ЕВГЕНИЙ: Плановая проверка

ukh255

http://rgho.st/7J7bHnYYQ

safety

политики IPSec нет, но есть групповые политики, скорее всего добавленные админами.

GroupPolicy: Restriction <======= ATTENTION
GroupPolicyUsers\S-1-5-32-545\User: Restriction <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
GroupPolicyScripts\User: Restriction <======= ATTENTION
GroupPolicyUsers\S-1-5-32-545\User\Scripts: Restriction <======= ATTENTION

+
вопрос:
эта учетка была с правами администратора?
A_Dmitriev (S-1-5-21-3830479037-1715736442-2857665421-1003 - Administrator - Enabled) => C:\Users\A_Dmitriev

ukh255

да эта учетка с правами администратора

safety

+добавь по ссылке, если на сервере сохранились логи сканирования Cureit (поместить в архив), возможно в подобных случаях используется сокрытие вредоносных программ с функцией руткита.

ukh255

последний раз куреит ничего не показал вообще
вчера получается сработала авира и все
KVRT н чего не нашел сегодня
сегодня еще мбамом прогонял

Malwarebytes

www.malwarebytes.com

-Данные журнала-

Дата проверки: 11.05.17

Время проверки: 9:47

Файл журнала: мбам.txt

Администратор: Да

-Информация о ПО-

Версия: 3.1.2.1733

Версия компонентов: 1.0.122

Версия пакета обновления: 1.0.1913

Лицензия: Бесплатная версия

-Информация о системе-

ОС: Windows Server 2008 R2 Service Pack 1

Процессор: x64

Файловая система: NTFS

Пользователь: System

-Отчет о проверке-

Тип проверки: Полная проверка

Результат: Завершено

Проверено объектов: 636098

Обнаружено угроз: 8

Помещено в карантин: 0

(Вредоносные программы не обнаружены)

Затраченное время: 3 мин, 2 с

-Настройки проверки-

Память: Включено

Автозагрузка: Включено

Файловая система: Включено

Архивы: Включено

Руткиты: Выключено

Эвристика: Включено

PUP: Включено

PUM: Включено

-Данные проверки-

Процесс: 1

RiskWare.Tool.CK, C:\WINDOWS\KMSERVICE.EXE, Проигнорировано пользователем, [269], [133383],1.0.1913

Модуль: 1

RiskWare.Tool.CK, C:\WINDOWS\KMSERVICE.EXE, Проигнорировано пользователем, [269], [133383],1.0.1913

Раздел реестра: 0

(Вредоносные программы не обнаружены)

Значение реестра: 1

PUM.Optional.DisallowRun, HKU\S-1-5-21-3830479037-1715736442-2857665421-1005\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER\DISALLOWRUN|1, Проигнорировано пользователем, [15225], [250852],1.0.1913

Данные реестра: 4

PUM.Optional.NoDispCPL, HKU\S-1-5-21-3830479037-1715736442-2857665421-1005\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NODISPCPL, Проигнорировано пользователем, [16394], [293337],1.0.1913

PUM.Optional.NoDispScrSavPage, HKU\S-1-5-21-3830479037-1715736442-2857665421-1005\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NODISPSCRSAVPAGE, Проигнорировано пользователем, [16395], [293338],1.0.1913

PUM.Optional.DisableMCProperties, HKU\S-1-5-21-3830479037-1715736442-2857665421-1005\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER|NOPROPERTIESMYCOMPUTER, Проигнорировано пользователем, [16375], [293306],1.0.1913

PUM.Optional.DisableCMDPrompt, HKU\S-1-5-21-3830479037-1715736442-2857665421-1005\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\SYSTEM|DISABLECMD, Проигнорировано пользователем, [16374], [293305],1.0.1913

Поток данных: 0

(Вредоносные программы не обнаружены)

Папка: 0

(Вредоносные программы не обнаружены)

Файл: 1

RiskWare.Tool.CK, C:\WINDOWS\KMSERVICE.EXE, Проигнорировано пользователем, [269], [133383],1.0.1913

Физический сектор: 0

(Вредоносные программы не обнаружены)

(end)

safety

да, судя по логу мбам - все ок.

safety

+
сделайте таки логи в autoruns
https://technet.microsoft.com/ru-ru/sysinternals/bb963902.aspx

ukh255

давай глянем на всякий случай еще вот эту рабочую станцию
http://rgho.st/6PQGjS4LW

safety

сделай по этой машине еще лог авторанс.
https://technet.microsoft.com/ru-ru/sysinternals/bb963902.aspx

ukh255

с рабочей станции http://rgho.st/7XQR7ZN7C
с сервера http://rgho.st/7jTB2W9JD

safety

судя по логам autoruns секции WMI не содержат угроз на обоих машинах.

(могло быть такое - вторая запись)

ukh255

срочно в скайп нужна помощь

ukh255

http://rgho.st/8LwsK4RlK

safety

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

;uVS v4.0.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

zoo %SystemDrive%\PROGRAMDATA\MHLNIUXMEKA934\TASKSCHE.EXE
addsgn A7679BF0AA02C4A64BD4C64512881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95C3EFC9FE82BD6D7FCD56D775BACCA56DB33 8 BACKDOOR.Trojan [DrWeb] 7

zoo %SystemRoot%\MSSECSVC.EXE
addsgn A7679BF0AA02ECD34BD4C613FF881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95C3ADD9FE82BD6D724D45D775BACCA9EDA03 8 BACKDOOR.Trojan [DrWeb] 7

chklst
delvir

apply

regt 2
deltmp
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\9C5283FF54BD12E4D0F16B4C9D22DB1B\WINDOWS6.1-KB3080446-X64-EXPRESS.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\1D97849A5F6CAAF472BE9A8D79082D9B\9620831615FF14165BBB260D1BF6822812016368
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\B8CB704057E0C55131152D25BBFBB045\WINDOWS6.1-KB4014565-X64.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\48EAC8DFB158993B3660E1EBC9713A13\CA3421CB93D78C14A94694692F63155C8639BEFC
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\320391C70A674F8DB071FF7C014171DB\02412EBE5AFE36C6905B517464A12C6407FB82C6
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\CE3398EB650CA7964D101DFF11992769\84F5F8244E32350F2B211F5C6E03E94154ABEAFC
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\FC804B6F6B060DF9BCB030D3CB0946F3\96194289302F7934EB49AFA7E65395FBF419B98F
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\E38F0F6BBF16AD023464A14DF9C12926\60C6AD5C10B0BE4E47A36B1E9E7F0EF807B1DDA8
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\A26252709E9705F490CE8DC029ED4D54\9FB5A71E0C40BFE3B60BFD9C52ACB3313B614905
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\2085AA96E1ED6249BC79454A15758AC6\1DC82BD81DE2F08BDC513DBB2F6D58C9A4E7306A
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\9B760AE44A604A5C71C0218B7265B705\CE9404C07CE17AF1C951A3EDB555D232F8CE41F4
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\F627BC30BADBD3DF2FA4B6D7B57E3D6A\9A730A45CF46569E724367869B879E38B53B2C87
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\E2D8724547B279DF5AF32EDF026BC5CA\A87644ACB5D52F143A22EB01461ECA0F34996073
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\2658053CE8688177E241E7EC0E0AA2A6\DDEC9DDC256FFA7D97831AF148F6CC45130C6857
;delref %SystemDrive%\AQUALIFE\SCRIPT\AQUALIFE.BAT
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref %Sys32%\BLANK.HTM
delref %Sys32%\PSXSS.EXE
CZOO
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
архив (например: ZOO_гггг-мм-дд_чч-мм-сс.rar/7z) из папки uVS отправить в почту [email protected]

---

ukh255

http://rgho.st/7Cfn5H4tg

safety

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

;uVS v4.0.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

zoo %SystemDrive%\USERS\K_EVGENIY\DESKTOP\@[email protected]
addsgn A7679BF0AA02E4C84AD4C6E154891261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CDE289EE82BD6D7280E6F775BACCA9A0031 8 WannaDecrypt 7

zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\DESKTOP\@[email protected]
zoo %SystemDrive%\USERS\A_DMITRIEV\DESKTOP\@[email protected]
zoo %SystemDrive%\USERS\USER2201\DESKTOP\@[email protected]
zoo %SystemDrive%\USERS\USER2202\DESKTOP\@[email protected]
zoo %SystemDrive%\USERS\USER2203\DESKTOP\@[email protected]
zoo %SystemDrive%\USERS\USER2204\DESKTOP\@[email protected]
zoo %SystemDrive%\USERS\USER2205\DESKTOP\@[email protected]
zoo %SystemDrive%\USERS\USER2206\DESKTOP\@[email protected]
zoo %SystemDrive%\USERS\USER2209\DESKTOP\@[email protected]
zoo %SystemDrive%\USERS\USER3201\DESKTOP\@[email protected]
zoo %SystemDrive%\USERS\USER3203\DESKTOP\@[email protected]
zoo %SystemDrive%\USERS\USER3204\DESKTOP\@[email protected]
zoo %SystemDrive%\USERS\USER3205\DESKTOP\@[email protected]
zoo %SystemDrive%\USERS\USER3202\DESKTOP\@[email protected]
zoo %SystemDrive%\USERS\DEFAULT\DESKTOP\@[email protected]
zoo %SystemDrive%\USERS\PUBLIC\DESKTOP\@[email protected]
chklst
delvir

apply

deltmp
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\9C5283FF54BD12E4D0F16B4C9D22DB1B\WINDOWS6.1-KB3080446-X64-EXPRESS.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\1D97849A5F6CAAF472BE9A8D79082D9B\9620831615FF14165BBB260D1BF6822812016368
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\B8CB704057E0C55131152D25BBFBB045\WINDOWS6.1-KB4014565-X64.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\48EAC8DFB158993B3660E1EBC9713A13\CA3421CB93D78C14A94694692F63155C8639BEFC
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\320391C70A674F8DB071FF7C014171DB\02412EBE5AFE36C6905B517464A12C6407FB82C6
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\CE3398EB650CA7964D101DFF11992769\84F5F8244E32350F2B211F5C6E03E94154ABEAFC
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\FC804B6F6B060DF9BCB030D3CB0946F3\96194289302F7934EB49AFA7E65395FBF419B98F
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\E38F0F6BBF16AD023464A14DF9C12926\60C6AD5C10B0BE4E47A36B1E9E7F0EF807B1DDA8
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\A26252709E9705F490CE8DC029ED4D54\9FB5A71E0C40BFE3B60BFD9C52ACB3313B614905
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\2085AA96E1ED6249BC79454A15758AC6\1DC82BD81DE2F08BDC513DBB2F6D58C9A4E7306A
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\9B760AE44A604A5C71C0218B7265B705\CE9404C07CE17AF1C951A3EDB555D232F8CE41F4
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\F627BC30BADBD3DF2FA4B6D7B57E3D6A\9A730A45CF46569E724367869B879E38B53B2C87
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\E2D8724547B279DF5AF32EDF026BC5CA\A87644ACB5D52F143A22EB01461ECA0F34996073
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\2658053CE8688177E241E7EC0E0AA2A6\DDEC9DDC256FFA7D97831AF148F6CC45130C6857
delref %SystemDrive%\AQUALIFE\SCRIPT\AQUALIFE.BAT
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref %Sys32%\BLANK.HTM
delref %Sys32%\PSXSS.EXE
CZOO
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
архив (например: ZOO_гггг-мм-дд_чч-мм-сс.rar/7z) из папки uVS отправить в почту [email protected]

---

+
новый образ автозапуска добавить.

ukh255

http://rgho.st/8DlPVxt9s

safety

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

;uVS v4.0.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

sreg

unload %SystemRoot%\MSSECSVC.EXE
unload %SystemDrive%\PROGRAMDATA\MHLNIUXMEKA934\TASKSCHE.EXE
unload %SystemDrive%\PROGRAMDATA\MHLNIUXMEKA934\@[email protected]
zoo %SystemDrive%\PROGRAMDATA\MHLNIUXMEKA934\TASKSCHE.EXE
addsgn A7679BF0AA02C4A64BD4C64512881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95C3EFC9FE82BD6D7FCD56D775BACCA56DB33 8 BACKDOOR.Trojan [DrWeb] 7

zoo %SystemRoot%\MSSECSVC.EXE
addsgn A7679BF0AA02ECD34BD4C613FF881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95C3ADD9FE82BD6D724D45D775BACCA9EDA03 8 BACKDOOR.Trojan [DrWeb] 7

zoo %SystemDrive%\PROGRAMDATA\MHLNIUXMEKA934\@[email protected]
addsgn A7679BF0AA02E4C84AD4C6E154891261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CDE289EE82BD6D7280E6F775BACCA9A0031 8 WannaDecrypt 7

zoo %SystemDrive%\USERS\K_EVGENIY\DESKTOP\@[email protected]
zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\DESKTOP\@[email protected]
zoo %SystemDrive%\USERS\A_DMITRIEV\DESKTOP\@[email protected]
zoo %SystemDrive%\USERS\USER2201\DESKTOP\@[email protected]
zoo %SystemDrive%\USERS\USER2202\DESKTOP\@[email protected]
zoo %SystemDrive%\USERS\USER2203\DESKTOP\@[email protected]
zoo %SystemDrive%\USERS\USER2204\DESKTOP\@[email protected]
zoo %SystemDrive%\USERS\USER2205\DESKTOP\@[email protected]
zoo %SystemDrive%\USERS\USER2206\DESKTOP\@[email protected]
zoo %SystemDrive%\USERS\USER2209\DESKTOP\@[email protected]
zoo %SystemDrive%\USERS\USER3201\DESKTOP\@[email protected]
zoo %SystemDrive%\USERS\USER3203\DESKTOP\@[email protected]
zoo %SystemDrive%\USERS\USER3204\DESKTOP\@[email protected]
zoo %SystemDrive%\USERS\USER3205\DESKTOP\@[email protected]
zoo %SystemDrive%\USERS\USER3202\DESKTOP\@[email protected]
zoo %SystemDrive%\USERS\DEFAULT\DESKTOP\@[email protected]
zoo %SystemDrive%\USERS\PUBLIC\DESKTOP\@[email protected]
chklst
delvir

apply

deltmp
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\9C5283FF54BD12E4D0F16B4C9D22DB1B\WINDOWS6.1-KB3080446-X64-EXPRESS.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\1D97849A5F6CAAF472BE9A8D79082D9B\9620831615FF14165BBB260D1BF6822812016368
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\B8CB704057E0C55131152D25BBFBB045\WINDOWS6.1-KB4014565-X64.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\48EAC8DFB158993B3660E1EBC9713A13\CA3421CB93D78C14A94694692F63155C8639BEFC
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\320391C70A674F8DB071FF7C014171DB\02412EBE5AFE36C6905B517464A12C6407FB82C6
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\CE3398EB650CA7964D101DFF11992769\84F5F8244E32350F2B211F5C6E03E94154ABEAFC
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\FC804B6F6B060DF9BCB030D3CB0946F3\96194289302F7934EB49AFA7E65395FBF419B98F
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\E38F0F6BBF16AD023464A14DF9C12926\60C6AD5C10B0BE4E47A36B1E9E7F0EF807B1DDA8
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\A26252709E9705F490CE8DC029ED4D54\9FB5A71E0C40BFE3B60BFD9C52ACB3313B614905
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\2085AA96E1ED6249BC79454A15758AC6\1DC82BD81DE2F08BDC513DBB2F6D58C9A4E7306A
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\9B760AE44A604A5C71C0218B7265B705\CE9404C07CE17AF1C951A3EDB555D232F8CE41F4
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\F627BC30BADBD3DF2FA4B6D7B57E3D6A\9A730A45CF46569E724367869B879E38B53B2C87
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\E2D8724547B279DF5AF32EDF026BC5CA\A87644ACB5D52F143A22EB01461ECA0F34996073
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\2658053CE8688177E241E7EC0E0AA2A6\DDEC9DDC256FFA7D97831AF148F6CC45130C6857
delref %SystemDrive%\USERS\K_EVGE~1\APPDATA\LOCAL\TEMP\{F5EC364F-5FD9-411F-8CCC-5D554FA79EEC}-58.0.3029.110_CHROME_INSTALLER.EXE
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref %Sys32%\BLANK.HTM
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL
areg

;-------------------------------------------------------------

перезагрузка, пишем о старых и новых проблемах.

---

ukh255

http://rgho.st/7ZkmBkgqB

safety

файл wannaDecryptor и бэкдоры исчезли.
+
добавь
еще лог в autorums

ukh255

http://rgho.st/7Mp5JbJGs

safety

в WMI все ок.

safety

как временная мера защиты, потому как наверняка поменяют хэши.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

;uVS v4.0.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
bp C:\WINDOWS\MSSECSVC.EXE
bl DB349B97C37D22F5EA1D1841E3C89EB4 3723264
bp C:\PROGRAMDATA\*\TASKSCHE.EXE
bl 84C82835A5D21BBCF75A61706D8AB549 3514368
bp C:\Users\*\DESKTOP\@[email protected]
bl 7BF2B57F2A205768755C07F238FB32CC 245760
restart

перезагрузка, пишем о старых и новых проблемах.

---

ukh255

029 ювс http://rgho.st/6dxCrQbk5

safety

выполняем скрипт в uVS

;uVS v4.0.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

deldirex %SystemDrive%\USERS\USER\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\DIGITA~1\UPDATE~1\UPDATE~1.EXE
delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]
delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAMINLPMKFCDIBGPGFAJLGNAMICJCKKJF%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIAKDDMMLEDECLCODPBGEBFKHEGAADDGE%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJGGBJBMNFMIPGCANIDAMJFPECHDEEKOI%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLIFBCIBLLHKDHOAFPJFNLHFPFGNPLDFL%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DODIJCGAFKHPOBJLNFDGIACPDENPMBGME%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPHKDCINMMLJBLPNKOHLIPAIODLONPINF%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPLDBIENODKPGKCCOCELIDINMCIEDJDOK%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPMPOAAHLECCAIBBHFJFIMIGEPMFMMBBK%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PHKDCINMMLJBLPNKOHLIPAIODLONPINF\11.0.3_0\ПОИСК MAIL.RU
delref %SystemDrive%\PROGRAM FILES\AMAZON\AMAZON1BUTTONAPP\AMAZON1BUTTONBROWSERHELPER64.DLL
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFCFENMBOOJPJINHPGGGODEFCCIPIKBPD%26INSTALLSOURCE%3DONDEMAND%26UC
apply

regt 27
; McAfee Security Scan Plus
exec C:\Program Files\McAfee Security Scan\uninstall.exe
; webget
exec C:\Program Files\webget\webgetuninstall.exe
deltmp
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref D:\UNINSTALL.EXE
delref %SystemDrive%\USERS\USER\DOWNLOADS\IDW4403.EXE
delref %SystemDrive%\USERS\USER\DOWNLOADS\SETUP.EXE
delref %SystemDrive%\PROGRAM FILES\USB-МОДЕМ БИЛАЙН\UIMAIN.EXE
delref F:\DCL_3NDFL\INSD2011.EXE
delref %Sys32%\DRIVERS\RDVGKMD.SYS
delref {0D012ABD-CEED-11D2-9C76-00105AA73033}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {56A58823-AE99-11D5-B90B-0050DACD1F75}\[CLSID]
delref {6CB99040-7828-4C37-AC01-F15758F43E4D}\[CLSID]
delref {CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA}\[CLSID]
delref {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBC}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {E01D1C6A-4F40-11D3-8958-00105A272DCF}\[CLSID]
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\NKCPOPGGJCJKIICPENIKEOGIOEDNJEAC.CRX
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\AMAZON\AMAZON1BUTTONAPP\AMAZON1BUTTONTASKBARAPP.EXE
delref %Sys32%\BLANK.HTM
delref {DD230880-495A-11D1-B064-008048EC2FC5}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\DRIVERS\EW_HWUSBDEV.SYS
delref %Sys32%\DRIVERS\EW_USBENUMFILTER.SYS
delref %Sys32%\DRIVERS\EW_JUCDCACM.SYS
delref %Sys32%\DRIVERS\EW_JUBUSENUM.SYS
delref %Sys32%\DRIVERS\EW_JUEXTCTRL.SYS
delref %Sys32%\DRIVERS\EW_JUWWANECM.SYS
delref %SystemDrive%\PROGRAMDATA\KASPERSKY LAB\AVP16.0.1\BASES\KLIDS.SYS
delref %Sys32%\DRIVERS\MASSFILTER.SYS
delref %Sys32%\DRIVERS\TTNFD.SYS
delref %Sys32%\DRIVERS\ZTEUSBMDM6K.SYS
delref %Sys32%\DRIVERS\ZTEUSBNMEA.SYS
delref %Sys32%\DRIVERS\ZTEUSBSER6K.SYS
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\V8_478A_7C.TMP
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\V8_B405_81.TMP
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\V8_2A3_B7.TMP
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\V8_B402_8D.TMP
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.0.1364.22194\DELEGATE_EXECUTE.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
delref %SystemDrive%\BVTBIN\TESTS\INSTALLPACKAGE\CBSTEST\X86\CSITEST.DLL
delref %SystemDrive%\PROGRAM FILES\CRYPTO PRO\CSP\CSPMGMT.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.22.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.22.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.165\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\MCAFEE SECURITY SCAN\3.11.523\MCCOREPS.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.153\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\BROWSERMANAGER\BROWSERMANAGERSHOW.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.23.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.149\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL
delref %Sys32%\IGFXCFG.EXE
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL
delref E:\AUTORUN.EXE
delref D:\RUNTHIS.EXE
delref F:\SISETUP.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\VIBER\VIBER.EXE
delref %SystemDrive%\PROGRAM FILES\DOWNLOAD MASTER\DMASTER.EXE
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {AD7BA4D6-DE06-4D5D-BA2B-E1FD7BEE1E8F}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\AMAZON\AMAZON ASSISTANT\AMAZONASSISTANTTASKBAR.EXE
delref %SystemDrive%\SPU_ORB\SPU_ORB.EXE
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.

---

ukh255

030 ювс http://rgho.st/665n6WQdt

safety

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

;uVS v4.0.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

deldirex %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4}\[CLSID]
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\RDVGKMD.SYS
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {0D012ABD-CEED-11D2-9C76-00105AA73033}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {56A58823-AE99-11D5-B90B-0050DACD1F75}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {E01D1C6A-4F40-11D3-8958-00105A272DCF}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {B1883831-F0D8-4453-8245-EEAAD866DD6E}\[CLSID]
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.115\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %Sys32%\SHAREMEDIACPL.CPL
delref D:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.

---

далее,
выполните сканирование (угроз) в Malwarebytes

ukh255

мбам http://rgho.st/8Yv7d8Hy7

safety

по мбам:
все что связано с этим
Процесс: 4
RiskWare.Tool.CK, C:\WINDOWS\KMSERVICE.EXE, Проигнорировано пользователем, [272], [133383],1.0.2043
оставляем, остальное можно удалить, если майл_ру не используется.

+
перегрузите систему
далее,
3.сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

5.сделайте проверку в FRST
http://forum.esetnod32.ru/forum9/topic2798/

ukh255

frst http://rgho.st/7tPZSLtFF
все равно реклама лезет в опере и в хроме
+ мбам активно блокирует исходящий трафик