Размещено 18.01.2019 16:10:48
добавьте образ автозапуска
В каком именно браузере? в Chrome? проверьте как будет работать Chrome при отключенных расширениях. Отключайте по одному, пока не обнаружится источник проблемы.
Уважаемые пользователи!
Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новый антивирус от компании PRO32.
Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.
Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.
[ Закрыто] davapi.dll вирус?, удаляется каждый раз при запуске компьютера
[ Закрыто] вирус SHOWJET, выскакивает showjet
[ Закрыто] Eset Livegrid недоступна., Столкнулся с этой проблемой где-то неделю назад. До сих пор не понимаю, что с этим делать.
[ Закрыто] вирус SHOWJET, выскакивает showjet
Размещено 16.01.2019 19:51:46
цитировать не надо наши ответы без необходимости,
таки у нас не дискуссия, а диалог.
3.сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/
*****
4.в АдвКлинере, после завершения проверки,
в секции [b]Папки[/b] снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке [b]Очистить[/b]
далее,
5.сделайте проверку в FRST
http://forum.esetnod32.ru/forum9/topic2798/
таки у нас не дискуссия, а диалог.
3.сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/
*****
4.в АдвКлинере, после завершения проверки,
в секции [b]Папки[/b] снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке [b]Очистить[/b]
далее,
5.сделайте проверку в FRST
http://forum.esetnod32.ru/forum9/topic2798/
[ Закрыто] вирус SHOWJET, выскакивает showjet
Размещено 16.01.2019 05:44:35
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]
;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------
zoo %SystemDrive%\PROGRAM FILES\DEFENDER SCORPION X7 GAMEPAD\X86\XI.DLL
addsgn 6E8C9F9A556A4C2F8839A93CE981ECFADA0AC5F7867E5D7A85C303BD515D
zoo H:\DISHONORED 2\STP-DH2.EXE
addsgn A1BA20CF1DE779C7460251F9E9761275DF75ABC752CBD630060E3A5400D6
chklst
delvir
delref HTTP=127.0.0.1:4444;HTTPS=127.0.0.1:444;FTP=127.0.0.1:444
apply
deltmp
delref %SystemDrive%\USERS\1\APPDATA\ROAMING\DISCORD\0.0.304\MODULES\DISCORD_DESKTOP_CORE\CORE.ASAR\APP\MAINSCREENPRELOAD.JS
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
delref %SystemRoot%\SYSWOW64\APPVETWCLIENTRES.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCLR.SYS
delref %SystemRoot%\SYSWOW64\W32TIME.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DXGMMS2.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\WINNAT.SYS
delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBUSR.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE16\MCE.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SMBDIRECT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\REFS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL
delref %SystemRoot%\SYSWOW64\LSM.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {57B83450-FD6E-4A1E-8B53-1320576F8054}\[CLSID]
delref {870B678D-913A-4ABC-81FC-9F380BB4B24D}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemRoot%\SYSWOW64\IE4UINIT.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\NVIDIA CORPORATION\3D VISION\NPNV3DV.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\NVIDIA CORPORATION\3D VISION\NPNV3DVSTREAMING.DLL
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {B298D29A-A6ED-11DE-BA8C-A68E55D89593}\[CLSID]
delref {05A1D945-A794-44EF-B41A-2F851A117155}\[CLSID]
delref {3376086C-D6F9-4CE4-8B89-33CD570106B5}\[CLSID]
delref {6DDA37BA-0553-499A-AE0D-BEBA67204548}\[CLSID]
delref {C9361F5A-3282-4944-9899-6D99CDC5370B}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\HVSICONTAINERSERVICE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE16\BCSCLIENT.MSG.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE16\MSIPC\EN-US\MSIPC.DLL.MUI
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE16\MSIPC\MSIPC.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref BROWSER\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %SystemDrive%\USERS\1\APPDATA\LOCAL\TEMP\45357F66-7636F710-7F57E28E-D739A7C0\6498A701.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\HOTSPOT SHIELD\BIN\TRAFMGR_1_4_64.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\GOOGLEUPDATE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\BIGNOX\BIGNOXVM\RT\NOXVMSVC.EXE
delref %Sys32%\TETHERINGSETTINGHANDLER.DLL
delref %Sys32%\QUICKACTIONSPS.DLL
delref %Sys32%\CHTADVANCEDDS.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemRoot%\SYSWOW64\TTLSEXT.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE
delref %SystemRoot%\SYSWOW64\TAPILUA.DLL
delref %SystemRoot%\SYSWOW64\WBEM\KEYBOARDFILTERWMI.DLL
delref %SystemRoot%\SYSWOW64\LOCATIONFRAMEWORK.DLL
delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL
delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL
delref %SystemRoot%\SYSWOW64\LISTSVC.DLL
delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL
delref %SystemRoot%\SYSWOW64\RMSROAMINGSECURITY.DLL
delref %SystemRoot%\SYSWOW64\SYSTEMSETTINGSBROKER.EXE
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SAPI_EXTENSIONS.DLL
delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL
delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref {0468C085-CA5B-11D0-AF08-00609797F0E0}\[CLSID]
delref %SystemDrive%\USERS\1\DESKTOP\TOR BROWSER\BROWSER\FIREFOX.EXE
delref %SystemDrive%\USERS\1\APPDATA\LOCAL\MIPHONEMANAGER\MAIN\MIPH
delref %SystemDrive%\USERS\1\APPDATA\LOCAL\MIPHONEMANAGER\MAIN\UNIN
;-------------------------------------------------------------
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]
;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------
zoo %SystemDrive%\PROGRAM FILES\DEFENDER SCORPION X7 GAMEPAD\X86\XI.DLL
addsgn 6E8C9F9A556A4C2F8839A93CE981ECFADA0AC5F7867E5D7A85C303BD515D
zoo H:\DISHONORED 2\STP-DH2.EXE
addsgn A1BA20CF1DE779C7460251F9E9761275DF75ABC752CBD630060E3A5400D6
chklst
delvir
delref HTTP=127.0.0.1:4444;HTTPS=127.0.0.1:444;FTP=127.0.0.1:444
apply
deltmp
delref %SystemDrive%\USERS\1\APPDATA\ROAMING\DISCORD\0.0.304\MODULES\DISCORD_DESKTOP_CORE\CORE.ASAR\APP\MAINSCREENPRELOAD.JS
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
delref %SystemRoot%\SYSWOW64\APPVETWCLIENTRES.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCLR.SYS
delref %SystemRoot%\SYSWOW64\W32TIME.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DXGMMS2.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\WINNAT.SYS
delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBUSR.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE16\MCE.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SMBDIRECT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\REFS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL
delref %SystemRoot%\SYSWOW64\LSM.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {57B83450-FD6E-4A1E-8B53-1320576F8054}\[CLSID]
delref {870B678D-913A-4ABC-81FC-9F380BB4B24D}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemRoot%\SYSWOW64\IE4UINIT.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\NVIDIA CORPORATION\3D VISION\NPNV3DV.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\NVIDIA CORPORATION\3D VISION\NPNV3DVSTREAMING.DLL
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {B298D29A-A6ED-11DE-BA8C-A68E55D89593}\[CLSID]
delref {05A1D945-A794-44EF-B41A-2F851A117155}\[CLSID]
delref {3376086C-D6F9-4CE4-8B89-33CD570106B5}\[CLSID]
delref {6DDA37BA-0553-499A-AE0D-BEBA67204548}\[CLSID]
delref {C9361F5A-3282-4944-9899-6D99CDC5370B}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\HVSICONTAINERSERVICE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE16\BCSCLIENT.MSG.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE16\MSIPC\EN-US\MSIPC.DLL.MUI
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE16\MSIPC\MSIPC.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref BROWSER\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %SystemDrive%\USERS\1\APPDATA\LOCAL\TEMP\45357F66-7636F710-7F57E28E-D739A7C0\6498A701.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\HOTSPOT SHIELD\BIN\TRAFMGR_1_4_64.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\GOOGLEUPDATE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\BIGNOX\BIGNOXVM\RT\NOXVMSVC.EXE
delref %Sys32%\TETHERINGSETTINGHANDLER.DLL
delref %Sys32%\QUICKACTIONSPS.DLL
delref %Sys32%\CHTADVANCEDDS.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemRoot%\SYSWOW64\TTLSEXT.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE
delref %SystemRoot%\SYSWOW64\TAPILUA.DLL
delref %SystemRoot%\SYSWOW64\WBEM\KEYBOARDFILTERWMI.DLL
delref %SystemRoot%\SYSWOW64\LOCATIONFRAMEWORK.DLL
delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL
delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL
delref %SystemRoot%\SYSWOW64\LISTSVC.DLL
delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL
delref %SystemRoot%\SYSWOW64\RMSROAMINGSECURITY.DLL
delref %SystemRoot%\SYSWOW64\SYSTEMSETTINGSBROKER.EXE
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SAPI_EXTENSIONS.DLL
delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL
delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref {0468C085-CA5B-11D0-AF08-00609797F0E0}\[CLSID]
delref %SystemDrive%\USERS\1\DESKTOP\TOR BROWSER\BROWSER\FIREFOX.EXE
delref %SystemDrive%\USERS\1\APPDATA\LOCAL\MIPHONEMANAGER\MAIN\MIPH
delref %SystemDrive%\USERS\1\APPDATA\LOCAL\MIPHONEMANAGER\MAIN\UNIN
;-------------------------------------------------------------
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
[ Закрыто] Угроза Win64 / Adware.PBot, NOD32 обнаружил Win64 / Adware.PBot и не может удалить
[ Закрыто] Угроза Win64 / Adware.PBot, NOD32 обнаружил Win64 / Adware.PBot и не может удалить
Размещено 13.01.2019 10:53:09
этот файл проверьте на http://virustotal.com и дайте ссылку на линк проверки
C:\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\71.0.3578.98\CHROME.DLL
+
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]
;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------
zoo %Sys32%\DRIVERS\ITSTTNSMRAGH.SYS
addsgn BABF20D2D686243A800DE63C597BEBFADAC671EBA5F81F78B60ACA0BD4EF
chklst
delvir
delref %SystemDrive%\USERS\VENIA\APPDATA\ROAMING\EVERYDAYHOLIDAY\PY
delref LOAD.PYC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGNDOICAPFDALDIOKBCDNLLFHNAPOKCBK%26INSTALLSOURCE%3D
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIKPCPGKLMEFNCBFGBDIFKAPHBAAPGAFH%26INSTALLSOURCE%3D
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDHPACFHLJHCOMBKALCMKAHKHODPKBIM%26INSTALLSOURCE%3D
delref %SystemDrive%\USERS\VENIA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\DKEKDLKMDPIPIHONAPOLEOPFEKMAPADH\2.0.2.15_1\СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\VENIA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\MDHPACFHLJHCOMBKALCMKAHKHODPKBIM\15.1.13.1_0\ПОИСК MAIL.RU
delref %SystemDrive%\USERS\VENIA\APPDATA\LOCAL\YANDEX\YANDEXBROWSER
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDKEKDLKMDPIPIHONAPOLEOPFEKMAPADH%26INSTALLSOURCE%3D
apply
deltmp
delref %SystemDrive%\USERS\VENIA\APPDATA\LOCAL\TEMP\YANDEX_BROWSER_
delref %SystemDrive%\USERS\VENIA\APPDATA\LOCAL\TEMP\CHROME_BITS_739
delref %SystemDrive%\USERS\VENIA\APPDATA\LOCAL\TEMP\CHROME_BITS_701
delref %SystemDrive%\USERS\VENIA\APPDATA\LOCAL\TEMP\CHROME_BITS_997
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {23170F69-40C1-278A-1000-000100020000}\[CLSID]
delref {4A7C4306-57E0-4C0C-83A9-78C1528F618C}\[CLSID]
delref %Sys32%\BLANK.HTM
delref MBAMSERVICE\[SERVICE]
delref %SystemDrive%\USERS\VENIA\APPDATA\LOCAL\TEMP\E_S73E.TMP
;-------------------------------------------------------------
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
C:\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\71.0.3578.98\CHROME.DLL
+
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]
;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------
zoo %Sys32%\DRIVERS\ITSTTNSMRAGH.SYS
addsgn BABF20D2D686243A800DE63C597BEBFADAC671EBA5F81F78B60ACA0BD4EF
chklst
delvir
delref %SystemDrive%\USERS\VENIA\APPDATA\ROAMING\EVERYDAYHOLIDAY\PY
delref LOAD.PYC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGNDOICAPFDALDIOKBCDNLLFHNAPOKCBK%26INSTALLSOURCE%3D
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIKPCPGKLMEFNCBFGBDIFKAPHBAAPGAFH%26INSTALLSOURCE%3D
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDHPACFHLJHCOMBKALCMKAHKHODPKBIM%26INSTALLSOURCE%3D
delref %SystemDrive%\USERS\VENIA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\DKEKDLKMDPIPIHONAPOLEOPFEKMAPADH\2.0.2.15_1\СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\VENIA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\MDHPACFHLJHCOMBKALCMKAHKHODPKBIM\15.1.13.1_0\ПОИСК MAIL.RU
delref %SystemDrive%\USERS\VENIA\APPDATA\LOCAL\YANDEX\YANDEXBROWSER
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDKEKDLKMDPIPIHONAPOLEOPFEKMAPADH%26INSTALLSOURCE%3D
apply
deltmp
delref %SystemDrive%\USERS\VENIA\APPDATA\LOCAL\TEMP\YANDEX_BROWSER_
delref %SystemDrive%\USERS\VENIA\APPDATA\LOCAL\TEMP\CHROME_BITS_739
delref %SystemDrive%\USERS\VENIA\APPDATA\LOCAL\TEMP\CHROME_BITS_701
delref %SystemDrive%\USERS\VENIA\APPDATA\LOCAL\TEMP\CHROME_BITS_997
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {23170F69-40C1-278A-1000-000100020000}\[CLSID]
delref {4A7C4306-57E0-4C0C-83A9-78C1528F618C}\[CLSID]
delref %Sys32%\BLANK.HTM
delref MBAMSERVICE\[SERVICE]
delref %SystemDrive%\USERS\VENIA\APPDATA\LOCAL\TEMP\E_S73E.TMP
;-------------------------------------------------------------
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
поговорить о uVS, Carberp, планете Земля
Размещено 13.01.2019 10:41:52
[QUOTE]RP55 RP55 написал:
Статья про левые ЭЦП - [URL=https://blog.trendmicro.com/trendlabs-security-intelligence/understanding-code-signing-abuse-in-malware-campaigns/]Здесь.[/URL]
Удивительно дело - в первые в истории человечества. ;)[/QUOTE]
ну да, об этом еще Маяковский писал, что "к мандатам почтения нету, к любым чертям с матерями катись любая бумажка, но эту...." :).
Системам обнаружения вредоносных программ нужны файлы с маркировкой, чтобы защитить компьютеры, подключенные к Интернету, от заражения. Тем не менее, огромное количество программных файлов, поступающих с непопулярных веб-сайтов, все еще не помечены и остаются неизвестными или неопределенными угрозами.
какую маркировку они имеют ввиду?
Статья про левые ЭЦП - [URL=https://blog.trendmicro.com/trendlabs-security-intelligence/understanding-code-signing-abuse-in-malware-campaigns/]Здесь.[/URL]
Удивительно дело - в первые в истории человечества. ;)[/QUOTE]
ну да, об этом еще Маяковский писал, что "к мандатам почтения нету, к любым чертям с матерями катись любая бумажка, но эту...." :).
Системам обнаружения вредоносных программ нужны файлы с маркировкой, чтобы защитить компьютеры, подключенные к Интернету, от заражения. Тем не менее, огромное количество программных файлов, поступающих с непопулярных веб-сайтов, все еще не помечены и остаются неизвестными или неопределенными угрозами.
какую маркировку они имеют ввиду?
[ Закрыто] Угроза Win64 / Adware.PBot, NOD32 обнаружил Win64 / Adware.PBot и не может удалить
файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer, Filecoder.Crysis / Encoder.3953; r/n: info.hta
Размещено 09.01.2019 05:10:30
по очистке системы:
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]
;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v400c
OFFSGNSAVE
unload %Sys32%\MSHTA.EXE
zoo %Sys32%\INFO.HTA
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\TERMINAL\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\VERA.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\COMPUTER3\APPLICATION DATA\VERA.EXE
;---------command-block---------
del %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\DESKTOP.INI.ID-B08BBCD6.[[email protected]].ADOBE
del %SystemDrive%\DOCUMENTS AND SETTINGS\COMPUTER3\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\DESKTOP.INI.ID-B08BBCD6.[[email protected]].ADOBE
del %Sys32%\INFO.HTA
del %SystemDrive%\DOCUMENTS AND SETTINGS\TERMINAL\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\VERA.EXE
del %SystemDrive%\DOCUMENTS AND SETTINGS\COMPUTER3\APPLICATION DATA\VERA.EXE
apply
CZOO
QUIT
[/code]
без перезагрузки, пишем о старых и новых проблемах.
восстанавливаем зашифрованные документы из архивных копий.
если копий нет, сохраните важные зашифрованные документы на отдельный носитель на случай возможной расшифровки.
+
вопрос:
[B]VERA_PASSWORD_VERA.ZIP[/B].ID-B08BBCD6.[[email protected]].ADOBE
этот файл какое имеет назначение в незашифрованном виде?
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]
;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v400c
OFFSGNSAVE
unload %Sys32%\MSHTA.EXE
zoo %Sys32%\INFO.HTA
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\TERMINAL\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\VERA.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\COMPUTER3\APPLICATION DATA\VERA.EXE
;---------command-block---------
del %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\DESKTOP.INI.ID-B08BBCD6.[[email protected]].ADOBE
del %SystemDrive%\DOCUMENTS AND SETTINGS\COMPUTER3\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\DESKTOP.INI.ID-B08BBCD6.[[email protected]].ADOBE
del %Sys32%\INFO.HTA
del %SystemDrive%\DOCUMENTS AND SETTINGS\TERMINAL\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\VERA.EXE
del %SystemDrive%\DOCUMENTS AND SETTINGS\COMPUTER3\APPLICATION DATA\VERA.EXE
apply
CZOO
QUIT
[/code]
без перезагрузки, пишем о старых и новых проблемах.
восстанавливаем зашифрованные документы из архивных копий.
если копий нет, сохраните важные зашифрованные документы на отдельный носитель на случай возможной расшифровки.
+
вопрос:
[B]VERA_PASSWORD_VERA.ZIP[/B].ID-B08BBCD6.[[email protected]].ADOBE
этот файл какое имеет назначение в незашифрованном виде?