13.02.2016, 16:09 | #3 (ссылка) |
Новичок
Регистрация: 19.04.2010
Сообщений: 382
Репутация: 25
|
safety, готово http://exfile.ru/479746
|
13.02.2016, 16:48 | #4 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код:
;uVS v3.87 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 v385c OFFSGNSAVE zoo %SystemDrive%\PROGRAM FILES (X86)\8CD3B682-1455355835-F045-89C5-F24FD1C44C87\KNSJ7ACF.TMP addsgn 1A180B9A5583C58CF42B627DA804DEC9E94677BAADFEE8B986C3C5BC24F2FB4DA0D6C2D3FE21D3BEEA83849F4663A6FF7DDFE872D87E942C2D77A4A263222273 64 Win32/Adware.ConvertAd zoo %SystemDrive%\PROGRAM FILES\SPACESOUNDPRO\SPACESOUNDPRO.EXE addsgn 1A22EA9A5583C58CF42B95BC143F4A0550880F3560AF817885483AE9DB3AFA09374146974A141E342380F18CAE221CFA7DB5FE2CDCEA58EF8D77A4A401ED08F0 8 Win32/BubbleSound ;------------------------autoscript--------------------------- chklst delvir deldirex %SystemDrive%\PROGRAM FILES\SPACESOUNDPRO deldirex %SystemDrive%\USERS\ДЖАЛАЛ\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER delref D:\DOCUMENTS\SYSTEMFILE.EXE delref %SystemDrive%\USERS\ДЖАЛАЛ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB\6.0.1_0\ПОИСК MAIL.RU ; AnySend exec C:\Users\Джалал\AppData\Roaming\ASPackage\Uninstall.exe deltmp delnfr ;------------------------------------------------------------- restart ---------- далее, выполните быстрое сканирование (угроз) в Malwarebytes |
14.02.2016, 12:09 | #5 (ссылка) |
Новичок
Регистрация: 19.04.2010
Сообщений: 382
Репутация: 25
|
вот новый лог увс http://exfile.ru/479753
|
14.02.2016, 12:25 | #7 (ссылка) |
Специалист
Регистрация: 29.10.2011
Сообщений: 5,579
Репутация: 334
|
safety
Здесь как раз был нужен новый образ. 1) Скопировать текст КОДА - в буфер обмена. uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена. ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ! ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку ! На вопросы программы отвечаем: Да ! Код:
;uVS v3.87 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 v385c OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir delref %SystemDrive%\PROGRAM FILES (X86)\MAIL.RU\MAILRUUPDATER\MAILRUUPDATER.EXE del %SystemDrive%\PROGRAM FILES (X86)\MAIL.RU\MAILRUUPDATER\MAILRUUPDATER.EXE deldirex %SystemDrive%\USERS\ДЖАЛАЛ\APPDATA\LOCAL\AMIGO\APPLICATION delall %SystemDrive%\USERS\ДЖАЛАЛ\APPDATA\LOCAL\TEMP\NSU7A09.TMP\AD283761-FB8F-4C05-9482-B5F41C585F70.EXE delall %SystemDrive%\USERS\ДЖАЛАЛ\APPDATA\LOCAL\TEMP\NSV9590.TMP\SYSTEM.DLL deldirex %SystemDrive%\USERS\ДЖАЛАЛ\APPDATA\LOCAL\MEDIAGET2 delref %SystemDrive%\USERS\ДЖАЛАЛ\APPDATA\LOCAL\MAIL.RU\MAILRUUPDATER.EXE del %SystemDrive%\USERS\ДЖАЛАЛ\APPDATA\LOCAL\MAIL.RU\MAILRUUPDATER.EXE delref %SystemDrive%\USERS\ДЖАЛАЛ\APPDATA\LOCAL\MICROSOFT\EXTENSIONS\EXTSETUP.EXE del %SystemDrive%\USERS\ДЖАЛАЛ\APPDATA\LOCAL\MICROSOFT\EXTENSIONS\EXTSETUP.EXE delref %SystemDrive%\USERS\ДЖАЛАЛ\APPDATA\LOCAL\HOSTINSTALLER\1015027577_MONSTER.EXE del %SystemDrive%\USERS\ДЖАЛАЛ\APPDATA\LOCAL\HOSTINSTALLER\1015027577_MONSTER.EXE delref %SystemDrive%\USERS\ДЖАЛАЛ\APPDATA\LOCAL\MAIL.RU\SPUTNIK\IESEARCHPLUGIN.DLL del %SystemDrive%\USERS\ДЖАЛАЛ\APPDATA\LOCAL\MAIL.RU\SPUTNIK\IESEARCHPLUGIN.DLL delref HTTP://MAIL.RU/CNT/10445?GP=801050 delref HTTP://GO.MAIL.RU/DISTIB/EP/?PRODUCT_ID=%7B5502EB4F-9E6D-4471-BC01-632CD027E0E8%7D&GP=801550 deldirex %SystemDrive%\USERS\ДЖАЛАЛ\APPDATA\LOCAL\KOMETA\APPLICATION\48.0.2564.82 delref HTTP://ASUS15.MSN.COM/?PC=ASTE deldirex %SystemDrive%\USERS\ДЖАЛАЛ\APPDATA\LOCAL\KOMETA\PANEL deldirex %SystemDrive%\USERS\ДЖАЛАЛ\APPDATA\LOCAL\KOMETA\PANEL\1.0.0.775 deldirex %SystemDrive%\USERS\ДЖАЛАЛ\APPDATA\LOCAL\KOMETA\STARTBUTTON delref HTTP://LNK.DO/Y2FBO delref HTTP://LNK.DO/PRNNU delref HTTP://LNK.DO/KRCUH ;------------------------------------------------------------- delall %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT UNINSTALLER\UNINSTALLEXPLORER64.DLL delref %SystemDrive%\USERS\ДЖАЛАЛ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\ECLJAPGCEBEGHDGFJACLDOMHCNLEMKMK\0.0.0.7_0\BLACOUNT delref %SystemDrive%\USERS\ДЖАЛАЛ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\ICEJAKKHEHFPPNGIIENINFFOKMLKHPIB\138.5.12.102\BOY UP delref %SystemDrive%\USERS\ДЖАЛАЛ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\ICLEKBBJGPEHABPIDKPGNNJMOHLDMEDI\99.1\FAST VK OPEN delref %SystemDrive%\USERS\ДЖАЛАЛ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\DJNFIKHIMIJFCOAOBLGANHLLMDJEJGG\1.4.4.79\INSTANT CHROME deldir %SystemDrive%\USERS\ДЖАЛАЛ\APPDATA\LOCAL\KOMETA\PANEL deldir %SystemDrive%\USERS\ДЖАЛАЛ\APPDATA\LOCAL\KOMETA\STARTBUTTON deldir %SystemDrive%\USERS\ДЖАЛАЛ\APPDATA\LOCAL\KOMETA\APPLICATION\48.0.2564.82 delall %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT UNINSTALLER\IOBITUNINSTALER.EXE zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\MACROMED\FLASH PLAYER\F47E7FF6-3ABE-46D1-ABBA-3B1F9346B622\B8AB543B-EE16-4F15-ACD8-A87BDF63C6D7.EXE delall %SystemDrive%\PROGRAMDATA\MICROSOFT\MACROMED\FLASH PLAYER\F47E7FF6-3ABE-46D1-ABBA-3B1F9346B622\B8AB543B-EE16-4F15-ACD8-A87BDF63C6D7.EXE delref %SystemDrive%\USERS\ДЖАЛАЛ\APPDATA\LOCAL\ZETAGAMESVIEWER\ZETAVIEWER.EXE czoo uidel C:\Program Files (x86)\Kinoroom Browser\Uninstall.exe uidel C:\Program Files (x86)\VK OK AdBlock\uninstall.exe uidel C:\Users\Джалал\AppData\Local\MediaGet2\mediaget-uninstaller.exe uidel "C:\Program Files (x86)\IObit\IObit Uninstaller\UninstallDisplay.exe" uninstall_start uidel C:\Users\Джалал\AppData\Local\Mail.Ru\MailRuUpdater.exe uninstall deltmp delnfr restart 2) Архив из папки uVS; (с копиями вирусов для вирлаба, имя автоматически формируется от текущей даты, например: ZOO_2012-00-20_18-49-40.rar/7z) ... отправить в почту sendvirus2011@gmail.com ; *** если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected 3) Далее (даже если проблема решена) выполните лог программой Malwarebytes http://pchelpforum.ru/showpost.php?p=206554&postcount=6 Выберите вариант сканирования: Быстрое или Полное сканирование. Отчет предоставить для анализа ( в своей теме на форуме ). Отчёт нужно предоставить в .txt ( блокнот ) Отчёт залейте на: http://rghost.ru или http://exfile.ru |
14.02.2016, 13:18 | #11 (ссылка) |
Специалист
Регистрация: 29.10.2011
Сообщений: 5,579
Репутация: 334
|
1) В Malwarebytes - Чисто.
2) Далее: Выполните лог в АdwСleaner http://pchelpforum.ru/f26/t24207/2/#post1110672 после завершения сканирования: Записи относящиеся к Mail.Ru и Yandex можете не удалять ( если пользуетесь программой ) На вкладке: Папки (Folders) для Mail.Ru и Yandex снимите [V] Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие с автоперезагрузкой 3) Выполните: http://www.cyberforum.ru/viruses-faq/thread1362245.html |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
Опции темы | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Подозрение на вирус | Shadowmaster | Безопасность | 16 | 11.10.2013 12:31 |
подозрение на вирус | Манаська | Безопасность | 3 | 03.04.2012 19:03 |
подозрение на вирус | Jeneka | Безопасность | 8 | 04.11.2011 19:30 |
Подозрение на вирус | Ветина | Безопасность | 19 | 22.01.2011 16:48 |
Подозрение на вирус | Ragnazar | Безопасность | 48 | 19.01.2011 12:58 |