santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] BAT/TrojanDownloader.Ftp.NSR троянская программа, WMI/ActiveScriptEventConsumer/fuckyoumm2_consumer:

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.06.2017 11:31:01

да, а вот запись вредоносного скрипта в базу WMI антивирусник таки пропускает в результате сетевой атаки.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.0.5 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v400c OFFSGNSAVE ;------------------------autoscript--------------------------- delref WMI_ACTIVESCRIPTEVENTCONSUMER\FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER] delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\S8L6J2CA.DEFAULT\EXTENSIONS\[email protected] delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDHDGFFKKEBHMKFJOJEJMPBLDMPOBFKFO%26INSTALLSOURCE%3DONDEMAND%26UC apply deltmp delref %SystemRoot%\DEBUG\ITEM.DAT delref %SystemDrive%\DOCUME~1\ADMIN\LOCALS~1\TEMP\CHROME_BITS_2512_418\EXTENSION_0_46_0_4.CRX delref %Sys32%\MACROMED\FLASH\FLASH32_13_0_0_214.OCX delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID] delref %Sys32%\BLANK.HTM delref {42071714-76D4-11D1-8B24-00A0C9068FF3}\[CLSID] delref {764BF0E1-F219-11CE-972D-00AA00A14F56}\[CLSID] delref {853FE2B1-B769-11D0-9C4E-00C04FB6C6FA}\[CLSID] delref {FAC3CBF6-8697-43D0-BAB9-DCD1FCE19D75}\[CLSID] delref MBAMSERVICE\[SERVICE] delref %Sys32%\DRIVERS\CHANGER.SYS delref %Sys32%\DRIVERS\I2OMGMT.SYS delref %Sys32%\DRIVERS\LBRTFDC.SYS delref %Sys32%\DRIVERS\MBAMCHAMELEON.SYS delref %Sys32%\DRIVERS\PCIDUMP.SYS delref %Sys32%\DRIVERS\PDCOMP.SYS delref %Sys32%\DRIVERS\PDFRAME.SYS delref %Sys32%\DRIVERS\PDRELI.SYS delref %Sys32%\DRIVERS\PDRFRAME.SYS delref %Sys32%\DRIVERS\WDICA.SYS delref %Sys32%\PSXSS.EXE delref %Sys32%\EAPA3HST.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL delref %Sys32%\EAPAHOST.DLL ;------------------------------------------------------------- restart

Код


;uVS v4.0.5 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref WMI_ACTIVESCRIPTEVENTCONSUMER\FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER]
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\S8L6J2CA.DEFAULT\EXTENSIONS\[email protected]
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDHDGFFKKEBHMKFJOJEJMPBLDMPOBFKFO%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemRoot%\DEBUG\ITEM.DAT
delref %SystemDrive%\DOCUME~1\ADMIN\LOCALS~1\TEMP\CHROME_BITS_2512_418\EXTENSION_0_46_0_4.CRX
delref %Sys32%\MACROMED\FLASH\FLASH32_13_0_0_214.OCX
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %Sys32%\BLANK.HTM
delref {42071714-76D4-11D1-8B24-00A0C9068FF3}\[CLSID]
delref {764BF0E1-F219-11CE-972D-00AA00A14F56}\[CLSID]
delref {853FE2B1-B769-11D0-9C4E-00C04FB6C6FA}\[CLSID]
delref {FAC3CBF6-8697-43D0-BAB9-DCD1FCE19D75}\[CLSID]
delref MBAMSERVICE\[SERVICE]
delref %Sys32%\DRIVERS\CHANGER.SYS
delref %Sys32%\DRIVERS\I2OMGMT.SYS
delref %Sys32%\DRIVERS\LBRTFDC.SYS
delref %Sys32%\DRIVERS\MBAMCHAMELEON.SYS
delref %Sys32%\DRIVERS\PCIDUMP.SYS
delref %Sys32%\DRIVERS\PDCOMP.SYS
delref %Sys32%\DRIVERS\PDFRAME.SYS
delref %Sys32%\DRIVERS\PDRELI.SYS
delref %Sys32%\DRIVERS\PDRFRAME.SYS
delref %Sys32%\DRIVERS\WDICA.SYS
delref %Sys32%\PSXSS.EXE
delref %Sys32%\EAPA3HST.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %Sys32%\EAPAHOST.DLL
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.

+
идет сетевая атака.
Необходимо будет установить патч от Microsoft MS-2017-010 для вашей системы
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] BAT/TrojanDownloader.Ftp.NSR троянская программа, WMI/ActiveScriptEventConsumer/fuckyoumm2_consumer:

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.06.2017 11:22:28

Возможно идет сетевая атака. Необходимо будет установить патч от Microsoft MS-2017-010 для вашей системы
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

+

Цитата
Создайте образ автозапуска в uVS http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.06.2017 04:55:43

интересный диалог.

My question was specifically if ESET can detect and protect against this kind of threat (or even this threat specifically if a few of our other procedures and systems fail). Does ESET not detect the malicious code injection into a trusted process (where it injects it's code into svchost.exe, then encrypts files, deletes logs, adds registry keys, etc)? Even a dictionary/hash based detection?

Обнаружит ли ESET инъекцию вредоносного кода в доверенный процесс и защитит ли от такой угрозы(где он вводит свой код в файл svchost.exe, затем шифрует файлы, удаляет журналы, добавляет ключи реестра и т. Д.)?

Цитата
My own testing has shown the Eset HIPS is very effective against memory based reflective .dll injection that many other security products can't detect. This include process hollowing type activity. That said, the HIPS by default does not monitor system processes like svchost.exe; you have to create manual rules. Alternatively; you can set the HIPS to training mode. After the training period expires, you can switch to interactive mode which will generate an alert for any process activity for which a HIPS rule was not created during the training period. Eset's primary detection is via reputation scanning; then sandboxing and examining the suspect process via heuristics. Eset on Win 10 through use of its ELAM driver, loads as a protected kernel mode process. This allows the Eset kernel to be able to monitor other protected processes; something only a few other security solutions can do. Finally, Eset does have advanced memory scanning capability, a post execution mitigation, to detect suspicious memory based activity after a processes has begun execution. Eset has not published a detailed technical analysis on how AMS works but appears its primary purpose is exploit mitigation. Eset lab test scores for exploit mitigation have been consistently excellent. Additionally, Eset has scored in the top tier for ransomware detection on all recent AV Labs tests for same.

Цитата

My own testing has shown the Eset HIPS is very effective against memory based reflective .dll injection that many other security products can't detect. This include process hollowing type activity. That said, the HIPS by default does not monitor system processes like svchost.exe; you have to create manual rules. Alternatively; you can set the HIPS to training mode. After the training period expires, you can switch to interactive mode which will generate an alert for any process activity for which a HIPS rule was not created during the training period.

Eset's primary detection is via reputation scanning; then sandboxing and examining the suspect process via heuristics. Eset on Win 10 through use of its ELAM driver, loads as a protected kernel mode process. This allows the Eset kernel to be able to monitor other protected processes; something only a few other security solutions can do.

Finally, Eset does have advanced memory scanning capability, a post execution mitigation, to detect suspicious memory based activity after a processes has begun execution. Eset has not published a detailed technical analysis on how AMS works but appears its primary purpose is exploit mitigation. Eset lab test scores for exploit mitigation have been consistently excellent. Additionally, Eset has scored in the top tier for ransomware detection on all recent AV Labs tests for same.

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.06.2017 05:03:05

Интересно, что в качестве шифратора в SOREBRECT используется уже известный нам шифратор AES_NI

Цитата
The Trojan appends the following string to the end of encrypted file names: .aes_ni_0day Next, the Trojan drops the following file in every location where files have been encrypted: [PATH TO ENCRYPTED FILES]\!!! READ THIS - IMPORTANT !!!.txt The .txt file is a ransom note demanding payment for the files to be decrypted.

или Symantec чего то путает?
https://www.symantec.com/security_response/writeup.jsp?docid=2017-061913-4515-99&tabid=2

Или SOREBRECT и AES_NI это разные названия одного и того же шифратора.
(который нам известен как AES_NI)

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.06.2017 11:33:49

кстати, есть полезные темы на форуме eset.com

WMI infected:
https://forum.eset.com/topic/12134-wmi-infections/

SOREBRECT "fileless" Ransomware:
https://forum.eset.com/topic/12336-sorebrect-fileless-ransomware/

автоперевод:

Цитата
Для начала, если вы не являетесь корпоративным пользователем, вы не должны устанавливать PsExec. Если вы домашний пользователь без технических знаний, а PsExec установлен в каталоге C: \ Windows \ System32, вы должны удалить его. Наконец, PsExec требует прав администратора для запуска. Поэтому, если вы используете стандартную учетную запись пользователя, она не может работать. Если вы используете ограниченный админ, вы должны достигнуть максимального уровня UAC. Это заставит оповещение UAC, даже если PsExec попытается запустить в скрытом режиме. Цепь атаки SOREBRECT включает в себя злоупотребление PsExec, законной утилитой командной строки Windows, которая позволяет системным администраторам выполнять команды или запускать исполняемые файлы на удаленных системах. Неправильное использование PsExec для установки SOREBRECT указывает на то, что учетные данные администратора уже были скомпрометированы или удалены удаленные компьютеры или принудительно принудительно. SOREBRECT не первая семья, которая неправильно использует PsExec-SAMSAM, Petya и ее производные, PetrWrap (RANSOM_SAMSAM и RANSOM_PETYA, соответственно), например, использовать PsExec для установки ransomware на взломанных серверах или конечных точках.

Цитата

Для начала, если вы не являетесь корпоративным пользователем, вы не должны устанавливать PsExec. Если вы домашний пользователь без технических знаний, а PsExec установлен в каталоге C: \ Windows \ System32, вы должны удалить его.

Наконец, PsExec требует прав администратора для запуска. Поэтому, если вы используете стандартную учетную запись пользователя, она не может работать. Если вы используете ограниченный админ, вы должны достигнуть максимального уровня UAC. Это заставит оповещение UAC, даже если PsExec попытается запустить в скрытом режиме.

Цепь атаки SOREBRECT включает в себя злоупотребление PsExec, законной утилитой командной строки Windows, которая позволяет системным администраторам выполнять команды или запускать исполняемые файлы на удаленных системах. Неправильное использование PsExec для установки SOREBRECT указывает на то, что учетные данные администратора уже были скомпрометированы или удалены удаленные компьютеры или принудительно принудительно. SOREBRECT не первая семья, которая неправильно использует PsExec-SAMSAM, Petya и ее производные, PetrWrap (RANSOM_SAMSAM и RANSOM_PETYA, соответственно), например, использовать PsExec для установки ransomware на взломанных серверах или конечных точках.

Цитата
Скрытность SOREBRECT может создавать проблемы Хотя шифрование файлов является эндшпилем SOREBRECT, скрытность является его основой. Процедура самоуничтожения ransomeware делает SOREBRECT файловой угрозой. Выигрыш делает это, вводя код в законный системный процесс (который выполняет процедуру шифрования) перед завершением его основного двоичного файла. SOREBRECT также прилагает усилия для удаления журналов событий затронутой системы и других артефактов, которые могут предоставить судебную информацию, такую как файлы, выполняемые в системе, включая их временные метки (например, appcompat / shimcache и prefetch). Эти удаления также предотвращают анализ и предотвращают отслеживание активности SOREBRECT. Когда мы впервые увидели SOREBRECT в дикой природе, мы наблюдали низкую базу распределения, которая изначально была сосредоточена на ближневосточных странах, таких как Кувейт и Ливан. Однако к началу мая наши датчики обнаружили SOREBRECT в Канаде, Китае, Хорватии, Италии, Японии, Мексике, России, Тайване и США. Затронутые отрасли промышленности включают производство, технологию и телекоммуникации. Учитывая потенциальное воздействие и рентабельность выкупщика, было бы неудивительно, что SOREBRECT появится в других частях мира или даже в подземном киберпреступлении, где его можно продавать как услугу.

Цитата

Скрытность SOREBRECT может создавать проблемы

Хотя шифрование файлов является эндшпилем SOREBRECT, скрытность является его основой. Процедура самоуничтожения ransomeware делает SOREBRECT файловой угрозой. Выигрыш делает это, вводя код в законный системный процесс (который выполняет процедуру шифрования) перед завершением его основного двоичного файла. SOREBRECT также прилагает усилия для удаления журналов событий затронутой системы и других артефактов, которые могут предоставить судебную информацию, такую как файлы, выполняемые в системе, включая их временные метки (например, appcompat / shimcache и prefetch). Эти удаления также предотвращают анализ и предотвращают отслеживание активности SOREBRECT.

Когда мы впервые увидели SOREBRECT в дикой природе, мы наблюдали низкую базу распределения, которая изначально была сосредоточена на ближневосточных странах, таких как Кувейт и Ливан. Однако к началу мая наши датчики обнаружили SOREBRECT в Канаде, Китае, Хорватии, Италии, Японии, Мексике, России, Тайване и США. Затронутые отрасли промышленности включают производство, технологию и телекоммуникации. Учитывая потенциальное воздействие и рентабельность выкупщика, было бы неудивительно, что SOREBRECT появится в других частях мира или даже в подземном киберпреступлении, где его можно продавать как услугу.

https://blog.trendmicro.com/trendlabs-security-intelligence/analyzing-fileless-code-injecting-sorebrect-ransomware/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] ИНТЕРНЕТ не прогружает страницы.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 19.06.2017 19:47:39

ничего особенного вредоносного не было в системе.
думаю, здесь помогла бы простая очистка кэша браузера.

[ Как создать образ автозапуска? ]

Перейти

зашифровано в Spora

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 19.06.2017 16:12:37

Цитата
Татьяна Крапчина написал: У моей учетной записи нет и не было прав администратора, ОС Wndows 7 была

в таком случае был шанс восстановить документы из теневой копии (с помощью ShadowExplorer, например), по крайней мере защита для системного раздела включается по умолчанию пи установке системы.

но после переустановки системы, теперь уже нет тех копий.

[ Как создать образ автозапуска? ]

Перейти

зашифровано в Spora

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 19.06.2017 15:43:05

Цитата
Татьяна Крапчина написал: Как грустно! Это 6 лет работы! ((( Спасибо за ответ!

если это все рабочие ваши файлы, попросите администраторов, пусть настроят вам создание архивных копий, если эти данные важны для вашей работы.
(спрашивать, почему они не сделали это раньше уже поздно.)

возможно шанс восстановить данные после шифрования был при условии, что вы не работаете под учетной записью с правами администратора,
и система у вас была выше чем XP.

[ Как создать образ автозапуска? ]

Перейти

зашифровано в Spora

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 19.06.2017 13:12:22

Татьяна,
к сожалению расшифровки по Spora нет,
сохраните зашифрованные документы на отдельный носитель, возможно в будущем, когда-нибудь расшифровка станет возможной.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] ИНТЕРНЕТ не прогружает страницы.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 19.06.2017 07:02:04

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.0.5 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 v400c OFFSGNSAVE ;------------------------autoscript--------------------------- apply deltmp delref %SystemDrive%\USERS\DWARF\APPDATA\LOCAL\TEMP\YUPDATE-PING-YABROWSER.TEMP delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\ADOBE\OOBE\PDAPP\UWA\UPDATERSTARTUPUTILITY.EXE delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID] delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL delref %SystemRoot%\SYSWOW64\COMPMGMTLAUNCHER.EXE delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL delref %SystemRoot%\SYSWOW64\APPVETWCLIENTRES.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS delref %SystemRoot%\SYSWOW64\W32TIME.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\WINNAT.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\VMBUSR.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL delref %SystemRoot%\SYSWOW64\CSCSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\REFS.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL delref %SystemRoot%\SYSWOW64\LSM.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {0D012ABD-CEED-11D2-9C76-00105AA73033}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {56A58823-AE99-11D5-B90B-0050DACD1F75}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID] delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {E01D1C6A-4F40-11D3-8958-00105A272DCF}\[CLSID] delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID] delref %SystemRoot%\SYSWOW64\BLANK.HTM delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID] delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref %Sys32%\DRIVERS\VMBUSR.SYS delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL delref %Sys32%\BLANK.HTM delref HELPSVC\[SERVICE] delref MBAMSERVICE\[SERVICE] delref SACSVR\[SERVICE] delref TBS\[SERVICE] delref VMMS\[SERVICE] delref MESSENGER\[SERVICE] delref %Sys32%\DRIVERS\RDPENCDD.SYS delref RDSESSMGR\[SERVICE] delref %Sys32%\DRIVERS\SMARTCARDSIMULATOR.SYS delref %Sys32%\DRIVERS\VIRTUALSMARTCARDREADER.SYS delref %Sys32%\DRIVERS\WUDFUSBCCIDDRIVER.SYS delref %SystemDrive%\USERS\DWARF\APPDATA\LOCAL\MAIL.RU\GAMECENTER\NPDETECTOR.DLL delref %SystemDrive%\PROGRAM FILES (X86)\PHOTOSHOP CS6\X64\PHOTOSHOP.EXE delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\DISPLAY\NVLICENSINGS.DLL delref %Sys32%\TETHERINGSETTINGHANDLER.DLL delref %Sys32%\QUICKACTIONSPS.DLL delref %Sys32%\CHTADVANCEDDS.DLL delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE delref %SystemRoot%\SYSWOW64\TAPILUA.DLL delref %SystemRoot%\SYSWOW64\LOCATIONFRAMEWORK.DLL delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL delref %SystemRoot%\SYSWOW64\PERCEPTIONSIMULATIONEXTENSIONS.DLL delref %SystemRoot%\SYSWOW64\AUTHHOST.EXE delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL delref %SystemRoot%\SYSWOW64\MAPSCSP.DLL delref %SystemRoot%\SYSWOW64\RSTRUI.EXE delref %SystemRoot%\SYSWOW64\LISTSVC.DLL delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SAPI_EXTENSIONS.DLL delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE delref %SystemRoot%\SYSWOW64\GPSVC.DLL delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL delref %SystemDrive%\USERS\DWARF\APPDATA\LOCAL\MAIL.RU\GAMECENTER\[email protected] ;------------------------------------------------------------- restart

Код


;uVS v4.0.5 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

apply

deltmp
delref %SystemDrive%\USERS\DWARF\APPDATA\LOCAL\TEMP\YUPDATE-PING-YABROWSER.TEMP
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\ADOBE\OOBE\PDAPP\UWA\UPDATERSTARTUPUTILITY.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemRoot%\SYSWOW64\COMPMGMTLAUNCHER.EXE
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\APPVETWCLIENTRES.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
delref %SystemRoot%\SYSWOW64\W32TIME.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\WINNAT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBUSR.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\REFS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL
delref %SystemRoot%\SYSWOW64\LSM.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {0D012ABD-CEED-11D2-9C76-00105AA73033}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {56A58823-AE99-11D5-B90B-0050DACD1F75}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {E01D1C6A-4F40-11D3-8958-00105A272DCF}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref HELPSVC\[SERVICE]
delref MBAMSERVICE\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref %Sys32%\DRIVERS\RDPENCDD.SYS
delref RDSESSMGR\[SERVICE]
delref %Sys32%\DRIVERS\SMARTCARDSIMULATOR.SYS
delref %Sys32%\DRIVERS\VIRTUALSMARTCARDREADER.SYS
delref %Sys32%\DRIVERS\WUDFUSBCCIDDRIVER.SYS
delref %SystemDrive%\USERS\DWARF\APPDATA\LOCAL\MAIL.RU\GAMECENTER\NPDETECTOR.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\PHOTOSHOP CS6\X64\PHOTOSHOP.EXE
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\DISPLAY\NVLICENSINGS.DLL
delref %Sys32%\TETHERINGSETTINGHANDLER.DLL
delref %Sys32%\QUICKACTIONSPS.DLL
delref %Sys32%\CHTADVANCEDDS.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE
delref %SystemRoot%\SYSWOW64\TAPILUA.DLL
delref %SystemRoot%\SYSWOW64\LOCATIONFRAMEWORK.DLL
delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL
delref %SystemRoot%\SYSWOW64\PERCEPTIONSIMULATIONEXTENSIONS.DLL
delref %SystemRoot%\SYSWOW64\AUTHHOST.EXE
delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL
delref %SystemRoot%\SYSWOW64\MAPSCSP.DLL
delref %SystemRoot%\SYSWOW64\RSTRUI.EXE
delref %SystemRoot%\SYSWOW64\LISTSVC.DLL
delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL
delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SAPI_EXTENSIONS.DLL
delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL
delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref %SystemDrive%\USERS\DWARF\APPDATA\LOCAL\MAIL.RU\GAMECENTER\[email protected]
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
----------

[ Как создать образ автозапуска? ]

Перейти