85E653 8 Adware.SweetLabs.2 [DrWeb] 7

chklst
delvir

apply

deltmp
delref %Sys32%\DRIVERSTORE\FILEREPOSITORY\NVACI.INF_AMD64_18C5552CDED2A330\DISPLAY.NVCONTAINER\NVDISPLAY.CONTAINER.EXE -S NVDISPLAY.CONTAINERLOCALSYSTEM -F C:\PROGRAMDATA\NVIDIA\NVDISPLAY.CONTAINERLOCALSYSTEM.LOG -L 3 -D C:\WINDOWS\SYSTEM32\DRIVERSTORE\FILEREPOSITORY\NVACI.INF_AMD64_18C5552CDED2A330\DISPLAY.NVCONTAINER\PLUGINS\LOCALSYSTEM -R -P 30000 -CFG NVDISPLAY.CONTAINERLOCALSYSTEM\LOCALSYSTEM
delref %SystemDrive%\USERS\ГЕРМАН\APPDATA\LOCAL\DISCORD\APP-1.0.9002\MODULES\DISCORD_DESKTOP_CORE-3\DISCORD_DESKTOP_CORE\CORE.ASAR\APP\MAINSCREENPRELOAD.JS
delref %SystemDrive%\USERS\119F~1\APPDATA\LOCAL\TEMP\EDGE_BITS_1333­2_910887267\1D147C3B-6A51-425F-A960-C0159921DF27
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemRoot%\SYSWOW64\VID.DLL
delref %SystemRoot%\SYSWOW64\WEVTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
delref %SystemRoot%\SYSWOW64\W32TIME.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DXGMMS2.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\WINNAT.SYS
delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBUSR.SYS
delref %SystemRoot%\SYSWOW64\BTHSERV.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\REFS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL
delref %SystemRoot%\SYSWOW64\LSM.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\IE4USHOWIE.EXE
delref %SystemRoot%\SYSWOW64\IE4UINIT.EXE
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\84.0.522.52\MSEDGE.DLL
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref APPMGMT\[SERVICE]
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\DRIVERSTORE\FILEREPOSITORY\NVACI.INF_AMD64_18C5552CDED2A330\DISPLAY.NVCONTAINER\NVDISPLAY.CONTAINER.EXE -S NVDISPLAY.CONTAINERLOCALSYSTEM -F %PROGRAMDATA%\NVIDIA\NVDISPLAY.CONTAINERLOCALSYSTEM.LOG -L 3 -D C:\WINDOWS\SYSTEM32\DRIVERSTORE\FILEREPOSITORY\NVACI.INF_AMD64_18C5552CDED2A330\DISPLAY.NVCONTAINER\PLUGINS\LOCALSYSTEM -R -P 30000 -CFG NVDISPLAY.CONTAINERLOCALSYSTEM\LOCALSYSTEM
delref IRENUM\[SERVICE]
delref %SystemDrive%\PROGRAM FILES (X86)\ACER\GAMEPASS4PC\GAMEPASS4PC.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.145.49\PSMACHINE_64.DLL
delref %Sys32%\TETHERINGSETTINGHANDLER.DLL
delref %Sys32%\QUICKACTIONSPS.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.59\PSMACHINE_64.DLL
delref %Sys32%\VAILAUDIOPROXY.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\VFS\PROGRAMFILESCOMMONX64\MICROSOFT SHARED\EQUATION\EQNEDT32.EXE
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE
delref %SystemRoot%\SYSWOW64\TAPILUA.DLL
delref %SystemRoot%\SYSWOW64\UPDATEDEPLOYMENTPROVIDER.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\U0366915.INF_AMD64_D4AE9CF784B1A026\B366849\AMDHWDECODER_32.DLL
delref %SystemRoot%\SYSWOW64\LOCATIONFRAMEWORK.DLL
delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL
delref %SystemRoot%\SYSWOW64\PERCEPTIONSIMULATIONEXTENSIONS.DLL
delref %SystemRoot%\SYSWOW64\COMPPKGSRV.EXE
delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL
delref %SystemRoot%\SYSWOW64\MAPSCSP.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\LISTSVC.DLL
delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\U0366915.INF_AMD64_D4AE9CF784B1A026\B366849\AMDH265ENC32.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NVACI.INF_AMD64_18C5552CDED2A330\NVENCMFTH264.DLL
delref %SystemRoot%\SYSWOW64\WPCREFRESHTASK.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\U0366915.INF_AMD64_D4AE9CF784B1A026\B366849\AMF-MFT-MJPEG-DECODER32.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.145.49\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NVACI.INF_AMD64_18C5552CDED2A330\NVDECMFTMJPEG.DLL
delref %SystemRoot%\SYSWOW64\RMSROAMINGSECURITY.DLL
delref %SystemRoot%\SYSWOW64\SYSTEMSETTINGSBROKER.EXE
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NVACI.INF_AMD64_18C5552CDED2A330\NVENCMFTHEVC.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SAPI_EXTENSIONS.DLL
delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\U0366915.INF_AMD64_D4AE9CF784B1A026\B366849\AMDH264ENC32.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.59\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL
delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref %SystemRoot%\SYSWOW64\WIREDNETWORKCSP.DLL
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
по детекту файла:
добавьте еще лог журнала обнаружения угроз из ESET для проверки детектов.
это вирус?
если в карантине файл остался, можете проверить на
http://virustotal.com
как другие антивирусы его определяют
+
добавьте образ автозапуска для проверки системы
MS Exchange 2013 поймали заразу на двух серверах
можно [URL=https://www.dropbox.com/s/w3pagxu3ys4jewr/uvs_latest.zip?dl=0][B]новой версией UVS 4.11.8[/B][/URL] включить только отслеживание процессов (только твик 39+перезагрузка)
и дождаться запуска майнера.
затем сделать образ автозапуска (с уже включенным отслеживанием)
(+ можно добавить новые логи autoruns и Esetlogcollector)



лог DNS в новой версии вынесен отдельно.
4.11.8

 [QUOTE] o Управление DNS логом вынесено в отдельные твики, #41 и #42.
   DNS лог работает начиная с Win8 (в ограниченном виде) и с Win8.1 в полном.
   Отключение ведения лога происходит мгновенно во всех системах кроме Windows 10,
   в последнем случае необходимо перезагрузить систему после 42 твика.
   (Win7 и ниже не поддерживается).
[/QUOTE]
если не поможет отслеживание процессов, после можно будет еще и добавить логгирование DNS
[ Закрыто] Ошибка при установке MSI.1303
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

[CODE]HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
R3 TermService; C:\Program Files\RDP Wrapper\rdpwrap.dll [116736 2021-08-03] (Stas'M Corp.) [Файл не подписан] <==== ВНИМАНИЕ (отсутствует ServiceDLL)
2021-08-03 12:26 - 2021-08-03 12:26 - 000000000 __SHD C:\Program Files\RDP Wrapper
2021-08-03 12:25 - 2021-08-04 08:15 - 000000000 __SHD C:\ProgramData\Windows
2021-08-03 12:25 - 2021-08-03 12:43 - 000000000 __SHD C:\ProgramData\WindowsTask
2021-08-03 12:25 - 2021-08-03 12:42 - 000000000 __SHD C:\ProgramData\RealtekHD
2021-08-03 12:25 - 2021-08-03 12:26 - 000000000 __SHD C:\rdp
2021-08-03 12:25 - 2021-08-03 12:25 - 000000000 __SHD C:\ProgramData\Setup
2021-08-03 12:25 - 2021-08-03 12:25 - 000000000 __SHD C:\ProgramData\RunDLL
2021-08-03 12:25 - 2021-08-03 12:25 - 000000000 __SHD C:\ProgramData\Norton
2021-08-03 12:25 - 2021-08-03 12:25 - 000000000 __SHD C:\ProgramData\McAfee
2021-08-03 12:25 - 2021-08-03 12:25 - 000000000 __SHD C:\ProgramData\Kaspersky Lab Setup Files
2021-08-03 12:25 - 2021-08-03 12:25 - 000000000 __SHD C:\ProgramData\Kaspersky Lab
2021-08-03 12:25 - 2021-08-03 12:25 - 000000000 __SHD C:\ProgramData\install
2021-08-03 12:25 - 2021-08-03 12:25 - 000000000 __SHD C:\ProgramData\grizzly
2021-08-03 12:25 - 2021-08-03 12:25 - 000000000 __SHD C:\ProgramData\ESET
2021-08-03 12:25 - 2021-08-03 12:25 - 000000000 __SHD C:\ProgramData\Doctor Web
2021-08-03 12:25 - 2021-08-03 12:25 - 000000000 __SHD C:\ProgramData\360safe
2021-08-03 12:25 - 2021-08-03 12:25 - 000000000 __SHD C:\Program Files\SpyHunter
2021-08-03 12:25 - 2021-08-03 12:25 - 000000000 __SHD C:\Program Files\Malwarebytes
2021-08-03 12:25 - 2021-08-03 12:25 - 000000000 __SHD C:\Program Files\Kaspersky Lab
2021-08-03 12:25 - 2021-08-03 12:25 - 000000000 __SHD C:\Program Files\ESET
2021-08-03 12:25 - 2021-08-03 12:25 - 000000000 __SHD C:\Program Files\Enigma Software Group
2021-08-03 12:25 - 2021-08-03 12:25 - 000000000 __SHD C:\Program Files\COMODO
2021-08-03 12:25 - 2021-08-03 12:25 - 000000000 __SHD C:\Program Files\Common Files\McAfee
2021-08-03 12:25 - 2021-08-03 12:25 - 000000000 __SHD C:\Program Files\Cezurity
2021-08-03 12:25 - 2021-08-03 12:25 - 000000000 __SHD C:\Program Files\ByteFence
2021-08-03 12:25 - 2021-08-03 12:25 - 000000000 __SHD C:\Program Files\AVG
2021-08-03 12:25 - 2021-08-03 12:25 - 000000000 __SHD C:\Program Files (x86)\SpyHunter
2021-08-03 12:25 - 2021-08-03 12:25 - 000000000 __SHD C:\Program Files (x86)\Panda Security
2021-08-03 12:25 - 2021-08-03 12:25 - 000000000 __SHD C:\Program Files (x86)\Microsoft JDX
2021-08-03 12:25 - 2021-08-03 12:25 - 000000000 __SHD C:\Program Files (x86)\Kaspersky Lab
2021-08-03 12:25 - 2021-08-03 12:25 - 000000000 __SHD C:\Program Files (x86)\GRIZZLY Antivirus
2021-08-03 12:25 - 2021-08-03 12:25 - 000000000 __SHD C:\Program Files (x86)\Cezurity
2021-08-03 12:25 - 2021-08-03 12:25 - 000000000 __SHD C:\Program Files (x86)\AVG
2021-08-03 12:25 - 2021-08-03 12:25 - 000000000 __SHD C:\Program Files (x86)\AVAST Software
2021-08-03 12:25 - 2021-08-03 12:25 - 000000000 __SHD C:\Program Files (x86)\360
2021-08-03 12:25 - 2021-08-03 12:25 - 000000000 __SHD C:\KVRT_Data
2021-08-03 12:25 - 2021-08-03 12:25 - 000000000 __SHD C:\AdwCleaner
2021-08-03 12:25 - 2021-08-03 12:25 - 000000000 ____D C:\Windows\speechstracing
2021-08-03 12:25 - 2021-08-03 12:25 - 000000000 ____D C:\ProgramData\System32
2021-08-03 12:25 - 2021-08-03 12:25 - 000000000 ____D C:\ProgramData\MB3Install
2021-08-03 12:25 - 2021-08-03 12:25 - 000000000 ____D C:\ProgramData\Malwarebytes
2021-08-03 12:25 - 2021-08-03 12:25 - 000000000 ____D C:\ProgramData\Indus
2021-08-03 12:25 - 2021-08-03 12:25 - 000000000 ____D C:\ProgramData\Avira
2021-08-03 12:25 C:\AdwCleaner
2021-08-03 12:25 C:\KVRT_Data
2021-08-03 12:25 C:\Program Files\AVG
2021-08-03 12:25 C:\Program Files\ByteFence
2021-08-03 12:25 C:\Program Files\Cezurity
2021-08-03 12:25 C:\Program Files\COMODO
2021-08-03 12:25 C:\Program Files\Enigma Software Group
2021-08-03 12:25 C:\Program Files\ESET
2021-08-03 12:25 C:\Program Files\Kaspersky Lab
2021-08-03 12:25 C:\Program Files\Malwarebytes
2021-08-03 12:25 C:\Program Files\SpyHunter
2021-08-03 12:25 C:\Program Files (x86)\360
2021-08-03 12:25 C:\Program Files (x86)\AVAST Software
2021-08-03 12:25 C:\Program Files (x86)\AVG
2021-08-03 12:25 C:\Program Files (x86)\Cezurity
2021-08-03 12:25 C:\Program Files (x86)\GRIZZLY Antivirus
2021-08-03 12:25 C:\Program Files (x86)\Kaspersky Lab
2021-08-03 12:25 C:\Program Files (x86)\Microsoft JDX
2021-08-03 12:25 C:\Program Files (x86)\Panda Security
2021-08-03 12:25 C:\Program Files (x86)\SpyHunter
2021-08-03 12:25 C:\Windows\speechstracing
2021-08-03 12:25 C:\Program Files\Common Files\McAfee
2021-08-03 12:25 C:\ProgramData\360safe
2021-08-03 12:25 C:\ProgramData\Avira
2021-08-03 12:25 C:\ProgramData\Doctor Web
2021-08-03 12:25 C:\ProgramData\ESET
2021-08-03 12:25 C:\ProgramData\grizzly
2021-08-03 12:25 C:\ProgramData\Indus
2021-08-03 12:25 C:\ProgramData\Kaspersky Lab
2021-08-03 12:25 C:\ProgramData\Kaspersky Lab Setup Files
2021-08-03 12:25 C:\ProgramData\Malwarebytes
2021-08-03 12:25 C:\ProgramData\MB3Install
2021-08-03 12:25 C:\ProgramData\McAfee
2021-08-03 12:25 C:\ProgramData\Norton
EmptyTemp:
Reboot:
[/CODE]
[ Закрыто] Ошибка при установке MSI.1303
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.11.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
hide %Sys32%\OPENSSH\SSH-AGENT.EXE
regt 18
;------------------------autoscript---------------------------

hide %SystemDrive%\PROGRAM FILES\RDP WRAPPER\RDPWRAP.DLL
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAEGNOPEGBBHJEEIGANIAJFFNALHLKKJB%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMFHCMDONHEKJHFBJMEACDJBHLFGPJABP%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPBEFKDCNDNGODFEIGFDGIODGNMBGCFHA%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref %SystemDrive%\PROGRAM FILES (X86)\LAVASOFT\WEB COMPANION\APPLICATION\WEBCOMPANION.EXE
apply

deltmp
delref %SystemRoot%\TEMP\6E415613-C360-4E34-9088-BB9861187C93
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\TEMP\WCT82EE.TMP
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\TEMP\EDGE_BITS_7140_­1418129492\CC7BDB80-5FB2-4B49-81A6-A40021DF6703
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemRoot%\SYSWOW64\VID.DLL
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\WEVTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
delref %SystemRoot%\SYSWOW64\APPVETWCLIENTRES.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
delref %SystemRoot%\SYSWOW64\W32TIME.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DXGMMS2.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\WINNAT.SYS
delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBUSR.SYS
delref %SystemRoot%\SYSWOW64\BTHSERV.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SMBDIRECT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\REFS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL
delref %SystemRoot%\SYSWOW64\LSM.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\IE4USHOWIE.EXE
delref %SystemRoot%\SYSWOW64\IE4UINIT.EXE
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref ZMENETWORKPROPERTY\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\89.0.774.68\MSEDGE.DLL
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref SWPRV\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref IRENUM\[SERVICE]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.82\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.57\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.145.49\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.63\PSMACHINE_64.DLL
delref %Sys32%\TETHERINGSETTINGHANDLER.DLL
delref %Sys32%\QUICKACTIONSPS.DLL
delref %Sys32%\VAILAUDIOPROXY.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE
delref %SystemRoot%\SYSWOW64\TAPILUA.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.82\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\UPDATEDEPLOYMENTPROVIDER.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\U0362754.INF_AMD64_C47440D12C0C598C\B362774\AMDHWDECODER_32.DLL
delref %SystemRoot%\SYSWOW64\LOCATIONFRAMEWORK.DLL
delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL
delref %SystemRoot%\SYSWOW64\PERCEPTIONSIMULATIONEXTENSIONS.DLL
delref %SystemRoot%\SYSWOW64\COMPPKGSRV.EXE
delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL
delref %SystemRoot%\SYSWOW64\MAPSCSP.DLL
delref %SystemRoot%\SYSWOW64\LISTSVC.DLL
delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.57\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\U0362754.INF_AMD64_C47440D12C0C598C\B362774\AMDH265ENC32.DLL
delref %SystemRoot%\SYSWOW64\WPCREFRESHTASK.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\U0362754.INF_AMD64_C47440D12C0C598C\B362774\AMF-MFT-MJPEG-DECODER32.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.145.49\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\RMSROAMINGSECURITY.DLL
delref %SystemRoot%\SYSWOW64\SYSTEMSETTINGSBROKER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.63\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\ACROBAT READER DC\ACRORD32INFO.EXE
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SAPI_EXTENSIONS.DLL
delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\U0362754.INF_AMD64_C47440D12C0C598C\B362774\AMDH264ENC32.DLL
delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL
delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref %SystemRoot%\SYSWOW64\WIREDNETWORKCSP.DLL
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,

сделайте проверку в FRST
http://forum.esetnod32.ru/forum9/topic2798/
MS Exchange 2013 поймали заразу на двух серверах
Владимир,

сделайте еще лог ESETlogCollector на IZTVMAIL01, может в журналах событий что-то будет на момент запуска 30.07
(надо было конечно пораньше запросить, вместе с образом автозапуска)
https://forum.esetnod32.ru/forum9/topic10671/

+
статья о примере мониторинга событий в WMI,
https://www.fireeye.com/blog/threat-research/2016/08/wmi_vs_wmi_monitor.html
MS Exchange 2013 поймали заразу на двух серверах
[QUOTE]Владимир Шариков написал:
А вообще нет какого то софта специализированно, который бы наблюдал за такими вещами?[/QUOTE]
SIEM системы, мониторить логи событий, системы обнаружения вторжений и т.п.
логи в uVS, autoruns - это уже постфактум действия, те после того, как злоумышленники закрепились в системе.