16.09.2015, 12:00 | #886 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
ничего особенного кроме подозрительного расширения.
выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код:
;uVS v3.86.4 [http://dsrt.dyndns.org] ;Target OS: NTv6.3 v385c OFFSGNSAVE delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GHBMNNJOOEKPMOECNNNILNNBDLOLHKHI\0.5_0\GOOGLE*ДОКУМЕНТЫ ОФЛАЙН deltmp delnfr restart ---------- далее, выполните сканирование (угроз) в Malwarebytes |
24.09.2015, 13:39 | #887 (ссылка) |
Новичок
Регистрация: 24.01.2012
Сообщений: 544
Репутация: 1
|
0233 ювс http://rghost.ru/78Hm7D8LB
|
24.09.2015, 15:02 | #889 (ссылка) |
Новичок
Регистрация: 24.01.2012
Сообщений: 544
Репутация: 1
|
и еще один 0234 http://rghost.ru/8t9MwXWBp
|
24.09.2015, 15:10 | #890 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
здесь ярлыки браузеров заражены, исправляем скриптом
выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код:
;uVS v3.86.5 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE ;------------------------autoscript--------------------------- hide %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\PLUGINS\EXE\DECRYPTC.EXE chklst delvir delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID] del %SystemDrive%\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.URL delref HTTP:\\HOME.WEBALTA.RU del %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.URL del %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\FIREFOX.URL regt 28 regt 29 ; Java(TM) 6 Update 33 (64-bit) exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F86416033FF} /quiet exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216033FF} /quiet deltmp delnfr ;------------------------------------------------------------- restart ---------- далее, выполните сканирование (угроз) в Malwarebytes |
25.09.2015, 06:28 | #892 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код:
;uVS v3.86.5 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE delref %SystemDrive%\USERS\USER5506.PC5506\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GHBMNNJOOEKPMOECNNNILNNBDLOLHKHI\0.5_0\GOOGLE*ДОКУМЕНТЫ ОФЛАЙН delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GHBMNNJOOEKPMOECNNNILNNBDLOLHKHI\0.5_0\GOOGLE*ДОКУМЕНТЫ ОФЛАЙН ;------------------------autoscript--------------------------- chklst delvir delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=A10665CFF701BE7E50EAF648E39CB3E9&TEXT={SEARCHTERMS} deldirex %SystemDrive%\USERS\USER5506\APPDATA\ROAMING\VOPACKAGE deldirex %SystemDrive%\USERS\USER5506\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\VOPACKAGE REGT 27 regt 28 regt 29 deltmp delnfr ;------------------------------------------------------------- restart ---------- далее, выполните сканирование (угроз) в Malwarebytes |
25.09.2015, 08:16 | #894 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
ничего особенного кроме стартовой HTTP://RUSHEN.WS,
если стартовая нормальная, то можно скрипт не выполнять выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код:
;uVS v3.86.5 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE delref HTTP://RUSHEN.WS deltmp delnfr restart ---------- |
28.09.2015, 14:34 | #896 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код:
;uVS v3.86.5 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE delall %SystemDrive%\RECYCLER\XSZ.EXE delall %SystemDrive%\RECYCLER\SYSTEM.EXE delall %SystemDrive%\USERS\24C7~1\APPDATA\LOCAL\TEMP\RARSFX0\MPR.EXE ;------------------------autoscript--------------------------- chklst delvir delref %SystemDrive%\RECYCLER\SERVERS.EXE delref %SystemDrive%\RECYCLER\LL.EXE delref WEB7B.INI delref -S:CMD.TXT delref SVEVER.EXE delref %SystemDrive%\RECYCLER\SVEVER.EXE delref %SystemRoot%\WEB\1.EXE delref 360RP.EXE delref MSR.DAT delref %SystemDrive%\PROGRAMDATA\APPLICATION DATA\STORM\UPDATE\%SESSIONNAME%\PJRCD.CC3 delref %SystemDrive%\PROGRAMDATA\APPLICATION DATA\STORM\UPDATE\%SESSIONNAME%\OWQOR.CC3 delref %SystemDrive%\PROGRAMDATA\APPLICATION DATA\STORM\UPDATE\%SESSIONNAME%\BWESQ.CC3 delref %SystemDrive%\PROGRAMDATA\APPLICATION DATA\STORM\UPDATE\%SESSIONNAME%\CMHFU.CC3 delref %SystemDrive%\PROGRAMDATA\APPLICATION DATA\STORM\UPDATE\%SESSIONNAME%\PSGPQ.CC3 delref %SystemDrive%\PROGRAMDATA\APPLICATION DATA\STORM\UPDATE\%SESSIONNAME%\KPUML.CC3 delref %SystemDrive%\PROGRAMDATA\APPLICATION DATA\STORM\UPDATE\%SESSIONNAME%\NKMSV.CC3 delref %SystemDrive%\PROGRAMDATA\APPLICATION DATA\STORM\UPDATE\%SESSIONNAME%\GNNLS.CC3 delref %SystemDrive%\PROGRAMDATA\APPLICATION DATA\STORM\UPDATE\%SESSIONNAME%\XJWEN.CC3 delref %SystemDrive%\PROGRAMDATA\APPLICATION DATA\STORM\UPDATE\%SESSIONNAME%\LNGKI.CC3 delref %SystemDrive%\PROGRAMDATA\APPLICATION DATA\STORM\UPDATE\%SESSIONNAME%\HNYRK.CC3 deltmp delnfr ;------------------------------------------------------------- restart ---------- далее, выполните сканирование (угроз) в Malwarebytes |
Ads | |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
Опции темы | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Проверка | York30 | Безопасность | 4 | 05.04.2012 20:04 |
Проверка uVS | ARAFATI | Безопасность | 10 | 27.11.2011 21:54 |
проверка | Чайка | Безопасность | 22 | 17.01.2011 17:30 |
ПРОВЕРКА | Tala | Безопасность | 5 | 11.06.2010 23:58 |
проверка hdd | wadim | Программы | 5 | 24.03.2010 00:03 |