выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
027 ювс http://rgho.st/6mTLRZZHB
проблема - у клиента что-то (или кто-то) жутко качает трафик - в день по 600-700 метров.
модем ростелекомовский - сбрасывали настройки и настраивали с чистого листа / пароль меняли / вайфай и впс вообще не включены на модеме - все вышеперечисленное не помогло
к модему подключены только комп и касса
особое внимание прошу обратить на программу teamviewer - явно не официальная версия http://rgho.st/7nWqYY9JQ
Teamviewer ломанный, судя по образу, цифровая подпись нарушена. так же замечен RDP плагин для браузеров, видимо позволяет из браузера подключение по RDP к удаленным хостам. Пр трафику, видимо какой-то мониторинг надо ставить, чтобы увидеть, какие приложения активно потребляют трафик.
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Привет, Женя.
какой шифровальщик? Не Spora, случаем? какое расширение у зашифрованных файлов? и нужен таки образ автозапуска системы для проверки и очистки системы, чтобы не осталось активных файлов шифратора.
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
это очень срочно - сервак
028 ювс http://rgho.st/7dKSBYCyJ
раз в 10 минут запускается процесс msiexev.exe - намертво вешает процессор
на связи по рдп с серваком удается остаться только при условии что успеваешь убить этот процесс в диспетчере
АВИРА в логах пишет что
1. Virus or unwanted program 'TR/BitCoinMiner.fxkau [trojan]'
detected in file 'C:\programdata\666.exe.
Action performed: Deny access
2. Virus or unwanted program 'TR/Crypt.XPACK.Gen [trojan]'
detected in file 'C:\Windows\Loginsa.exe.
Action performed: Deny access
ок, сейчас гляну образ.
1. желательно переделать образ актуальной версией uVS
3.87 уже устарела.
uVS v3.87 [http://dsrt.dyndns.org]: Windows Server 2008 R2 Enterprise x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS]
2. политика безопасности обнаружена
Active IPSec Policy [Local]: SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{7cb6df29-736a-49b2-a684-dcac3389c3b8}
возможно, троян добавил эту политику
3. (!) Обнаружен запрет на запуск Редактора реестра (как минимум для одного из пользователей)
4. по подозрительному файлу:
C:\WINDOWS\SECURITY\MSIEXEV.EXE
Имя: msiexev.exe
Дата: 2017-04-26 [2017-04-24 02:49:04 UTC (2 дней, 23 часов назад)]
Win64:Trojan-gen [Avast]
HW64.packed.78B8 [Bkav]
malicious (moderate confidence) [Endgame]
trojan.win32.dorv.a!rfn [Invincea]
Malware.Undefined!8.C (cloud:KxVkWvye08U) [Rising]
Suspicious_GEN.F47V0424 [TrendMicro-HouseCall]
<i data-toggle="tooltip" title="Antivirus engine does not scan this file type" class="icon-eye-close" alt="type-unsupported"></i> [Alibaba]
<i data-toggle="tooltip" title="Antivirus engine does not scan this file type" class="icon-eye-close" alt="type-unsupported"></i> [Symantec Mobile Insight]
<i data-toggle="tooltip" title="Antivirus engine does not scan this file type" class="icon-eye-close" alt="type-unsupported"></i> [Trustlook]
<i data-toggle="tooltip" title="Antivirus engine does not scan this file type" class="icon-eye-close" alt="type-unsupported"></i> [WhiteArmor]
Детектов: 10 из 65
============== нужен новый образ автозапуска сделанный актуальной версией, ей же потом и выполнять скрипт.
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
вот еще из лога:
(!) Отсутствует известный файл, рекомендуется восстановить файл: C:\WINDOWS\SYSTEM32\DAVCLNT.DLL
можно запустить командной строку с правами администратора.
и выполнить команду:
sfc /scannow
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
по последнему образу все ок.
за исключением сообщения в логе:
(!) Отсутствует известный файл, рекомендуется восстановить файл: C:\WINDOWS\SYSTEM32\DAVCLNT.DLL
если ошибок в работе сервера нет, то можно в качестве прфилактики в удобное время выполнить проверку целостности системы:
sfc /scannow
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
вчера в 16-37 опять на серваке авира сработала
Virus or unwanted program 'TR/Black.Gen2 [trojan]'
detected in file 'C:\3165616.exe.
Action performed: Deny access
Если есть такая возможность - надо установить все критические обновления безопасности для системы.
+
можно проверить, не добавилась ли опять политика безопасности IPSec
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Комментарии
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
;uVS v3.87.8 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v388c OFFSGNSAVE zoo %SystemDrive%\USERS\ДЕНИС\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE addsgn 1AA78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian ;------------------------autoscript--------------------------- chklst delvir delref HTTP://SEARCH.CONDUIT.COM/RESULTS.ASPX?CTID=CT3320691&OCTID=EB_ORIGINAL_CTID&SEARCHSOURCE=58&CUI=&UM=4&UP=SPAE4413B4-BF81-4C8B-A10E-1069C25B5E5A&Q={SEARCHTERMS}&SSPV=T21020A_SP_IE delref %SystemDrive%\PROGRAM FILES (X86)\LIVESUPPORT\LIVESUPPORT.EXE regt 27 deltmp delnfr ;------------------------------------------------------------- restartперезагрузка, пишем о старых и новых проблемах.далее,
выполните сканирование (угроз) в Malwarebytes
проблема - у клиента что-то (или кто-то) жутко качает трафик - в день по 600-700 метров.
модем ростелекомовский - сбрасывали настройки и настраивали с чистого листа / пароль меняли / вайфай и впс вообще не включены на модеме - все вышеперечисленное не помогло
к модему подключены только комп и касса
особое внимание прошу обратить на программу teamviewer - явно не официальная версия http://rgho.st/7nWqYY9JQ
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" перезагрузка, пишем о старых и новых проблемах.
далее,
выполните сканирование (угроз) в Malwarebytes
какой шифровальщик? Не Spora, случаем? какое расширение у зашифрованных файлов? и нужен таки образ автозапуска системы для проверки и очистки системы, чтобы не осталось активных файлов шифратора.
028 ювс http://rgho.st/7dKSBYCyJ
раз в 10 минут запускается процесс msiexev.exe - намертво вешает процессор
на связи по рдп с серваком удается остаться только при условии что успеваешь убить этот процесс в диспетчере
АВИРА в логах пишет что
1. Virus or unwanted program 'TR/BitCoinMiner.fxkau [trojan]'
detected in file 'C:\programdata\666.exe.
Action performed: Deny access
2. Virus or unwanted program 'TR/Crypt.XPACK.Gen [trojan]'
detected in file 'C:\Windows\Loginsa.exe.
Action performed: Deny access
msiexev.exe находится в папке C:\Windows\security
1. желательно переделать образ актуальной версией uVS
3.87 уже устарела.
uVS v3.87 [http://dsrt.dyndns.org]: Windows Server 2008 R2 Enterprise x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS]
2. политика безопасности обнаружена
Active IPSec Policy [Local]: SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{7cb6df29-736a-49b2-a684-dcac3389c3b8}
возможно, троян добавил эту политику
3. (!) Обнаружен запрет на запуск Редактора реестра (как минимум для одного из пользователей)
4. по подозрительному файлу:
==============
нужен новый образ автозапуска сделанный актуальной версией, ей же потом и выполнять скрипт.
скачать можно отсюда:
http://chklst.ru/data/uVS latest/uvs_latest.zip
C:\WINDOWS\SECURITY\MSIEXEV.EXE
пока он не запустился, а затем сделать новый образ автозапуска.
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
;uVS v4.0b13 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE ;------------------------autoscript--------------------------- apply regt 2 regt 26 regt 25 deltmp delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\9C5283FF54BD12E4D0F16B4C9D22DB1B\WINDOWS6.1-KB3080446-X64-EXPRESS.CAB delref %SystemRoot%\SYSWOW64\TBSSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS delref %SystemRoot%\SYSWOW64\UMPO.DLL delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS delref %SystemRoot%\SYSWOW64\LSM.EXE delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {6BF52A52-394A-11D3-B153-00C04F79FAA6}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID] delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID] delref %SystemRoot%\SYSWOW64\WIN32K.SYS delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID] delref %SystemRoot%\SYSWOW64\BLANK.HTM delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref %Sys32%\BLANK.HTM delref E:\AUTORUN.EXE delref {0D012ABD-CEED-11D2-9C76-00105AA73033}\[CLSID] delref {56A58823-AE99-11D5-B90B-0050DACD1F75}\[CLSID] delref {E01D1C6A-4F40-11D3-8958-00105A272DCF}\[CLSID] delref HELPSVC\[SERVICE] delref MBAMSERVICE\[SERVICE] delref TABLETINPUTSERVICE\[SERVICE] delref VMMS\[SERVICE] delref MESSENGER\[SERVICE] delref NATIVEWIFIP\[SERVICE] delref RDSESSMGR\[SERVICE] delref WLANSVC\[SERVICE] delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\ASPNET_STATE.EXE delref %Sys32%\PSXSS.EXE delref IRENUM\[SERVICE] delref %SystemDrive%\PROGRAM FILES (X86)\DROPBOX\UPDATE\1.3.57.1\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\DROPBOX\UPDATE\1.3.51.1\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\DROPBOX\UPDATE\1.3.39.1\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\PLASRV.EXE delref %SystemDrive%\PROGRAM FILES (X86)\DROPBOX\CLIENT\DROPBOX.EXE ;------------------------------------------------------------- restartперезагрузка, пишем о старых и новых проблемах.далее,
выполните сканирование (угроз) в Malwarebytes
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
;uVS v4.0b13 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE ;------------------------autoscript--------------------------- delref %SystemRoot%\PREFETCH\WUAUSER.EXE del %SystemRoot%\PREFETCH\WUAUSER.EXE apply regt 2 REGT 26 REGT 25 deltmp delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\9C5283FF54BD12E4D0F16B4C9D22DB1B\WINDOWS6.1-KB3080446-X64-EXPRESS.CAB delref %SystemRoot%\SYSWOW64\TBSSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS delref %SystemRoot%\SYSWOW64\UMPO.DLL delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS delref %SystemRoot%\SYSWOW64\LSM.EXE delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {6BF52A52-394A-11D3-B153-00C04F79FAA6}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID] delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID] delref %SystemRoot%\SYSWOW64\WIN32K.SYS delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID] delref %SystemRoot%\SYSWOW64\BLANK.HTM delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref %Sys32%\BLANK.HTM delref E:\AUTORUN.EXE delref {0D012ABD-CEED-11D2-9C76-00105AA73033}\[CLSID] delref {56A58823-AE99-11D5-B90B-0050DACD1F75}\[CLSID] delref {E01D1C6A-4F40-11D3-8958-00105A272DCF}\[CLSID] delref HELPSVC\[SERVICE] delref MBAMSERVICE\[SERVICE] delref TABLETINPUTSERVICE\[SERVICE] delref VMMS\[SERVICE] delref MESSENGER\[SERVICE] delref NATIVEWIFIP\[SERVICE] delref RDSESSMGR\[SERVICE] delref WLANSVC\[SERVICE] delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\ASPNET_STATE.EXE delref %Sys32%\PSXSS.EXE delref IRENUM\[SERVICE] delref %SystemDrive%\PROGRAM FILES (X86)\DROPBOX\UPDATE\1.3.57.1\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\DROPBOX\UPDATE\1.3.51.1\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\DROPBOX\UPDATE\1.3.39.1\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\PLASRV.EXE delref %SystemDrive%\PROGRAM FILES (X86)\DROPBOX\CLIENT\DROPBOX.EXE ;------------------------------------------------------------- restartперезагрузка, пишем о старых и новых проблемах.- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
;uVS v4.0b13 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE bl B60F2EFACB26A2462B3D6E826F281AC4 1233408 bp C:\WINDOWS\SECURITY\MSIEXEV.EXE ;------------------------autoscript--------------------------- zoo %SystemRoot%\SECURITY\MSIEXEV.EXE addsgn 1BD3F165AAB2ED4166AF612121E5EB69D250EC7542C8E589BEA3A9229F3852FB1DB295B2A6B04A543A8E1ECA19C54E39484C76F808E288371A9BA40C9CA69B53 8 msi 7 chklst delvir apply deltmp delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\9C5283FF54BD12E4D0F16B4C9D22DB1B\WINDOWS6.1-KB3080446-X64-EXPRESS.CAB delref %SystemRoot%\SYSWOW64\BLANK.HTM delref {2670000A-7350-4F3C-8081-5663EE0C6C49}\[CLSID] delref {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA}\[CLSID] delref %Sys32%\BLANK.HTM delref %Sys32%\PSXSS.EXE ;------------------------------------------------------------- restartперезагрузка, пишем о старых и новых проблемах.далее,
выполните сканирование (угроз) в Malwarebytes
(!) Отсутствует известный файл, рекомендуется восстановить файл: C:\WINDOWS\SYSTEM32\DAVCLNT.DLL
можно запустить командной строку с правами администратора.
и выполнить команду:
за исключением сообщения в логе:
(!) Отсутствует известный файл, рекомендуется восстановить файл: C:\WINDOWS\SYSTEM32\DAVCLNT.DLL
если ошибок в работе сервера нет, то можно в качестве прфилактики в удобное время выполнить проверку целостности системы:
http://rgho.st/7kQLXFsWs
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
;uVS v4.0b13 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE deltmp ;---------command-block--------- delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID] delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID] delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID] delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID] delref %SystemRoot%\SYSWOW64\TBSSVC.DLL delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS delref %SystemRoot%\SYSWOW64\UMPO.DLL delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL delref %SystemRoot%\SYSWOW64\CSCSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\RDVGKMD.SYS delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS delref %SystemRoot%\SYSWOW64\LSM.EXE delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID] delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID] delref %SystemRoot%\SYSWOW64\WIN32K.SYS delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID] delref %SystemRoot%\SYSWOW64\BLANK.HTM delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref %Sys32%\BLANK.HTM delref %Sys32%\DRIVERS\RDVGKMD.SYS delref {0D012ABD-CEED-11D2-9C76-00105AA73033}\[CLSID] delref {56A58823-AE99-11D5-B90B-0050DACD1F75}\[CLSID] delref {E01D1C6A-4F40-11D3-8958-00105A272DCF}\[CLSID] delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL delref HELPSVC\[SERVICE] delref SACSVR\[SERVICE] delref VMMS\[SERVICE] delref MESSENGER\[SERVICE] delref RDSESSMGR\[SERVICE] delref %SystemDrive%\USERS\USER03\APPDATA\LOCAL\TEMP\RARSFX0\MPR_FREADER.SYS delref %Sys32%\PSXSS.EXE delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE_64.DLL delref %Sys32%\IGFXCFG.EXE delref %Sys32%\SHAREMEDIACPL.CPL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL delref %SystemDrive%\USERS\USER03\APPDATA\LOCAL\TEMP\RARSFX0\MPR.EXE delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL apply restartперезагрузка, пишем о старых и новых проблемах.выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" перезагрузка, пишем о старых и новых проблемах.
Virus or unwanted program 'TR/Black.Gen2 [trojan]'
detected in file 'C:\3165616.exe.
Action performed: Deny access
+
можно проверить, не добавилась ли опять политика безопасности IPSec
лог ювс собрать?