• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена ADware и другая гадость

Статус
В этой теме нельзя размещать новые ответы.

puertorikanez

Активный пользователь
Сообщения
176
Реакции
18
Баллы
58
открытие браузера с левыми страницами, переход на левые сайты, и что то кроме адвари сидит, мне кажется логи до конца не собираются происходит перезагрузка
 

Вложения

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,371
Реакции
2,097
Баллы
643
Здравствуйте!

Действительно, архив неполный.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 StopService('{00aec75d-051f-41a9-9837-e94ac4f56303}Gw64');
 StopService('{10e3e2da-8f7b-42cc-9f00-90007ce494b8}Gw64');
 StopService('{1de2a23f-1c23-4ea1-8ef4-79bc5c5cea78}Gw64');
 StopService('{255a824a-3cde-4dee-9785-284605606456}Gw64');
 StopService('{32c6b9d7-6b2c-4b03-9178-01abbf9c7194}Gw64');
 StopService('{336e37ae-3235-4f16-98ec-8cdf679be7d2}Gw64');
 StopService('{3b808196-ff63-49ee-b33b-efdf51723eca}Gw64');
 StopService('{3cac76e7-8310-45ea-8277-96d048a78c60}Gw64');
 StopService('{3fa44d1f-c300-4673-a8c1-5ba05468b4bd}Gw64');
 StopService('{4096aedf-3f28-4c8e-aebe-00255138fa8a}Gw64');
 StopService('{4530e639-76ab-4435-889d-a5e81ae090a4}Gw64');
 StopService('{46a147d8-5171-42d8-b8a8-6a187525781d}Gw64');
 StopService('{51b9c91c-8e38-40ae-80de-58a590512b6b}Gw64');
 StopService('{67f29abb-07b3-41f5-94cd-f819d7c1fc76}Gw64');
 StopService('{6b89253f-7097-40c7-9ead-2d5b1ceb02e2}w64');
 StopService('{733fb217-c049-41ba-9504-3f2045e61977}Gw64');
 StopService('{8ac13c32-b1f4-495e-8b0b-4bd4fd38c6b5}Gw64');
 StopService('{949aba83-1d7f-4d0b-b0ba-203450825231}Gw64');
 StopService('{94d62e35-4b43-494c-bf52-ba5935df36ef}Gw64');
 StopService('{94d62e35-4b43-494c-bf52-ba5935df36ef}w64');
 StopService('{b0c7827f-c845-429a-833b-c2a798fc4fc3}Gw64');
 StopService('{b44cc396-b011-428e-9498-207b6b7bc335}Gw64');
 StopService('{b59efc84-8479-4faa-b02a-e5c7e85c7926}Gw64');
 StopService('{bb7b7a60-f574-47c2-8a0b-4c56f2da9802}Gw64');
 StopService('{d428f5a9-a362-4938-a8b7-f0abd920078b}Gw64');
 StopService('{d997fcb4-42b4-4f84-a147-2e498567c954}Gw64');
 StopService('{db1293a0-85fd-418d-b0d6-c79faa7c8ace}Gw64');
 StopService('{dbec4a38-79aa-4d48-ac2b-d4467b1ded12}Gw64');
 StopService('{dc592624-f532-4311-9fc7-6920126fc404}Gw64');
 StopService('{e9629596-2cbd-4eea-9329-7470e8b0fdae}Gw64');
 StopService('{f5d136d7-adc2-4c84-85b2-e564334ab0bc}Gw64');
 StopService('{f63e4e62-e47d-4415-9bb4-c9b1dfe161b9}Gw64');
 StopService('{f9595960-dc6f-49f8-83db-4f3a4c9b714d}Gw64');
 StopService('{fce396ae-d8d1-4789-946e-2106fbe4292b}Gw64');
 QuarantineFile('C:\Windows\system32\drivers\{00aec75d-051f-41a9-9837-e94ac4f56303}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{10e3e2da-8f7b-42cc-9f00-90007ce494b8}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{1de2a23f-1c23-4ea1-8ef4-79bc5c5cea78}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{255a824a-3cde-4dee-9785-284605606456}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{32c6b9d7-6b2c-4b03-9178-01abbf9c7194}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{336e37ae-3235-4f16-98ec-8cdf679be7d2}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{3b808196-ff63-49ee-b33b-efdf51723eca}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{3cac76e7-8310-45ea-8277-96d048a78c60}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{3fa44d1f-c300-4673-a8c1-5ba05468b4bd}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{4096aedf-3f28-4c8e-aebe-00255138fa8a}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{4530e639-76ab-4435-889d-a5e81ae090a4}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{46a147d8-5171-42d8-b8a8-6a187525781d}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{51b9c91c-8e38-40ae-80de-58a590512b6b}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{67f29abb-07b3-41f5-94cd-f819d7c1fc76}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{6b89253f-7097-40c7-9ead-2d5b1ceb02e2}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{733fb217-c049-41ba-9504-3f2045e61977}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{8ac13c32-b1f4-495e-8b0b-4bd4fd38c6b5}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{949aba83-1d7f-4d0b-b0ba-203450825231}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{94d62e35-4b43-494c-bf52-ba5935df36ef}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{94d62e35-4b43-494c-bf52-ba5935df36ef}w64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{b0c7827f-c845-429a-833b-c2a798fc4fc3}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{b44cc396-b011-428e-9498-207b6b7bc335}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{b59efc84-8479-4faa-b02a-e5c7e85c7926}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{bb7b7a60-f574-47c2-8a0b-4c56f2da9802}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{d428f5a9-a362-4938-a8b7-f0abd920078b}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{d997fcb4-42b4-4f84-a147-2e498567c954}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{db1293a0-85fd-418d-b0d6-c79faa7c8ace}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{dbec4a38-79aa-4d48-ac2b-d4467b1ded12}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{dc592624-f532-4311-9fc7-6920126fc404}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{e9629596-2cbd-4eea-9329-7470e8b0fdae}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{f5d136d7-adc2-4c84-85b2-e564334ab0bc}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{f63e4e62-e47d-4415-9bb4-c9b1dfe161b9}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{f9595960-dc6f-49f8-83db-4f3a4c9b714d}Gw64.sys', '');
 QuarantineFile('C:\Windows\system32\drivers\{fce396ae-d8d1-4789-946e-2106fbe4292b}Gw64.sys', '');
 QuarantineFile('C:\Program Files (x86)\Google\chrome.bat', '');
 QuarantineFile('C:\iexplore.bat', '');
 QuarantineFile('C:\Users\xxx\AppData\Local\Yandex\browser.bat', '');
 DeleteFile('C:\Windows\system32\drivers\{00aec75d-051f-41a9-9837-e94ac4f56303}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{10e3e2da-8f7b-42cc-9f00-90007ce494b8}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{1de2a23f-1c23-4ea1-8ef4-79bc5c5cea78}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{255a824a-3cde-4dee-9785-284605606456}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{32c6b9d7-6b2c-4b03-9178-01abbf9c7194}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{336e37ae-3235-4f16-98ec-8cdf679be7d2}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{3b808196-ff63-49ee-b33b-efdf51723eca}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{3cac76e7-8310-45ea-8277-96d048a78c60}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{3fa44d1f-c300-4673-a8c1-5ba05468b4bd}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{4096aedf-3f28-4c8e-aebe-00255138fa8a}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{4530e639-76ab-4435-889d-a5e81ae090a4}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{46a147d8-5171-42d8-b8a8-6a187525781d}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{51b9c91c-8e38-40ae-80de-58a590512b6b}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{67f29abb-07b3-41f5-94cd-f819d7c1fc76}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{6b89253f-7097-40c7-9ead-2d5b1ceb02e2}w64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{733fb217-c049-41ba-9504-3f2045e61977}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{8ac13c32-b1f4-495e-8b0b-4bd4fd38c6b5}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{949aba83-1d7f-4d0b-b0ba-203450825231}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{94d62e35-4b43-494c-bf52-ba5935df36ef}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{94d62e35-4b43-494c-bf52-ba5935df36ef}w64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{b0c7827f-c845-429a-833b-c2a798fc4fc3}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{b44cc396-b011-428e-9498-207b6b7bc335}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{b59efc84-8479-4faa-b02a-e5c7e85c7926}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{bb7b7a60-f574-47c2-8a0b-4c56f2da9802}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{d428f5a9-a362-4938-a8b7-f0abd920078b}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{d997fcb4-42b4-4f84-a147-2e498567c954}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{db1293a0-85fd-418d-b0d6-c79faa7c8ace}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{dbec4a38-79aa-4d48-ac2b-d4467b1ded12}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{dc592624-f532-4311-9fc7-6920126fc404}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{e9629596-2cbd-4eea-9329-7470e8b0fdae}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{f5d136d7-adc2-4c84-85b2-e564334ab0bc}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{f63e4e62-e47d-4415-9bb4-c9b1dfe161b9}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{f9595960-dc6f-49f8-83db-4f3a4c9b714d}Gw64.sys', '32');
 DeleteFile('C:\Windows\system32\drivers\{fce396ae-d8d1-4789-946e-2106fbe4292b}Gw64.sys', '32');
 DeleteFile('C:\Program Files (x86)\Google\chrome.bat', '32');
 DeleteFile('C:\iexplore.bat', '32');
 DeleteFile('C:\Users\xxx\AppData\Local\Yandex\browser.bat', '32');
 DeleteService('{00aec75d-051f-41a9-9837-e94ac4f56303}Gw64');
 DeleteService('{10e3e2da-8f7b-42cc-9f00-90007ce494b8}Gw64');
 DeleteService('{1de2a23f-1c23-4ea1-8ef4-79bc5c5cea78}Gw64');
 DeleteService('{255a824a-3cde-4dee-9785-284605606456}Gw64');
 DeleteService('{32c6b9d7-6b2c-4b03-9178-01abbf9c7194}Gw64');
 DeleteService('{336e37ae-3235-4f16-98ec-8cdf679be7d2}Gw64');
 DeleteService('{3b808196-ff63-49ee-b33b-efdf51723eca}Gw64');
 DeleteService('{3cac76e7-8310-45ea-8277-96d048a78c60}Gw64');
 DeleteService('{3fa44d1f-c300-4673-a8c1-5ba05468b4bd}Gw64');
 DeleteService('{4096aedf-3f28-4c8e-aebe-00255138fa8a}Gw64');
 DeleteService('{4530e639-76ab-4435-889d-a5e81ae090a4}Gw64');
 DeleteService('{46a147d8-5171-42d8-b8a8-6a187525781d}Gw64');
 DeleteService('{51b9c91c-8e38-40ae-80de-58a590512b6b}Gw64');
 DeleteService('{67f29abb-07b3-41f5-94cd-f819d7c1fc76}Gw64');
 DeleteService('{6b89253f-7097-40c7-9ead-2d5b1ceb02e2}w64');
 DeleteService('{733fb217-c049-41ba-9504-3f2045e61977}Gw64');
 DeleteService('{8ac13c32-b1f4-495e-8b0b-4bd4fd38c6b5}Gw64');
 DeleteService('{949aba83-1d7f-4d0b-b0ba-203450825231}Gw64');
 DeleteService('{94d62e35-4b43-494c-bf52-ba5935df36ef}Gw64');
 DeleteService('{94d62e35-4b43-494c-bf52-ba5935df36ef}w64');
 DeleteService('{b0c7827f-c845-429a-833b-c2a798fc4fc3}Gw64');
 DeleteService('{b44cc396-b011-428e-9498-207b6b7bc335}Gw64');
 DeleteService('{b59efc84-8479-4faa-b02a-e5c7e85c7926}Gw64');
 DeleteService('{bb7b7a60-f574-47c2-8a0b-4c56f2da9802}Gw64');
 DeleteService('{d428f5a9-a362-4938-a8b7-f0abd920078b}Gw64');
 DeleteService('{d997fcb4-42b4-4f84-a147-2e498567c954}Gw64');
 DeleteService('{db1293a0-85fd-418d-b0d6-c79faa7c8ace}Gw64');
 DeleteService('{dbec4a38-79aa-4d48-ac2b-d4467b1ded12}Gw64');
 DeleteService('{dc592624-f532-4311-9fc7-6920126fc404}Gw64');
 DeleteService('{e9629596-2cbd-4eea-9329-7470e8b0fdae}Gw64');
 DeleteService('{f5d136d7-adc2-4c84-85b2-e564334ab0bc}Gw64');
 DeleteService('{f63e4e62-e47d-4415-9bb4-c9b1dfe161b9}Gw64');
 DeleteService('{f9595960-dc6f-49f8-83db-4f3a4c9b714d}Gw64');
 DeleteService('{fce396ae-d8d1-4789-946e-2106fbe4292b}Gw64');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится.



Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 

puertorikanez

Активный пользователь
Сообщения
176
Реакции
18
Баллы
58
карантин отправил с помощью формы, при повторном сканировании системы произошла перезагрузка, лог не создался
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,371
Реакции
2,097
Баллы
643
Попробуем так:
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Sx].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,371
Реакции
2,097
Баллы
643
Понятно, делайте AdwCleaner лог.
 

puertorikanez

Активный пользователь
Сообщения
176
Реакции
18
Баллы
58
AdwCleaner, тоже вырубается(на сканировании браузеров).. один раз даже на английском запустился.
 
Последнее редактирование:

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,371
Реакции
2,097
Баллы
643
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  5. Подробнее читайте в руководстве Как подготовить лог UVS.
 

puertorikanez

Активный пользователь
Сообщения
176
Реакции
18
Баллы
58
отладку клинера не надо прикрепить?
вроде получился, но опять все закончилось перезагрузкой
 

Вложения

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,371
Реакции
2,097
Баллы
643
отладку клинера не надо прикрепить?
Если есть, прикрепите.
опять все закончилось перезагрузкой
Да, слишком малый размер.

Соберите этот лог таким способом: Создание образа диска Windows PE&uVS для сбора логов с неактивной системы.
 

puertorikanez

Активный пользователь
Сообщения
176
Реакции
18
Баллы
58
при сканировании в свойствах поставил отладка, но знаю поможет или нет сейчас
вот что то получилось, но опять таки перезагрузкой, образ смогу только вечером сделать, пока удалил некоторое постоннее ПО
получился лог клинера
 

Вложения

akok

Команда форума
Администратор
Сообщения
18,917
Реакции
14,008
Баллы
2,203
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v4.0.6 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    OFFSGNSAVE
    BREG
    
    ; %SystemDrive%\FIREFOX.BAT
    bl 7544B2999EED394A58F0A10DBD904036 134
    zoo %SystemDrive%\FIREFOX.BAT
    del %SystemDrive%\FIREFOX.BAT
    zoo %SystemDrive%\IEXPLORE.BAT
    del %SystemDrive%\IEXPLORE.BAT
    ; %SystemDrive%\OPERA.BAT
    bl AD7E05570147DD94F5114BD9A2A33DBD 112
    zoo %SystemDrive%\OPERA.BAT
    del %SystemDrive%\OPERA.BAT
    ; %SystemDrive%\USERS\XXX\APPDATA\LOCAL\BROWSERMANAGER.BAT
    bl DFA79CCDFBE870C9574A7981BF32F21A 149
    zoo %SystemDrive%\USERS\XXX\APPDATA\LOCAL\BROWSERMANAGER.BAT
    del %SystemDrive%\USERS\XXX\APPDATA\LOCAL\BROWSERMANAGER.BAT
    ; C:\USERS\XXX\APPDATA\LOCAL\CSRSS.EXE
    zoo %SystemDrive%\USERS\XXX\APPDATA\LOCAL\CSRSS.EXE
    bl 483FCF432217D71544246AA760D98CDC 42687
    addsgn 1B457B67AA661C700BD4AEB164C8120525F708F489F64F7A85C3C5BC50D6714C2317C3573E559D492B80849F461649FA7DDFE87255DAB02C2D77A42FC7062273 12 Trojan.Win32.Genome.amzxw [Kaspersky] 7
    ; C:\USERS\XXX\APPDATA\LOCAL\WINLOGON.EXE
    zoo %SystemDrive%\USERS\XXX\APPDATA\LOCAL\WINLOGON.EXE
    ; C:\USERS\XXX\APPDATA\LOCAL\SERVICES.EXE
    zoo %SystemDrive%\USERS\XXX\APPDATA\LOCAL\SERVICES.EXE
    ; C:\USERS\XXX\APPDATA\LOCAL\LSASS.EXE
    zoo %SystemDrive%\USERS\XXX\APPDATA\LOCAL\LSASS.EXE
    ; C:\USERS\XXX\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\EMPTY.PIF
    zoo %SystemDrive%\USERS\XXX\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\EMPTY.PIF
    ; C:\USERS\XXX\APPDATA\LOCAL\SMSS.EXE
    zoo %SystemDrive%\USERS\XXX\APPDATA\LOCAL\SMSS.EXE
    ; C:\USERS\XXX\APPDATA\LOCAL\INETINFO.EXE
    zoo %SystemDrive%\USERS\XXX\APPDATA\LOCAL\INETINFO.EXE
    delref %SystemDrive%\ТРИ БОГАТЫРЯ И ШАМАХАНСКАЯ ЦАРИЦА\TRYBOG.EXE
    chklst
    delvir
    deltmp
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
  7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  8. Подробнее читайте в этом руководстве.

- Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.


После подготовьте лог автлогера, должен подготовиться без проблем. Обратите внимание, что запуск браузеров через ярлыки будет невозможно т.к. ярлыки нужно исправить ClearLNK - удаление параметров запуска у ярлыков
 
Последнее редактирование:

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,371
Реакции
2,097
Баллы
643
Не страшно. Продолжайте.
 
  • Like
Реакции: akok

puertorikanez

Активный пользователь
Сообщения
176
Реакции
18
Баллы
58
неудобная какая то версия клинера стала, не видно где от майла или там ничего не было
Zoo отправил на почту, так как по форме не дает
 

Вложения

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,598
Реакции
6,103
Баллы
1,008
не видно где от майла или там ничего не было
Наоборот, сейчас все элемент от Mail.ru сгруппированы отдельно.
Дампы падения AdwCleaner-а пришлите, для этого

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
var PathAutoLogger, CMDLine : string;

begin
clearlog;
PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
SaveLog(PathAutoLogger+'report3.log');
if FolderIsEmpty(PathAutoLogger+'CrashDumps')
then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log"'
else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
if FileExists('7za.exe') then ExecuteFile('7za.exe', CMDLine, 0, 180000, false)
else ExecuteFile('7za.pif', CMDLine, 0, 180000, false);
AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
end.
архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению. Выполнение скрипта может занять несколько минут. Если архив слишком большой, загрузите его на файлообменник, например на один из этих файлообменников RGhost — файлообменник , Zippyshare.com - Free File Hosting , My-Files.RU лучший бесплатный файлообменник и файловый сервис , Ge.tt | Gett sharing и дайте на него ссылку в Вашей теме.
 

akok

Команда форума
Администратор
Сообщения
18,917
Реакции
14,008
Баллы
2,203
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 StopService('{fd600559-a688-4110-b9b9-0f1a9beae8ae}Gw64');
 QuarantineFile('C:\Windows\system32\drivers\{fd600559-a688-4110-b9b9-0f1a9beae8ae}Gw64.sys', '');
 QuarantineFile('C:\Users\xxx\AppData\Local\smss.exe', '');
 DeleteFile('C:\Windows\system32\drivers\{fd600559-a688-4110-b9b9-0f1a9beae8ae}Gw64.sys', '32');
 DeleteFile('C:\Users\xxx\AppData\Local\smss.exe', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Tok-Cirrhatus','command');
 DeleteService('{fd600559-a688-4110-b9b9-0f1a9beae8ae}Gw64');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O4 - MSConfig\startupfolder: C:^Users^xxx^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Empty.pif - C:\Windows\pss\Empty.pif.Startup (2017/07/18)
Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 

akok

Команда форума
Администратор
Сообщения
18,917
Реакции
14,008
Баллы
2,203
А вот теперь давайте собирать камни, что еще из проблем наблюдается?
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу