Форум esetnod32.ru [тема: Win32/FusionCore.K] http://forum.esetnod32.ru Новое в теме Win32/FusionCore.K форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Fri, 01 May 2026 10:02:34 +0300 Win32/FusionCore.K Win32/FusionCore.K в форуме Обнаружение вредоносного кода и ложные срабатывания.
santy,сделал, спасибо за помощь.
07.04.2017 15:20:37, Игорь Жадько.]]> http://forum.esetnod32.ru/messages/forum6/topic13957/message98363/ http://forum.esetnod32.ru/messages/forum6/topic13957/message98363/ Fri, 07 Apr 2017 15:20:37 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/FusionCore.K Win32/FusionCore.K в форуме Обнаружение вредоносного кода и ложные срабатывания.
такой еще скрипт выполните в uVS:

====code==== 
;uVS v4.0b6 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemRoot%\HIDDEN.VBS
apply
QUIT
=============

без перезагрузки.
07.04.2017 06:16:24, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic13957/message98333/ http://forum.esetnod32.ru/messages/forum6/topic13957/message98333/ Fri, 07 Apr 2017 06:16:24 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/FusionCore.K Win32/FusionCore.K в форуме Обнаружение вредоносного кода и ложные срабатывания.
Скрипт не мой, очистил uVS, прошел проверку в малваребайте было найдено четыре файла, поместил в карантин, удалил. Включил повторное сканирование антивируса, антивирус вредоносных файлов не нашел.
Malwarebytes.txt
07.04.2017 05:31:00, Игорь Жадько.]]> http://forum.esetnod32.ru/messages/forum6/topic13957/message98331/ http://forum.esetnod32.ru/messages/forum6/topic13957/message98331/ Fri, 07 Apr 2017 05:31:00 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/FusionCore.K Win32/FusionCore.K в форуме Обнаружение вредоносного кода и ложные срабатывания.
+
выполните очистку в uVS

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
====code==== 

;uVS v4.0b6 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDKEKDLKMDPIPIHONAPOLEOPFEKMAPADH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLGDNILODCPLJOMELBBNPGDOGDBMCLBNI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPFIGAOAMNNCIJBGOMIFAMKMKIDNNLIKL%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\DKEKDLKMDPIPIHONAPOLEOPFEKMAPADH\2.0.2.14_3\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD\2.0.1.14_0\СТАРТОВАЯ — ЯНДЕКС

;-------------------------------------------------------------

deltmp
;---------command-block---------
delref {596AB062-B4D2-4215-9F74-E9109B0A8153}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %Sys32%\DRIVERS\TPM.SYS
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID]
delref %Sys32%\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref HELPSVC\[SERVICE]
delref PEVSYSTEMSTART\[SERVICE]
delref %Sys32%\DRIVERS\PROCEXP90.SYS
delref SACSVR\[SERVICE]
delref SWPRV\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\CATCHME.SYS
delref %SystemDrive%\PROGRAM FILES\TRUEKEY\MCAFEE.TRUEKEY.INSTALLERSERVICE.EXE
delref %Sys32%\DRIVERS\RDVGKMD.SYS
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\BVTBIN\TESTS\INSTALLPACKAGE\CBSTEST\X86\CSITEST.DLL
delref %SystemDrive%\PROGRAM FILES\ADOBE\ACROBAT READER DC\ACRORD32INFO.EXE
delref %Sys32%\SHAREMEDIACPL.CPL
apply

restart
=============
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
07.04.2017 00:27:57, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic13957/message98330/ http://forum.esetnod32.ru/messages/forum6/topic13957/message98330/ Fri, 07 Apr 2017 00:27:57 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/FusionCore.K Win32/FusionCore.K в форуме Обнаружение вредоносного кода и ложные срабатывания.
Игорь,
скрипт ваш? hidden.vbs


====quote====
Dim WSHShell
Set WSHShell = WScript.CreateObject("WScript.Shell")
sTitle1 = "SSH=0"
sTitle2 = "SSH=1"

if WSHShell.RegRead("HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Adv­anced\Hidden") = 1 then

WSHShell.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Adv­anced\Hidden", "0", "REG_DWORD"
WSHShell.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Adv­anced\Hidden", "2", "REG_DWORD"
WSHShell.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\55", "Показать скрытые файлы и папки", "REG_SZ"
WSHShell.SendKeys "{F5}"

else

WSHShell.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Adv­anced\Hidden", "1", "REG_DWORD"
WSHShell.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Adv­anced\Hidden", "1", "REG_DWORD"
WSHShell.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\55", "Скрыть скрытые файлы и папки", "REG_SZ"
WSHShell.SendKeys "{F5}"

end if

Set WSHShell = Nothing
WScript.Quit(0)
=============

07.04.2017 00:24:45, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic13957/message98329/ http://forum.esetnod32.ru/messages/forum6/topic13957/message98329/ Fri, 07 Apr 2017 00:24:45 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/FusionCore.K Win32/FusionCore.K в форуме Обнаружение вредоносного кода и ложные срабатывания.
Здравствуйте, после сканирования компьютера антивирус нашел файлы модифицированного Win32/FusionCore.K, удалить не смог.
Как удалить этот вирус?
PC-LITE_2017-04-07_00-53-51.7z
06.04.2017 23:21:42, Игорь Жадько.]]> http://forum.esetnod32.ru/messages/forum6/topic13957/message98327/ http://forum.esetnod32.ru/messages/forum6/topic13957/message98327/ Thu, 06 Apr 2017 23:21:42 +0300 Обнаружение вредоносного кода и ложные срабатывания