ЕВГЕНИЙ: Плановая проверка

ukh255 · December 2016

переделал лог http://rgho.st/8SghY2PNp

safety · December 2016

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"


;uVS v3.87.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v388c
OFFSGNSAVE
zoo %SystemDrive%\USERS\ДЕНИС\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1AA78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian

;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://SEARCH.CONDUIT.COM/RESULTS.ASPX?CTID=CT3320691&OCTID=EB_ORIGINAL_CTID&SEARCHSOURCE=58&CUI=&UM=4&UP=SPAE4413B4-BF81-4C8B-A10E-1069C25B5E5A&Q={SEARCHTERMS}&SSPV=T21020A_SP_IE

delref %SystemDrive%\PROGRAM FILES (X86)\LIVESUPPORT\LIVESUPPORT.EXE

regt 27
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.

далее,
выполните сканирование (угроз) в Malwarebytes

ukh255 · December 2016

027 ювс http://rgho.st/6mTLRZZHB
проблема - у клиента что-то (или кто-то) жутко качает трафик - в день по 600-700 метров.
модем ростелекомовский - сбрасывали настройки и настраивали с чистого листа / пароль меняли / вайфай и впс вообще не включены на модеме - все вышеперечисленное не помогло
к модему подключены только комп и касса
особое внимание прошу обратить на программу teamviewer - явно не официальная версия http://rgho.st/7nWqYY9JQ

safety · December 2016

Teamviewer ломанный, судя по образу, цифровая подпись нарушена. так же замечен RDP плагин для браузеров, видимо позволяет из браузера подключение по RDP к удаленным хостам. Пр трафику, видимо какой-то мониторинг надо ставить, чтобы увидеть, какие приложения активно потребляют трафик.

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"


;uVS v3.87.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
delref HTTPS://CHROME.GOOGLE.COM/WEBSTORE/DETAIL/FHOIBNPONJCGJGCNFACEKAIJDBBPLHIB
delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-1112139646-2341104293-3144472532-1000\$I2ZFV9Q.EXE
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.

далее,
выполните сканирование (угроз) в Malwarebytes

ukh255 · February 2017

нужна консультация по заражению шифровальщиком

safety · February 2017

Привет, Женя.
какой шифровальщик? Не Spora, случаем? какое расширение у зашифрованных файлов? и нужен таки образ автозапуска системы для проверки и очистки системы, чтобы не осталось активных файлов шифратора.

ukh255 · April 2017

это очень срочно - сервак
028 ювс http://rgho.st/7dKSBYCyJ
раз в 10 минут запускается процесс msiexev.exe - намертво вешает процессор
на связи по рдп с серваком удается остаться только при условии что успеваешь убить этот процесс в диспетчере
АВИРА в логах пишет что
1. Virus or unwanted program 'TR/BitCoinMiner.fxkau [trojan]'
detected in file 'C:\programdata\666.exe.
Action performed: Deny access
2. Virus or unwanted program 'TR/Crypt.XPACK.Gen [trojan]'
detected in file 'C:\Windows\Loginsa.exe.
Action performed: Deny access

msiexev.exe находится в папке C:\Windows\security

safety · April 2017

ок, сейчас гляну образ.
1. желательно переделать образ актуальной версией uVS
3.87 уже устарела.
uVS v3.87 [http://dsrt.dyndns.org]: Windows Server 2008 R2 Enterprise x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS]

2. политика безопасности обнаружена
Active IPSec Policy [Local]: SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{7cb6df29-736a-49b2-a684-dcac3389c3b8}
возможно, троян добавил эту политику

3. (!) Обнаружен запрет на запуск Редактора реестра (как минимум для одного из пользователей)
4. по подозрительному файлу:

C:\WINDOWS\SECURITY\MSIEXEV.EXE
Имя: msiexev.exe
Дата: 2017-04-26 [2017-04-24 02:49:04 UTC (2 дней, 23 часов назад)]
Win64:Trojan-gen [Avast]
HW64.packed.78B8 [Bkav]
malicious (moderate confidence) [Endgame]
trojan.win32.dorv.a!rfn [Invincea]
Malware.Undefined!8.C (cloud:KxVkWvye08U) [Rising]
Suspicious_GEN.F47V0424 [TrendMicro-HouseCall]
 [Alibaba]
 [Symantec Mobile Insight]
 [Trustlook]
 [WhiteArmor]
Детектов: 10 из 65

==============
нужен новый образ автозапуска сделанный актуальной версией, ей же потом и выполнять скрипт.

скачать можно отсюда:
http://chklst.ru/data/uVS latest/uvs_latest.zip

safety · April 2017

или можно сразу убить этот файл,
C:\WINDOWS\SECURITY\MSIEXEV.EXE
пока он не запустился, а затем сделать новый образ автозапуска.

ukh255 · April 2017

http://rgho.st/8kfPR48d5 ноый образ

safety · April 2017

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"



;uVS v4.0b13 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

apply

regt 2
regt 26
regt 25

deltmp
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\9C5283FF54BD12E4D0F16B4C9D22DB1B\WINDOWS6.1-KB3080446-X64-EXPRESS.CAB
delref %SystemRoot%\SYSWOW64\TBSSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\UMPO.DLL
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {6BF52A52-394A-11D3-B153-00C04F79FAA6}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\BLANK.HTM
delref E:\AUTORUN.EXE
delref {0D012ABD-CEED-11D2-9C76-00105AA73033}\[CLSID]
delref {56A58823-AE99-11D5-B90B-0050DACD1F75}\[CLSID]
delref {E01D1C6A-4F40-11D3-8958-00105A272DCF}\[CLSID]
delref HELPSVC\[SERVICE]
delref MBAMSERVICE\[SERVICE]
delref TABLETINPUTSERVICE\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref NATIVEWIFIP\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref WLANSVC\[SERVICE]
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\ASPNET_STATE.EXE
delref %Sys32%\PSXSS.EXE
delref IRENUM\[SERVICE]
delref %SystemDrive%\PROGRAM FILES (X86)\DROPBOX\UPDATE\1.3.57.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\DROPBOX\UPDATE\1.3.51.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\DROPBOX\UPDATE\1.3.39.1\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\PLASRV.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\DROPBOX\CLIENT\DROPBOX.EXE
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.

далее,
выполните сканирование (угроз) в Malwarebytes

safety · April 2017

еще раз выполни новый скрипт:

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"


;uVS v4.0b13 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref %SystemRoot%\PREFETCH\WUAUSER.EXE
del %SystemRoot%\PREFETCH\WUAUSER.EXE

apply

regt 2
REGT 26
REGT 25

deltmp
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\9C5283FF54BD12E4D0F16B4C9D22DB1B\WINDOWS6.1-KB3080446-X64-EXPRESS.CAB
delref %SystemRoot%\SYSWOW64\TBSSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\UMPO.DLL
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {6BF52A52-394A-11D3-B153-00C04F79FAA6}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\BLANK.HTM
delref E:\AUTORUN.EXE
delref {0D012ABD-CEED-11D2-9C76-00105AA73033}\[CLSID]
delref {56A58823-AE99-11D5-B90B-0050DACD1F75}\[CLSID]
delref {E01D1C6A-4F40-11D3-8958-00105A272DCF}\[CLSID]
delref HELPSVC\[SERVICE]
delref MBAMSERVICE\[SERVICE]
delref TABLETINPUTSERVICE\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref NATIVEWIFIP\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref WLANSVC\[SERVICE]
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\ASPNET_STATE.EXE
delref %Sys32%\PSXSS.EXE
delref IRENUM\[SERVICE]
delref %SystemDrive%\PROGRAM FILES (X86)\DROPBOX\UPDATE\1.3.57.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\DROPBOX\UPDATE\1.3.51.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\DROPBOX\UPDATE\1.3.39.1\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\PLASRV.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\DROPBOX\CLIENT\DROPBOX.EXE
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.

ukh255 · April 2017

на всякий случай очередной образ http://rgho.st/7MvZjdGcf

safety · April 2017

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"


;uVS v4.0b13 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
bl B60F2EFACB26A2462B3D6E826F281AC4 1233408
bp C:\WINDOWS\SECURITY\MSIEXEV.EXE
;------------------------autoscript---------------------------

zoo %SystemRoot%\SECURITY\MSIEXEV.EXE
addsgn 1BD3F165AAB2ED4166AF612121E5EB69D250EC7542C8E589BEA3A9229F3852FB1DB295B2A6B04A543A8E1ECA19C54E39484C76F808E288371A9BA40C9CA69B53 8 msi 7

chklst
delvir

apply

deltmp
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\9C5283FF54BD12E4D0F16B4C9D22DB1B\WINDOWS6.1-KB3080446-X64-EXPRESS.CAB
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {2670000A-7350-4F3C-8081-5663EE0C6C49}\[CLSID]
delref {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA}\[CLSID]
delref %Sys32%\BLANK.HTM
delref %Sys32%\PSXSS.EXE
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.

далее,
выполните сканирование (угроз) в Malwarebytes

safety · April 2017

вот еще из лога:
(!) Отсутствует известный файл, рекомендуется восстановить файл: C:\WINDOWS\SYSTEM32\DAVCLNT.DLL
можно запустить командной строку с правами администратора.
и выполнить команду:

sfc /scannow

ukh255 · April 2017

последний лог http://rgho.st/6YkR2qgkW

safety · April 2017

по последнему образу все ок.
за исключением сообщения в логе:
(!) Отсутствует известный файл, рекомендуется восстановить файл: C:\WINDOWS\SYSTEM32\DAVCLNT.DLL

если ошибок в работе сервера нет, то можно в качестве прфилактики в удобное время выполнить проверку целостности системы:

sfc /scannow

ukh255 · April 2017

029 вот этот лог еще гляньте - это с рабочей машины, где профиль пользователя испортился
http://rgho.st/7kQLXFsWs

safety · April 2017

хорошо, сейчас проверю.

safety · April 2017

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"


;uVS v4.0b13 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
deltmp
;---------command-block---------
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref %SystemRoot%\SYSWOW64\TBSSVC.DLL
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\UMPO.DLL
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\RDVGKMD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\RDVGKMD.SYS
delref {0D012ABD-CEED-11D2-9C76-00105AA73033}\[CLSID]
delref {56A58823-AE99-11D5-B90B-0050DACD1F75}\[CLSID]
delref {E01D1C6A-4F40-11D3-8958-00105A272DCF}\[CLSID]
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %SystemDrive%\USERS\USER03\APPDATA\LOCAL\TEMP\RARSFX0\MPR_FREADER.SYS
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE_64.DLL
delref %Sys32%\IGFXCFG.EXE
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\USERS\USER03\APPDATA\LOCAL\TEMP\RARSFX0\MPR.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
apply

restart

перезагрузка, пишем о старых и новых проблемах.

ukh255 · May 2017

ювс 4,01 все тот же сервак http://rgho.st/7yMnSzVns

safety · May 2017

все чисто, за исключением того, что политика IPSEC включена.

ukh255 · May 2017

нужен скрипт для отключения политики IPSEC

safety · May 2017

вот этот скрипт с отключением политики IPSEC

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"


;uVS v4.0.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
regt 26
deltmp
;---------command-block---------
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\9C5283FF54BD12E4D0F16B4C9D22DB1B\WINDOWS6.1-KB3080446-X64-EXPRESS.CAB
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref %Sys32%\BLANK.HTM
delref MBAMSERVICE\[SERVICE]
delref %Sys32%\PSXSS.EXE
apply

restart

перезагрузка, пишем о старых и новых проблемах.

ukh255 · May 2017

вчера в 16-37 опять на серваке авира сработала
Virus or unwanted program 'TR/Black.Gen2 [trojan]'
detected in file 'C:\3165616.exe.
Action performed: Deny access

safety · May 2017

Если есть такая возможность - надо установить все критические обновления безопасности для системы.
+
можно проверить, не добавилась ли опять политика безопасности IPSec

ukh255 · May 2017

можно проверить, не добавилась ли опять политика безопасности IPSec
лог ювс собрать?

ukh255 · May 2017

с обновлениями сложности - не могу ничего установить / на днях буду подробно разбираться

safety · May 2017

да, можно образ автозапуска + можно сделать логи FRST

ukh255 · May 2017

http://rgho.st/88hjnm8rH

Привет, незнакомец!

Быстрые ссылки

Разделы

In this Discussion

ЕВГЕНИЙ: Плановая проверка

Комментарии