santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] TASKHOSTW.EXE, winlogon.exe, майнер и блокировка установки антивирусов, Подхватил майнер

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 25.02.2021 14:22:37

такой еще скрипт выполните в FRST.
можно просто скопировать скрипт в буфер обмена, и нажать в FRST fix

Цитата
Start:: 2021-02-24 14:12 - 2021-02-25 00:50 - 000000000 __SHD C:\AdwCleaner End::

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] TASKHOSTW.EXE, winlogon.exe, майнер и блокировка установки антивирусов, Подхватил майнер

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 25.02.2021 14:19:41

да, эта папка не попала в список разблокировки
2021-02-24 14:12 - 2021-02-25 00:50 - 000000000 __SHD C:\AdwCleaner

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] TASKHOSTW.EXE, winlogon.exe, майнер и блокировка установки антивирусов, Подхватил майнер

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 25.02.2021 14:07:08

в принципе, система очищена, от блокирующих политик, троянов, и заблокированных папок

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] TASKHOSTW.EXE, winlogon.exe, майнер и блокировка установки антивирусов, Подхватил майнер

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 25.02.2021 12:17:00

далее,

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Код
HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\RealtekHD\taskhostw.exe <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ HKU\S-1-5-21-533093311-1531349430-323674345-1001\...\Policies\Explorer: [DisallowRun] 1 HKU\S-1-5-21-533093311-1531349430-323674345-1001\...\Policies\Explorer\DisallowRun: [1] eav_trial_rus.exe HKU\S-1-5-21-533093311-1531349430-323674345-1001\...\Policies\Explorer\DisallowRun: [2] avast_free_antivirus_setup_online.exe HKU\S-1-5-21-533093311-1531349430-323674345-1001\...\Policies\Explorer\DisallowRun: [3] eis_trial_rus.exe HKU\S-1-5-21-533093311-1531349430-323674345-1001\...\Policies\Explorer\DisallowRun: [4] essf_trial_rus.exe HKU\S-1-5-21-533093311-1531349430-323674345-1001\...\Policies\Explorer\DisallowRun: [5] hitmanpro_x64.exe HKU\S-1-5-21-533093311-1531349430-323674345-1001\...\Policies\Explorer\DisallowRun: [6] ESETOnlineScanner_UKR.exe HKU\S-1-5-21-533093311-1531349430-323674345-1001\...\Policies\Explorer\DisallowRun: [7] ESETOnlineScanner_RUS.exe HKU\S-1-5-21-533093311-1531349430-323674345-1001\...\Policies\Explorer\DisallowRun: [8] HitmanPro.exe HKU\S-1-5-21-533093311-1531349430-323674345-1001\...\Policies\Explorer\DisallowRun: [9] 360TS_Setup_Mini.exe HKU\S-1-5-21-533093311-1531349430-323674345-1001\...\Policies\Explorer\DisallowRun: [10] Cezurity_Scanner_Pro_Free.exe HKU\S-1-5-21-533093311-1531349430-323674345-1001\...\Policies\Explorer\DisallowRun: [11] Cube.exe Task: {2263BE8D-8EB3-461B-AFF8-E822D9D19C8E} - System32\Tasks\Microsoft\Windows\Wininet\RealtekHDControl => C:\Programdata\RealtekHD\taskhost.exe <==== ВНИМАНИЕ Task: {4137E121-98CF-4999-9D16-173D000F4E5B} - System32\Tasks\Microsoft\Windows\Wininet\Taskhost => C:\Programdata\RealtekHD\taskhostw.exe <==== ВНИМАНИЕ Task: {77E89627-326E-4028-A775-25753567BF93} - \Microsoft\Windows\UNP\RunCampaignManager -> Нет файла <==== ВНИМАНИЕ Task: {7CD171B6-4E01-442F-B4B0-A32C2102BC69} - System32\Tasks\Microsoft\Windows\Wininet\Taskhostw => C:\Programdata\RealtekHD\taskhostw.exe <==== ВНИМАНИЕ Task: {BEDF3580-DB74-4D58-8A09-9DEF8123F9AE} - System32\Tasks\Microsoft\Windows\Wininet\Cleaner => C:\Programdata\WindowsTask\winlogon.exe <==== ВНИМАНИЕ Task: {E4DAF598-67DE-48C3-87D8-DF762A22ED3E} - System32\Tasks\Microsoft\Windows\Wininet\RealtekHDStartUP => C:\Programdata\RealtekHD\taskhost.exe <==== ВНИМАНИЕ S3 WinRing0_1_2_0; C:\ProgramData\WindowsTask\WinRing0x64.sys [14544 2020-06-08] (Noriyuki MIYAZAKI -> OpenLibSys.org) 2021-02-24 14:12 - 2021-02-24 14:12 - 000000000 __SHD C:\Program Files\Malwarebytes 2021-02-24 14:12 - 2021-02-24 14:12 - 000000000 __SHD C:\Program Files\Kaspersky Lab 2021-02-24 14:12 - 2021-02-24 14:12 - 000000000 __SHD C:\Program Files\ESET 2021-02-24 14:12 - 2021-02-24 14:12 - 000000000 __SHD C:\Program Files\COMODO 2021-02-24 14:12 - 2021-02-24 14:12 - 000000000 __SHD C:\Program Files\Cezurity 2021-02-24 14:12 - 2021-02-24 14:12 - 000000000 __SHD C:\Program Files\ByteFence 2021-02-24 14:12 - 2021-02-24 14:12 - 000000000 __SHD C:\Program Files\AVG 2021-02-24 14:12 - 2021-02-24 14:12 - 000000000 __SHD C:\Program Files\AVAST Software 2021-02-24 14:12 - 2021-02-24 14:12 - 000000000 __SHD C:\Program Files (x86)\Microsoft JDX 2021-02-24 14:12 - 2021-02-24 14:12 - 000000000 __SHD C:\Program Files (x86)\Kaspersky Lab 2021-02-24 14:12 - 2021-02-24 14:12 - 000000000 ____D C:\WINDOWS\speechstracing 2021-02-24 14:12 - 2021-02-24 14:12 - 000000000 ____D C:\ProgramData\MB3Install 2021-02-24 14:12 - 2021-02-24 14:12 - 000000000 ____D C:\ProgramData\Malwarebytes 2021-02-24 14:12 - 2021-02-24 14:12 - 000000000 ____D C:\ProgramData\Indus 2021-02-24 14:11 - 2021-02-25 13:36 - 000000000 __SHD C:\ProgramData\WindowsTask 2021-02-24 14:11 - 2021-02-25 13:36 - 000000000 __SHD C:\ProgramData\Windows 2021-02-24 14:11 - 2021-02-25 13:36 - 000000000 ____D C:\ProgramData\install 2021-02-24 14:11 - 2021-02-24 14:11 - 000000000 __SHD C:\ProgramData\RunDLL 2021-02-24 14:11 - 2021-02-24 14:11 - 000000000 ____D C:\ProgramData\System32 EmptyTemp: Reboot:

Код

HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\RealtekHD\taskhostw.exe <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-533093311-1531349430-323674345-1001\...\Policies\Explorer: [DisallowRun] 1
HKU\S-1-5-21-533093311-1531349430-323674345-1001\...\Policies\Explorer\DisallowRun: [1] eav_trial_rus.exe
HKU\S-1-5-21-533093311-1531349430-323674345-1001\...\Policies\Explorer\DisallowRun: [2] avast_free_antivirus_setup_online.exe
HKU\S-1-5-21-533093311-1531349430-323674345-1001\...\Policies\Explorer\DisallowRun: [3] eis_trial_rus.exe
HKU\S-1-5-21-533093311-1531349430-323674345-1001\...\Policies\Explorer\DisallowRun: [4] essf_trial_rus.exe
HKU\S-1-5-21-533093311-1531349430-323674345-1001\...\Policies\Explorer\DisallowRun: [5] hitmanpro_x64.exe
HKU\S-1-5-21-533093311-1531349430-323674345-1001\...\Policies\Explorer\DisallowRun: [6] ESETOnlineScanner_UKR.exe
HKU\S-1-5-21-533093311-1531349430-323674345-1001\...\Policies\Explorer\DisallowRun: [7] ESETOnlineScanner_RUS.exe
HKU\S-1-5-21-533093311-1531349430-323674345-1001\...\Policies\Explorer\DisallowRun: [8] HitmanPro.exe
HKU\S-1-5-21-533093311-1531349430-323674345-1001\...\Policies\Explorer\DisallowRun: [9] 360TS_Setup_Mini.exe
HKU\S-1-5-21-533093311-1531349430-323674345-1001\...\Policies\Explorer\DisallowRun: [10] Cezurity_Scanner_Pro_Free.exe
HKU\S-1-5-21-533093311-1531349430-323674345-1001\...\Policies\Explorer\DisallowRun: [11] Cube.exe
Task: {2263BE8D-8EB3-461B-AFF8-E822D9D19C8E} - System32\Tasks\Microsoft\Windows\Wininet\RealtekHDControl => C:\Programdata\RealtekHD\taskhost.exe <==== ВНИМАНИЕ
Task: {4137E121-98CF-4999-9D16-173D000F4E5B} - System32\Tasks\Microsoft\Windows\Wininet\Taskhost => C:\Programdata\RealtekHD\taskhostw.exe <==== ВНИМАНИЕ
Task: {77E89627-326E-4028-A775-25753567BF93} - \Microsoft\Windows\UNP\RunCampaignManager -> Нет файла <==== ВНИМАНИЕ
Task: {7CD171B6-4E01-442F-B4B0-A32C2102BC69} - System32\Tasks\Microsoft\Windows\Wininet\Taskhostw => C:\Programdata\RealtekHD\taskhostw.exe <==== ВНИМАНИЕ
Task: {BEDF3580-DB74-4D58-8A09-9DEF8123F9AE} - System32\Tasks\Microsoft\Windows\Wininet\Cleaner => C:\Programdata\WindowsTask\winlogon.exe <==== ВНИМАНИЕ
Task: {E4DAF598-67DE-48C3-87D8-DF762A22ED3E} - System32\Tasks\Microsoft\Windows\Wininet\RealtekHDStartUP => C:\Programdata\RealtekHD\taskhost.exe <==== ВНИМАНИЕ
S3 WinRing0_1_2_0; C:\ProgramData\WindowsTask\WinRing0x64.sys [14544 2020-06-08] (Noriyuki MIYAZAKI -> OpenLibSys.org)
2021-02-24 14:12 - 2021-02-24 14:12 - 000000000 __SHD C:\Program Files\Malwarebytes
2021-02-24 14:12 - 2021-02-24 14:12 - 000000000 __SHD C:\Program Files\Kaspersky Lab
2021-02-24 14:12 - 2021-02-24 14:12 - 000000000 __SHD C:\Program Files\ESET
2021-02-24 14:12 - 2021-02-24 14:12 - 000000000 __SHD C:\Program Files\COMODO
2021-02-24 14:12 - 2021-02-24 14:12 - 000000000 __SHD C:\Program Files\Cezurity
2021-02-24 14:12 - 2021-02-24 14:12 - 000000000 __SHD C:\Program Files\ByteFence
2021-02-24 14:12 - 2021-02-24 14:12 - 000000000 __SHD C:\Program Files\AVG
2021-02-24 14:12 - 2021-02-24 14:12 - 000000000 __SHD C:\Program Files\AVAST Software
2021-02-24 14:12 - 2021-02-24 14:12 - 000000000 __SHD C:\Program Files (x86)\Microsoft JDX
2021-02-24 14:12 - 2021-02-24 14:12 - 000000000 __SHD C:\Program Files (x86)\Kaspersky Lab
2021-02-24 14:12 - 2021-02-24 14:12 - 000000000 ____D C:\WINDOWS\speechstracing
2021-02-24 14:12 - 2021-02-24 14:12 - 000000000 ____D C:\ProgramData\MB3Install
2021-02-24 14:12 - 2021-02-24 14:12 - 000000000 ____D C:\ProgramData\Malwarebytes
2021-02-24 14:12 - 2021-02-24 14:12 - 000000000 ____D C:\ProgramData\Indus
2021-02-24 14:11 - 2021-02-25 13:36 - 000000000 __SHD C:\ProgramData\WindowsTask
2021-02-24 14:11 - 2021-02-25 13:36 - 000000000 __SHD C:\ProgramData\Windows
2021-02-24 14:11 - 2021-02-25 13:36 - 000000000 ____D C:\ProgramData\install
2021-02-24 14:11 - 2021-02-24 14:11 - 000000000 __SHD C:\ProgramData\RunDLL
2021-02-24 14:11 - 2021-02-24 14:11 - 000000000 ____D C:\ProgramData\System32

EmptyTemp:
Reboot:

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] TASKHOSTW.EXE, winlogon.exe, майнер и блокировка установки антивирусов, Подхватил майнер

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 25.02.2021 12:07:34

в uVS выполните очистку системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.11.3 [http://dsrt.dyndns.org:8888] ;Target OS: NTv10.0 v400c OFFSGNSAVE ;------------------------autoscript--------------------------- delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\PROGRAMDATA\REALTEKHD\TASKHOSTW.EXE delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMJMPFDKMPOJOEEMJMFIDDLHKKNDCDPNO%26INSTALLSOURCE%3DONDEMAND%26UC apply deltmp delref %SystemRoot%\SYSWOW64\TILTWHEELMOUSE.EXE delref %SystemDrive%\USERS\EVGEN\APPDATA\LOCAL\TEMP\CHROME_BITS_4312_1845273386\AIBKUV7JOLTWO_MRBTI1W_4 delref %SystemDrive%\USERS\EVGEN\APPDATA\LOCAL\TEMP\EDGE_BITS_8732_1588635793\9C839662-0AE0-4A3D-ABF2-EDBA1AF63603 delref %SystemDrive%\WEBSERVERS\DENWER\BOOT.EXE delref {9F2B0085-9218-42A1-88B0-9F0E65851666}\[CLSID] delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID] delref {FE285C8C-5360-41C1-A700-045501C740DE}\[CLSID] delref {9CDA66BE-3271-4723-8D35-DD834C58AD92}\[CLSID] delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL delref {DEF03232-9688-11E2-BE7F-B4B52FD966FF}\[CLSID] delref %SystemDrive%\PROGRAM FILES\REMPL\SEDLAUNCHER.EXE delref {D2CBF5F7-5702-440B-8D8F-8203034A6B82}\[CLSID] delref %SystemDrive%\USERS\EVGEN\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\ONEDRIVESTANDALONEUPDATER.EXE delref %SystemRoot%\SYSWOW64\GPSVC.DLL delref %SystemRoot%\SYSWOW64\VID.DLL delref %SystemRoot%\SYSWOW64\WEVTSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS delref %SystemRoot%\SYSWOW64\W32TIME.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\DXGMMS2.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\WINNAT.SYS delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\VMBUSR.SYS delref %SystemRoot%\SYSWOW64\BTHSERV.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\REFS.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL delref %SystemRoot%\SYSWOW64\LSM.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref %SystemRoot%\SYSWOW64\IE4USHOWIE.EXE delref %SystemRoot%\SYSWOW64\IE4UINIT.EXE delref %SystemRoot%\SYSWOW64\BLANK.HTM delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID] delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref {23170F69-40C1-278A-1000-000100020000}\[CLSID] delref {474C98EE-CF3D-41F5-80E3-4AAB0AB04301}\[CLSID] delref {7EFA68C6-086B-43E1-A2D2-55A113531240}\[CLSID] delref {B298D29A-A6ED-11DE-BA8C-A68E55D89593}\[CLSID] delref {748F920F-FB24-4D09-B360-BAF6F199AD6D}\[CLSID] delref {4A7C4306-57E0-4C0C-83A9-78C1528F618C}\[CLSID] delref {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4}\[CLSID] delref %Sys32%\DRIVERS\VMBUSR.SYS delref {2D8B3101-E025-480D-917C-835522C7F628}\[CLSID] delref {A910D941-9DA9-4656-8933-AA1EAE01F76E}\[CLSID] delref {E8C77137-E224-5791-B6E9-FF0305797A13}\[CLSID] delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\ROOT\OFFICE16\MSOETWRES.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\ROOT\OFFICE16\WWLIB.DLL delref %Sys32%\DRIVERS\INTCAUDIOBUS.SYS delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\ROOT\VFS\PROGRAMFILESCOMMONX86\MICROSOFT SHARED\OFFICE16\MSO.DLL delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL delref %Sys32%\UNP\UNPCAMPAIGNMANAGER.EXE delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\ADOBE\OOBE\PDAPP\CCM\UTILITIES\NPADOBEAAMDETECT64.DLL delref %Sys32%\BLANK.HTM delref APPMGMT\[SERVICE] delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS delref HELPSVC\[SERVICE] delref SACSVR\[SERVICE] delref SWPRV\[SERVICE] delref TBS\[SERVICE] delref VMMS\[SERVICE] delref MESSENGER\[SERVICE] delref RDSESSMGR\[SERVICE] delref %Sys32%\DRIVERS\SSUDBUS.SYS delref %Sys32%\DRIVERS\EFAVDRV.SYS delref IRENUM\[SERVICE] delref %SystemDrive%\USERS\EVGEN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\3QM2PR3I.DEFAULT\EXTENSIONS\[email protected] delref %SystemDrive%\USERS\EVGEN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\3QM2PR3I.DEFAULT\EXTENSIONS\[email protected] delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected] delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected] delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected] delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected] delref %SystemDrive%\PROGRAM FILES\FIREFOX NIGHTLY\BROWSER\FEATURES\[email protected] delref %SystemDrive%\PROGRAM FILES\FIREFOX NIGHTLY\BROWSER\FEATURES\[email protected] delref %SystemDrive%\PROGRAM FILES\FIREFOX NIGHTLY\BROWSER\FEATURES\[email protected] delref %SystemDrive%\PROGRAM FILES\FIREFOX NIGHTLY\BROWSER\FEATURES\[email protected] delref %SystemDrive%\PROGRAM FILES\FIREFOX NIGHTLY\BROWSER\FEATURES\[email protected] delref %SystemDrive%\GAMES\WARGAMING.NET\GAMECENTER\DLLS\PLUGINHOSTPS.DLL delref %SystemDrive%\GAMES\WARGAMING.NET\GAMECENTER\DLLS\PLUGINHOST.EXE delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE1.8.0_201\BIN\JP2IEXP.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.99\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.93\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.37\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.59\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.65\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE_64.DLL delref %Sys32%\TETHERINGSETTINGHANDLER.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.71\PSMACHINE_64.DLL delref %Sys32%\QUICKACTIONSPS.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.49\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.29\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.99\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE delref %SystemRoot%\SYSWOW64\TAPILUA.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.93\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\LOCATIONFRAMEWORK.DLL delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.37\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\IGDLH64.INF_AMD64_CEBA516BAEA4BED9\IGFXEXPS32.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\COMPPKGSRV.EXE delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL delref %SystemRoot%\SYSWOW64\LISTSVC.DLL delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NVAMI.INF_AMD64_856EC29E64962CFB\NVENCMFTH264.DLL delref %SystemRoot%\SYSWOW64\WPCREFRESHTASK.DLL delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NVAMI.INF_AMD64_856EC29E64962CFB\NVDECMFTMJPEG.DLL delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\RMSROAMINGSECURITY.DLL delref %SystemRoot%\SYSWOW64\SYSTEMSETTINGSBROKER.EXE delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.59\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.65\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NVAMI.INF_AMD64_856EC29E64962CFB\NVENCMFTHEVC.DLL delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\ACROBAT READER DC\ACRORD32INFO.EXE delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SAPI_EXTENSIONS.DLL delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.71\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.49\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.29\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL delref %SystemRoot%\SYSWOW64\WIREDNETWORKCSP.DLL delref E:\AUTORUN.EXE delref %SystemDrive%\USERS\EVGEN\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\ONEDRIVE.EXE delref %SystemDrive%\USERS\EVGEN\DESKTOP\ESETONLINESCANNER_RUS.EXE delref %SystemDrive%\PROGRAM FILES\BLUESTACKS\HD-MULTIINSTANCEMANAGER.EXE delref %SystemDrive%\PROGRAMDATA\BLUESTACKS\CLIENT\BLUESTACKS.EXE delref %SystemDrive%\PROGRAM FILES (X86)\ASUS\SPLENDID\ACVT.EXE ;------------------------------------------------------------- restart

Код


;uVS v4.11.3 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\PROGRAMDATA\REALTEKHD\TASKHOSTW.EXE
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMJMPFDKMPOJOEEMJMFIDDLHKKNDCDPNO%26INSTALLSOURCE%3DONDEMAND%26UC
apply


deltmp
delref %SystemRoot%\SYSWOW64\TILTWHEELMOUSE.EXE
delref %SystemDrive%\USERS\EVGEN\APPDATA\LOCAL\TEMP\CHROME_BITS_4312_1845273386\AIBKUV7JOLTWO_MRBTI1W_4
delref %SystemDrive%\USERS\EVGEN\APPDATA\LOCAL\TEMP\EDGE_BITS_8732_1588635793\9C839662-0AE0-4A3D-ABF2-EDBA1AF63603
delref %SystemDrive%\WEBSERVERS\DENWER\BOOT.EXE
delref {9F2B0085-9218-42A1-88B0-9F0E65851666}\[CLSID]
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {FE285C8C-5360-41C1-A700-045501C740DE}\[CLSID]
delref {9CDA66BE-3271-4723-8D35-DD834C58AD92}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref {DEF03232-9688-11E2-BE7F-B4B52FD966FF}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\REMPL\SEDLAUNCHER.EXE
delref {D2CBF5F7-5702-440B-8D8F-8203034A6B82}\[CLSID]
delref %SystemDrive%\USERS\EVGEN\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\ONEDRIVESTANDALONEUPDATER.EXE
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemRoot%\SYSWOW64\VID.DLL
delref %SystemRoot%\SYSWOW64\WEVTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
delref %SystemRoot%\SYSWOW64\W32TIME.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DXGMMS2.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\WINNAT.SYS
delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBUSR.SYS
delref %SystemRoot%\SYSWOW64\BTHSERV.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\REFS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL
delref %SystemRoot%\SYSWOW64\LSM.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemRoot%\SYSWOW64\IE4USHOWIE.EXE
delref %SystemRoot%\SYSWOW64\IE4UINIT.EXE
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {23170F69-40C1-278A-1000-000100020000}\[CLSID]
delref {474C98EE-CF3D-41F5-80E3-4AAB0AB04301}\[CLSID]
delref {7EFA68C6-086B-43E1-A2D2-55A113531240}\[CLSID]
delref {B298D29A-A6ED-11DE-BA8C-A68E55D89593}\[CLSID]
delref {748F920F-FB24-4D09-B360-BAF6F199AD6D}\[CLSID]
delref {4A7C4306-57E0-4C0C-83A9-78C1528F618C}\[CLSID]
delref {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref {2D8B3101-E025-480D-917C-835522C7F628}\[CLSID]
delref {A910D941-9DA9-4656-8933-AA1EAE01F76E}\[CLSID]
delref {E8C77137-E224-5791-B6E9-FF0305797A13}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\ROOT\OFFICE16\MSOETWRES.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\ROOT\OFFICE16\WWLIB.DLL
delref %Sys32%\DRIVERS\INTCAUDIOBUS.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\ROOT\VFS\PROGRAMFILESCOMMONX86\MICROSOFT SHARED\OFFICE16\MSO.DLL
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\UNP\UNPCAMPAIGNMANAGER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\ADOBE\OOBE\PDAPP\CCM\UTILITIES\NPADOBEAAMDETECT64.DLL
delref %Sys32%\BLANK.HTM
delref APPMGMT\[SERVICE]
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref SWPRV\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\DRIVERS\SSUDBUS.SYS
delref %Sys32%\DRIVERS\EFAVDRV.SYS
delref IRENUM\[SERVICE]
delref %SystemDrive%\USERS\EVGEN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\3QM2PR3I.DEFAULT\EXTENSIONS\[email protected]
delref %SystemDrive%\USERS\EVGEN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\3QM2PR3I.DEFAULT\EXTENSIONS\[email protected]
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES\FIREFOX NIGHTLY\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES\FIREFOX NIGHTLY\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES\FIREFOX NIGHTLY\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES\FIREFOX NIGHTLY\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES\FIREFOX NIGHTLY\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\GAMES\WARGAMING.NET\GAMECENTER\DLLS\PLUGINHOSTPS.DLL
delref %SystemDrive%\GAMES\WARGAMING.NET\GAMECENTER\DLLS\PLUGINHOST.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE1.8.0_201\BIN\JP2IEXP.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.99\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.93\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.37\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.59\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.65\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE_64.DLL
delref %Sys32%\TETHERINGSETTINGHANDLER.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.71\PSMACHINE_64.DLL
delref %Sys32%\QUICKACTIONSPS.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.49\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.29\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.99\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE
delref %SystemRoot%\SYSWOW64\TAPILUA.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.93\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\LOCATIONFRAMEWORK.DLL
delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.37\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\IGDLH64.INF_AMD64_CEBA516BAEA4BED9\IGFXEXPS32.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\COMPPKGSRV.EXE
delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL
delref %SystemRoot%\SYSWOW64\LISTSVC.DLL
delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NVAMI.INF_AMD64_856EC29E64962CFB\NVENCMFTH264.DLL
delref %SystemRoot%\SYSWOW64\WPCREFRESHTASK.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NVAMI.INF_AMD64_856EC29E64962CFB\NVDECMFTMJPEG.DLL
delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\RMSROAMINGSECURITY.DLL
delref %SystemRoot%\SYSWOW64\SYSTEMSETTINGSBROKER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.59\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.65\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NVAMI.INF_AMD64_856EC29E64962CFB\NVENCMFTHEVC.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\ACROBAT READER DC\ACRORD32INFO.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SAPI_EXTENSIONS.DLL
delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.71\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.49\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL
delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.29\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref %SystemRoot%\SYSWOW64\WIREDNETWORKCSP.DLL
delref E:\AUTORUN.EXE
delref %SystemDrive%\USERS\EVGEN\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\ONEDRIVE.EXE
delref %SystemDrive%\USERS\EVGEN\DESKTOP\ESETONLINESCANNER_RUS.EXE
delref %SystemDrive%\PROGRAM FILES\BLUESTACKS\HD-MULTIINSTANCEMANAGER.EXE
delref %SystemDrive%\PROGRAMDATA\BLUESTACKS\CLIENT\BLUESTACKS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ASUS\SPLENDID\ACVT.EXE
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] TASKHOSTW.EXE, winlogon.exe, майнер и блокировка установки антивирусов, Подхватил майнер

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 25.02.2021 09:40:50

судя по логу ESI имеем запрет на запуск следующих инсталляторов:

Цитата
"Key" = "HKU\S-1-5-21-533093311-1531349430-323674345-1001\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" ( 5: Неизвестно ) ; "1" = "eav_trial_rus.exe" ( 5: Неизвестно ) ; "2" = "avast_free_antivirus_setup_online.exe" ( 5: Неизвестно ) ; "3" = "eis_trial_rus.exe" ( 5: Неизвестно ) ; "4" = "essf_trial_rus.exe" ( 5: Неизвестно ) ; "5" = "hitmanpro_x64.exe" ( 5: Неизвестно ) ; "6" = "ESETOnlineScanner_UKR.exe" ( 5: Неизвестно ) ; "7" = "ESETOnlineScanner_RUS.exe" ( 5: Неизвестно ) ; "8" = "HitmanPro.exe" ( 5: Неизвестно ) ; "9" = "360TS_Setup_Mini.exe" ( 5: Неизвестно ) ; "10" = "Cezurity_Scanner_Pro_Free.exe" ( 5: Неизвестно ) ; "11" = "Cube.exe" ( 5: Неизвестно ) ;

Цитата

"Key" = "HKU\S-1-5-21-533093311-1531349430-323674345-1001\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" ( 5: Неизвестно ) ;
"1" = "eav_trial_rus.exe" ( 5: Неизвестно ) ;
"2" = "avast_free_antivirus_setup_online.exe" ( 5: Неизвестно ) ;
"3" = "eis_trial_rus.exe" ( 5: Неизвестно ) ;
"4" = "essf_trial_rus.exe" ( 5: Неизвестно ) ;
"5" = "hitmanpro_x64.exe" ( 5: Неизвестно ) ;
"6" = "ESETOnlineScanner_UKR.exe" ( 5: Неизвестно ) ;
"7" = "ESETOnlineScanner_RUS.exe" ( 5: Неизвестно ) ;
"8" = "HitmanPro.exe" ( 5: Неизвестно ) ;
"9" = "360TS_Setup_Mini.exe" ( 5: Неизвестно ) ;
"10" = "Cezurity_Scanner_Pro_Free.exe" ( 5: Неизвестно ) ;
"11" = "Cube.exe" ( 5: Неизвестно ) ;

+
задачи с запуском файлов майнера (возможно, сами файлы уже убиты)

Цитата
"Задача" = "c:\windows\system32\tasks\Microsoft\Windows\Wininet\Cleaner" ( 5: Неизвестно ) ; "Командная строка" = "c:\programdata\windowstask\winlogon.exe" ( 5: Неизвестно ) ; "Задача" = "c:\windows\system32\tasks\Microsoft\Windows\Wininet\RealtekHDControl" ( 5: Неизвестно ) ; "Командная строка" = "c:\programdata\realtekhd\taskhost.exe" ( 5: Неизвестно ) ; "Задача" = "c:\windows\system32\tasks\Microsoft\Windows\Wininet\RealtekHDStartUP" ( 5: Неизвестно ) ; "Командная строка" = "c:\programdata\realtekhd\taskhost.exe" ( 5: Неизвестно ) ; "Задача" = "c:\windows\system32\tasks\Microsoft\Windows\Wininet\Taskhost" ( 5: Неизвестно ) ; "Командная строка" = "c:\programdata\realtekhd\taskhostw.exe" ( 5: Неизвестно ) ; "Задача" = "c:\windows\system32\tasks\Microsoft\Windows\Wininet\Taskhostw" ( 5: Неизвестно ) ; "Командная строка" = "c:\programdata\realtekhd\taskhostw.exe" ( 5: Неизвестно ) ;

Цитата

"Задача" = "c:\windows\system32\tasks\Microsoft\Windows\Wininet\Cleaner" ( 5: Неизвестно ) ;
"Командная строка" = "c:\programdata\windowstask\winlogon.exe" ( 5: Неизвестно ) ;

"Задача" = "c:\windows\system32\tasks\Microsoft\Windows\Wininet\RealtekHDControl" ( 5: Неизвестно ) ;
"Командная строка" = "c:\programdata\realtekhd\taskhost.exe" ( 5: Неизвестно ) ;

"Задача" = "c:\windows\system32\tasks\Microsoft\Windows\Wininet\RealtekHDStartUP" ( 5: Неизвестно ) ;
"Командная строка" = "c:\programdata\realtekhd\taskhost.exe" ( 5: Неизвестно ) ;

"Задача" = "c:\windows\system32\tasks\Microsoft\Windows\Wininet\Taskhost" ( 5: Неизвестно ) ;
"Командная строка" = "c:\programdata\realtekhd\taskhostw.exe" ( 5: Неизвестно ) ;

"Задача" = "c:\windows\system32\tasks\Microsoft\Windows\Wininet\Taskhostw" ( 5: Неизвестно ) ;
"Командная строка" = "c:\programdata\realtekhd\taskhostw.exe" ( 5: Неизвестно ) ;

добавьте еще образ автозапуска
+
добавьте логи FRST
http://forum.esetnod32.ru/forum9/topic2798/

[ Как создать образ автозапуска? ]

Перейти

Автоматическая офлайн активация и импорт настроек после установки.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 24.02.2021 14:09:48

как вариант, через консоль управления

[ Как создать образ автозапуска? ]

Перейти

Автоматическая офлайн активация и импорт настроек после установки.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 24.02.2021 10:44:06

можно собрать все ваши пожелания в одном установочном пакете.
пакет антивируса, лицензию, настройки конфигурации

[ Как создать образ автозапуска? ]

Перейти

Clop: цель - руководители, новая тактика программ-ransomware

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 24.02.2021 06:51:38

Операторы программ-вымогателей придумали еще один хитрый поворот в недавней тенденции к краже данных. После опроса нескольких жертв программы-вымогателя Clop, издание ZDNet обнаружил, что ее операторы систематически атакуют рабочие станции руководителей.

Если эта тактика сработает, а возможно, и другие семейства программ-вымогателей последуют ее примеру, точно так же, как они копировали другие успешные тактики в прошлом.

Что такое программа-вымогатель Clop?

Clop был впервые замечен в феврале 2019 года как новый вариант в семействе Cryptomix, но с тех пор он пошел по собственному пути развития. В октябре 2020 года он стал первым вымогателем, потребовавшим выкуп в размере более 20 миллионов долларов. Жертва, немецкая технологическая фирма Software AG, отказалась платить. В ответ операторы Clop опубликовали конфиденциальную информацию, собранную ими во время атаки, на Dark Web-е.

Тактика подражания

Нацеленность Клопа на руководителей - лишь последнее в списке нововведений, свидетелями которых мы стали за последние пару лет.

Давайте кратко рассмотрим некоторые из этих инноваций, от технических приемов до продвинутой социальной инженерии.

Целевые атаки

Большинство успешных семейств программ-вымогателей перешли к целевым атакам. Вместо того, чтобы пытаться зашифровать множество отдельных компьютеров с помощью вредоносных почтовых кампаний, злоумышленники вручную взламывают корпоративные сети и пытаются нанести ущерб целым организациям.

Злоумышленник обычно получает доступ к сети жертвы, используя известные уязвимости или пытаясь подобрать пароль на открытом порте RDP. Как только они получат доступ, они, вероятно, попытаются повысить свои привилегии, исследовать сеть, удалить резервные копии и распространить свои программы-вымогатели на как можно большем количестве машин.

Кража данных

Одним из последних дополнений к арсеналу программ-вымогателей является кража данных. В процессе проникновения в сеть жертвы и шифрования ее компьютеров некоторые банды вымогателей также извлекают данные с зараженных ими машин. Затем они угрожают опубликовать данные на веб-сайте или продать их с аукциона. Это дает злоумышленникам дополнительные рычаги воздействия на жертв, которые не платят или не должны платить за расшифровку своих данных.

Этот дополнительный поворот был введен Ransom.Maze, но также используется Egregor и Ransom.Clop, как мы упоминали выше.

Скрытие внутри виртуальных машин

Я предупреждал вас о технических новинках. Этот выделяется среди них. Как упоминалось в нашем отчете о состоянии вредоносного ПО за 2021 год, банда вымогателей RagnarLocker нашла новый способ шифрования файлов на конечной точке, избегая при этом защиты от программ-вымогателей.

Операторы программы-вымогателя загружают образ виртуальной машины (ВМ), загружают его в автоматическом режиме, а затем запускают внутри него программу-вымогатель, где программа защиты конечных точек не может его увидеть. Программа-вымогатель получает доступ к файлам в хост-системе через «общие папки» гостевой машины.

Шифрование виртуальных жестких дисков

В отчете о состоянии вредоносного ПО за 2021 год также упоминается программа-вымогатель RegretLocker, которая нашла способ обойти шифрование виртуальных жестких дисков (VHD). Эти файлы представляют собой огромные архивы, в которых хранится жесткий диск виртуальной машины. Если злоумышленник захочет зашифровать VHD, он перенесет мучительно медленный процесс (и каждая секунда на счету, когда вы пытаетесь не попасться) из-за размера этих файлов.

RegretLocker использует уловку для «монтирования» виртуальных жестких дисков, чтобы они были так же легко доступны, как и физический жесткий диск. Как только это будет сделано, программа-вымогатель сможет получить доступ к файлам внутри VHD и зашифровать их по отдельности, украсть или удалить. Это более быстрый метод шифрования, чем попытка нацеливания на весь файл VHD.

Нарушение безопасности и обнаружения

Программы-вымогатели также улучшают способность избегать обнаружения и отключать существующее программное обеспечение безопасности. Например, программа-вымогатель Clop останавливает 663 процесса Windows (что является огромным количеством) и пытается отключить или удалить несколько программ безопасности, прежде чем запустить процедуру шифрования.

Остановка этих процессов освобождает некоторые файлы, которые иначе нельзя было бы зашифровать, потому что они были бы заблокированы. Это также снижает вероятность срабатывания предупреждения и может препятствовать созданию новых резервных копий.

Что дальше?

Еще неизвестно, будет ли новая тактика Clop скопирована другими семействами программ-вымогателей или как она может развиваться.

Было высказано предположение, что тактика угроз утечки эксфильтрованных данных снизила ожидания некоторых жертв о том, что выплата выкупа положит конец их неприятностям. Конкретный таргетинг на данные руководителей может быть способом исправить это за счет усиления давления на жертв.

Clop или его подражатель может также попытаться использовать информацию, найденную на машинах менеджеров, для распространения в другие организации. Рассмотрим, например, метод, известный как захват цепочки электронных писем, который использует существующие электронные письма (и, следовательно, доверительные отношения) для распространения среди новых жертв. Или информация может быть продана злоумышленникам, специализирующимся на взломе деловой электронной почты (BEC).

Для заинтересованных, IOC и другие технические подробности о Clop можно найти в профиле обнаруженияRansom.Clop.

https://blog.malwarebytes.com/malwarebytes-news/2021/02/clop-targets-execs-ransomware-tactics-get-another-new-twist/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Как создать лог программы AdwCleaner

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.02.2021 06:01:03

Adwcleaner обновился до версии 8.1

[ Как создать образ автозапуска? ]

Перейти