santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 22.02.2022 07:25:14

#невидимый руткит:

Цитата
uVS: C:\Windows\system32\lsass.exe 137.91%: C:\WINDOWS\SYSTEM32\WININIT.EXE 0.0.0.0:49193 192.168.1.63:49212 <-> 103.124.106.123:443 (!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [868], tid=3184

Цитата
KVRT ничего подозрительного не обнаружил

TDSSKiller:

Цитата
16:53:47.0899 0x0abc TDSS rootkit removing tool 3.1.0.28 Apr 9 2019 21:11:46 16:53:49.0903 0x0abc ============================================================ 16:53:49.0903 0x0abc Current date / time: 2022/02/20 16:53:49.0903 ... 16:55:37.0084 0x17d4 ============================================================ 16:55:37.0084 0x17d4 Scan finished 16:55:37.0084 0x17d4 ============================================================ 16:55:37.0086 0x17c8 Detected object count: 0 16:55:37.0086 0x17c8 Actual detected object count: 0 16:56:12.0805 0x0a0c Deinitialize success

Цитата

16:53:47.0899 0x0abc TDSS rootkit removing tool 3.1.0.28 Apr 9 2019 21:11:46
16:53:49.0903 0x0abc ============================================================
16:53:49.0903 0x0abc Current date / time: 2022/02/20 16:53:49.0903
...
16:55:37.0084 0x17d4 ============================================================
16:55:37.0084 0x17d4 Scan finished
16:55:37.0084 0x17d4 ============================================================
16:55:37.0086 0x17c8 Detected object count: 0
16:55:37.0086 0x17c8 Actual detected object count: 0
16:56:12.0805 0x0a0c Deinitialize success

Цитата
CureIt! использовал в первую очередь, теперь еще раз самую свежую версию - вообще никаких угроз не обнаружено.

FRST:

Цитата
============== FLock ============================== 2022-02-07 21:40 C:\Windows\system32\Drivers\2682j.sys

---------------
fixlog:

Цитата
"C:\Windows\system32\Drivers\2682j.sys" => не может быть разблокирован ========================= File: C:\Windows\system32\Drivers\2682j.sys ======================== C:\Windows\system32\Drivers\2682j.sys Файл не подписан MD5: <==== ВНИМАНИЕ (Доступ не разрешён) Дата создания и изменения: 2022-02-05 19:30 - 2022-02-07 21:40 Размер: 006891104 Атрибуты: ----N Название Компании : Внутренний Имя: Оригинальный Имя: Продукт: Описание: Файл Версия: Продукт Версия: Авторское право: VirusTotal: 0-byte ====== Конец от File: ====== VirusTotal: C:\Windows\system32\Drivers\2682j.sys => <==== ВНИМАНИЕ (Доступ не разрешён)

Цитата

"C:\Windows\system32\Drivers\2682j.sys" => не может быть разблокирован

========================= File: C:\Windows\system32\Drivers\2682j.sys ========================

C:\Windows\system32\Drivers\2682j.sys
Файл не подписан
MD5: <==== ВНИМАНИЕ (Доступ не разрешён)
Дата создания и изменения: 2022-02-05 19:30 - 2022-02-07 21:40
Размер: 006891104
Атрибуты: ----N
Название Компании :
Внутренний Имя:
Оригинальный Имя:
Продукт:
Описание:
Файл Версия:
Продукт Версия:
Авторское право:
VirusTotal: 0-byte

====== Конец от File: ======

VirusTotal: C:\Windows\system32\Drivers\2682j.sys => <==== ВНИМАНИЕ (Доступ не разрешён)

ждем образ автозапуска из под WnPE&uVS

https://virusinfo.info/showthread.php?t=227658

[ Как создать образ автозапуска? ]

Перейти

js/adware.adport.a

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.02.2022 09:30:46

20.02.2022 15:07:31 HTTP filter file ][ттп://gamemodding.com/ru/getmod-179626 HTML/ScrInject.B trojan connection terminated DESKTOP-QP7V1NE\vlass Event occurred during an attempt to access the web by the application: C:\Program Files\Google\Chrome\Application\chrome.exe (0608825F6B54238A452E3050D49E8AA50569A6C9). B6DEDEF5B047A2577170FCE96241EA7735230300

поставьте в браузер расширение для блокировки скриптов uBlock Origin

[ Как создать образ автозапуска? ]

Перейти

Зашифровано с расширением BLOCK; idz0861; id70915; du1732; id6532; EnCiPhErEd; .stoppirates; ava; o11fFQ; yakmbsd; 5Hf1Ct; .DrWeb; .qwerty, Filecoder.Q / Xorist

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.02.2022 15:48:39

Цитата
santy написал: + еще обращения с шифрованием BLOCK https://virusinfo.info/showthread.php?t=227616 + https://virusinfo.info/showthread.php?t=227643

Если расшифровка по BLOCK еще актуальна, пишите в этой теме.

[ Как создать образ автозапуска? ]

Перейти

js/adware.adport.a

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.02.2022 06:44:41

лог выполнения скрипта в FRST добавьте fixlog.txt
+
сделайте еще раз лог ESETLogCollector чтобы по журналам антивируса посмотреть, что там детектируется

[ Как создать образ автозапуска? ]

Перейти

js/adware.adport.a

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 19.02.2022 19:18:08

сохраните файл fixlist.txt из вложения в нашем сообщении в папку, откуда запускаете FRST
запускаем FRST.exe от имени Администратора
ждем, когда программа будет готова к использованию
нажимаем "Исправить"
FRST автоматически очистит систему и перегрузит ее
после перезагрузки проверяем результат.

так же прошу ответить на мои вопросы:

Цитата
журналов обнаружений угроз от ESET не увидел в логе ELC сам продукт от ESET у вас установлен сейчас? судя по списку установленных программ его нет.

[ Как создать образ автозапуска? ]

Перейти

js/adware.adport.a

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 19.02.2022 18:48:30

добавьте логи FRST
https://forum.esetnod32.ru/forum9/topic2798/

по журналам вы не ответили на вопрос

[ Как создать образ автозапуска? ]

Перейти

js/adware.adport.a

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 19.02.2022 17:55:42

журналов обнаружений угроз от ESET не увидел в логе ELC
сам продукт от ESET у вас установлен сейчас?
судя по списку установленных программ его нет.

по очистке системы выполните следующее:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.12 [http://dsrt.dyndns.org:8888] ;Target OS: NTv10.0 v400c OFFSGNSAVE hide D:\WINDSCRIBE\WINDSCRIBESERVICE.EXE ;------------------------autoscript--------------------------- delref %SystemDrive%\PROGRAM FILES\GOOGLE\DRIVE FILE STREAM\55.0.3.0\GOOGLEDRIVEFS.EXE delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLMJEGMLICAMNIMMFHCMPKCLMIGMMCBEH%26INSTALLSOURCE%3DONDEMAND%26UC apply deltmp delref %SystemDrive%\PROGRAMDATA\MICROSOFT\SPEECH_ONECORE\SR\SV10-EV100\EN-US-N\MV101\NASPMODELSMETADATA.XML delref %SystemDrive%\PROGRAM FILES (X86)\ASUS\ARMOURYDEVICE\DLL\SHAREFROMARMOURYIII\MOUSE\ROG STRIX CARRY\P508POWERAGENT.EXE delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID] delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL delref %SystemRoot%\SYSWOW64\COMPMGMTLAUNCHER.EXE delref %SystemRoot%\SYSWOW64\VID.DLL delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL delref %SystemRoot%\SYSWOW64\WEVTSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS delref %SystemRoot%\SYSWOW64\APPVETWCLIENTRES.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS delref %SystemRoot%\SYSWOW64\W32TIME.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\DXGMMS2.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\WINNAT.SYS delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\VMBUSR.SYS delref %SystemRoot%\SYSWOW64\BTHSERV.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL delref %SystemRoot%\SYSWOW64\CSCSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\SMBDIRECT.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\REFS.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL delref %SystemRoot%\SYSWOW64\LSM.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID] delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID] delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID] delref %SystemRoot%\SYSWOW64\BLANK.HTM delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID] delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref {BBACC218-34EA-4666-9D7A-C78F2274A524}\[CLSID] delref {5AB7172C-9C11-405C-8DD5-AF20F3606282}\[CLSID] delref {A78ED123-AB77-406B-9962-2A5D9D2F7F30}\[CLSID] delref {F241C880-6982-4CE5-8CF7-7085BA96DA5A}\[CLSID] delref {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E}\[CLSID] delref {9AA2F32D-362A-42D9-9328-24A483E2CCC3}\[CLSID] delref {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C}\[CLSID] delref {EE15C2BD-CECB-49F8-A113-CA1BFC528F5B}\[CLSID] delref %Sys32%\DRIVERS\VMBUSR.SYS delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\89.0.774.68\MSEDGE.DLL delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\PLATFORM\4.18.2107.4-0\DRIVERS\WDNISDRV.SYS delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL delref %Sys32%\BLANK.HTM delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS delref HELPSVC\[SERVICE] delref SACSVR\[SERVICE] delref TBS\[SERVICE] delref VMMS\[SERVICE] delref BROWSER\[SERVICE] delref MESSENGER\[SERVICE] delref %Sys32%\DRIVERS\RDPENCDD.SYS delref RDSESSMGR\[SERVICE] delref %Sys32%\DRIVERS\SMARTCARDSIMULATOR.SYS delref %Sys32%\DRIVERS\VIRTUALSMARTCARDREADER.SYS delref %Sys32%\DRIVERS\WUDFUSBCCIDDRIVER.SYS delref %SystemDrive%\PROGRAM FILES\AMD\CNEXT\CNEXT\AMDRYZENMASTERDRIVER.SYS delref %SystemRoot%\TEMP\CPUZ149\CPUZ149_X64.SYS delref %SystemRoot%\TEMP\CPUZ150\CPUZ150_X64.SYS delref %SystemRoot%\TEMP\CPUZ152\CPUZ152_X64.SYS delref %SystemDrive%\USERS\VLASS\APPDATA\LOCAL\TEMP\HWINFO64A_161.SYS delref %SystemDrive%\USERS\VLASS\APPDATA\LOCAL\TEMP\HWINFO64A_162.SYS delref %SystemDrive%\USERS\VLASS\APPDATA\LOCAL\TEMP\THROTTLESTOP.SYS delref IRENUM\[SERVICE] delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.82\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.153.45\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES\ADOBE\ADOBE PHOTOSHOP CC 2017\PHOTOSHOP.EXE\AUTOMATION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.147.37\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\ASUS\UPDATE\1.3.107.53\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES\LDPLAYERBOX\VBOXPROXYSTUB.DLL delref %SystemDrive%\PROGRAM FILES\LDPLAYERBOX\VBOXC.DLL delref %SystemDrive%\PROGRAM FILES\LDPLAYERBOX\LDVBOXSVC.EXE delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.92\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\98.0.1108.50\PDFPREVIEW\PDFPREVIEWHANDLER.DLL delref %SystemDrive%\PROGRAM FILES (X86)\ASUS\UPDATE\1.3.107.65\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.57\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.145.49\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.153.57\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\ASUS\UPDATE\1.3.107.59\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.112\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.63\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.102\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.153.47\PSMACHINE_64.DLL delref %Sys32%\TETHERINGSETTINGHANDLER.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.151.27\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES\ESET\ESET SECURITY\ECOMSERVER.EXE delref %Sys32%\QUICKACTIONSPS.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.153.53\PSMACHINE_64.DLL delref %Sys32%\VAILAUDIOPROXY.EXE delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.153.55\PSMACHINE_64.DLL delref D:\LIBREOFFICE\PROGRAM\SPSUPP_X64.DLL delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE delref %SystemRoot%\SYSWOW64\TAPILUA.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.82\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\UPDATEDEPLOYMENTPROVIDER.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.153.45\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.147.37\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\ASUS\UPDATE\1.3.107.53\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\U0373547.INF_AMD64_5F3AB38EFC92CF9F\B373550\AMDHWDECODER_32.DLL delref %SystemRoot%\SYSWOW64\LOCATIONFRAMEWORK.DLL delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL delref %SystemDrive%\PROGRAM FILES\LDPLAYERBOX\X86\VBOXPROXYSTUB-X86.DLL delref %SystemDrive%\PROGRAM FILES\LDPLAYERBOX\X86\VBOXCLIENT-X86.DLL delref %SystemRoot%\SYSWOW64\PERCEPTIONSIMULATIONEXTENSIONS.DLL delref %SystemRoot%\SYSWOW64\AUTHHOST.EXE delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.92\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\COMPPKGSRV.EXE delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL delref %SystemRoot%\SYSWOW64\MAPSCSP.DLL delref %SystemRoot%\SYSWOW64\RSTRUI.EXE delref %SystemDrive%\PROGRAM FILES (X86)\ASUS\UPDATE\1.3.107.65\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\LISTSVC.DLL delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.57\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\U0373547.INF_AMD64_5F3AB38EFC92CF9F\B373550\AMDH265ENC32.DLL delref %SystemRoot%\SYSWOW64\WPCREFRESHTASK.DLL delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\U0373547.INF_AMD64_5F3AB38EFC92CF9F\B373550\AMF-MFT-MJPEG-DECODER32.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.145.49\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.153.57\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\ASUS\UPDATE\1.3.107.59\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.112\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\RMSROAMINGSECURITY.DLL delref %SystemRoot%\SYSWOW64\SYSTEMSETTINGSBROKER.EXE delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.63\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.102\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.153.47\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SAPI_EXTENSIONS.DLL delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.151.27\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\GPSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\U0373547.INF_AMD64_5F3AB38EFC92CF9F\B373550\AMDH264ENC32.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.153.53\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.153.55\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL delref %SystemRoot%\SYSWOW64\WIREDNETWORKCSP.DLL delref E:\AUTORUN.EXE ;------------------------------------------------------------- restart

Код


;uVS v4.12 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
hide D:\WINDSCRIBE\WINDSCRIBESERVICE.EXE
;------------------------autoscript---------------------------

delref %SystemDrive%\PROGRAM FILES\GOOGLE\DRIVE FILE STREAM\55.0.3.0\GOOGLEDRIVEFS.EXE
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLMJEGMLICAMNIMMFHCMPKCLMIGMMCBEH%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\SPEECH_ONECORE\SR\SV10-EV100\EN-US-N\MV101\NASPMODELSMETADATA.XML
delref %SystemDrive%\PROGRAM FILES (X86)\ASUS\ARMOURYDEVICE\DLL\SHAREFROMARMOURYIII\MOUSE\ROG STRIX CARRY\P508POWERAGENT.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemRoot%\SYSWOW64\COMPMGMTLAUNCHER.EXE
delref %SystemRoot%\SYSWOW64\VID.DLL
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\WEVTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
delref %SystemRoot%\SYSWOW64\APPVETWCLIENTRES.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
delref %SystemRoot%\SYSWOW64\W32TIME.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DXGMMS2.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\WINNAT.SYS
delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBUSR.SYS
delref %SystemRoot%\SYSWOW64\BTHSERV.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SMBDIRECT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\REFS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL
delref %SystemRoot%\SYSWOW64\LSM.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {BBACC218-34EA-4666-9D7A-C78F2274A524}\[CLSID]
delref {5AB7172C-9C11-405C-8DD5-AF20F3606282}\[CLSID]
delref {A78ED123-AB77-406B-9962-2A5D9D2F7F30}\[CLSID]
delref {F241C880-6982-4CE5-8CF7-7085BA96DA5A}\[CLSID]
delref {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E}\[CLSID]
delref {9AA2F32D-362A-42D9-9328-24A483E2CCC3}\[CLSID]
delref {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C}\[CLSID]
delref {EE15C2BD-CECB-49F8-A113-CA1BFC528F5B}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\89.0.774.68\MSEDGE.DLL
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\PLATFORM\4.18.2107.4-0\DRIVERS\WDNISDRV.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref BROWSER\[SERVICE]
delref MESSENGER\[SERVICE]
delref %Sys32%\DRIVERS\RDPENCDD.SYS
delref RDSESSMGR\[SERVICE]
delref %Sys32%\DRIVERS\SMARTCARDSIMULATOR.SYS
delref %Sys32%\DRIVERS\VIRTUALSMARTCARDREADER.SYS
delref %Sys32%\DRIVERS\WUDFUSBCCIDDRIVER.SYS
delref %SystemDrive%\PROGRAM FILES\AMD\CNEXT\CNEXT\AMDRYZENMASTERDRIVER.SYS
delref %SystemRoot%\TEMP\CPUZ149\CPUZ149_X64.SYS
delref %SystemRoot%\TEMP\CPUZ150\CPUZ150_X64.SYS
delref %SystemRoot%\TEMP\CPUZ152\CPUZ152_X64.SYS
delref %SystemDrive%\USERS\VLASS\APPDATA\LOCAL\TEMP\HWINFO64A_161.SYS
delref %SystemDrive%\USERS\VLASS\APPDATA\LOCAL\TEMP\HWINFO64A_162.SYS
delref %SystemDrive%\USERS\VLASS\APPDATA\LOCAL\TEMP\THROTTLESTOP.SYS
delref IRENUM\[SERVICE]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.82\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.153.45\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\ADOBE\ADOBE PHOTOSHOP CC 2017\PHOTOSHOP.EXE\AUTOMATION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.147.37\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ASUS\UPDATE\1.3.107.53\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\LDPLAYERBOX\VBOXPROXYSTUB.DLL
delref %SystemDrive%\PROGRAM FILES\LDPLAYERBOX\VBOXC.DLL
delref %SystemDrive%\PROGRAM FILES\LDPLAYERBOX\LDVBOXSVC.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.92\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\98.0.1108.50\PDFPREVIEW\PDFPREVIEWHANDLER.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ASUS\UPDATE\1.3.107.65\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.57\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.145.49\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.153.57\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ASUS\UPDATE\1.3.107.59\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.112\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.63\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.102\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.153.47\PSMACHINE_64.DLL
delref %Sys32%\TETHERINGSETTINGHANDLER.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.151.27\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\ESET\ESET SECURITY\ECOMSERVER.EXE
delref %Sys32%\QUICKACTIONSPS.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.153.53\PSMACHINE_64.DLL
delref %Sys32%\VAILAUDIOPROXY.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.153.55\PSMACHINE_64.DLL
delref D:\LIBREOFFICE\PROGRAM\SPSUPP_X64.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE
delref %SystemRoot%\SYSWOW64\TAPILUA.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.82\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\UPDATEDEPLOYMENTPROVIDER.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.153.45\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.147.37\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ASUS\UPDATE\1.3.107.53\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\U0373547.INF_AMD64_5F3AB38EFC92CF9F\B373550\AMDHWDECODER_32.DLL
delref %SystemRoot%\SYSWOW64\LOCATIONFRAMEWORK.DLL
delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL
delref %SystemDrive%\PROGRAM FILES\LDPLAYERBOX\X86\VBOXPROXYSTUB-X86.DLL
delref %SystemDrive%\PROGRAM FILES\LDPLAYERBOX\X86\VBOXCLIENT-X86.DLL
delref %SystemRoot%\SYSWOW64\PERCEPTIONSIMULATIONEXTENSIONS.DLL
delref %SystemRoot%\SYSWOW64\AUTHHOST.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.92\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\COMPPKGSRV.EXE
delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL
delref %SystemRoot%\SYSWOW64\MAPSCSP.DLL
delref %SystemRoot%\SYSWOW64\RSTRUI.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ASUS\UPDATE\1.3.107.65\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\LISTSVC.DLL
delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.57\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\U0373547.INF_AMD64_5F3AB38EFC92CF9F\B373550\AMDH265ENC32.DLL
delref %SystemRoot%\SYSWOW64\WPCREFRESHTASK.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\U0373547.INF_AMD64_5F3AB38EFC92CF9F\B373550\AMF-MFT-MJPEG-DECODER32.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.145.49\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.153.57\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ASUS\UPDATE\1.3.107.59\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.112\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\RMSROAMINGSECURITY.DLL
delref %SystemRoot%\SYSWOW64\SYSTEMSETTINGSBROKER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.63\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.102\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.153.47\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SAPI_EXTENSIONS.DLL
delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.151.27\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\U0373547.INF_AMD64_5F3AB38EFC92CF9F\B373550\AMDH264ENC32.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.153.53\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL
delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.153.55\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref %SystemRoot%\SYSWOW64\WIREDNETWORKCSP.DLL
delref E:\AUTORUN.EXE
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
-----------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Перейти

js/adware.adport.a

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 19.02.2022 05:57:24

добавьте пожалуйста образ автозапуска и лог ESETLogCollector

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Веб-сайт заблокирован

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 18.02.2022 14:59:51

получен ответ по вашему обращению:
адрес будет разблокирован.
--------------

Thank you for your submission.
The site / IP address will be unblocked.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Веб-сайт заблокирован

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 18.02.2022 14:17:42

да, есть записи в журнале о блокировке адреса:
18.02.2022 10:24:09 http://92.255.78.81 Blocked by internal IP blacklist C:\Program Files\Google\Chrome\Application\chrome.exe DESKTOP-MAIN\Admin 92.255.78.81 0608825F6B54238A452E3050D49E8AA50569A6C9
запросим информацию о причине блокировки по данному адресу

[ Как создать образ автозапуска? ]

Перейти