Решена Помощь в настройке АСБ "Тобол" на рабочем месте "rezmesto2".
- Автор темы Chezy
- Дата начала
- Статус
все выполнено, кроме ie
- Сообщения
- 16,832
- Решения
- 1
- Реакции
- 3,516
Компьютер на время лечения отключите от локалки и интернета.
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Отключите до перезагрузки антивирус, запустите FRST, нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.
Через Панель управления - Установка и удаление программ деинсталлируйте
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
Start::
SystemRestore: On
CreateRestorePoint:
() [File not signed] C:\WINDOWS\NetworkDistribution\svchost.exe
(Microsoft Corporation) [File not signed] C:\WINDOWS\system32\dllhostex.exe
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
2021-08-17 13:15 - 2021-08-17 13:15 - 000000000 ____D C:\WINDOWS\NetworkDistribution
C:\WINDOWS\system32\dllhostex.exe
DomainProfile\GloballyOpenPorts: [139:TCP] => Enabled:@xpsp2res.dll,-22004
DomainProfile\GloballyOpenPorts: [445:TCP] => Enabled:@xpsp2res.dll,-22005
DomainProfile\GloballyOpenPorts: [137:UDP] => Enabled:@xpsp2res.dll,-22001
DomainProfile\GloballyOpenPorts: [138:UDP] => Enabled:@xpsp2res.dll,-22002
StandardProfile\GloballyOpenPorts: [139:TCP] => :LocalSubNet:Enabled:@xpsp2res.dll,-22004
StandardProfile\GloballyOpenPorts: [445:TCP] => :LocalSubNet:Enabled:@xpsp2res.dll,-22005
StandardProfile\GloballyOpenPorts: [137:UDP] => :LocalSubNet:Enabled:@xpsp2res.dll,-22001
StandardProfile\GloballyOpenPorts: [138:UDP] => :LocalSubNet:Enabled:@xpsp2res.dll,-22002
EmptyTemp:
Reboot:
End::Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Отключите до перезагрузки антивирус, запустите FRST, нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.
Через Панель управления - Установка и удаление программ деинсталлируйте
поддержка которых прекращена.
- Сообщения
- 16,832
- Решения
- 1
- Реакции
- 3,516
- Скачайте Universal Virus Sniffer (uVS)
- Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
- Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. - Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.
- Сообщения
- 16,832
- Решения
- 1
- Реакции
- 3,516
- Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
- Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
- Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
Код:;uVS v4.11.8 [http://dsrt.dyndns.org:8888] ;Target OS: NTv5.1 v400c zoo %Sys32%\DLLHOSTEX.EXE addsgn 71007B5D50D2F0180BD4AEB16420AC7E2C8A7F32851349847A3C552CC046E1DC769E260068061EA5374780BB46D62AFA82CAE8953FDA33C029F2645BB48FE1B4 8 Tool.BtcMine.1969 [DrWeb] 7 zoo %SystemRoot%\NETWORKDISTRIBUTION\SVCHOST.EXE addsgn 1A00709A55838C8FF42B624E41A083442575D9D218BB1F87A0E354FD502954BCB356C39BF2995185E74C48538ADA8536B154AC565D51FC083D7C6CA48B222E06 8 BackDoor.Spy.3365 [DrWeb] 7 zoo %SystemRoot%\NETWORKDISTRIBUTION\LIBXML2.DLL addsgn 79132211B9E9317E0AA1AB5970DA12057863670B76059487D048293DBCFE724C23B4BB05324514445FD2888FCF0339A871CF616F3988BC3CA442CC7DCB16AB4E 64 Tool.Equation.23 [DrWeb] 7 zoo %SystemRoot%\NETWORKDISTRIBUTION\COLI-0.DLL addsgn 79132211B9E9317E0AA1AB59E4CB12057863670B76059487D048293DBCFE724C23B4E3133E45144437C4848FCF0351BE7DCF616F419EB03CA442B46BC716AB4E 64 BackDoor.Spy.3364 [DrWeb] 7 zoo %SystemRoot%\NETWORKDISTRIBUTION\EXMA-1.DLL zoo %SystemRoot%\NETWORKDISTRIBUTION\TIBE-2.DLL addsgn 79132211B9E9317E0AA1AB5958CB12057863670B76059487D048293DBCFE724C23B41BFD3D451444FF2A878FCF0399507ECF616F9970B33CA4426C85C416AB4E 64 Trojan.Equation.23 [DrWeb] 7 zoo %SystemRoot%\NETWORKDISTRIBUTION\TRFO-2.DLL addsgn 79132211B9E9317E0AA1AB592ECC12057863670B76059487D048293DBCFE724C23B46BD23E4514448F05848FCF03E97F7DCF616FC95FB03CA4423CAAC716AB4E 64 Trojan.Equation.25 [DrWeb] 7 zoo %SystemRoot%\NETWORKDISTRIBUTION\UCL.DLL addsgn 79132211B9E9317E0AA1AB5916CB12057863670B76059487D048293DBCFE724C23B483A33E4514441774848FCF03710E7DCF616F612EB03CA44294DBC716AB4E 64 Trojan.Equation.91 [DrWeb] 7 zoo %SystemRoot%\NETWORKDISTRIBUTION\\SVCHOST.EXE chklst delvir deldir %SystemRoot%\NETWORKDISTRIBUTION deltmp restart - В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
- Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер будет перезагружен.
После перезагрузки соберите и прикрепите контрольный образ автозапуска uVS.
- Сообщения
- 25,320
- Решения
- 5
- Реакции
- 13,844
Давайте попробуем немного по другому. Только обязательно резервную копию важных данный перед скриптом сделайте.
- Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
- Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
- Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
Код:;uVS v4.11.8 [http://dsrt.dyndns.org:8888] ;Target OS: NTv5.1 v400c OFFSGNSAVE BREG ; C:\WINDOWS\SYSTEM32\DLLHOSTEX.EXE zoo %Sys32%\DLLHOSTEX.EXE bl 56DA116D25207847797FE5F8B085C1B1 2859008 addsgn 71007B5D50D2F0180BD4AEB16420AC7E2C8A7F32851349847A3C552CC046E1DC769E260068061EA5374780BB46D62AFA82CAE8953FDA33C029F2645BB48FE1B4 8 HEUR:Trojan.Win32.Miner.gen [Kaspersky] 7 ; C:\WINDOWS\NETWORKDISTRIBUTION\SVCHOST.EXE zoo %SystemRoot%\NETWORKDISTRIBUTION\SVCHOST.EXE bl 8C80DD97C37525927C1E549CB59BCBF3 129024 addsgn 1A00709A55838C8FF42B624E41A083442575D9D218BB1F87A0E354FD502954BCB356C39BF2995185E74C48538ADA8536B154AC565D51FC083D7C6CA48B222E06 8 Exploit.Win32.ShadowBrokers 7 ; C:\WINDOWS\NETWORKDISTRIBUTION\LIBXML2.DLL zoo %SystemRoot%\NETWORKDISTRIBUTION\LIBXML2.DLL bl 9A5CEC05E9C158CBC51CDC972693363D 826368 addsgn 79132211B9E9317E0AA1AB5970DA12057863670B76059487D048293DBCFE724C23B4BB05324514445FD2888FCF0339A871CF616F3988BC3CA442CC7DCB16AB4E 64 HackTool.Win32.ShadowBrokers.k 7 ; C:\WINDOWS\NETWORKDISTRIBUTION\TUCL-1.DLL zoo %SystemRoot%\NETWORKDISTRIBUTION\TUCL-1.DLL bl 83076104AE977D850D1E015704E5730A 9216 addsgn 79132211B9E9317E0AA1AB59E4CB12057863670B76059487D048293DBCFE724C23B4E3633E45144437B4848FCF0351CE7DCF616F41EEB03CA442B41BC716AB4E 64 Trojan.Win32.ShadowBrokers.ai 7 ; C:\WINDOWS\NETWORKDISTRIBUTION\COLI-0.DLL zoo %SystemRoot%\NETWORKDISTRIBUTION\COLI-0.DLL bl 3C2FE2DBDF09CFA869344FDB53307CB2 15360 addsgn 79132211B9E9317E0AA1AB59E4CB12057863670B76059487D048293DBCFE724C23B4E3133E45144437C4848FCF0351BE7DCF616F419EB03CA442B46BC716AB4E 64 Trojan.Win32.ShadowBrokers.x 7 ; C:\WINDOWS\NETWORKDISTRIBUTION\EXMA-1.DLL zoo %SystemRoot%\NETWORKDISTRIBUTION\EXMA-1.DLL bl BA629216DB6CF7C0C720054B0C9A13F3 10240 ; C:\WINDOWS\NETWORKDISTRIBUTION\TIBE-2.DLL zoo %SystemRoot%\NETWORKDISTRIBUTION\TIBE-2.DLL bl F0881D5A7F75389DEBA3EFF3F4DF09AC 237568 addsgn 79132211B9E9317E0AA1AB5958CB12057863670B76059487D048293DBCFE724C23B41BFD3D451444FF2A878FCF0399507ECF616F9970B33CA4426C85C416AB4E 64 Trojan.Win32.ShadowBrokers.ad 7 ; C:\WINDOWS\NETWORKDISTRIBUTION\TRFO-2.DLL zoo %SystemRoot%\NETWORKDISTRIBUTION\TRFO-2.DLL bl 3E89C56056E5525BF4D9E52B28FBBCA7 29696 addsgn 79132211B9E9317E0AA1AB592ECC12057863670B76059487D048293DBCFE724C23B46BD23E4514448F05848FCF03E97F7DCF616FC95FB03CA4423CAAC716AB4E 64 Trojan.Win32.EquationDrug.acg 7 ; C:\WINDOWS\NETWORKDISTRIBUTION\POSH-0.DLL zoo %SystemRoot%\NETWORKDISTRIBUTION\POSH-0.DLL bl 2F0A52CE4F445C6E656ECEBBCACEADE5 11264 addsgn 79132211B9E9317E0AA1AB5911CB12057863670B76059487D048293DBCFE724C23B4E3133E45144437C4848FCF0351BE7DCF616F419EB03CA442B46BC716AB4E 64 Trojan.Win32.ShadowBrokers.ab 7 ; C:\WINDOWS\NETWORKDISTRIBUTION\UCL.DLL zoo %SystemRoot%\NETWORKDISTRIBUTION\UCL.DLL bl 6B7276E4AA7A1E50735D2F6923B40DE4 58368 addsgn 79132211B9E9317E0AA1AB5916CB12057863670B76059487D048293DBCFE724C23B483A33E4514441774848FCF03710E7DCF616F612EB03CA44294DBC716AB4E 64 Trojan.Win32.Shadowbrokers.co 7 ; C:\WINDOWS\NETWORKDISTRIBUTION\TRCH-1.DLL zoo %SystemRoot%\NETWORKDISTRIBUTION\TRCH-1.DLL bl 838CEB02081AC27DE43DA56BEC20FC76 59904 addsgn 79132211B9E9317E0AA1AB5914CB12057863670B76059487D048293DBCFE724C23B4B3A33E4514444774848FCF03210E7DCF616F312EB03CA442C4DBC716AB4E 64 Trojan.Win32.ShadowBrokers.ag 7 ; C:\WINDOWS\NETWORKDISTRIBUTION\\SVCHOST.EXE zoo %SystemRoot%\NETWORKDISTRIBUTION\\SVCHOST.EXE ; C:\WINDOWS\SYSTEM32\REMOTEPROTOCOLEVENT.DLL zoo %Sys32%\REMOTEPROTOCOLEVENT.DLL bl 724BDE1D1A01C5EB5AA20170CD84A360 109056 addsgn A7679B1928664D070E3C2BB464C8ED70357589FA768F1790343D3A43D3127D11E11BC302B5B9F749D495448F4706B68F7520FDCE45DBA0442473A4EF3813A263 64 RemoteProtocolEvent 7 chklst delvir czoo ;---------command-block--------- delref %SystemDrive%\PROGRAM FILES\JAVA\JRE6\BIN\JP2SSV.DLL delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref %SystemDrive%\PROGRAM FILES\JAVA\JRE7\BIN\DTPLUGIN\NPDEPLOYJAVA1.DLL delref %SystemDrive%\PROGRAM FILES\JAVA\JRE6\BIN\NEW_PLUGIN\NPJP2.DLL delref %SystemRoot%\INF\MSNETMTG.INF,NETMTG.INSTALL.PERUSER.NT delref %Sys32%\BLANK.HTM delref {764BF0E1-F219-11CE-972D-00AA00A14F56}\[CLSID] delref {853FE2B1-B769-11D0-9C4E-00C04FB6C6FA}\[CLSID] delref {BC476F4C-D9D7-4100-8D4E-E043F6DEC409}\[CLSID] delref {FAC3CBF6-8697-43D0-BAB9-DCD1FCE19D75}\[CLSID] delref {B1883831-F0D8-4453-8245-EEAAD866DD6E}\[CLSID] delref %Sys32%\DRIVERS\CHANGER.SYS delref %Sys32%\DRIVERS\I2OMGMT.SYS delref %Sys32%\DRIVERS\LBRTFDC.SYS delref %Sys32%\DRIVERS\PCIDUMP.SYS delref %Sys32%\DRIVERS\PDCOMP.SYS delref %Sys32%\DRIVERS\PDFRAME.SYS delref %Sys32%\DRIVERS\PDRELI.SYS delref %Sys32%\DRIVERS\PDRFRAME.SYS delref %Sys32%\DRIVERS\WDICA.SYS delref %Sys32%\PSXSS.EXE delref %Sys32%\EAPA3HST.DLL delref %Sys32%\ADOBE\DIRECTOR\SWDIR.DLL delref %Sys32%\KIOAMH.DLL delref {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\[CLSID] delref %SystemDrive%\PROGRAM FILES\JAVA\JRE6\BIN\JAVACPL.EXE delref %SystemRoot%\NETWORKDISTRIBUTION\\SVCHOST.EXE deldir %SystemRoot%\NETWORKDISTRIBUTION apply restart - В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
- Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
- После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
Если архив отсутствует, то заархивруйте папку ZOO с паролем virus. - Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Последнее редактирование:
- Статус
Похожие темы
- Закрыта
- Закрыта