В данном разделе выполняем скрипты лечения и рекомендации только от специалистов нашего форума: rp55rp55, safety, Vvvyg, Arkalik, ZloyDi, Гризлик

ЕВГЕНИЙ: Плановая проверка

1235714

Комментарии

  • ukh255ukh255
    PM
    http://rgho.st/7J7bHnYYQ
    Share on Google+
  • safetysafety
    PM
    политики IPSec нет, но есть групповые политики, скорее всего добавленные админами.
    GroupPolicy: Restriction <======= ATTENTION
    GroupPolicyUsers\S-1-5-32-545\User: Restriction <======= ATTENTION
    GroupPolicyScripts: Restriction <======= ATTENTION
    GroupPolicyScripts\User: Restriction <======= ATTENTION
    GroupPolicyUsers\S-1-5-32-545\User\Scripts: Restriction <======= ATTENTION
    +
    вопрос:
    эта учетка была с правами администратора?
    A_Dmitriev (S-1-5-21-3830479037-1715736442-2857665421-1003 - Administrator - Enabled) => C:\Users\A_Dmitriev
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
    Share on Google+
  • ukh255ukh255
    PM
    да эта учетка с правами администратора
    Share on Google+
  • safetysafety
    отредактировано May 2017 PM
    +добавь по ссылке, если на сервере сохранились логи сканирования Cureit (поместить в архив), возможно в подобных случаях используется сокрытие вредоносных программ с функцией руткита.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
    Share on Google+
  • ukh255ukh255
    отредактировано May 2017 PM
    последний раз куреит ничего не показал вообще
    вчера получается сработала авира и все
    KVRT н чего не нашел сегодня
    сегодня еще мбамом прогонял
    Malwarebytes

    www.malwarebytes.com

    -Данные журнала-

    Дата проверки: 11.05.17

    Время проверки: 9:47

    Файл журнала: мбам.txt

    Администратор: Да

    -Информация о ПО-

    Версия: 3.1.2.1733

    Версия компонентов: 1.0.122

    Версия пакета обновления: 1.0.1913

    Лицензия: Бесплатная версия

    -Информация о системе-

    ОС: Windows Server 2008 R2 Service Pack 1

    Процессор: x64

    Файловая система: NTFS

    Пользователь: System

    -Отчет о проверке-

    Тип проверки: Полная проверка

    Результат: Завершено

    Проверено объектов: 636098

    Обнаружено угроз: 8

    Помещено в карантин: 0

    (Вредоносные программы не обнаружены)

    Затраченное время: 3 мин, 2 с

    -Настройки проверки-

    Память: Включено

    Автозагрузка: Включено

    Файловая система: Включено

    Архивы: Включено

    Руткиты: Выключено

    Эвристика: Включено

    PUP: Включено

    PUM: Включено

    -Данные проверки-

    Процесс: 1

    RiskWare.Tool.CK, C:\WINDOWS\KMSERVICE.EXE, Проигнорировано пользователем, [269], [133383],1.0.1913

    Модуль: 1

    RiskWare.Tool.CK, C:\WINDOWS\KMSERVICE.EXE, Проигнорировано пользователем, [269], [133383],1.0.1913

    Раздел реестра: 0

    (Вредоносные программы не обнаружены)

    Значение реестра: 1

    PUM.Optional.DisallowRun, HKU\S-1-5-21-3830479037-1715736442-2857665421-1005\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER\DISALLOWRUN|1, Проигнорировано пользователем, [15225], [250852],1.0.1913

    Данные реестра: 4

    PUM.Optional.NoDispCPL, HKU\S-1-5-21-3830479037-1715736442-2857665421-1005\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NODISPCPL, Проигнорировано пользователем, [16394], [293337],1.0.1913

    PUM.Optional.NoDispScrSavPage, HKU\S-1-5-21-3830479037-1715736442-2857665421-1005\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\SYSTEM|NODISPSCRSAVPAGE, Проигнорировано пользователем, [16395], [293338],1.0.1913

    PUM.Optional.DisableMCProperties, HKU\S-1-5-21-3830479037-1715736442-2857665421-1005\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER|NOPROPERTIESMYCOMPUTER, Проигнорировано пользователем, [16375], [293306],1.0.1913

    PUM.Optional.DisableCMDPrompt, HKU\S-1-5-21-3830479037-1715736442-2857665421-1005\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\SYSTEM|DISABLECMD, Проигнорировано пользователем, [16374], [293305],1.0.1913

    Поток данных: 0

    (Вредоносные программы не обнаружены)

    Папка: 0

    (Вредоносные программы не обнаружены)

    Файл: 1

    RiskWare.Tool.CK, C:\WINDOWS\KMSERVICE.EXE, Проигнорировано пользователем, [269], [133383],1.0.1913

    Физический сектор: 0

    (Вредоносные программы не обнаружены)

    (end)
    Share on Google+
  • safetysafety
    PM
    да, судя по логу мбам - все ок.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
    Share on Google+
  • safetysafety
    PM
    +
    сделайте таки логи в autoruns
    https://technet.microsoft.com/ru-ru/sysinternals/bb963902.aspx
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
    Share on Google+
  • ukh255ukh255
    PM
    давай глянем на всякий случай еще вот эту рабочую станцию
    http://rgho.st/6PQGjS4LW
    Share on Google+
  • safetysafety
    PM
    сделай по этой машине еще лог авторанс.
    https://technet.microsoft.com/ru-ru/sysinternals/bb963902.aspx
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
    Share on Google+
  • ukh255ukh255
    отредактировано May 2017 PM
    с рабочей станции http://rgho.st/7XQR7ZN7C
    с сервера http://rgho.st/7jTB2W9JD
    Share on Google+
  • safetysafety
    отредактировано May 2017 PM
    судя по логам autoruns секции WMI не содержат угроз на обоих машинах.

    (могло быть такое - вторая запись)

    123-6.jpg
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
    Share on Google+
  • ukh255ukh255
    PM
    срочно в скайп нужна помощь
    Share on Google+
  • ukh255ukh255
    PM
    http://rgho.st/8LwsK4RlK
    Share on Google+
  • safetysafety
    PM
    выполняем скрипт в uVS
    - скопировать содержимое кода в буфер обмена;
    - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
    - закрываем все браузеры перед выполнением скрипта;
    при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" 
    
;uVS v4.0.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

zoo %SystemDrive%\PROGRAMDATA\MHLNIUXMEKA934\TASKSCHE.EXE
addsgn A7679BF0AA02C4A64BD4C64512881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95C3EFC9FE82BD6D7FCD56D775BACCA56DB33 8 BACKDOOR.Trojan [DrWeb] 7

zoo %SystemRoot%\MSSECSVC.EXE
addsgn A7679BF0AA02ECD34BD4C613FF881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95C3ADD9FE82BD6D724D45D775BACCA9EDA03 8 BACKDOOR.Trojan [DrWeb] 7

chklst
delvir

apply

regt 2
deltmp
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\9C5283FF54BD12E4D0F16B4C9D22DB1B\WINDOWS6.1-KB3080446-X64-EXPRESS.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\1D97849A5F6CAAF472BE9A8D79082D9B\9620831615FF14165BBB260D1BF6822812016368
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\B8CB704057E0C55131152D25BBFBB045\WINDOWS6.1-KB4014565-X64.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\48EAC8DFB158993B3660E1EBC9713A13\CA3421CB93D78C14A94694692F63155C8639BEFC
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\320391C70A674F8DB071FF7C014171DB\02412EBE5AFE36C6905B517464A12C6407FB82C6
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\CE3398EB650CA7964D101DFF11992769\84F5F8244E32350F2B211F5C6E03E94154ABEAFC
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\FC804B6F6B060DF9BCB030D3CB0946F3\96194289302F7934EB49AFA7E65395FBF419B98F
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\E38F0F6BBF16AD023464A14DF9C12926\60C6AD5C10B0BE4E47A36B1E9E7F0EF807B1DDA8
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\A26252709E9705F490CE8DC029ED4D54\9FB5A71E0C40BFE3B60BFD9C52ACB3313B614905
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\2085AA96E1ED6249BC79454A15758AC6\1DC82BD81DE2F08BDC513DBB2F6D58C9A4E7306A
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\9B760AE44A604A5C71C0218B7265B705\CE9404C07CE17AF1C951A3EDB555D232F8CE41F4
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\F627BC30BADBD3DF2FA4B6D7B57E3D6A\9A730A45CF46569E724367869B879E38B53B2C87
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\E2D8724547B279DF5AF32EDF026BC5CA\A87644ACB5D52F143A22EB01461ECA0F34996073
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\2658053CE8688177E241E7EC0E0AA2A6\DDEC9DDC256FFA7D97831AF148F6CC45130C6857
;delref %SystemDrive%\AQUALIFE\SCRIPT\AQUALIFE.BAT
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref %Sys32%\BLANK.HTM
delref %Sys32%\PSXSS.EXE
CZOO
;-------------------------------------------------------------

restart
    перезагрузка, пишем о старых и новых проблемах.
    архив (например: ZOO_гггг-мм-дд_чч-мм-сс.rar/7z) из папки uVS отправить в почту safety@chklst.ru
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
    Share on Google+
  • ukh255ukh255
    PM
    http://rgho.st/7Cfn5H4tg
    Share on Google+
  • safetysafety
    PM
    выполняем скрипт в uVS
    - скопировать содержимое кода в буфер обмена;
    - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
    - закрываем все браузеры перед выполнением скрипта;
    при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" 
    
;uVS v4.0.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

zoo %SystemDrive%\USERS\K_EVGENIY\DESKTOP\@WANADECRYPTOR@.EXE
addsgn A7679BF0AA02E4C84AD4C6E154891261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CDE289EE82BD6D7280E6F775BACCA9A0031 8 WannaDecrypt 7

zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\DESKTOP\@WANADECRYPTOR@.EXE
zoo %SystemDrive%\USERS\A_DMITRIEV\DESKTOP\@WANADECRYPTOR@.EXE
zoo %SystemDrive%\USERS\USER2201\DESKTOP\@WANADECRYPTOR@.EXE
zoo %SystemDrive%\USERS\USER2202\DESKTOP\@WANADECRYPTOR@.EXE
zoo %SystemDrive%\USERS\USER2203\DESKTOP\@WANADECRYPTOR@.EXE
zoo %SystemDrive%\USERS\USER2204\DESKTOP\@WANADECRYPTOR@.EXE
zoo %SystemDrive%\USERS\USER2205\DESKTOP\@WANADECRYPTOR@.EXE
zoo %SystemDrive%\USERS\USER2206\DESKTOP\@WANADECRYPTOR@.EXE
zoo %SystemDrive%\USERS\USER2209\DESKTOP\@WANADECRYPTOR@.EXE
zoo %SystemDrive%\USERS\USER3201\DESKTOP\@WANADECRYPTOR@.EXE
zoo %SystemDrive%\USERS\USER3203\DESKTOP\@WANADECRYPTOR@.EXE
zoo %SystemDrive%\USERS\USER3204\DESKTOP\@WANADECRYPTOR@.EXE
zoo %SystemDrive%\USERS\USER3205\DESKTOP\@WANADECRYPTOR@.EXE
zoo %SystemDrive%\USERS\USER3202\DESKTOP\@WANADECRYPTOR@.EXE
zoo %SystemDrive%\USERS\DEFAULT\DESKTOP\@WANADECRYPTOR@.EXE
zoo %SystemDrive%\USERS\PUBLIC\DESKTOP\@WANADECRYPTOR@.EXE
chklst
delvir

apply

deltmp
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\9C5283FF54BD12E4D0F16B4C9D22DB1B\WINDOWS6.1-KB3080446-X64-EXPRESS.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\1D97849A5F6CAAF472BE9A8D79082D9B\9620831615FF14165BBB260D1BF6822812016368
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\B8CB704057E0C55131152D25BBFBB045\WINDOWS6.1-KB4014565-X64.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\48EAC8DFB158993B3660E1EBC9713A13\CA3421CB93D78C14A94694692F63155C8639BEFC
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\320391C70A674F8DB071FF7C014171DB\02412EBE5AFE36C6905B517464A12C6407FB82C6
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\CE3398EB650CA7964D101DFF11992769\84F5F8244E32350F2B211F5C6E03E94154ABEAFC
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\FC804B6F6B060DF9BCB030D3CB0946F3\96194289302F7934EB49AFA7E65395FBF419B98F
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\E38F0F6BBF16AD023464A14DF9C12926\60C6AD5C10B0BE4E47A36B1E9E7F0EF807B1DDA8
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\A26252709E9705F490CE8DC029ED4D54\9FB5A71E0C40BFE3B60BFD9C52ACB3313B614905
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\2085AA96E1ED6249BC79454A15758AC6\1DC82BD81DE2F08BDC513DBB2F6D58C9A4E7306A
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\9B760AE44A604A5C71C0218B7265B705\CE9404C07CE17AF1C951A3EDB555D232F8CE41F4
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\F627BC30BADBD3DF2FA4B6D7B57E3D6A\9A730A45CF46569E724367869B879E38B53B2C87
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\E2D8724547B279DF5AF32EDF026BC5CA\A87644ACB5D52F143A22EB01461ECA0F34996073
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\2658053CE8688177E241E7EC0E0AA2A6\DDEC9DDC256FFA7D97831AF148F6CC45130C6857
delref %SystemDrive%\AQUALIFE\SCRIPT\AQUALIFE.BAT
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref %Sys32%\BLANK.HTM
delref %Sys32%\PSXSS.EXE
CZOO
;-------------------------------------------------------------

restart
    перезагрузка, пишем о старых и новых проблемах.
    архив (например: ZOO_гггг-мм-дд_чч-мм-сс.rar/7z) из папки uVS отправить в почту safety@chklst.ru
    +
    новый образ автозапуска добавить.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
    Share on Google+
  • ukh255ukh255
    PM
    http://rgho.st/8DlPVxt9s
    Share on Google+
  • safetysafety
    PM
    выполняем скрипт в uVS
    - скопировать содержимое кода в буфер обмена;
    - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
    - закрываем все браузеры перед выполнением скрипта;
    при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" 
    
;uVS v4.0.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

sreg

unload %SystemRoot%\MSSECSVC.EXE
unload %SystemDrive%\PROGRAMDATA\MHLNIUXMEKA934\TASKSCHE.EXE
unload %SystemDrive%\PROGRAMDATA\MHLNIUXMEKA934\@WANADECRYPTOR@.EXE
zoo %SystemDrive%\PROGRAMDATA\MHLNIUXMEKA934\TASKSCHE.EXE
addsgn A7679BF0AA02C4A64BD4C64512881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95C3EFC9FE82BD6D7FCD56D775BACCA56DB33 8 BACKDOOR.Trojan [DrWeb] 7

zoo %SystemRoot%\MSSECSVC.EXE
addsgn A7679BF0AA02ECD34BD4C613FF881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95C3ADD9FE82BD6D724D45D775BACCA9EDA03 8 BACKDOOR.Trojan [DrWeb] 7

zoo %SystemDrive%\PROGRAMDATA\MHLNIUXMEKA934\@WANADECRYPTOR@.EXE
addsgn A7679BF0AA02E4C84AD4C6E154891261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CDE289EE82BD6D7280E6F775BACCA9A0031 8 WannaDecrypt 7

zoo %SystemDrive%\USERS\K_EVGENIY\DESKTOP\@WANADECRYPTOR@.EXE
zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\DESKTOP\@WANADECRYPTOR@.EXE
zoo %SystemDrive%\USERS\A_DMITRIEV\DESKTOP\@WANADECRYPTOR@.EXE
zoo %SystemDrive%\USERS\USER2201\DESKTOP\@WANADECRYPTOR@.EXE
zoo %SystemDrive%\USERS\USER2202\DESKTOP\@WANADECRYPTOR@.EXE
zoo %SystemDrive%\USERS\USER2203\DESKTOP\@WANADECRYPTOR@.EXE
zoo %SystemDrive%\USERS\USER2204\DESKTOP\@WANADECRYPTOR@.EXE
zoo %SystemDrive%\USERS\USER2205\DESKTOP\@WANADECRYPTOR@.EXE
zoo %SystemDrive%\USERS\USER2206\DESKTOP\@WANADECRYPTOR@.EXE
zoo %SystemDrive%\USERS\USER2209\DESKTOP\@WANADECRYPTOR@.EXE
zoo %SystemDrive%\USERS\USER3201\DESKTOP\@WANADECRYPTOR@.EXE
zoo %SystemDrive%\USERS\USER3203\DESKTOP\@WANADECRYPTOR@.EXE
zoo %SystemDrive%\USERS\USER3204\DESKTOP\@WANADECRYPTOR@.EXE
zoo %SystemDrive%\USERS\USER3205\DESKTOP\@WANADECRYPTOR@.EXE
zoo %SystemDrive%\USERS\USER3202\DESKTOP\@WANADECRYPTOR@.EXE
zoo %SystemDrive%\USERS\DEFAULT\DESKTOP\@WANADECRYPTOR@.EXE
zoo %SystemDrive%\USERS\PUBLIC\DESKTOP\@WANADECRYPTOR@.EXE
chklst
delvir

apply

deltmp
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\9C5283FF54BD12E4D0F16B4C9D22DB1B\WINDOWS6.1-KB3080446-X64-EXPRESS.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\1D97849A5F6CAAF472BE9A8D79082D9B\9620831615FF14165BBB260D1BF6822812016368
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\B8CB704057E0C55131152D25BBFBB045\WINDOWS6.1-KB4014565-X64.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\48EAC8DFB158993B3660E1EBC9713A13\CA3421CB93D78C14A94694692F63155C8639BEFC
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\320391C70A674F8DB071FF7C014171DB\02412EBE5AFE36C6905B517464A12C6407FB82C6
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\CE3398EB650CA7964D101DFF11992769\84F5F8244E32350F2B211F5C6E03E94154ABEAFC
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\FC804B6F6B060DF9BCB030D3CB0946F3\96194289302F7934EB49AFA7E65395FBF419B98F
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\E38F0F6BBF16AD023464A14DF9C12926\60C6AD5C10B0BE4E47A36B1E9E7F0EF807B1DDA8
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\A26252709E9705F490CE8DC029ED4D54\9FB5A71E0C40BFE3B60BFD9C52ACB3313B614905
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\2085AA96E1ED6249BC79454A15758AC6\1DC82BD81DE2F08BDC513DBB2F6D58C9A4E7306A
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\9B760AE44A604A5C71C0218B7265B705\CE9404C07CE17AF1C951A3EDB555D232F8CE41F4
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\F627BC30BADBD3DF2FA4B6D7B57E3D6A\9A730A45CF46569E724367869B879E38B53B2C87
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\E2D8724547B279DF5AF32EDF026BC5CA\A87644ACB5D52F143A22EB01461ECA0F34996073
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\2658053CE8688177E241E7EC0E0AA2A6\DDEC9DDC256FFA7D97831AF148F6CC45130C6857
delref %SystemDrive%\USERS\K_EVGE~1\APPDATA\LOCAL\TEMP\{F5EC364F-5FD9-411F-8CCC-5D554FA79EEC}-58.0.3029.110_CHROME_INSTALLER.EXE
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref %Sys32%\BLANK.HTM
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL
areg

;-------------------------------------------------------------
    перезагрузка, пишем о старых и новых проблемах.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
    Share on Google+
  • ukh255ukh255
    PM
    http://rgho.st/7ZkmBkgqB
    Share on Google+
  • safetysafety
    PM
    файл wannaDecryptor и бэкдоры исчезли.
    +
    добавь
    еще лог в autorums
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
    Share on Google+
  • ukh255ukh255
    PM
    http://rgho.st/7Mp5JbJGs
    Share on Google+
  • safetysafety
    PM
    в WMI все ок.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
    Share on Google+
  • safetysafety
    отредактировано May 2017 PM
    как временная мера защиты, потому как наверняка поменяют хэши.

    выполняем скрипт в uVS:
    - скопировать содержимое кода в буфер обмена;
    - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
    - закрываем все браузеры перед выполнением скрипта;
    при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" 
    
;uVS v4.0.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
bp C:\WINDOWS\MSSECSVC.EXE
bl DB349B97C37D22F5EA1D1841E3C89EB4 3723264
bp C:\PROGRAMDATA\*\TASKSCHE.EXE
bl 84C82835A5D21BBCF75A61706D8AB549 3514368
bp C:\Users\*\DESKTOP\@WANADECRYPTOR@.EXE
bl 7BF2B57F2A205768755C07F238FB32CC 245760
restart
    перезагрузка, пишем о старых и новых проблемах.


    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
    Share on Google+
  • ukh255ukh255
    PM
    029 ювс http://rgho.st/6dxCrQbk5
    Share on Google+
  • safetysafety
    PM
    выполняем скрипт в uVS 
    
;uVS v4.0.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

deldirex %SystemDrive%\USERS\USER\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\DIGITA~1\UPDATE~1\UPDATE~1.EXE
delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]
delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAMINLPMKFCDIBGPGFAJLGNAMICJCKKJF%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIAKDDMMLEDECLCODPBGEBFKHEGAADDGE%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJGGBJBMNFMIPGCANIDAMJFPECHDEEKOI%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLIFBCIBLLHKDHOAFPJFNLHFPFGNPLDFL%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DODIJCGAFKHPOBJLNFDGIACPDENPMBGME%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPHKDCINMMLJBLPNKOHLIPAIODLONPINF%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPLDBIENODKPGKCCOCELIDINMCIEDJDOK%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPMPOAAHLECCAIBBHFJFIMIGEPMFMMBBK%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PHKDCINMMLJBLPNKOHLIPAIODLONPINF\11.0.3_0\ПОИСК MAIL.RU
delref %SystemDrive%\PROGRAM FILES\AMAZON\AMAZON1BUTTONAPP\AMAZON1BUTTONBROWSERHELPER64.DLL
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFCFENMBOOJPJINHPGGGODEFCCIPIKBPD%26INSTALLSOURCE%3DONDEMAND%26UC
apply

regt 27
; McAfee Security Scan Plus
exec C:\Program Files\McAfee Security Scan\uninstall.exe
; webget
exec C:\Program Files\webget\webgetuninstall.exe
deltmp
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref D:\UNINSTALL.EXE
delref %SystemDrive%\USERS\USER\DOWNLOADS\IDW4403.EXE
delref %SystemDrive%\USERS\USER\DOWNLOADS\SETUP.EXE
delref %SystemDrive%\PROGRAM FILES\USB-МОДЕМ БИЛАЙН\UIMAIN.EXE
delref F:\DCL_3NDFL\INSD2011.EXE
delref %Sys32%\DRIVERS\RDVGKMD.SYS
delref {0D012ABD-CEED-11D2-9C76-00105AA73033}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {56A58823-AE99-11D5-B90B-0050DACD1F75}\[CLSID]
delref {6CB99040-7828-4C37-AC01-F15758F43E4D}\[CLSID]
delref {CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA}\[CLSID]
delref {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBC}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {E01D1C6A-4F40-11D3-8958-00105A272DCF}\[CLSID]
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\NKCPOPGGJCJKIICPENIKEOGIOEDNJEAC.CRX
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\AMAZON\AMAZON1BUTTONAPP\AMAZON1BUTTONTASKBARAPP.EXE
delref %Sys32%\BLANK.HTM
delref {DD230880-495A-11D1-B064-008048EC2FC5}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\DRIVERS\EW_HWUSBDEV.SYS
delref %Sys32%\DRIVERS\EW_USBENUMFILTER.SYS
delref %Sys32%\DRIVERS\EW_JUCDCACM.SYS
delref %Sys32%\DRIVERS\EW_JUBUSENUM.SYS
delref %Sys32%\DRIVERS\EW_JUEXTCTRL.SYS
delref %Sys32%\DRIVERS\EW_JUWWANECM.SYS
delref %SystemDrive%\PROGRAMDATA\KASPERSKY LAB\AVP16.0.1\BASES\KLIDS.SYS
delref %Sys32%\DRIVERS\MASSFILTER.SYS
delref %Sys32%\DRIVERS\TTNFD.SYS
delref %Sys32%\DRIVERS\ZTEUSBMDM6K.SYS
delref %Sys32%\DRIVERS\ZTEUSBNMEA.SYS
delref %Sys32%\DRIVERS\ZTEUSBSER6K.SYS
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\V8_478A_7C.TMP
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\V8_B405_81.TMP
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\V8_2A3_B7.TMP
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\V8_B402_8D.TMP
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.0.1364.22194\DELEGATE_EXECUTE.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
delref %SystemDrive%\BVTBIN\TESTS\INSTALLPACKAGE\CBSTEST\X86\CSITEST.DLL
delref %SystemDrive%\PROGRAM FILES\CRYPTO PRO\CSP\CSPMGMT.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.22.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.22.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.165\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\MCAFEE SECURITY SCAN\3.11.523\MCCOREPS.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.153\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\BROWSERMANAGER\BROWSERMANAGERSHOW.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.23.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.149\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL
delref %Sys32%\IGFXCFG.EXE
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL
delref E:\AUTORUN.EXE
delref D:\RUNTHIS.EXE
delref F:\SISETUP.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\VIBER\VIBER.EXE
delref %SystemDrive%\PROGRAM FILES\DOWNLOAD MASTER\DMASTER.EXE
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {AD7BA4D6-DE06-4D5D-BA2B-E1FD7BEE1E8F}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\AMAZON\AMAZON ASSISTANT\AMAZONASSISTANTTASKBAR.EXE
delref %SystemDrive%\SPU_ORB\SPU_ORB.EXE
;-------------------------------------------------------------

restart
    перезагрузка, пишем о старых и новых проблемах.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
    Share on Google+
  • ukh255ukh255
    PM
    030 ювс http://rgho.st/665n6WQdt
    Share on Google+
  • safetysafety
    PM
    выполняем скрипт в uVS
    - скопировать содержимое кода в буфер обмена;
    - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
    - закрываем все браузеры перед выполнением скрипта;
    при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" 
    
;uVS v4.0.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

deldirex %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4}\[CLSID]
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\RDVGKMD.SYS
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {0D012ABD-CEED-11D2-9C76-00105AA73033}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {56A58823-AE99-11D5-B90B-0050DACD1F75}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {E01D1C6A-4F40-11D3-8958-00105A272DCF}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {B1883831-F0D8-4453-8245-EEAAD866DD6E}\[CLSID]
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.115\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %Sys32%\SHAREMEDIACPL.CPL
delref D:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
;-------------------------------------------------------------

restart
    перезагрузка, пишем о старых и новых проблемах.
    далее,
    выполните сканирование (угроз) в Malwarebytes
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
    Share on Google+
  • ukh255ukh255
    PM
    мбам http://rgho.st/8Yv7d8Hy7
    Share on Google+
  • safetysafety
    PM
    по мбам:
    все что связано с этим
    Процесс: 4
    RiskWare.Tool.CK, C:\WINDOWS\KMSERVICE.EXE, Проигнорировано пользователем, [272], [133383],1.0.2043
    оставляем, остальное можно удалить, если майл_ру не используется.

    +
    перегрузите систему
    далее,
    3.сделайте проверку в АдвКлинере
    http://forum.esetnod32.ru/forum9/topic7084/

    *****
    4.в АдвКлинере, после завершения проверки,
    в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
    остальное удалите по кнопке Очистить
    далее,

    5.сделайте проверку в FRST
    http://forum.esetnod32.ru/forum9/topic2798/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
    Share on Google+
  • ukh255ukh255
    отредактировано May 2017 PM
    frst http://rgho.st/7tPZSLtFF
    все равно реклама лезет в опере и в хроме
    + мбам активно блокирует исходящий трафик
    Share on Google+
Войдите или Зарегистрируйтесь чтобы комментировать.