santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] запуск майнера на серверах с MS Exchange 2013

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.08.2021 04:25:55

Цитата
DNS лог: 0 Отслеживание задач: 0 Отслеживание запуска процессов: 1 Отслеживание завершения процессов: 1

отслеживание задач - не поддерживается для данной системы, только отсл процессов+возможно лог DNS.

на первом сервере (Имя компьютера: IZTVMAIL01)

Цитата
pid=7260 NT AUTHORITY\СИСТЕМА 17:43:35 [2021.08.07] cmdline=C:\Windows\System32\rundll32.exe -o pool.supportxmr.com:443 -u 44EspGiviPdeZSZyX1r3R9RhpGCkxYACEKUwbA4Gp6cVCzyiNeB21STWYsJZYZeZt63JaUn8CVxDeWWGs3f6XNxGPtSuUEX -k --tls -p MOON CPU 1013,99% parentid=13100 не определился, или был закрыт после запуска майнера. 192.168.24.26:38069 <-> 95.216.46.125:443

Цитата

pid=7260 NT AUTHORITY\СИСТЕМА
17:43:35 [2021.08.07]
cmdline=C:\Windows\System32\rundll32.exe -o pool.supportxmr.com:443 -u 44EspGiviPdeZSZyX1r3R9RhpGCkxYACEKUwbA4Gp6cVCzyiNeB21STWYsJZYZeZt63JaUn8CVxDeWWGs3f6XNxGPtSuUEX -k --tls -p MOON
CPU 1013,99%
parentid=13100 не определился, или был закрыт после запуска майнера.
192.168.24.26:38069 <-> 95.216.46.125:443

на втором сервере (Имя компьютера: SPHVMAIL01) запуск примерно в это же время.

Цитата
C:\Windows\System32\rundll32.exe -o pool.supportxmr.com:443 -u 44EspGiviPdeZSZyX1r3R9RhpGCkxYACEKUwbA4Gp6cVCzyiNeB21STWYsJZYZeZt63JaUn8CVxDeWWGs3f6XNxGPtSuUEX -k --tls -p MOON 17:34:15 [2021.08.07] parentid=27320 192.168.10.26:51537 <-> 95.216.46.125:443 ----------------

отфильтровать процессы, которые были запущены в этом интервале - не найдено других процессов в данный промежуток времени (17:**:** [2021.08.07].
в WMI - чисто

в пред. образе от 30.07
NT AUTHORITY\СИСТЕМА
C:\Windows\System32\rundll32.exe -o pool.supportxmr.com:443 -u 44EspGiviPdeZSZyX1r3R9RhpGCkxYACEKUwbA4Gp6cVCzyiNeB21STWYsJZYZeZt63JaUn8CVxDeWWGs3f6XNxGPtSuUEX -k --tls -p MOON
03:48:12 [2021.07.30]
1001,31%
192.168.24.26:60064 <-> 95.216.46.125:443 /WHOIS: country: FI/
----------------

итого:
1. запуск происх примерно в одно и тоже время на обоих серверах.
2. запуск майнера идентичный на обоих серверах
3. удаленный адрес подкл - один и тот же, повторяется при новых запусках.

4. нужны новые логи ESETlogCollector (с обоих серверов), чтобы выполнить поиск по журналам, есть ли инфо в журналах по процессу с pid=13100, pid=27320

5. думаю, стоит еще включить лог DNS (в нужный момент), пусть пишется по 512Мб - на производительности системы не должно сказываться, после 512 - пойдет перезапись файла лога,

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Объект угроза MSIL/CoinMiner.BLB, С пустого места словил вирусняк

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.08.2021 03:09:29

все может быть,
доставка вредоносных программ на комп пользователя - целая индустрия.
если модифицированный файл сохранился, проверьте его там же, на Virustotal.com, и дайте нам ссылку на линк проверки.
то, что нет изначального детекта у антивирусов - это естественная практика злоумышленников, сбить детект, выложить сборку, привлечь к ней внимание.
знают, что обнаружение будет, но не сразу.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] MSIL/CoinMiner.BLB

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.08.2021 02:55:41

будьте внимательны при скачивании и установке программ с недоверенных сайтов.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] MSIL/CoinMiner.BLB

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.08.2021 16:07:32

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.11.8 [http://dsrt.dyndns.org:8888] ;Target OS: NTv10.0 v400c OFFSGNSAVE hide %Sys32%\OPENSSH\SSH-AGENT.EXE ;------------------------autoscript--------------------------- zoo %SystemDrive%\USERS\DOK44\APPDATA\ROAMING\STEAMAPI\CHARTTABLE\GAMESLIST\STEAMAPILIB.DLL addsgn BA4D77BA55EA4D720BD4515164C81205258AFCF689FA1F7885C3C5BC50D6714C2317C3573E559D492B80849F461649FA7DDFE87255DAB02C2D77A42FC7062273 64 MSIL/Agent.TPR [ESET-NOD32] 7 chklst delvir apply deltmp delref %SystemDrive%\USERS\DOK44\APPDATA\LOCAL\TEMP\WCT8483.TMP delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\NVIDIA RTX VOICE\NVIDIA RTX VOICE.EXE delref %Sys32%\REMOTEFXVGPUDISABLEMENT.EXE delref %SystemDrive%\PROGRAM FILES (X86)\RADMIN VPN\RVRVPNGUI.EXE delref %SystemRoot%\SYSWOW64\BLANK.HTM delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL delref %Sys32%\PWCREATOR.EXE delref %Sys32%\BLANK.HTM delref BROWSER\[SERVICE] delref %Sys32%\DRIVERS\ENE.SYS delref %SystemDrive%\PROGRAM FILES (X86)\RADMIN VPN\RVCONTROLSVC.EXE delref %Sys32%\DRIVERS\VBAUDIO_VMAUXVAIO64_WIN10.SYS delref %Sys32%\DRIVERS\VBAUDIO_VMVAIO64_WIN10.SYS delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.57\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.145.49\PSMACHINE_64.DLL delref D:\TV\TEAMVIEWER.EXE delref %Sys32%\VAILAUDIOPROXY.EXE delref %SystemRoot%\SYSWOW64\UPDATEDEPLOYMENTPROVIDER.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.57\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.145.49\PSMACHINE.DLL delref F:\HISUITEDOWNLOADER.EXE delref %SystemDrive%\PROGRAM FILES (X86)\WINDSCRIBE\WINDSCRIBE.EXE delref %SystemDrive%\USERS\DOK44\DESKTOP\TOR BROWSER\BROWSER\FIREFOX.EXE delref D:\STEAM\STEAMAPPS\COMMON\CRY OF FEAR\COF.EXE delref %SystemDrive%\PROGRAM FILES\IMAGE-LINE\FL STUDIO 20\FL64.EXE delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT VISUAL STUDIO\SHARED\PYTHON37_64\PYTHONW.EXE delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT VISUAL STUDIO\SHARED\PYTHON37_64\LIB\IDLELIB\IDLE.PYW delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT VISUAL STUDIO\SHARED\PYTHON37_64\PYTHON.EXE ;------------------------------------------------------------- czoo restart

Код


;uVS v4.11.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
hide %Sys32%\OPENSSH\SSH-AGENT.EXE
;------------------------autoscript---------------------------

zoo %SystemDrive%\USERS\DOK44\APPDATA\ROAMING\STEAMAPI\CHARTTABLE\GAMESLIST\STEAMAPILIB.DLL
addsgn BA4D77BA55EA4D720BD4515164C81205258AFCF689FA1F7885C3C5BC50D6714C2317C3573E559D492B80849F461649FA7DDFE87255DAB02C2D77A42FC7062273 64 MSIL/Agent.TPR [ESET-NOD32] 7

chklst
delvir

apply

deltmp
delref %SystemDrive%\USERS\DOK44\APPDATA\LOCAL\TEMP\WCT8483.TMP
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\NVIDIA RTX VOICE\NVIDIA RTX VOICE.EXE
delref %Sys32%\REMOTEFXVGPUDISABLEMENT.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\RADMIN VPN\RVRVPNGUI.EXE
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL
delref %Sys32%\PWCREATOR.EXE
delref %Sys32%\BLANK.HTM
delref BROWSER\[SERVICE]
delref %Sys32%\DRIVERS\ENE.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\RADMIN VPN\RVCONTROLSVC.EXE
delref %Sys32%\DRIVERS\VBAUDIO_VMAUXVAIO64_WIN10.SYS
delref %Sys32%\DRIVERS\VBAUDIO_VMVAIO64_WIN10.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.57\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.145.49\PSMACHINE_64.DLL
delref D:\TV\TEAMVIEWER.EXE
delref %Sys32%\VAILAUDIOPROXY.EXE
delref %SystemRoot%\SYSWOW64\UPDATEDEPLOYMENTPROVIDER.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.57\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.145.49\PSMACHINE.DLL
delref F:\HISUITEDOWNLOADER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\WINDSCRIBE\WINDSCRIBE.EXE
delref %SystemDrive%\USERS\DOK44\DESKTOP\TOR BROWSER\BROWSER\FIREFOX.EXE
delref D:\STEAM\STEAMAPPS\COMMON\CRY OF FEAR\COF.EXE
delref %SystemDrive%\PROGRAM FILES\IMAGE-LINE\FL STUDIO 20\FL64.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT VISUAL STUDIO\SHARED\PYTHON37_64\PYTHONW.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT VISUAL STUDIO\SHARED\PYTHON37_64\LIB\IDLELIB\IDLE.PYW
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT VISUAL STUDIO\SHARED\PYTHON37_64\PYTHON.EXE
;-------------------------------------------------------------
czoo

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.08.2021 03:07:47

кстати, сюда надо почаще заглядывать, здесь просто кладезь полезной информации по нашей профильной теме.

Цитата
Злоумышленники могут использовать Regsvr32.exe для выполнения вредоносного кода через прокси. Regsvr32.exe - это программа командной строки, используемая для регистрации и отмены регистрации элементов управления связыванием и внедрением объектов, включая библиотеки динамической компоновки (DLL), в системах Windows. Regsvr32.exe также является двоичным файлом, подписанным Microsoft. [1] Вредоносное использование Regsvr32.exe может предотвратить запуск инструментов безопасности, которые могут не отслеживать выполнение и модули, загружаемые процессом regsvr32.exe из-за списков разрешений или ложных срабатываний из Windows, использующих regsvr32.exe для обычных операций. Regsvr32.exe также можно использовать для обхода управления приложениями с помощью функции загрузки сценариев COM для выполнения библиотек DLL с разрешениями пользователя. Поскольку Regsvr32.exe поддерживает сеть и прокси, сценарии могут быть загружены путем передачи унифицированного указателя ресурсов (URL) в файл на внешнем веб-сервере в качестве аргумента во время вызова. Этот метод не вносит изменений в реестр, поскольку COM-объект фактически не регистрируется, а только выполняется

Цитата

Злоумышленники могут использовать Regsvr32.exe для выполнения вредоносного кода через прокси. Regsvr32.exe - это программа командной строки, используемая для регистрации и отмены регистрации элементов управления связыванием и внедрением объектов, включая библиотеки динамической компоновки (DLL), в системах Windows. Regsvr32.exe также является двоичным файлом, подписанным Microsoft. [1]

Вредоносное использование Regsvr32.exe может предотвратить запуск инструментов безопасности, которые могут не отслеживать выполнение и модули, загружаемые процессом regsvr32.exe из-за списков разрешений или ложных срабатываний из Windows, использующих regsvr32.exe для обычных операций. Regsvr32.exe также можно использовать для обхода управления приложениями с помощью функции загрузки сценариев COM для выполнения библиотек DLL с разрешениями пользователя. Поскольку Regsvr32.exe поддерживает сеть и прокси, сценарии могут быть загружены путем передачи унифицированного указателя ресурсов (URL) в файл на внешнем веб-сервере в качестве аргумента во время вызова. Этот метод не вносит изменений в реестр, поскольку COM-объект фактически не регистрируется, а только выполняется

https://attack.mitre.org/techniques/T1218/010/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Объект угроза MSIL/CoinMiner.BLB, С пустого места словил вирусняк

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.08.2021 02:42:05

Цитата
С пустого места словил вирусняк

откуда кстати файл прилетел: после захода на сайт, или после установки некоторой программы?

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 06.08.2021 19:50:03

Цитата
RP55 RP55 написал: На V.T. обновили базы теперь файл cef5aa279f639d500f83f51ae3bb846a2908019d определяется как 1/68: ESET-NOD32 A Variant Of MSIL/Agent.URR

отлично!

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Объект угроза MSIL/CoinMiner.BLB найден в файле..., На днях eset начал выдавать окно о вирусе, причём каждую минуту.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 06.08.2021 13:54:04

думаю, файл уже детектируется

Цитата
Время;Модуль сканирования;Тип объекта;Объект;Обнаружение;Действие;Пользователь;Информация;Хэш;Первое обнаружение здесь 06.08.2021 17:51:29;Защита файловой системы в реальном времени;файл;G:\DATA\image\майнеры\hashcalc\ZOO_2021-08-06_08-37-18\STEAMAPILIB.DLL._CEF5AA279F639D500F83F51AE3BB846A2908019D;модифицированный MSIL/Agent.URR троянская программа;очищено удалением;-Событие произошло при попытке получения доступа к файлу следующим приложением: C:\Program Files\Mozilla Firefox\firefox.exe (8288CDC1F6AB89A159E5A1A17A22F4AEB7838A61).;CEF5AA279F639D500F83F51AE3BB846A2908019D;06.08.2021 12:42:51

Цитата

Время;Модуль сканирования;Тип объекта;Объект;Обнаружение;Действие;Пользователь;Информация;Хэш;Первое обнаружение здесь
06.08.2021 17:51:29;Защита файловой системы в реальном времени;файл;G:\DATA\image\майнеры\hashcalc\ZOO_2021-08-06_08-37-18\STEAMAPILIB.DLL._CEF5AA279F639D500F83F51AE3BB846A2908019D;модифицированный MSIL/Agent.URR троянская программа;очищено удалением;-Событие произошло при попытке получения доступа к файлу следующим приложением: C:\Program Files\Mozilla Firefox\firefox.exe (8288CDC1F6AB89A159E5A1A17A22F4AEB7838A61).;CEF5AA279F639D500F83F51AE3BB846A2908019D;06.08.2021 12:42:51

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 06.08.2021 13:48:09

систему, так понимаю уже очистили,
скрипт поправил, используйте исправленный скрипт

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 06.08.2021 13:44:40

Код
;uVS v4.11.8 [http://dsrt.dyndns.org:8888] ;Target OS: NTv10.0 v400c OFFSGNSAVE ;------------------------autoscript--------------------------- hide %Sys32%\OPENSSH\SSH-AGENT.EXE delall %SystemDrive%\USERS\WIN10\APPDATA\ROAMING\MICROSOFT\HASHCALC\MD5\HASHCALC.EXE chklst delvir delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCALJGKLBBFBCJJANAIJLACGNCAFPEGLL%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCBPBKEBODCJKKNKFKPMFECIINHIDAEH%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFLLIILNDJEOHCHALPBBCDEKJKLBDGFKK%26INSTALLSOURCE%3DONDEMAND%26UC apply deltmp delref %Sys32%\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_D71D3F5EA7618CBB\DISPLAY.NVCONTAINER\NVDISPLAY.CONTAINER.EXE -S NVDISPLAY.CONTAINERLOCALSYSTEM -F C:\PROGRAMDATA\NVIDIA\NVDISPLAY.CONTAINERLOCALSYSTEM.LOG -L 3 -D C:\WINDOWS\SYSTEM32\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_D71D3F5EA7618CBB\DISPLAY.NVCONTAINER\PLUGINS\LOCALSYSTEM -R -P 30000 -CFG NVDISPLAY.CONTAINERLOCALSYSTEM\LOCALSYSTEM delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\FRAMEVIEWSDK\FRAMEVIEW.CSV delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID] delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID] delref %SystemRoot%\SYSWOW64\BLANK.HTM delref {BFD98515-CD74-48A4-98E2-13D209E3EE4F}\[CLSID] delref %Sys32%\PWCREATOR.EXE delref %SystemDrive%\PROGRAM FILES (X86)\FOXIT SOFTWARE\FOXIT READER\PLUGINS\NPFOXITREADERPLUGIN.DLL delref %Sys32%\BLANK.HTM delref {45AC2688-0253-4ED8-97DE-B5370FA7D48A}\[CLSID] delref %Sys32%\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_D71D3F5EA7618CBB\DISPLAY.NVCONTAINER\NVDISPLAY.CONTAINER.EXE -S NVDISPLAY.CONTAINERLOCALSYSTEM -F %PROGRAMDATA%\NVIDIA\NVDISPLAY.CONTAINERLOCALSYSTEM.LOG -L 3 -D C:\WINDOWS\SYSTEM32\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_D71D3F5EA7618CBB\DISPLAY.NVCONTAINER\PLUGINS\LOCALSYSTEM -R -P 30000 -CFG NVDISPLAY.CONTAINERLOCALSYSTEM\LOCALSYSTEM delref %SystemDrive%\USERS\WIN10\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\JRYZUO5B.DEFAULT-RELEASE\EXTENSIONS\[email protected] delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected] delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected] delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected] delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected] delref %SystemDrive%\PROGRAM FILES\CFOSSPEED\CFOSSPEED.EXE delref %SystemDrive%\PROGRAM FILES (X86)\INTERNET DOWNLOAD MANAGER\IDMIECC64.DLL delref %SystemRoot%\ARKINO12\JSDRIVER64.DLL delref %SystemRoot%\ARKINO12\JSPAGESTD64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\FOXIT SOFTWARE\FOXIT READER\PLUGINS\FOXITREADERBROWSERAX.DLL delref %SystemDrive%\PROGRAM FILES (X86)\INTERNET DOWNLOAD MANAGER\DOWNLWITHIDM64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\INTERNET DOWNLOAD MANAGER\IDMGETALL64.DLL delref D:\PROGRAMMS\PREMIERE PRO 2019\ADOBE\ADOBE PREMIERE PRO CC 2019\WMENCODINGHELPER.EXE delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.45\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.65\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\BLACKMAGIC DESIGN\DAVINCI CONTROL PANELS\API\FAIRLIGHTPANELAPI.DLL delref %SystemRoot%\USB VIBRATION\DR100&110\807EZFRD64.DLL delref %SystemRoot%\USB VIBRATION\DR100&110\811EZFRD64.DLL delref %SystemRoot%\USB VIBRATION\DR100&110\813EZFRD64.DLL delref %SystemRoot%\USB VIBRATION\DR100&110\807FCVAP64.DLL delref %SystemRoot%\USB VIBRATION\DR100&110\811FCVAP64.DLL delref %SystemRoot%\USB VIBRATION\DR100&110\813FCVAP64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\INTERNET DOWNLOAD MANAGER\IDMIECC.DLL delref %SystemDrive%\PROGRAM FILES (X86)\INTERNET DOWNLOAD MANAGER\IDMFSA.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\ACCESSIBLEMARSHAL.DLL delref %SystemRoot%\SYSWOW64\PERCEPTIONSIMULATIONEXTENSIONS.DLL delref %SystemRoot%\ARKINO12\JSDRIVER32.DLL delref %SystemRoot%\ARKINO12\JSPAGESTD32.DLL delref %SystemRoot%\SYSWOW64\MAPSCSP.DLL delref %SystemDrive%\PROGRAM FILES (X86)\INTERNET DOWNLOAD MANAGER\DOWNLWITHIDM.DLL delref %SystemDrive%\PROGRAM FILES (X86)\INTERNET DOWNLOAD MANAGER\IDMGETALL.DLL delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_D71D3F5EA7618CBB\NVENCMFTH264.DLL delref %SystemRoot%\SYSWOW64\ESCLWIADRIVER.DLL delref %SystemDrive%\PROGRA~2\COMMON~1\WONDER~1\WONDER~1\WSHELPER.EXE delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_D71D3F5EA7618CBB\NVDECMFTMJPEG.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.45\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.65\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_D71D3F5EA7618CBB\NVENCMFTHEVC.DLL delref %SystemDrive%\PROGRAM FILES (X86)\INTERNET DOWNLOAD MANAGER\IDMAN.EXE delref %SystemDrive%\PROGRAM FILES (X86)\INTERNET DOWNLOAD MANAGER\IDMBROKER.EXE ;------------------------------------------------------------- czoo restart

Код



;uVS v4.11.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

hide %Sys32%\OPENSSH\SSH-AGENT.EXE
delall %SystemDrive%\USERS\WIN10\APPDATA\ROAMING\MICROSOFT\HASHCALC\MD5\HASHCALC.EXE

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCALJGKLBBFBCJJANAIJLACGNCAFPEGLL%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCBPBKEBODCJKKNKFKPMFECIINHIDAEH%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFLLIILNDJEOHCHALPBBCDEKJKLBDGFKK%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %Sys32%\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_D71D3F5EA7618CBB\DISPLAY.NVCONTAINER\NVDISPLAY.CONTAINER.EXE -S NVDISPLAY.CONTAINERLOCALSYSTEM -F C:\PROGRAMDATA\NVIDIA\NVDISPLAY.CONTAINERLOCALSYSTEM.LOG -L 3 -D C:\WINDOWS\SYSTEM32\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_D71D3F5EA7618CBB\DISPLAY.NVCONTAINER\PLUGINS\LOCALSYSTEM -R -P 30000 -CFG NVDISPLAY.CONTAINERLOCALSYSTEM\LOCALSYSTEM
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\FRAMEVIEWSDK\FRAMEVIEW.CSV
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {BFD98515-CD74-48A4-98E2-13D209E3EE4F}\[CLSID]
delref %Sys32%\PWCREATOR.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\FOXIT SOFTWARE\FOXIT READER\PLUGINS\NPFOXITREADERPLUGIN.DLL
delref %Sys32%\BLANK.HTM
delref {45AC2688-0253-4ED8-97DE-B5370FA7D48A}\[CLSID]
delref %Sys32%\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_D71D3F5EA7618CBB\DISPLAY.NVCONTAINER\NVDISPLAY.CONTAINER.EXE -S NVDISPLAY.CONTAINERLOCALSYSTEM -F %PROGRAMDATA%\NVIDIA\NVDISPLAY.CONTAINERLOCALSYSTEM.LOG -L 3 -D C:\WINDOWS\SYSTEM32\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_D71D3F5EA7618CBB\DISPLAY.NVCONTAINER\PLUGINS\LOCALSYSTEM -R -P 30000 -CFG NVDISPLAY.CONTAINERLOCALSYSTEM\LOCALSYSTEM
delref %SystemDrive%\USERS\WIN10\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\JRYZUO5B.DEFAULT-RELEASE\EXTENSIONS\[email protected]
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES\CFOSSPEED\CFOSSPEED.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\INTERNET DOWNLOAD MANAGER\IDMIECC64.DLL
delref %SystemRoot%\ARKINO12\JSDRIVER64.DLL
delref %SystemRoot%\ARKINO12\JSPAGESTD64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\FOXIT SOFTWARE\FOXIT READER\PLUGINS\FOXITREADERBROWSERAX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\INTERNET DOWNLOAD MANAGER\DOWNLWITHIDM64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\INTERNET DOWNLOAD MANAGER\IDMGETALL64.DLL
delref D:\PROGRAMMS\PREMIERE PRO 2019\ADOBE\ADOBE PREMIERE PRO CC 2019\WMENCODINGHELPER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.45\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.65\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\BLACKMAGIC DESIGN\DAVINCI CONTROL PANELS\API\FAIRLIGHTPANELAPI.DLL
delref %SystemRoot%\USB VIBRATION\DR100&110\807EZFRD64.DLL
delref %SystemRoot%\USB VIBRATION\DR100&110\811EZFRD64.DLL
delref %SystemRoot%\USB VIBRATION\DR100&110\813EZFRD64.DLL
delref %SystemRoot%\USB VIBRATION\DR100&110\807FCVAP64.DLL
delref %SystemRoot%\USB VIBRATION\DR100&110\811FCVAP64.DLL
delref %SystemRoot%\USB VIBRATION\DR100&110\813FCVAP64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\INTERNET DOWNLOAD MANAGER\IDMIECC.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\INTERNET DOWNLOAD MANAGER\IDMFSA.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\ACCESSIBLEMARSHAL.DLL
delref %SystemRoot%\SYSWOW64\PERCEPTIONSIMULATIONEXTENSIONS.DLL
delref %SystemRoot%\ARKINO12\JSDRIVER32.DLL
delref %SystemRoot%\ARKINO12\JSPAGESTD32.DLL
delref %SystemRoot%\SYSWOW64\MAPSCSP.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\INTERNET DOWNLOAD MANAGER\DOWNLWITHIDM.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\INTERNET DOWNLOAD MANAGER\IDMGETALL.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_D71D3F5EA7618CBB\NVENCMFTH264.DLL
delref %SystemRoot%\SYSWOW64\ESCLWIADRIVER.DLL
delref %SystemDrive%\PROGRA~2\COMMON~1\WONDER~1\WONDER~1\WSHELPER.EXE
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_D71D3F5EA7618CBB\NVDECMFTMJPEG.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.45\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.65\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_D71D3F5EA7618CBB\NVENCMFTHEVC.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\INTERNET DOWNLOAD MANAGER\IDMAN.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\INTERNET DOWNLOAD MANAGER\IDMBROKER.EXE
;-------------------------------------------------------------
czoo
restart

[ Как создать образ автозапуска? ]

Перейти