В данном разделе выполняем скрипты лечения и рекомендации только от специалистов нашего форума: rp55rp55, safety, Vvvyg, Arkalik, ZloyDi, Гризлик

ЕВГЕНИЙ: Плановая проверка

1568101114

Комментарии

  • ukh255ukh255
    PM
    сканировал каспером - он удалил что нашел
    потом мбам и фрст
    Share on Google+
  • safetysafety
    отредактировано January 2018 PM
    можно еще раз просканировать Касперским через некоторое время. Если больше ничего не найдет, значит все вычистили. + проверить, нет ли скрытых пользовательских папок. можно в far-е глянуть.

    можно эти папки глянуть:
    %SystemDrive%\USERS\PUBLIC\FOXIT SOFTWARE
    %SystemDrive%\USERS\PUBLIC\FOXIT SOFTWARE\FOXIT READER
    %SystemDrive%\USERS\PUBLIC\DOWNLOADS
    %SystemDrive%\USERS\PUBLIC\DOCUMENTS
    %SystemDrive%\USERS\PUBLIC\FAVORITES
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
    Share on Google+
  • ukh255ukh255
    PM
    043 ювс https://yadi.sk/d/Qf4Knh8i3S2JTP
    Share on Google+
  • safetysafety
    PM
    судя по образу, серьезных проблем, связанных с заражением нет.

    выполняем скрипт в uVS:
    - скопировать содержимое кода в буфер обмена;
    - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
    - закрываем все браузеры перед выполнением скрипта;
    при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" 
    
;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref HTTPS://CHROME.GOOGLE.COM/WEBSTORE/DETAIL/FHOIBNPONJCGJGCNFACEKAIJDBBPLHIB
apply

deltmp
delref %SystemDrive%\PROGRAM FILES\IOBIT\DRIVER BOOSTER\DRIVERBOOSTER.EXE
delref A9A33436-678B-4C9C-A211-7CC38785E79D\[CLSID]
delref 752073A1-23F2-4396-85F0-8FDB879ED0ED\[CLSID]
delref {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {0D012ABD-CEED-11D2-9C76-00105AA73033}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {19916E01-B44E-4E31-94A4-4696DF46157B}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {56A58823-AE99-11D5-B90B-0050DACD1F75}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {E01D1C6A-4F40-11D3-8958-00105A272DCF}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %Sys32%\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %SystemDrive%\PROGRAMDATA\KASPERSKY LAB\AVP16.0.1\BASES\KLIDS.SYS
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 15.0.0\KLWTBWS.EXE
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\ACCESSIBLEMARSHAL.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 15.0.0\ABHELPER.DLL
delref %SystemDrive%\PROGRAM FILES\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 15.0.0\KLWTBLFS.EXE
delref %SystemDrive%\PROGRAM FILES\MCAFEE SECURITY SCAN\3.11.523\MCCOREPS.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL
delref D:\SETUP.EXE
delref {001032CB-B0AC-4F2C-A650-AD4B2B26E5DA}\[CLSID]
delref {03993315-5CE9-4F00-8790-D14A94F1D91A}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\KASPERSKY LAB\KASPERSKY ENDPOINT SECURITY 10 FOR WINDOWS\AVP.EXE
;-------------------------------------------------------------

restart
    перезагрузка, пишем о старых и новых проблемах.
    если есть такая необходимость,
    сделайте дополнительно быструю проверку системы в малваребайт
    http://forum.esetnod32.ru/forum9/topic10688/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
    Share on Google+
  • ukh255ukh255
    отредактировано February 2018 PM
    какой-то майнер пытается по сети распространится - в данный момент все компы в сети отключены. буду включать и по-очереди лечить
    сначала каспером прогоняю а уж потом ювс
    каспер выдает вот такой (3 реакции) https://yadi.sk/d/TRQF-vmb3SfPhB
    Уведомления:
    Критическое событие: 22.02.2018 12:00:23:
    Тип события: Обнаружен вредоносный объект
    Результат\Описание: Обнаружено
    Результат\Тип: Троянская программа
    Результат\Название: Trojan.Win32.Miner.ays
    Результат\Степень угрозы: Высокая
    Результат\Точность: Точно
    Объект: C:\SCAN\DOC001.exe/NsCpuCNMiner32.exe
    Объект\Тип: Файл
    Объект\Путь: C:\SCAN\DOC001.exe/
    Объект\Название: NsCpuCNMiner32.exe

    044 ювс http://rgho.st/8bZJqTvBB
    Share on Google+
  • safetysafety
    отредактировано February 2018 PM
    Папка C:\SCAN - общего пользования? возможно какой-то из компутер заражен, и ложит вредоносные тела в расшаренные папки по всей локальной сети.

    попробуйте временно сделать эту папку только для чтения на время лечения компьютеров в локальной сети.
    +
    как вариант пробивает из внешней сети. в этом случае лучше включить брэндмауэр, и таки установить актуальные обновления системы, возможно используется уязвимость в системе. (из-за неустановленных обновлений)

    образ сейчас гляну
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
    Share on Google+
  • ukh255ukh255
    PM
    да она общая... причем сегодня наделал таких папок на каждом компе - чтобы сканировать с сетевого мфу
    смысла убирать сетевой признак не вижу поскольку на время лечения все компы отключены от питания - лечить будем по очереди: пролечили и отключили
    Share on Google+
  • safetysafety
    PM
    по этому компу особых проблем нет.

    выполняем скрипт в uVS
    - скопировать содержимое кода в буфер обмена;
    - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
    - закрываем все браузеры перед выполнением скрипта;
    при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" 
    
;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAONEDLCHKBICMHEPIMIAHFALHEEDJGBH%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_1300_21575\607_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_4808_14841\582_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_4808_19864\582_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_4700_28698\583_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5556_6164\584_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_2932_15453\586_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_2728_22588\590_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_4712_17749\591_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_4712_3714\591_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_4712_16984\591_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_4712_4319\592_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5956_31953\593_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5956_20553\23.131.2_WIN64_SOFTWAREREPORTER.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_6108_9787\596_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5156_6091\28.0.0.126_WIN64_PEPPERFLASHPLAYER.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_3836_26205\598_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5156_4972\28.0.0.126_WIN64_PEPPERFLASHPLAYER.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5156_22029\598_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_3836_11743\598_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_4688_25996\599_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_4760_17748\603_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_3236_7646\605_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5680_10404\606_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_1300_3595\607_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_1980_1095\611_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_1980_27853\611_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_1980_27934\611_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5552_11406\612_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5552_15751\612_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5400_11048\613_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5400_32484\613_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_1228_31745\28.0.0.137_WIN64_PEPPERFLASHPLAYER.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_1228_13002\28.0.0.137_WIN64_PEPPERFLASHPLAYER.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_1228_14260\28.0.0.137_WIN64_PEPPERFLASHPLAYER.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_1228_25891\634_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_1228_12045\634_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_1228_26093\634_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5680_4349\659_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5680_25855\28.0.0.161_WIN64_PEPPERFLASHPLAYER.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5680_4023\28.0.0.161_WIN64_PEPPERFLASHPLAYER.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5680_8671\28.0.0.161_WIN64_PEPPERFLASHPLAYER.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5680_28653\659_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5680_17550\659_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5704_4982\660_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5704_23565\660_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5768_959\663_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_3180_23475\662_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5768_32011\663_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_3548_6692\666_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_6068_11646\101.3.33.11_WIN_CHROMERECOVERY.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_6068_31582\101.3.33.11_WIN_CHROMERECOVERY.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_6068_3994\101.3.33.11_WIN_CHROMERECOVERY.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_6068_362\666_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_2712_19124\666_ALL_STHSET.CRX2
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL
;-------------------------------------------------------------

restart
    перезагрузка, пишем о старых и новых проблемах.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
    Share on Google+
  • safetysafety
    PM
    ukh255 написал: »
    да она общая... причем сегодня наделал таких папок на каждом компе - чтобы сканировать с сетевого мфу
    смысла убирать сетевой признак не вижу поскольку на время лечения все компы отключены от питания - лечить будем по очереди: пролечили и отключили

    хорошо, только надо будет глянуть логи Каспера после выполнения скрипта и перезагрузки. Найдет он что-то опять в этой сетевой папке или нет.
    Если не найдет, значит пробивает по локальной сети с какого-то компа.

    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
    Share on Google+
  • ukh255ukh255
    PM
    это скорее всего первоисточник - откуда пошло заражение
    045 ювс http://rgho.st/7LhWDxDpn
    Share on Google+
  • safetysafety
    PM
    судя по образу уже очищен. остался мусор.

    выполняем скрипт в uVS
    - скопировать содержимое кода в буфер обмена;
    - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
    - закрываем все браузеры перед выполнением скрипта;
    при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" 
    
;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAONEDLCHKBICMHEPIMIAHFALHEEDJGBH%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_2376_28378\589_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_4632_17399\590_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_4632_3304\590_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5288_9352\591_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5496_20520\592_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5580_29970\599_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_3120_28929\603_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5992_584\612_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5992_31144\612_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_3676_7100\625_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_3676_10741\625_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_3676_30799\625_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_3208_19684\28.0.0.137_WIN64_PEPPERFLASHPLAYER.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_3132_2666\28.0.0.137_WIN64_PEPPERFLASHPLAYER.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_3132_21488\626_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_3132_21171\626_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_3144_22383\627_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5580_18059\627_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_2728_21811\627_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_3144_22933\627_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5048_9988\627_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5244_17098\627_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5952_31093\628_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_4964_23083\634_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_2680_6496\638_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_1548_8078\641_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_1548_16212\641_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_3236_10661\647_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_3236_13063\647_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5900_24520\649_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_3780_5328\28.0.0.161_WIN64_PEPPERFLASHPLAYER.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_3780_16640\28.0.0.161_WIN64_PEPPERFLASHPLAYER.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5672_12778\28.0.0.161_WIN64_PEPPERFLASHPLAYER.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5672_20501\652_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_2492_27495\654_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5228_14256\101.3.33.11_WIN_CHROMERECOVERY.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5228_30132\101.3.33.11_WIN_CHROMERECOVERY.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5228_1134\666_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_6056_3500\666_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_6056_30016\666_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_4604_22828\666_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_4604_24804\666_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_4604_25712\666_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5612_30044\669_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5532_10158\25.141.202_WIN64_SOFTWAREREPORTER.CRX3
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref %SystemRoot%\SYSWOW64\TBSSVC.DLL
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\UMPO.DLL
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\50.0.2661.94\INSTALLER\CHRMSTP.EXE
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4}\[CLSID]
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref %Sys32%\BLANK.HTM
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL
;-------------------------------------------------------------

restart
    перезагрузка, пишем о старых и новых проблемах.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
    Share on Google+
  • safetysafety
    PM
    так же майнер могли занести с флэшки. желательно проверить и почистить все рабочие флэшки сотрудников.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
    Share on Google+
  • ukh255ukh255
    PM
    не могли а занесли - именно на флэшку и ругался каспер изначально
    потом чистить буду
    046 https://yadi.sk/d/c7ApFy3t3SfTRL
    Share on Google+
  • safetysafety
    отредактировано February 2018 PM
    по 046:

    выполняем скрипт в uVS
    - скопировать содержимое кода в буфер обмена;
    - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
    - закрываем все браузеры перед выполнением скрипта;
    при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" 
    
;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAONEDLCHKBICMHEPIMIAHFALHEEDJGBH%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemRoot%\SYSWOW64\SPOOL\DRIVERS\X64\3\CNAP2LAK.EXE
delref %SystemRoot%\SYSWOW64\SPOOL\DRIVERS\X64\3\CNAP2RPK.EXE
delref %SystemRoot%\SYSWOW64\SPOOL\DRIVERS\X64\3\CNAB8SWK.EXE
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\SLACK\APP-3.0.5\RESOURCES\APP.ASAR\SRC\STATIC\INDEX.JS
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\SLACK\APP-3.0.5\RESOURCES\APP.ASAR\SRC\STATIC\SSB-INTEROP.JS
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_2644_18930\610_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5552_11913\585_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_4348_3308\585_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5908_24019\611_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_4768_3142\627_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_4068_3956\669_ALL_STHSET.CRX3
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref %SystemRoot%\SYSWOW64\TBSSVC.DLL
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\UMPO.DLL
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\55.0.2883.87\INSTALLER\CHRMSTP.EXE
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4}\[CLSID]
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref %Sys32%\BLANK.HTM
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE_64.DLL
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL
;-------------------------------------------------------------

restart
    перезагрузка, пишем о старых и новых проблемах.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
    Share on Google+
  • ukh255ukh255
    PM
    047 ювс http://rgho.st/6jJYHf5Nm
    Share on Google+
  • safetysafety
    PM
    047: по очистке системы

    выполняем скрипт в uVS:
    - скопировать содержимое кода в буфер обмена;
    - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
    - закрываем все браузеры перед выполнением скрипта;
    при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" 
    
;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

deldirex %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGKNPFANCPEAMEJMCOOEDLJJNADDLDHG%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFOPEFGOBKMBLBIPKDEBGNNLCLCHLAKOM%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGNDACICECCGAPJHPNIECKNJLMMLANAEM%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJAEAHNNFOHIKJNEJPOKEAAIINIJHPFOP%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLANABBPAHPJNALJEBNPGKJEMCBKEPIAK%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNJABJMHINNDPHFNBJEHDALKPHPDMEPLI%26INSTALLSOURCE%3DONDEMAND%26UC
apply

regt 27
regt 28
regt 29
deltmp
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref %SystemRoot%\SYSWOW64\TBSSVC.DLL
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\UMPO.DLL
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\RDVGKMD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {0D012ABD-CEED-11D2-9C76-00105AA73033}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {56A58823-AE99-11D5-B90B-0050DACD1F75}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {E01D1C6A-4F40-11D3-8958-00105A272DCF}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref {087D4A97-18A9-4D99-C3DA-B4A1A723340B}\[CLSID]
delref {1B769096-0340-483A-EF57-405CC5EF700E}\[CLSID]
delref {88F5B6EA-6308-4489-C62D-146E18E1D77D}\[CLSID]
delref {FDC3AA79-49F9-406E-82A2-6FBD178E9449}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\RDVGKMD.SYS
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref %Sys32%\BLANK.HTM
delref {45AC2688-0253-4ED8-97DE-B5370FA7D48A}\[CLSID]
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\DRIVERS\DGIVECP.SYS
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
delref F:\CHECKVER.OCX
delref F:\DRIVE~1F.OCX
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.99\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL
delref G:\LGAUTORUN.EXE
delref {094099F8-E8CA-46D9-871F-298D44E43607}\[CLSID]
delref {153BAC32-042B-403A-B524-125375B8AE08}\[CLSID]
delref {2670000A-7350-4F3C-8081-5663EE0C6C49}\[CLSID]
delref {319D9D21-9330-492D-BA18-E78097D6D08C}\[CLSID]
delref {42FEFB42-1F50-43F0-9F1C-EB66AB93E16A}\[CLSID]
delref {44B22511-A79A-4FFB-8630-2E109C492F08}\[CLSID]
delref {4B859D10-B36D-456C-B88A-84125A886089}\[CLSID]
delref {5B34A1C1-F8B2-448E-9A5D-A30FEBBDD7B9}\[CLSID]
delref {77F19B6E-5C0F-4A14-8C9A-931AD982A91B}\[CLSID]
delref {992FBA83-F5C5-4D46-8375-6B1E85B43396}\[CLSID]
delref {B0C22EEE-F45F-4FCB-BCA1-2B027436E565}\[CLSID]
delref {C573C16B-1424-4A2E-9EED-61ECD2B6767B}\[CLSID]
delref {C9D07EA1-8B3C-45EC-94D0-EBFD4F171709}\[CLSID]
delref {DA3AD6A5-03CF-4D44-A17D-0EDC47288B45}\[CLSID]
delref {E4F4E231-53CA-46CA-A2DC-458A36B0BDF9}\[CLSID]
delref {F8FA7A02-B865-4A81-A285-F14D40E08E78}\[CLSID]
delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\MAIL.RU\AGENT\MAGENTSETUP.EXE
;-------------------------------------------------------------

restart
    перезагрузка, пишем о старых и новых проблемах.
    далее,
    сделайте дополнительно быструю проверку системы в малваребайт
    http://forum.esetnod32.ru/forum9/topic10688/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
    Share on Google+
  • ukh255ukh255
    PM
    мбам http://rgho.st/8ZHd9vX92
    Share on Google+
  • safetysafety
    PM
    это можно оставить:
    -Данные проверки-
    Процесс: 1
    RiskWare.KMS, C:\WINDOWS\KMSEM\KMSERVICE.EXE, Проигнорировано пользователем, [8706], [442866],1.0.4500

    Модуль: 1
    RiskWare.KMS, C:\WINDOWS\KMSEM\KMSERVICE.EXE, Проигнорировано пользователем, [8706], [442866],1.0.4500
    PUP.Optional.RAAmmyy, C:\USERS\Пользователь\DESKTOP\AA_V3.5.EXE, Проигнорировано пользователем, [8091], [316623],1.0.4500
    HackTool.Agent, C:\PROGRAM FILES (X86)\MICROSOFT OFFICE\ACTIVATOR.EXE, Проигнорировано пользователем, [3968], [85888],1.0.4500

    RiskWare.KMS, C:\WINDOWS\KMSEM\KMSERVICE.EXE, Проигнорировано пользователем, [8706], [442866],1.0.4500

    остальное удаляем,
    перегружаем систему.

    если проблема не решилась,

    далее,
    3.сделайте проверку в АдвКлинере
    http://forum.esetnod32.ru/forum9/topic7084/

    *****
    4.в АдвКлинере, после завершения проверки,
    в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
    остальное удалите по кнопке Очистить
    далее,

    5.сделайте проверку в FRST
    http://forum.esetnod32.ru/forum9/topic2798/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
    Share on Google+
  • ukh255ukh255
    PM
    048 ювс http://rgho.st/64LW9gfCz
    Share on Google+
  • safetysafety
    PM
    по 048:

    выполняем скрипт в uVS:
    - скопировать содержимое кода в буфер обмена;
    - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
    - закрываем все браузеры перед выполнением скрипта;
    при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" 
    
;uVS v4.0.11 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DINDJGIEBMAKHMNAPLNLNANODKFIEJFJD%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNECFMKPLPMINFJAGBLFABGGOMDPAAKAN%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DODIJCGAFKHPOBJLNFDGIACPDENPMBGME%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPHKDCINMMLJBLPNKOHLIPAIODLONPINF%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPMPOAAHLECCAIBBHFJFIMIGEPMFMMBBK%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.0.7_0\СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PHKDCINMMLJBLPNKOHLIPAIODLONPINF\11.0.3_1\ПОИСК MAIL.RU
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 2\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.0.7_0\СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 2\EXTENSIONS\NEHAPOFAKGHLJOPFEGJOGPGPELJKHJJN\8.22.5_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 2\EXTENSIONS\PHKDCINMMLJBLPNKOHLIPAIODLONPINF\11.0.3_0\ПОИСК MAIL.RU
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 4\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.9.0_1\СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 5\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.0.7_0\СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 6\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.0.7_0\СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\НАДЮХХХА)\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.0_0\СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\ЛИКА)))\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.9.0_0\СТАРТОВАЯ — ЯНДЕКС
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\PROGRAM FILES (X86)\QUICKTIME\QTTASK.EXE
apply

regt 9
; OpenAL
exec  C:\Program Files (x86)\OpenAL\OpenAL.exe" /U
deltmp
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\TEMP\CHROME_BITS_2560_13152\E0282270767987CCB22D9B7267C32DA708BA446E96FA45B77563A8CF4B3017B3.CRXD
delref %SystemDrive%\PROGRAM FILES\AVAST SOFTWARE\AVAST\AVEMUPDATE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\READER 10.0\READER\READER_SL.EXE
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\57.0.2987.133\INSTALLER\CHRMSTP.EXE
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\RDVGKMD.SYS
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref %Sys32%\BLANK.HTM
delref {472083B0-C522-11CF-8763-00608CC02F24}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.23.9\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE_64.DLL
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\ATI TECHNOLOGIES\ATI.ACE\CORE-IMPLEMENTATION\64\WBOCX.OCX
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.115\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.22.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.23.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\ACROBAT READER DC\ACRORD32INFO.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\PRMT8\PRMTIF\TRANSMAN.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ITUNES\ITUNES.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\YANDEX\BROWSERMANAGER\MBLAUNCHER.EXE
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.EXE
delref %SystemDrive%\USERS\НАДЮХХХА)\APPDATA\ROAMING\UTORRENT\UTORRENT.EXE
;-------------------------------------------------------------

restart
    перезагрузка, пишем о старых и новых проблемах.
    далее,
    выполните сканирование (угроз) в Malwarebytes
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
    Share on Google+
  • ukh255ukh255
    PM
    049 ювс http://rgho.st/6gskwsrWF
    Share on Google+
  • safetysafety
    PM
    по 049:
    судя по образу, нет серьезных проблем

    выполняем скрипт в uVS:
    - скопировать содержимое кода в буфер обмена;
    - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
    - закрываем все браузеры перед выполнением скрипта;
    при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" 
    
;uVS v4.0.11 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

apply

deltmp
delref %SystemDrive%\PROGRAM FILES\DOLBY DIGITAL PLUS\DDP.EXE
delref {9F2B0085-9218-42A1-88B0-9F0E65851666}\[CLSID]
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {5AA199A0-1CED-43A5-9B85-3226086738A3}\[CLSID]
delref {EA9155A3-8A39-40B4-8963-D3C761B18371}\[CLSID]
delref {DEF03232-9688-11E2-BE7F-B4B52FD966FF}\[CLSID]
delref {EBF00FCB-0769-4B81-9BEC-6C05514111AA}\[CLSID]
delref {BF6C1E47-86EC-4194-9CE5-13C15DCB2001}\[CLSID]
delref {1B1F472E-3221-4826-97DB-2C2324D389AE}\[CLSID]
delref %Sys32%\AUTOWORKPLACE.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {0D012ABD-CEED-11D2-9C76-00105AA73033}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {19916E01-B44E-4E31-94A4-4696DF46157B}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {56A58823-AE99-11D5-B90B-0050DACD1F75}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {E01D1C6A-4F40-11D3-8958-00105A272DCF}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {9E00DD0C-B830-4AB3-E181-D87582508B35}\[CLSID]
delref {E8570839-93FC-4E51-8BF5-AB6C9FE6E550}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\IGFXPPH.DLL
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref {A910D941-9DA9-4656-8933-AA1EAE01F76E}\[CLSID]
delref %Sys32%\ALTTAB.DLL
delref %Sys32%\WDFRES.DLL
delref %Sys32%\RASCLUSTERRES.DLL
delref %Sys32%\QAGENTRT.DLL
delref %SystemRoot%\WINSTORE\WINSTOREUI.DLL
delref %Sys32%\DRIVERS\UMDF\HIDBTHLE.DLL
delref %Sys32%\SYSTEMSETTINGSDATABASE.DLL
delref %Sys32%\LOCATIONNOTIFICATIONS.EXE
delref %Sys32%\SYNCENGINE.DLL
delref %SystemDrive%\PROGRAM FILES\INTERNET EXPLORER\IEDVTOOL.DLL
delref %Sys32%\NAPIPSEC.DLL
delref %SystemRoot%\FILEMANAGER\FILEMANAGERAPP.DLL
delref %Sys32%\WINDOWS.DEVICES.GEOLOCATION.DLL
delref %SystemRoot%\FILEMANAGER\DATAMODEL.DLL
delref %Sys32%\MSSHA.DLL
delref %Sys32%\GEOFENCEMONITORSERVICE.DLL
delref %Sys32%\WINDOWSANYTIMEUPGRADERESULTS.EXE
delref %Sys32%\DHCPQEC.DLL
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %SystemRoot%\INF\UNREGMP2.EXE
delref %Sys32%\BLANK.HTM
delref {472083B0-C522-11CF-8763-00608CC02F24}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\MCAFEE\VIRUSS~1\MCCTXMNU.DLL
delref %Sys32%\IGFXSRVC.EXE
delref %SystemDrive%\PROGRAM FILES\MCAFEE\MPS\MPSEVH.DLL
delref %SystemDrive%\PROGRAM FILES\MCAFEE\VIRUSS~1\MCODSPS.DLL
delref %SystemDrive%\PROGRAM FILES\MCAFEE\VIRUSS~1\MCODSSHM.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\MCAFEE\VIRUSS~1\MVSVER.DLL
delref %SystemDrive%\PROGRAM FILES\MCAFEE\VIRUSS~1\VSANNPS.DLL
delref %SystemDrive%\PROGRAM FILES\MCAFEE\VIRUSS~1\MVSSCAN.DLL
delref %SystemDrive%\PROGRAM FILES\MCAFEE\VIRUSS~1\MCVSMAP.EXE
delref %Sys32%\IGFXDO.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
delref %Sys32%\IGFXTMM.DLL
delref %SystemDrive%\PROGRAM FILES\MCAFEE\MPS\MPSCFG.DLL
delref %SystemDrive%\PROGRAM FILES\MCAFEE\VIRUSS~1\MCQTAX.DLL
delref %SystemDrive%\PROGRAM FILES\MCAFEE\VIRUSS~1\MVSAP.DLL
delref %SystemDrive%\PROGRAM FILES\MCAFEE\VIRUSS~1\MCOASSHM.DLL
delref %SystemDrive%\PROGRAM FILES\MCAFEE\VIRUSS~1\MCVSPS.DLL
delref %SystemDrive%\PROGRAM FILES\MCAFEE\MPS\MPSMISP.DLL
delref %Sys32%\IGFXDEV.DLL
delref %SystemDrive%\PROGRAM FILES\MCAFEE\VIRUSS~1\MVSLOG.DLL
delref %Sys32%\IGFXCFG.EXE
delref %Sys32%\TETHERINGSETTINGHANDLER.DLL
delref %SystemDrive%\PROGRAM FILES\MCAFEE\VIRUSS~1\VSANN.DLL
delref %Sys32%\QUICKACTIONSPS.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\MCAFEE\VIRUSS~1\MCVSOCFG.DLL
delref %Sys32%\IGFXSRVC.DLL
delref %SystemDrive%\PROGRAM FILES\MCAFEE\VIRUSS~1\MCAVTSUB.DLL
delref %SystemDrive%\PROGRAM FILES\MCAFEE\VIRUSS~1\ESCNPLUG.DLL
delref %Sys32%\CHTADVANCEDDS.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\AVG\AV\TUNEUP\TUMICR~1.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\PERCEPTIONSIMULATIONEXTENSIONS.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\MCAFEE\PLATFORM\PLATFORMSERVICEFWPS.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MCAFEE\PLATFORM\MCSVCHOST\MCSVHVER.DLL
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL
delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref {041CA328-918A-4EB9-BBC0-525BB3E5B535}\[CLSID]
delref {0A049974-8D00-4CB3-A29C-4C3E57DF70D4}\[CLSID]
delref {24963A9E-91CF-4311-A38C-5B06176CF9BE}\[CLSID]
delref {29B61B66-5296-4B11-17C4-55D08FC3BC46}\[CLSID]
delref {2A5D2C17-4836-4BBE-897F-64167A9101EB}\[CLSID]
delref {33440053-B280-46C5-A059-F6A53F572DEA}\[CLSID]
delref {397125CE-7F77-4681-BD4D-38CC901EBE07}\[CLSID]
delref {3AEA518F-9937-4666-8255-2E17AA5A7F6E}\[CLSID]
delref {443889B2-D4BC-4798-B959-0B0C0F98CD48}\[CLSID]
delref {470E238A-55D2-419B-B59C-673D10F0E51B}\[CLSID]
delref {5D8D0F2D-366E-4C7A-913E-6218427F73C8}\[CLSID]
delref {5FA472A5-764D-4C84-9F1E-65B4E5C77806}\[CLSID]
delref {5FAB84B8-F777-45C0-A23A-A7074432A2B9}\[CLSID]
delref {6220FB26-353D-4F22-9E8B-2CAA1B1A5211}\[CLSID]
delref {66773B6C-36E3-4DE7-A85F-CE8A9384E1F4}\[CLSID]
delref {6C4F64E2-D7CE-4748-EB70-C911BABCED46}\[CLSID]
delref {6CBA35E8-8B69-4E19-999E-3F0B031F40A5}\[CLSID]
delref {72CABA3A-6910-4496-BE2D-B3E2A464B5FC}\[CLSID]
delref {738D41D7-6A68-4392-A45E-7C33F97E5892}\[CLSID]
delref {77E65655-CE52-4AA0-B431-1ABED0D9A59C}\[CLSID]
delref {8151E923-BAE1-4C40-9A7D-1E8BBFB438F7}\[CLSID]
delref {8CDED1B0-51CA-497F-B668-36BE9CFA10A9}\[CLSID]
delref {8E39EBE3-185C-40DC-88D7-D3285CFF07B2}\[CLSID]
delref {8FFD065E-D5BC-4DD5-AFC8-129521D881E8}\[CLSID]
delref {93116F62-CDA5-4DBA-9ACF-04E123A7A187}\[CLSID]
delref {956EE757-03D1-4605-AB4D-61E12447914F}\[CLSID]
delref {9B162141-8C4B-47B8-B0A4-678026ADB884}\[CLSID]
delref {AAF93162-F338-41CB-BB5F-4115BDA972FB}\[CLSID]
delref {AD7BA4D6-DE06-4D5D-BA2B-E1FD7BEE1E8F}\[CLSID]
delref {B2BB9F5E-D8CC-46FC-A268-6DD618B04536}\[CLSID]
delref {B5B27B9D-BDFC-4645-9AA5-33A8008E3860}\[CLSID]
delref {B738032D-77A3-443B-B7FB-BAD755CBB314}\[CLSID]
delref {BC36B832-F27B-4EF0-8088-D8819816780C}\[CLSID]
delref {C58EAE54-E2CB-40E7-8002-6AF278550928}\[CLSID]
delref {C8804369-9983-48B4-ACED-DB6C44418EA4}\[CLSID]
delref {D4FA53A5-1BCD-46B8-A843-5550D131F9DE}\[CLSID]
delref {E6402EA8-4038-4C52-8510-80043BA72857}\[CLSID]
delref {E6D8014F-6818-412D-9975-469DC45A7FD1}\[CLSID]
delref {FE341F2F-1296-4C20-82C0-E6EC54F4D8B7}\[CLSID]
;-------------------------------------------------------------

restart
    перезагрузка, пишем о старых и новых проблемах.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
    Share on Google+
  • ukh255ukh255
    PM
    а что тогда на флэшке? http://rgho.st/86nyhhBz4
    просто настораживает
    собственно клиент обратился именно с проблемой по поводу банка: во время работы в банковской программе возникали проблемы с подписанием + зависала сессия в браузере
    Share on Google+
  • safetysafety
    отредактировано May 2018 PM
    похоже, что какое то средство криптографии, с автозапуском.

    F:\START.EXE
    Файл был чист на момент проверки.
    Company InfoCrypt
    http://www.infocrypt.ru/

    а в autorun.inf прописан запуск этой программы

    Полное имя F:\autorun.INF
    Имя файла autorun.INF
    Тек. статус ПОДОЗРИТЕЛЬНЫЙ АВТОРАНОВЫЙ

    Сохраненная информация на момент создания образа
    Статус ПОДОЗРИТЕЛЬНЫЙ АВТОРАНОВЫЙ
    Размер 160 байт
    Создан 01.01.1980 в 00:00:00
    Изменен 23.12.2015 в 18:58:42
    Цифр. подпись Отсутствует либо ее не удалось проверить

    Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
    Автозапуск AUTORUN.INF в корне диска [типично для авторановых вирусов]

    Доп. информация на момент обновления списка
    SHA1 4D66A91F427959850DA0F8D66DEEC342A825ED8B
    MD5 4137DB9220A00AD4629CA511EA304586

    #FILE# [autorun]
    open="start.exe"
    label=Infocrypt HWDSSL
    action=Run Infocrypt HWDSSL
    shell\open=Run Infocrypt HWDSSL
    shell\open\Command="start.exe"
    UseAutoPlay=1

    Ссылки на объект
    Ссылка F:\autorun.inf

    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
    Share on Google+
  • safetysafety
    PM
    единственно, указано, что цифровая подпись файла устарела

    Действительна, однако сертификат УСТАРЕЛ
    Company InfoCrypt
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
    Share on Google+
  • ukh255ukh255
    PM
    050 ювс http://rgho.st/8XjfPNwjG
    Share on Google+
  • safetysafety
    отредактировано May 2018 PM
    по 050:

    выполняем скрипт в uVS из файла:

    файл скрипта скачайте отсюда:
    http://rgho.st/private/7t2sGjcMx/d4e77539b599f5be8d329ef36b1e0610

    - закрываем все браузеры перед выполнением скрипта;
    - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из файла;
    при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
    перезагрузка, пишем о старых и новых проблемах.
    далее,
    сделайте дополнительно быструю проверку системы в малваребайт
    http://forum.esetnod32.ru/forum9/topic10688/

    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
    Share on Google+
  • ukh255ukh255
    PM
    мбам http://rgho.st/6D6WxlcWF
    Share on Google+
  • safetysafety
    отредактировано May 2018 PM
    система конечно замусорена.

    в мбам можно оставить записи с DriverPack
    например:
    PUP.Optional.DriverPack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\DRIVERPACK NOTIFIER, Проигнорировано пользователем, [876], [358061],1.0.5110

    остальное удаляем.
    далее, сделать проверку в AdwCleaner
    http://forum.esetnod32.ru/forum9/topic7084/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
    Share on Google+
  • ukh255ukh255
    PM
    http://rgho.st/6ZDHbsttn
    Share on Google+
Войдите или Зарегистрируйтесь чтобы комментировать.