В данном разделе выполняем скрипты лечения и рекомендации только от специалистов нашего форума: rp55rp55, safety, Vvvyg, Arkalik, ZloyDi, Гризлик

ЕВГЕНИЙ: Плановая проверка

189101113

Комментарии

  • все найденное в Адвклинере удалить, + еще сделать логи FRST для окончательной зачистки
    http://forum.esetnod32.ru/forum9/topic2798/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
    GroupPolicy: Restriction ? <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
    CHR Profile: C:\Users\Елена\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2020-06-13] <==== ATTENTION
    hxxp://www.trotux.com/search/?q={searchTerms}&z=e6ef0d53866de79cdf4a634gbzdmbbdzcmfweb0e4o&from=qca&uid=SAMSUNGXHD160HJ_S0D4J1KPB01000&type=sp
    CHR DefaultSearchKeyword: ChromeDefaultData -> trotux
    S2 ed2kidle; "C:\Program Files (x86)\amuleC\ed2k.exe" -downloadwhenidle [X] <==== ATTENTION
    EmptyTemp:
    Reboot:
    
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано February 2021 PM
    по 098:

    выполняем скрипт в uVS:
    - скопировать содержимое кода в буфер обмена;
    - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
    - закрываем все браузеры перед выполнением скрипта;
    при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
    
    ;uVS v4.11.3 [http://dsrt.dyndns.org:8888]
    ;Target OS: NTv6.3
    v400c
    OFFSGNSAVE
    ;------------------------autoscript---------------------------
    
    deldirex %SystemDrive%\USERS\USER\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER
    
    delall %SystemDrive%\PROGRAM FILES (X86)\MAIL.RU\MAILRUUPDATER\MAILRUUPDATER.EXE
    delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\MAIL.RU\UPDATE SERVICE\MRUPDSRV.EXE
    delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC
    delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIAKDDMMLEDECLCODPBGEBFKHEGAADDGE%26INSTALLSOURCE%3DONDEMAND%26UC
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC
    delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCPEGCOPCFAJIIIBIDLAELHJJBLPEFBJK%26INSTALLSOURCE%3DONDEMAND%26UC
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDLAGKJOCHBKKFMCGOFJLIPNJNEAHKFJN%26INSTALLSOURCE%3DONDEMAND%26UC
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DKMIBFMMIKHBOMJCIHHMFNDLDKOLOMDPM%26INSTALLSOURCE%3DONDEMAND%26UC
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DODIJCGAFKHPOBJLNFDGIACPDENPMBGME%26INSTALLSOURCE%3DONDEMAND%26UC
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOHEDCGLHBBFDGAOGJHCCLACOCCBAGKJG%26INSTALLSOURCE%3DONDEMAND%26UC
    delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPBEFKDCNDNGODFEIGFDGIODGNMBGCFHA%26INSTALLSOURCE%3DONDEMAND%26UC
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPHKDCINMMLJBLPNKOHLIPAIODLONPINF%26INSTALLSOURCE%3DONDEMAND%26UC
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPMPOAAHLECCAIBBHFJFIMIGEPMFMMBBK%26INSTALLSOURCE%3DONDEMAND%26UC
    apply
    
    regt 27
    
    deltmp
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.2\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.2\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\GOOGLEUPDATEBROKER.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
    ;-------------------------------------------------------------
    
    restart
    
    перезагрузка, пишем о старых и новых проблемах.
    далее,
    сделайте дополнительно быструю проверку системы в малваребайт
    http://forum.esetnod32.ru/forum9/topic10688/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
    AlternateDataStreams: C:\Users\user:id [32]
    HKU\S-1-5-21-2995023755-1585106644-384992077-1001\...\MountPoints2: {03706c66-8f9a-11e4-8269-dc85ded88c64} - "F:\AutoRun.exe" 
    HKU\S-1-5-21-2995023755-1585106644-384992077-1001\...\MountPoints2: {0ac48111-be16-11e9-8327-54a050ae4e4b} - "F:\start.exe" 
    HKU\S-1-5-21-2995023755-1585106644-384992077-1001\...\MountPoints2: {0ac48248-be16-11e9-8327-54a050ae4e4b} - "F:\start.exe" 
    HKU\S-1-5-21-2995023755-1585106644-384992077-1001\...\MountPoints2: {11f6d47b-a445-11e9-831f-54a050ae4e4b} - "F:\start.exe" 
    HKU\S-1-5-21-2995023755-1585106644-384992077-1001\...\MountPoints2: {25d8d525-fba6-11e9-833c-54a050ae4e4b} - "F:\start.exe" 
    HKU\S-1-5-21-2995023755-1585106644-384992077-1001\...\MountPoints2: {3c5d82ed-85cc-11e9-8319-54a050ae4e4b} - "F:\start.exe" 
    HKU\S-1-5-21-2995023755-1585106644-384992077-1001\...\MountPoints2: {42410c3e-d02a-11e4-826c-dc85ded88c64} - "F:\AutoRun.exe" 
    HKU\S-1-5-21-2995023755-1585106644-384992077-1001\...\MountPoints2: {4971f196-80d5-11e9-8319-54a050ae4e4b} - "G:\start.exe" 
    HKU\S-1-5-21-2995023755-1585106644-384992077-1001\...\MountPoints2: {4ab33b60-f774-11e4-826f-dc85ded88c64} - "F:\AutoRun.exe" 
    HKU\S-1-5-21-2995023755-1585106644-384992077-1001\...\MountPoints2: {4f48ef68-09e3-11e5-8270-dc85ded88c64} - "F:\AutoRun.exe" 
    HKU\S-1-5-21-2995023755-1585106644-384992077-1001\...\MountPoints2: {50603497-ec81-11e5-8281-54a050ae4e4b} - "F:\AutoRun.exe" 
    HKU\S-1-5-21-2995023755-1585106644-384992077-1001\...\MountPoints2: {581c1273-a950-11e5-8279-54a050ae4e4b} - "F:\AutoRun.exe" 
    HKU\S-1-5-21-2995023755-1585106644-384992077-1001\...\MountPoints2: {632cc7b6-25e6-11ea-8348-54a050ae4e4b} - "F:\start.exe" 
    HKU\S-1-5-21-2995023755-1585106644-384992077-1001\...\MountPoints2: {6c98bdb5-8ad9-11e6-8288-54a050ae4e4b} - "F:\AutoRun.exe" 
    HKU\S-1-5-21-2995023755-1585106644-384992077-1001\...\MountPoints2: {6e506657-a368-11e9-831f-54a050ae4e4b} - "F:\start.exe" 
    HKU\S-1-5-21-2995023755-1585106644-384992077-1001\...\MountPoints2: {7e63903e-9711-11e9-831c-54a050ae4e4b} - "F:\HiSuiteDownLoader.exe" 
    HKU\S-1-5-21-2995023755-1585106644-384992077-1001\...\MountPoints2: {84ede564-b68c-11e4-826b-dc85ded88c64} - "F:\AutoRun.exe" 
    HKU\S-1-5-21-2995023755-1585106644-384992077-1001\...\MountPoints2: {8ceff443-5c82-11e4-8259-dc85ded88c64} - "F:\BELOFF.exe" 
    HKU\S-1-5-21-2995023755-1585106644-384992077-1001\...\MountPoints2: {9a677646-8e6f-11e9-831c-54a050ae4e4b} - "F:\start.exe" 
    HKU\S-1-5-21-2995023755-1585106644-384992077-1001\...\MountPoints2: {9ddfe42c-35c4-11e5-8270-dc85ded88c64} - "F:\AutoRun.exe" 
    HKU\S-1-5-21-2995023755-1585106644-384992077-1001\...\MountPoints2: {a7025aec-6d5c-11e4-8260-dc85ded88c64} - "F:\AutoRun.exe" 
    HKU\S-1-5-21-2995023755-1585106644-384992077-1001\...\MountPoints2: {abd9b4f4-cdb8-11e8-82f5-1e497bb954c6} - "F:\HiSuiteDownLoader.exe" 
    HKU\S-1-5-21-2995023755-1585106644-384992077-1001\...\MountPoints2: {b1c6cfc2-9ccd-11e5-8279-54a050ae4e4b} - "F:\AutoRun.exe" 
    HKU\S-1-5-21-2995023755-1585106644-384992077-1001\...\MountPoints2: {c8fb3597-8b1f-11e9-831b-54a050ae4e4b} - "F:\start.exe" 
    HKU\S-1-5-21-2995023755-1585106644-384992077-1001\...\MountPoints2: {cd4d8d05-5c8a-11e4-825b-dc85ded88c64} - "F:\AutoRun.exe" 
    HKU\S-1-5-21-2995023755-1585106644-384992077-1001\...\MountPoints2: {d7a2a18a-4a6f-11e7-82a0-54a050ae4e4b} - "G:\SISetup.exe" 
    HKU\S-1-5-21-2995023755-1585106644-384992077-1001\...\MountPoints2: {df63bc95-b75c-11ea-8369-54a050ae4e4b} - "F:\start.exe" 
    HKU\S-1-5-21-2995023755-1585106644-384992077-1001\...\MountPoints2: {e14e7442-b4cd-11e9-8323-54a050ae4e4b} - "F:\start.exe" 
    HKU\S-1-5-21-2995023755-1585106644-384992077-1001\...\MountPoints2: {e403dda4-659e-11e4-825f-dc85ded88c64} - "F:\AutoRun.exe" 
    HKU\S-1-5-21-2995023755-1585106644-384992077-1001\...\MountPoints2: {e403ddf2-659e-11e4-825f-dc85ded88c64} - "F:\AutoRun.exe" 
    HKU\S-1-5-21-2995023755-1585106644-384992077-1001\...\MountPoints2: {ec57b284-251e-11e5-8270-dc85ded88c64} - "F:\AutoRun.exe" 
    GroupPolicy: Restriction ? <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    GroupPolicyScripts: Restriction <==== ATTENTION
    Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
    Policies: C:\Users\Все пользователи\NTUSER.pol: Restriction <==== ATTENTION
    HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    EmptyTemp:
    Reboot:
    
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • по 099:

    ничего особенного нет в образе

    выполняем скрипт в uVS:
    - скопировать содержимое кода в буфер обмена;
    - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
    - закрываем все браузеры перед выполнением скрипта;
    при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
    
    ;uVS v4.11.6 [http://dsrt.dyndns.org:8888]
    ;Target OS: NTv10.0
    v400c
    OFFSGNSAVE
    ;------------------------autoscript---------------------------
    
    apply
    
    deltmp
    delref %SystemDrive%\PROGRAMDATA\KMSAUTOS\KMSAUTO NET.EXE
    delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE15\OLICENSEHEARTBEAT.EXE
    delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
    delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
    delref %SystemRoot%\SYSWOW64\GPSVC.DLL
    delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
    delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
    delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
    delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
    delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
    delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
    delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
    delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
    delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
    delref %SystemRoot%\SYSWOW64\DOSVC.DLL
    delref %SystemRoot%\SYSWOW64\DRIVERS\VMBUSR.SYS
    delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
    delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
    delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
    delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS
    delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
    delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS
    delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
    delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
    delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
    delref %SystemRoot%\SYSWOW64\LSM.DLL
    delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS
    delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
    delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
    delref {19916E01-B44E-4E31-94A4-4696DF46157B}\[CLSID]
    delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
    delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
    delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
    delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
    delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
    delref %SystemRoot%\SYSWOW64\IE4UINIT.EXE
    delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\58.0.3029.81\INSTALLER\CHRMSTP.EXE
    delref %SystemRoot%\SYSWOW64\BLANK.HTM
    delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
    delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
    delref {BBACC218-34EA-4666-9D7A-C78F2274A524}\[CLSID]
    delref {5AB7172C-9C11-405C-8DD5-AF20F3606282}\[CLSID]
    delref {A78ED123-AB77-406B-9962-2A5D9D2F7F30}\[CLSID]
    delref {F241C880-6982-4CE5-8CF7-7085BA96DA5A}\[CLSID]
    delref {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E}\[CLSID]
    delref {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4}\[CLSID]
    delref %Sys32%\DRIVERS\VMBUSR.SYS
    delref %Sys32%\BLANK.HTM
    delref HELPSVC\[SERVICE]
    delref SACSVR\[SERVICE]
    delref TBS\[SERVICE]
    delref VMMS\[SERVICE]
    delref MESSENGER\[SERVICE]
    delref RDSESSMGR\[SERVICE]
    delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\V8_6EAD_14.TMP
    delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\V8_7EC3_16.TMP
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.72\PSMACHINE_64.DLL
    delref %Sys32%\MSMIRADISP.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.18\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE_64.DLL
    delref %Sys32%\TETHERINGSETTINGHANDLER.DLL
    delref %Sys32%\CONNECTEDSTORAGESERVICE.PROXYSTUB.DLL
    delref %Sys32%\QUICKACTIONSPS.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE.DLL
    delref %SystemRoot%\SYSWOW64\TAPILUA.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL
    delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.72\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE.DLL
    delref %SystemRoot%\SYSWOW64\MAPSCSP.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.18\PSMACHINE.DLL
    delref %SystemRoot%\SYSWOW64\LISTSVC.DLL
    delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
    delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\GOOGLEUPDATEBROKER.EXE
    delref %SystemRoot%\SYSWOW64\CONNECTEDSTORAGESERVICE.PROXYSTUB.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
    delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL
    delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL
    delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
    delref D:\START.EXE
    ;-------------------------------------------------------------
    
    restart
    
    перезагрузка, пишем о старых и новых проблемах.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • обновления висят в автозапуске для принтера:
    Полное имя C:\TEMP\E_S477A.TMP
    Имя файла E_S477A.TMP
    Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске

    www.virustotal.com 2020-08-04 11:21 [2011-04-18]
    - Файл был чист на момент проверки.

    Удовлетворяет критериям
    RUN NOT SIGN FILE FROM CV (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]

    Сохраненная информация на момент создания образа
    Статус в автозапуске
    Размер 130 байт
    Создан 25.07.2018 в 16:39:28
    Изменен 25.07.2018 в 16:39:28
    Цифр. подпись Отсутствует либо ее не удалось проверить

    Доп. информация на момент обновления списка
    Файл C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\E_FATIGCE.EXE
    SHA1 F35C9871C3B122101C7F4E0E8B6B4A14A1234E80
    MD5 A548555D9E064C0BA843738276939796

    Ссылки на объект
    Ссылка HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run\EPSON SX420W Series
    EPSON SX420W Series C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIGCE.EXE /FU "C:\TEMP\E_S477A.tmp" /EF "HKCU"

    и

    Полное имя
    C:\TEMP\E_S5C68.TMP
    Имя файла E_S5C68.TMP
    Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске [Запускался неявно или вручную]

    Удовлетворяет критериям
    RUN NOT SIGN FILE FROM CV (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]

    Сохраненная информация на момент создания образа
    Статус в автозапуске [Запускался неявно или вручную]
    Размер 150 байт
    Создан 03.02.2021 в 14:41:53
    Изменен 03.02.2021 в 14:41:53
    Цифр. подпись Отсутствует либо ее не удалось проверить

    Доп. информация на момент обновления списка
    Файл C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\E_FATIGCE.EXE
    CmdLine "C:\Windows\System32\spool\drivers\W32X86\3\E_FATIGCE.EXE" /FU "C:\TEMP\E_S5C68.tmp" /EF "HKCU"
    SHA1 A3DB59EA29E2EFF1951A6DB1F5043CD6A2E5D471
    MD5 A5C815D8CFE412A8FF87933D78BA2FF5

    Ссылки на объект
    Ссылка HKEY_USERS\S-1-5-21-2932247877-1471679588-4281362147-500\Software\Microsoft\Windows\CurrentVersion\Run\EPSON SX420W Series (копия 1)
    EPSON SX420W Series (копия 1)C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIGCE.EXE /FU "C:\TEMP\E_S5C68.tmp" /EF "HKCU"
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • по 100:
    выполняем скрипт в uVS:
    - скопировать содержимое кода в буфер обмена;
    - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
    - закрываем все браузеры перед выполнением скрипта;
    при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
    
    ;uVS v4.11.11 [http://dsrt.dyndns.org:8888]
    ;Target OS: NTv6.1
    v400c
    OFFSGNSAVE
    ;------------------------autoscript---------------------------
    
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DINDJGIEBMAKHMNAPLNLNANODKFIEJFJD%26INSTALLSOURCE%3DONDEMAND%26UC
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DODIJCGAFKHPOBJLNFDGIACPDENPMBGME%26INSTALLSOURCE%3DONDEMAND%26UC
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPHKDCINMMLJBLPNKOHLIPAIODLONPINF%26INSTALLSOURCE%3DONDEMAND%26UC
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPMPOAAHLECCAIBBHFJFIMIGEPMFMMBBK%26INSTALLSOURCE%3DONDEMAND%26UC
    delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPBEFKDCNDNGODFEIGFDGIODGNMBGCFHA%26INSTALLSOURCE%3DONDEMAND%26UC
    apply
    
    regt 27
    deltmp
    delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
    delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
    delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
    delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
    delref %Sys32%\BLANK.HTM
    delref %Sys32%\DRIVERS\RDVGKMD.SYS
    delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
    delref {0D012ABD-CEED-11D2-9C76-00105AA73033}\[CLSID]
    delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
    delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
    delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
    delref {56A58823-AE99-11D5-B90B-0050DACD1F75}\[CLSID]
    delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
    delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
    delref {E01D1C6A-4F40-11D3-8958-00105A272DCF}\[CLSID]
    delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
    delref %SystemDrive%\PROGRAM FILES\HEWLETT-PACKARD\SMARTPRINT\QPEXTENSION
    delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
    delref {1B769096-0340-483A-EF57-405CC5EF700E}\[CLSID]
    delref %SystemDrive%\PROGRAM FILES\SKBKONTUR\DIAGPLUGIN\3.0.24.313\KDAXAPI-3.0.24.313.DLL
    delref {4B72DEFD-E647-42E9-A0A4-4D0C098A7A20}\[CLSID]
    delref {6FEAFEE0-33F3-40AA-8E21-87196BE50213}\[CLSID]
    delref {88F5B6EA-6308-4489-C62D-146E18E1D77D}\[CLSID]
    delref {A4FFB426-5796-422D-BBE0-C14D47862E0A}\[CLSID]
    delref {D12F1670-FD69-4BBA-9ED5-4FA5502236B1}\[CLSID]
    delref %SystemDrive%\PROGRAM FILES\SKBKONTUR\DIAGPLUGIN\3.0.24.301\KDAXAPI-3.0.24.301.DLL
    delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
    delref {B1883831-F0D8-4453-8245-EEAAD866DD6E}\[CLSID]
    delref HELPSVC\[SERVICE]
    delref SACSVR\[SERVICE]
    delref VMMS\[SERVICE]
    delref MESSENGER\[SERVICE]
    delref RDSESSMGR\[SERVICE]
    delref %Sys32%\PSXSS.EXE
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.36.82\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.115\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.35.442\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.35.342\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.36.32\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.34.7\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.36.92\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.36.72\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.35.302\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.36.52\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.36.102\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.34.11\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\ADOBE\ACROBAT READER DC\ACRORD32INFO.EXE
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL
    delref %Sys32%\SHAREMEDIACPL.CPL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.35.422\PSMACHINE.DLL
    delref E:\HISUITEDOWNLOADER.EXE
    delref E:\SETUP.EXE
    delref F:\HISUITEDOWNLOADER.EXE
    delref {042C7FDE-E94D-4FC5-8EEA-B021E49B3CED}\[CLSID]
    delref {09032371-EC54-4C0B-B904-43F34ED6B41A}\[CLSID]
    delref {229B652F-593B-42DA-82ED-C60242B0C4D4}\[CLSID]
    delref {280D8B6F-3EE8-4869-9D15-97887810624C}\[CLSID]
    delref {3D470238-E695-4952-9F20-F1FA7BA10BA7}\[CLSID]
    delref {43BB31CC-5EC8-4057-9949-CD29DB0EBDAA}\[CLSID]
    delref {59880048-0F6E-45A9-A4DC-288D0A2D20A6}\[CLSID]
    delref {62E31343-A8CB-4BCF-AFDC-570DF7F3ACEE}\[CLSID]
    delref {6E325D97-8A03-4FE3-97A8-526DEEBA3A05}\[CLSID]
    delref {71DBB151-23EE-4FCF-ABD9-A54A46076EC1}\[CLSID]
    delref {740E50B9-8CDB-4A47-A519-E6F99D97CD4C}\[CLSID]
    delref {815C232C-B348-4360-A665-BDC244F0AC46}\[CLSID]
    delref {8C4B4AD6-639F-4403-A2D3-0FD5FE992477}\[CLSID]
    delref {B394A0B2-63F1-4D5D-97AF-2B03C541CBB1}\[CLSID]
    delref {B41F8FBA-4A2E-47B6-88C8-BC5138F159ED}\[CLSID]
    delref {B6DDB665-A4F2-4243-BF52-4FBAF788E73D}\[CLSID]
    delref {B86E7504-C005-4978-8614-1E273A1CE56B}\[CLSID]
    delref {BA67C579-EAD4-4403-B037-A4468C9DF474}\[CLSID]
    delref {C0BF0C96-6FAC-4481-9FF5-7E3054EE96B4}\[CLSID]
    delref {C1523E89-6401-48DA-A337-98448A3ADFBA}\[CLSID]
    delref {C5DB87BD-6BED-4678-92C6-2E697677DB6E}\[CLSID]
    delref {C799F3A7-810B-4AA8-9EA6-5086A0391DD5}\[CLSID]
    delref {CD6238C4-31F7-457B-9F45-B08DE1C52B4C}\[CLSID]
    delref {D5A7EF84-69A1-4083-880C-71DF0F0213C4}\[CLSID]
    delref {D756A58D-74D9-4D81-AE51-28D8E2F6022F}\[CLSID]
    delref {E0D5ADC5-131E-4AC3-AC61-F062BFC97C09}\[CLSID]
    delref {EDC4631F-3536-4DC7-8BC3-7809E0AA3621}\[CLSID]
    delref {F0B955D8-4DCA-4A53-8588-A558D9B41034}\[CLSID]
    delref {F85D1EE4-CA44-41CF-8A38-9B11F6A8639C}\[CLSID]
    delref {FC701DA3-6761-42ED-867E-7E64A93905EB}\[CLSID]
    delref {FDC93F45-E819-464B-A1EC-A6202B206407}\[CLSID]
    delref D:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
    ;-------------------------------------------------------------
    
    restart
    
    перезагрузка, пишем о старых и новых проблемах.
    далее,
    сделайте дополнительно быструю проверку системы в малваребайт
    http://forum.esetnod32.ru/forum9/topic10688/
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • такой еще лог сделайте:

    Скачайте специальную утилиту ESETSysVulnCheck по ссылке (скачивать необходимо в IE)

    https://ftp.eset.sk/samples/svchecker/ESETSysVulnCheck.exe

    и запустите её от имени администратора. После окончания работы утилиты в папке, откуда была запущенна сама утилита, появится лог - файл вида "SysVulnCheck_out.zip". Пришлите его также нам на анализ.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано May 2022 PM
    по логу ESVC:

    Vulnerable SMBv1 protocol is enabled. To disable it, please check "How to remove SMBv1" at:
    https://docs.microsoft.com/en-us/windows-server/storage/file-server/troubleshoot/detect-enable-and-disable-smbv1-v2-v3#how-to-remove-smbv1

    The following critical patches are missing:
    - CVE-2019-0708, codename "BlueKeep" (https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708)

    Kaspersky Internet Security установлен, можно через правила фаервола так же ограничить ip адреса, которые могут подключаться к UTM
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • Два антивирусных продукта установлены: Avast Free Antivirus и Kaspersky Security Cloud. Оба активны. Нет конфликта приложений?
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано November 2022 PM
    скрипт для uVS.
    ;uVS v4.12.2 [http://dsrt.dyndns.org:8888]
    ;Target OS: NTv10.0
    v400c
    OFFSGNSAVE
    ;------------------------autoscript---------------------------
    
    delref E:\SISETUP.EXE
    delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLDGPJDIADOMHINPIMGCHMEEMBBGOJNJK%26INSTALLSOURCE%3DONDEMAND%26UC
    apply
    
    deltmp
    delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE15\OLICENSEHEARTBEAT.EXE
    delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
    delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
    delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
    delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
    delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
    delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
    delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
    delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
    delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
    delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
    delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY SECURITY CLOUD 21.3\FFEXT\LIGHT_PLUGIN_FIREFOX\ADDON.XPI
    delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
    delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
    delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
    delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\CISCO\CISCO LEAP MODULE\CISCOEAPLEAP.DLL
    delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\OFFICE16\MSOETWRES.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\CISCO\CISCO EAP-FAST MODULE\CISCOEAPFAST.DLL
    delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\OFFICE16\WWLIB.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\CISCO\CISCO PEAP MODULE\CISCOEAPPEAP.DLL
    delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\VFS\PROGRAMFILESCOMMONX64\MICROSOFT SHARED\OFFICE16\MSO.DLL
    delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
    delref %Sys32%\BLANK.HTM
    delref APPMGMT\[SERVICE]
    delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
    delref HELPSVC\[SERVICE]
    delref SACSVR\[SERVICE]
    delref TBS\[SERVICE]
    delref VMMS\[SERVICE]
    delref BROWSER\[SERVICE]
    delref MESSENGER\[SERVICE]
    delref RDSESSMGR\[SERVICE]
    delref IRENUM\[SERVICE]
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.155.77\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.163.19\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.169.31\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.122\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES\MCAFEE\MFEAV\MCODSSHM.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.53\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.165.21\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.155.85\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES\MCAFEE\MFEAV\MCVSMAP.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.161.35\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.153.57\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.112\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.167.21\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES\MCAFEE\MFEAV\MCOASSHM.DLL
    delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MCAFEE\PLATFORM\MSM\MCSMTSTR.DLL
    delref %SystemDrive%\PROGRAM FILES\MCAFEE\MFEAV\MVSLOG.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.153.47\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.132\PSMACHINE_64.DLL
    delref %Sys32%\TETHERINGSETTINGHANDLER.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.151.27\PSMACHINE_64.DLL
    delref %Sys32%\QUICKACTIONSPS.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.153.53\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.157.61\PSMACHINE_64.DLL
    delref %Sys32%\VAILAUDIOPROXY.EXE
    delref %SystemDrive%\PROGRAM FILES\TRICERAT\SIMPLIFY PRINTING\SCREWDRIVERS CLIENT V6\CLIENT CONTROL PANEL.EXE 
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.153.55\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
    delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE
    delref %SystemRoot%\SYSWOW64\TAPILUA.DLL
    delref %SystemRoot%\SYSWOW64\UPDATEDEPLOYMENTPROVIDER.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.155.77\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.163.19\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.169.31\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.122\PSMACHINE.DLL
    delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\U0361441.INF_AMD64_122C374E035E7595\B361368\AMDHWDECODER_32.DLL
    delref %SystemRoot%\SYSWOW64\PERCEPTIONSIMULATIONEXTENSIONS.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.53\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.165.21\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.155.85\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\MCAFEE\PLATFORM\MCBR3264.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.161.35\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.153.57\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.112\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.167.21\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.153.47\PSMACHINE.DLL
    delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SAPI_EXTENSIONS.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.132\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MCAFEE\PLATFORM\MCSVCHOST\MCSVHVER.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\GOOGLEUPDATEBROKER.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.151.27\PSMACHINE.DLL
    delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\U0361441.INF_AMD64_122C374E035E7595\B361368\AMDH264ENC32.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.153.53\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.157.61\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.153.55\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
    ;-------------------------------------------------------------
    
    restart
    
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • отредактировано February 2023 PM
    по 103:
    выполняем скрипт в uVS:
    - скопировать содержимое кода в буфер обмена;
    - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
    - закрываем все браузеры перед выполнением скрипта;
    
    ;uVS v4.13 [http://dsrt.dyndns.org:8888]
    ;Target OS: NTv10.0
    v400c
    OFFSGNSAVE
    del %Sys32%\TASKS\MICROSOFT\MSSQL
    ;------------------------autoscript---------------------------
    
    delall %SystemRoot%\DEBUG\OK.DAT
    delref S.DAT
    delall %SystemRoot%\DEBUG\ITEM.DAT
    delref HTTP://WMI.0810BYE.RU:8080/POWER.TXT')||POWERSHELL.EXE
    deltsk %Sys32%\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE
    delwmi %Sys32%\CMD.EXE
    zoo %SystemRoot%\TEMP\CONHOY.EXE
    addsgn 9252771A557AC1CC0B44514E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5FC202ADA4D985CC8F 8 Generik.CFYXIIL 7
    
    zoo %SystemRoot%\INF\ASPNET\LSMA22.EXE
    addsgn A1BA20CF1DE779A75A3251F9E97612F58275B47B0EFEB114853CF57B502E919226479466E5645401A84D7B77161649FA7C049C70A6193B3265F44AD3D6DDA865 8 Win64/CoinMiner.AAP 7
    
    chklst
    delvir
    
    delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC
    delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPBCGCPEIFKDJIJDJAMBAAKMHHPKFGOEC%26INSTALLSOURCE%3DONDEMAND%26UC
    delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGNDELHFHCFBDHNDFPCINEBIJFCJPMPEC%26INSTALLSOURCE%3DONDEMAND%26UC
    apply
    
    deltmp
    delref %SystemDrive%\USERS\АПТЕКА\APPDATA\LOCAL\DOWNLOAD STUDIO\DATA\DHT.DAT
    delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
    delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
    delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
    delref %SystemDrive%\USERS\АПТЕКА\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\ONEDRIVESTANDALONEUPDATER.EXE
    delref %SystemRoot%\SYSWOW64\GPSVC.DLL
    delref %SystemRoot%\SYSWOW64\VID.DLL
    delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
    delref %SystemRoot%\SYSWOW64\WEVTSVC.DLL
    delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
    delref %SystemRoot%\SYSWOW64\APPVETWCLIENTRES.DLL
    delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
    delref %SystemRoot%\SYSWOW64\W32TIME.DLL
    delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
    delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
    delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
    delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
    delref %SystemRoot%\SYSWOW64\DRIVERS\DXGMMS2.SYS
    delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
    delref %SystemRoot%\SYSWOW64\DRIVERS\WINNAT.SYS
    delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
    delref %SystemRoot%\SYSWOW64\DRIVERS\VMBUSR.SYS
    delref %SystemRoot%\SYSWOW64\BTHSERV.DLL
    delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
    delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
    delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
    delref %SystemRoot%\SYSWOW64\DRIVERS\SMBDIRECT.SYS
    delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS
    delref %SystemRoot%\SYSWOW64\DRIVERS\REFS.SYS
    delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
    delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS
    delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
    delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
    delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
    delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL
    delref %SystemRoot%\SYSWOW64\LSM.DLL
    delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS
    delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
    delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
    delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
    delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
    delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
    delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
    delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
    delref %SystemRoot%\SYSWOW64\IE4USHOWIE.EXE
    delref %SystemRoot%\SYSWOW64\IE4UINIT.EXE
    delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
    delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID]
    delref %SystemRoot%\SYSWOW64\BLANK.HTM
    delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
    delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
    delref %Sys32%\DRIVERS\VMBUSR.SYS
    delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
    delref %Sys32%\BLANK.HTM
    delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
    delref HELPSVC\[SERVICE]
    delref SACSVR\[SERVICE]
    delref TBS\[SERVICE]
    delref VMMS\[SERVICE]
    delref MESSENGER\[SERVICE]
    delref RDSESSMGR\[SERVICE]
    delref F:\EPRICA\XFP.SYS
    delref IRENUM\[SERVICE]
    delref H:\SISETUP.EXE
    ;-------------------------------------------------------------
    
    restart
    czoo
    
    перезагрузка, пишем о старых и новых проблемах.
    далее,
    сделайте дополнительно быструю проверку системы в малваребайт
    http://forum.esetnod32.ru/forum9/topic10688/
    +
    добавить новый образ автозапуска для контроля.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • норм, не восстановился майнер, можно в AdwCleaner проверку сделать:
    https://forum.esetnod32.ru/forum9/topic7084/
    и постоянную антивирусную защиту установить.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • ukh255 написал: »

    Сегодня, 28.02.2023 19:09:09 Обнаружен вредоносный объект SQL Server Windows NT - 64 Bit sqlservr.exe C:\Program Files\Microsoft SQL Server\MSSQL15.SQLEXPRESS\MSSQL\Binn\sqlservr.exe C:\Program Files\Microsoft SQL Server\MSSQL15.SQLEXPRESS\MSSQL\Binn 4316 *** Активный пользователь Обнаружено Обнаружено HEUR:Exploit.MSIL.Inpat.gen Троянская программа Высокая Эвристический анализ uid:/amsi_stream_4 amsi_stream_4 uid:// Файл Машинное обучение
    Возможно есть вредоносные скрипты в базе MS SQL, которые запускаются по расписанию.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • ukh255 написал: »

    здесь чисто.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
  • safety написал: »
    ukh255 написал: »

    Сегодня, 28.02.2023 19:09:09 Обнаружен вредоносный объект SQL Server Windows NT - 64 Bit sqlservr.exe C:\Program Files\Microsoft SQL Server\MSSQL15.SQLEXPRESS\MSSQL\Binn\sqlservr.exe C:\Program Files\Microsoft SQL Server\MSSQL15.SQLEXPRESS\MSSQL\Binn 4316 *** Активный пользователь Обнаружено Обнаружено HEUR:Exploit.MSIL.Inpat.gen Троянская программа Высокая Эвристический анализ uid:/amsi_stream_4 amsi_stream_4 uid:// Файл Машинное обучение
    Возможно есть вредоносные скрипты в базе MS SQL, которые запускаются по расписанию.

    по 103 сделайте еще такой лог:
    "SysVulnCheck_out.zip" (лог, созданный в программе ESETSysVulbCheck)

    Скачайте специальную утилиту ESETSysVulnCheck[/B] по ссылке (скачивать необходимо в IE)
    https://ftp.eset.sk/samples/svchecker/ESETSysVulnCheck.exe

    и запустите её от имени администратора. После окончания работы утилиты в папке, откуда была запущенна сама утилита, появится лог - файл вида "SysVulnCheck_out.zip". Пришлите его также нам на анализ.
    Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.