puertorikanez
Постоянный участник
- Сообщения
- 189
- Реакции
- 18
открытие браузера с левыми страницами, переход на левые сайты, и что то кроме адвари сидит, мне кажется логи до конца не собираются происходит перезагрузка
Решена ADware и другая гадость
- Автор темы puertorikanez
- Дата начала
- Статус
- Сообщения
- 14,244
- Реакции
- 3,123
Здравствуйте!
Действительно, архив неполный.
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Компьютер перезагрузится.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
Действительно, архив неполный.
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
StopService('{00aec75d-051f-41a9-9837-e94ac4f56303}Gw64');
StopService('{10e3e2da-8f7b-42cc-9f00-90007ce494b8}Gw64');
StopService('{1de2a23f-1c23-4ea1-8ef4-79bc5c5cea78}Gw64');
StopService('{255a824a-3cde-4dee-9785-284605606456}Gw64');
StopService('{32c6b9d7-6b2c-4b03-9178-01abbf9c7194}Gw64');
StopService('{336e37ae-3235-4f16-98ec-8cdf679be7d2}Gw64');
StopService('{3b808196-ff63-49ee-b33b-efdf51723eca}Gw64');
StopService('{3cac76e7-8310-45ea-8277-96d048a78c60}Gw64');
StopService('{3fa44d1f-c300-4673-a8c1-5ba05468b4bd}Gw64');
StopService('{4096aedf-3f28-4c8e-aebe-00255138fa8a}Gw64');
StopService('{4530e639-76ab-4435-889d-a5e81ae090a4}Gw64');
StopService('{46a147d8-5171-42d8-b8a8-6a187525781d}Gw64');
StopService('{51b9c91c-8e38-40ae-80de-58a590512b6b}Gw64');
StopService('{67f29abb-07b3-41f5-94cd-f819d7c1fc76}Gw64');
StopService('{6b89253f-7097-40c7-9ead-2d5b1ceb02e2}w64');
StopService('{733fb217-c049-41ba-9504-3f2045e61977}Gw64');
StopService('{8ac13c32-b1f4-495e-8b0b-4bd4fd38c6b5}Gw64');
StopService('{949aba83-1d7f-4d0b-b0ba-203450825231}Gw64');
StopService('{94d62e35-4b43-494c-bf52-ba5935df36ef}Gw64');
StopService('{94d62e35-4b43-494c-bf52-ba5935df36ef}w64');
StopService('{b0c7827f-c845-429a-833b-c2a798fc4fc3}Gw64');
StopService('{b44cc396-b011-428e-9498-207b6b7bc335}Gw64');
StopService('{b59efc84-8479-4faa-b02a-e5c7e85c7926}Gw64');
StopService('{bb7b7a60-f574-47c2-8a0b-4c56f2da9802}Gw64');
StopService('{d428f5a9-a362-4938-a8b7-f0abd920078b}Gw64');
StopService('{d997fcb4-42b4-4f84-a147-2e498567c954}Gw64');
StopService('{db1293a0-85fd-418d-b0d6-c79faa7c8ace}Gw64');
StopService('{dbec4a38-79aa-4d48-ac2b-d4467b1ded12}Gw64');
StopService('{dc592624-f532-4311-9fc7-6920126fc404}Gw64');
StopService('{e9629596-2cbd-4eea-9329-7470e8b0fdae}Gw64');
StopService('{f5d136d7-adc2-4c84-85b2-e564334ab0bc}Gw64');
StopService('{f63e4e62-e47d-4415-9bb4-c9b1dfe161b9}Gw64');
StopService('{f9595960-dc6f-49f8-83db-4f3a4c9b714d}Gw64');
StopService('{fce396ae-d8d1-4789-946e-2106fbe4292b}Gw64');
QuarantineFile('C:\Windows\system32\drivers\{00aec75d-051f-41a9-9837-e94ac4f56303}Gw64.sys', '');
QuarantineFile('C:\Windows\system32\drivers\{10e3e2da-8f7b-42cc-9f00-90007ce494b8}Gw64.sys', '');
QuarantineFile('C:\Windows\system32\drivers\{1de2a23f-1c23-4ea1-8ef4-79bc5c5cea78}Gw64.sys', '');
QuarantineFile('C:\Windows\system32\drivers\{255a824a-3cde-4dee-9785-284605606456}Gw64.sys', '');
QuarantineFile('C:\Windows\system32\drivers\{32c6b9d7-6b2c-4b03-9178-01abbf9c7194}Gw64.sys', '');
QuarantineFile('C:\Windows\system32\drivers\{336e37ae-3235-4f16-98ec-8cdf679be7d2}Gw64.sys', '');
QuarantineFile('C:\Windows\system32\drivers\{3b808196-ff63-49ee-b33b-efdf51723eca}Gw64.sys', '');
QuarantineFile('C:\Windows\system32\drivers\{3cac76e7-8310-45ea-8277-96d048a78c60}Gw64.sys', '');
QuarantineFile('C:\Windows\system32\drivers\{3fa44d1f-c300-4673-a8c1-5ba05468b4bd}Gw64.sys', '');
QuarantineFile('C:\Windows\system32\drivers\{4096aedf-3f28-4c8e-aebe-00255138fa8a}Gw64.sys', '');
QuarantineFile('C:\Windows\system32\drivers\{4530e639-76ab-4435-889d-a5e81ae090a4}Gw64.sys', '');
QuarantineFile('C:\Windows\system32\drivers\{46a147d8-5171-42d8-b8a8-6a187525781d}Gw64.sys', '');
QuarantineFile('C:\Windows\system32\drivers\{51b9c91c-8e38-40ae-80de-58a590512b6b}Gw64.sys', '');
QuarantineFile('C:\Windows\system32\drivers\{67f29abb-07b3-41f5-94cd-f819d7c1fc76}Gw64.sys', '');
QuarantineFile('C:\Windows\system32\drivers\{6b89253f-7097-40c7-9ead-2d5b1ceb02e2}w64.sys', '');
QuarantineFile('C:\Windows\system32\drivers\{733fb217-c049-41ba-9504-3f2045e61977}Gw64.sys', '');
QuarantineFile('C:\Windows\system32\drivers\{8ac13c32-b1f4-495e-8b0b-4bd4fd38c6b5}Gw64.sys', '');
QuarantineFile('C:\Windows\system32\drivers\{949aba83-1d7f-4d0b-b0ba-203450825231}Gw64.sys', '');
QuarantineFile('C:\Windows\system32\drivers\{94d62e35-4b43-494c-bf52-ba5935df36ef}Gw64.sys', '');
QuarantineFile('C:\Windows\system32\drivers\{94d62e35-4b43-494c-bf52-ba5935df36ef}w64.sys', '');
QuarantineFile('C:\Windows\system32\drivers\{b0c7827f-c845-429a-833b-c2a798fc4fc3}Gw64.sys', '');
QuarantineFile('C:\Windows\system32\drivers\{b44cc396-b011-428e-9498-207b6b7bc335}Gw64.sys', '');
QuarantineFile('C:\Windows\system32\drivers\{b59efc84-8479-4faa-b02a-e5c7e85c7926}Gw64.sys', '');
QuarantineFile('C:\Windows\system32\drivers\{bb7b7a60-f574-47c2-8a0b-4c56f2da9802}Gw64.sys', '');
QuarantineFile('C:\Windows\system32\drivers\{d428f5a9-a362-4938-a8b7-f0abd920078b}Gw64.sys', '');
QuarantineFile('C:\Windows\system32\drivers\{d997fcb4-42b4-4f84-a147-2e498567c954}Gw64.sys', '');
QuarantineFile('C:\Windows\system32\drivers\{db1293a0-85fd-418d-b0d6-c79faa7c8ace}Gw64.sys', '');
QuarantineFile('C:\Windows\system32\drivers\{dbec4a38-79aa-4d48-ac2b-d4467b1ded12}Gw64.sys', '');
QuarantineFile('C:\Windows\system32\drivers\{dc592624-f532-4311-9fc7-6920126fc404}Gw64.sys', '');
QuarantineFile('C:\Windows\system32\drivers\{e9629596-2cbd-4eea-9329-7470e8b0fdae}Gw64.sys', '');
QuarantineFile('C:\Windows\system32\drivers\{f5d136d7-adc2-4c84-85b2-e564334ab0bc}Gw64.sys', '');
QuarantineFile('C:\Windows\system32\drivers\{f63e4e62-e47d-4415-9bb4-c9b1dfe161b9}Gw64.sys', '');
QuarantineFile('C:\Windows\system32\drivers\{f9595960-dc6f-49f8-83db-4f3a4c9b714d}Gw64.sys', '');
QuarantineFile('C:\Windows\system32\drivers\{fce396ae-d8d1-4789-946e-2106fbe4292b}Gw64.sys', '');
QuarantineFile('C:\Program Files (x86)\Google\chrome.bat', '');
QuarantineFile('C:\iexplore.bat', '');
QuarantineFile('C:\Users\xxx\AppData\Local\Yandex\browser.bat', '');
DeleteFile('C:\Windows\system32\drivers\{00aec75d-051f-41a9-9837-e94ac4f56303}Gw64.sys', '32');
DeleteFile('C:\Windows\system32\drivers\{10e3e2da-8f7b-42cc-9f00-90007ce494b8}Gw64.sys', '32');
DeleteFile('C:\Windows\system32\drivers\{1de2a23f-1c23-4ea1-8ef4-79bc5c5cea78}Gw64.sys', '32');
DeleteFile('C:\Windows\system32\drivers\{255a824a-3cde-4dee-9785-284605606456}Gw64.sys', '32');
DeleteFile('C:\Windows\system32\drivers\{32c6b9d7-6b2c-4b03-9178-01abbf9c7194}Gw64.sys', '32');
DeleteFile('C:\Windows\system32\drivers\{336e37ae-3235-4f16-98ec-8cdf679be7d2}Gw64.sys', '32');
DeleteFile('C:\Windows\system32\drivers\{3b808196-ff63-49ee-b33b-efdf51723eca}Gw64.sys', '32');
DeleteFile('C:\Windows\system32\drivers\{3cac76e7-8310-45ea-8277-96d048a78c60}Gw64.sys', '32');
DeleteFile('C:\Windows\system32\drivers\{3fa44d1f-c300-4673-a8c1-5ba05468b4bd}Gw64.sys', '32');
DeleteFile('C:\Windows\system32\drivers\{4096aedf-3f28-4c8e-aebe-00255138fa8a}Gw64.sys', '32');
DeleteFile('C:\Windows\system32\drivers\{4530e639-76ab-4435-889d-a5e81ae090a4}Gw64.sys', '32');
DeleteFile('C:\Windows\system32\drivers\{46a147d8-5171-42d8-b8a8-6a187525781d}Gw64.sys', '32');
DeleteFile('C:\Windows\system32\drivers\{51b9c91c-8e38-40ae-80de-58a590512b6b}Gw64.sys', '32');
DeleteFile('C:\Windows\system32\drivers\{67f29abb-07b3-41f5-94cd-f819d7c1fc76}Gw64.sys', '32');
DeleteFile('C:\Windows\system32\drivers\{6b89253f-7097-40c7-9ead-2d5b1ceb02e2}w64.sys', '32');
DeleteFile('C:\Windows\system32\drivers\{733fb217-c049-41ba-9504-3f2045e61977}Gw64.sys', '32');
DeleteFile('C:\Windows\system32\drivers\{8ac13c32-b1f4-495e-8b0b-4bd4fd38c6b5}Gw64.sys', '32');
DeleteFile('C:\Windows\system32\drivers\{949aba83-1d7f-4d0b-b0ba-203450825231}Gw64.sys', '32');
DeleteFile('C:\Windows\system32\drivers\{94d62e35-4b43-494c-bf52-ba5935df36ef}Gw64.sys', '32');
DeleteFile('C:\Windows\system32\drivers\{94d62e35-4b43-494c-bf52-ba5935df36ef}w64.sys', '32');
DeleteFile('C:\Windows\system32\drivers\{b0c7827f-c845-429a-833b-c2a798fc4fc3}Gw64.sys', '32');
DeleteFile('C:\Windows\system32\drivers\{b44cc396-b011-428e-9498-207b6b7bc335}Gw64.sys', '32');
DeleteFile('C:\Windows\system32\drivers\{b59efc84-8479-4faa-b02a-e5c7e85c7926}Gw64.sys', '32');
DeleteFile('C:\Windows\system32\drivers\{bb7b7a60-f574-47c2-8a0b-4c56f2da9802}Gw64.sys', '32');
DeleteFile('C:\Windows\system32\drivers\{d428f5a9-a362-4938-a8b7-f0abd920078b}Gw64.sys', '32');
DeleteFile('C:\Windows\system32\drivers\{d997fcb4-42b4-4f84-a147-2e498567c954}Gw64.sys', '32');
DeleteFile('C:\Windows\system32\drivers\{db1293a0-85fd-418d-b0d6-c79faa7c8ace}Gw64.sys', '32');
DeleteFile('C:\Windows\system32\drivers\{dbec4a38-79aa-4d48-ac2b-d4467b1ded12}Gw64.sys', '32');
DeleteFile('C:\Windows\system32\drivers\{dc592624-f532-4311-9fc7-6920126fc404}Gw64.sys', '32');
DeleteFile('C:\Windows\system32\drivers\{e9629596-2cbd-4eea-9329-7470e8b0fdae}Gw64.sys', '32');
DeleteFile('C:\Windows\system32\drivers\{f5d136d7-adc2-4c84-85b2-e564334ab0bc}Gw64.sys', '32');
DeleteFile('C:\Windows\system32\drivers\{f63e4e62-e47d-4415-9bb4-c9b1dfe161b9}Gw64.sys', '32');
DeleteFile('C:\Windows\system32\drivers\{f9595960-dc6f-49f8-83db-4f3a4c9b714d}Gw64.sys', '32');
DeleteFile('C:\Windows\system32\drivers\{fce396ae-d8d1-4789-946e-2106fbe4292b}Gw64.sys', '32');
DeleteFile('C:\Program Files (x86)\Google\chrome.bat', '32');
DeleteFile('C:\iexplore.bat', '32');
DeleteFile('C:\Users\xxx\AppData\Local\Yandex\browser.bat', '32');
DeleteService('{00aec75d-051f-41a9-9837-e94ac4f56303}Gw64');
DeleteService('{10e3e2da-8f7b-42cc-9f00-90007ce494b8}Gw64');
DeleteService('{1de2a23f-1c23-4ea1-8ef4-79bc5c5cea78}Gw64');
DeleteService('{255a824a-3cde-4dee-9785-284605606456}Gw64');
DeleteService('{32c6b9d7-6b2c-4b03-9178-01abbf9c7194}Gw64');
DeleteService('{336e37ae-3235-4f16-98ec-8cdf679be7d2}Gw64');
DeleteService('{3b808196-ff63-49ee-b33b-efdf51723eca}Gw64');
DeleteService('{3cac76e7-8310-45ea-8277-96d048a78c60}Gw64');
DeleteService('{3fa44d1f-c300-4673-a8c1-5ba05468b4bd}Gw64');
DeleteService('{4096aedf-3f28-4c8e-aebe-00255138fa8a}Gw64');
DeleteService('{4530e639-76ab-4435-889d-a5e81ae090a4}Gw64');
DeleteService('{46a147d8-5171-42d8-b8a8-6a187525781d}Gw64');
DeleteService('{51b9c91c-8e38-40ae-80de-58a590512b6b}Gw64');
DeleteService('{67f29abb-07b3-41f5-94cd-f819d7c1fc76}Gw64');
DeleteService('{6b89253f-7097-40c7-9ead-2d5b1ceb02e2}w64');
DeleteService('{733fb217-c049-41ba-9504-3f2045e61977}Gw64');
DeleteService('{8ac13c32-b1f4-495e-8b0b-4bd4fd38c6b5}Gw64');
DeleteService('{949aba83-1d7f-4d0b-b0ba-203450825231}Gw64');
DeleteService('{94d62e35-4b43-494c-bf52-ba5935df36ef}Gw64');
DeleteService('{94d62e35-4b43-494c-bf52-ba5935df36ef}w64');
DeleteService('{b0c7827f-c845-429a-833b-c2a798fc4fc3}Gw64');
DeleteService('{b44cc396-b011-428e-9498-207b6b7bc335}Gw64');
DeleteService('{b59efc84-8479-4faa-b02a-e5c7e85c7926}Gw64');
DeleteService('{bb7b7a60-f574-47c2-8a0b-4c56f2da9802}Gw64');
DeleteService('{d428f5a9-a362-4938-a8b7-f0abd920078b}Gw64');
DeleteService('{d997fcb4-42b4-4f84-a147-2e498567c954}Gw64');
DeleteService('{db1293a0-85fd-418d-b0d6-c79faa7c8ace}Gw64');
DeleteService('{dbec4a38-79aa-4d48-ac2b-d4467b1ded12}Gw64');
DeleteService('{dc592624-f532-4311-9fc7-6920126fc404}Gw64');
DeleteService('{e9629596-2cbd-4eea-9329-7470e8b0fdae}Gw64');
DeleteService('{f5d136d7-adc2-4c84-85b2-e564334ab0bc}Gw64');
DeleteService('{f63e4e62-e47d-4415-9bb4-c9b1dfe161b9}Gw64');
DeleteService('{f9595960-dc6f-49f8-83db-4f3a4c9b714d}Gw64');
DeleteService('{fce396ae-d8d1-4789-946e-2106fbe4292b}Gw64');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.Компьютер перезагрузится.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
puertorikanez
Постоянный участник
- Сообщения
- 189
- Реакции
- 18
карантин отправил с помощью формы, при повторном сканировании системы произошла перезагрузка, лог не создался
- Сообщения
- 14,244
- Реакции
- 3,123
Попробуем так:
Подробнее читайте в этом руководстве.
- Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
- Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Sx].txt.
- Прикрепите отчет к своему следующему сообщению.
Подробнее читайте в этом руководстве.
puertorikanez
Постоянный участник
- Сообщения
- 189
- Реакции
- 18
при запуске HiJackThis происходит перезагрукза
puertorikanez
Постоянный участник
- Сообщения
- 189
- Реакции
- 18
AdwCleaner, тоже вырубается(на сканировании браузеров).. один раз даже на английском запустился.
Последнее редактирование:
- Сообщения
- 14,244
- Реакции
- 3,123
- Скачайте Universal Virus Sniffer (uVS)
- Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
- Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. - Дождитесь окончания работы программы и прикрепите лог к посту в теме.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да". - Подробнее читайте в руководстве Как подготовить лог UVS.
puertorikanez
Постоянный участник
- Сообщения
- 189
- Реакции
- 18
отладку клинера не надо прикрепить?
вроде получился, но опять все закончилось перезагрузкой
вроде получился, но опять все закончилось перезагрузкой
- Сообщения
- 14,244
- Реакции
- 3,123
Если есть, прикрепите.
Да, слишком малый размер.
Соберите этот лог таким способом: Создание образа диска Windows PE&uVS для сбора логов с неактивной системы.
puertorikanez
Постоянный участник
- Сообщения
- 189
- Реакции
- 18
при сканировании в свойствах поставил отладка, но знаю поможет или нет сейчас
вот что то получилось, но опять таки перезагрузкой, образ смогу только вечером сделать, пока удалил некоторое постоннее ПО
получился лог клинера
вот что то получилось, но опять таки перезагрузкой, образ смогу только вечером сделать, пока удалил некоторое постоннее ПО
получился лог клинера
- Сообщения
- 24,131
- Реакции
- 13,535
- Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
- Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
- Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
Код:;uVS v4.0.6 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE BREG ; %SystemDrive%\FIREFOX.BAT bl 7544B2999EED394A58F0A10DBD904036 134 zoo %SystemDrive%\FIREFOX.BAT del %SystemDrive%\FIREFOX.BAT zoo %SystemDrive%\IEXPLORE.BAT del %SystemDrive%\IEXPLORE.BAT ; %SystemDrive%\OPERA.BAT bl AD7E05570147DD94F5114BD9A2A33DBD 112 zoo %SystemDrive%\OPERA.BAT del %SystemDrive%\OPERA.BAT ; %SystemDrive%\USERS\XXX\APPDATA\LOCAL\BROWSERMANAGER.BAT bl DFA79CCDFBE870C9574A7981BF32F21A 149 zoo %SystemDrive%\USERS\XXX\APPDATA\LOCAL\BROWSERMANAGER.BAT del %SystemDrive%\USERS\XXX\APPDATA\LOCAL\BROWSERMANAGER.BAT ; C:\USERS\XXX\APPDATA\LOCAL\CSRSS.EXE zoo %SystemDrive%\USERS\XXX\APPDATA\LOCAL\CSRSS.EXE bl 483FCF432217D71544246AA760D98CDC 42687 addsgn 1B457B67AA661C700BD4AEB164C8120525F708F489F64F7A85C3C5BC50D6714C2317C3573E559D492B80849F461649FA7DDFE87255DAB02C2D77A42FC7062273 12 Trojan.Win32.Genome.amzxw [Kaspersky] 7 ; C:\USERS\XXX\APPDATA\LOCAL\WINLOGON.EXE zoo %SystemDrive%\USERS\XXX\APPDATA\LOCAL\WINLOGON.EXE ; C:\USERS\XXX\APPDATA\LOCAL\SERVICES.EXE zoo %SystemDrive%\USERS\XXX\APPDATA\LOCAL\SERVICES.EXE ; C:\USERS\XXX\APPDATA\LOCAL\LSASS.EXE zoo %SystemDrive%\USERS\XXX\APPDATA\LOCAL\LSASS.EXE ; C:\USERS\XXX\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\EMPTY.PIF zoo %SystemDrive%\USERS\XXX\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\EMPTY.PIF ; C:\USERS\XXX\APPDATA\LOCAL\SMSS.EXE zoo %SystemDrive%\USERS\XXX\APPDATA\LOCAL\SMSS.EXE ; C:\USERS\XXX\APPDATA\LOCAL\INETINFO.EXE zoo %SystemDrive%\USERS\XXX\APPDATA\LOCAL\INETINFO.EXE delref %SystemDrive%\ТРИ БОГАТЫРЯ И ШАМАХАНСКАЯ ЦАРИЦА\TRYBOG.EXE chklst delvir deltmp - В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
- Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
- После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
Если архив отсутствует, то заархивруйте папку ZOO с паролем virus. - Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
- Подробнее читайте в этом руководстве.
- Удалите в AdwCleaner всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.
После подготовьте лог автлогера, должен подготовиться без проблем. Обратите внимание, что запуск браузеров через ярлыки будет невозможно т.к. ярлыки нужно исправить ClearLNK - удаление параметров запуска у ярлыков
Последнее редактирование:
puertorikanez
Постоянный участник
- Сообщения
- 189
- Реакции
- 18
не создался архив ZOO
- Сообщения
- 24,131
- Реакции
- 13,535
Действительно не страшно. Запустите UVS - файл - Архивировать ZOO
puertorikanez
Постоянный участник
- Сообщения
- 189
- Реакции
- 18
неудобная какая то версия клинера стала, не видно где от майла или там ничего не было
Zoo отправил на почту, так как по форме не дает
Zoo отправил на почту, так как по форме не дает
- Сообщения
- 14,727
- Реакции
- 6,730
Наоборот, сейчас все элемент от Mail.ru сгруппированы отдельно.
Дампы падения AdwCleaner-а пришлите, для этого
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
var PathAutoLogger, CMDLine : string;
begin
clearlog;
PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
SaveLog(PathAutoLogger+'report3.log');
if FolderIsEmpty(PathAutoLogger+'CrashDumps')
then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log"'
else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
if FileExists('7za.exe') then ExecuteFile('7za.exe', CMDLine, 0, 180000, false)
else ExecuteFile('7za.pif', CMDLine, 0, 180000, false);
AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
end.архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению. Выполнение скрипта может занять несколько минут. Если архив слишком большой, загрузите его на файлообменник, например на один из этих файлообменников RGhost — файлообменник , Zippyshare.com - Free File Hosting , My-Files.RU лучший бесплатный файлообменник и файловый сервис , Ge.tt | Gett sharing и дайте на него ссылку в Вашей теме.
- Сообщения
- 24,131
- Реакции
- 13,535
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
StopService('{fd600559-a688-4110-b9b9-0f1a9beae8ae}Gw64');
QuarantineFile('C:\Windows\system32\drivers\{fd600559-a688-4110-b9b9-0f1a9beae8ae}Gw64.sys', '');
QuarantineFile('C:\Users\xxx\AppData\Local\smss.exe', '');
DeleteFile('C:\Windows\system32\drivers\{fd600559-a688-4110-b9b9-0f1a9beae8ae}Gw64.sys', '32');
DeleteFile('C:\Users\xxx\AppData\Local\smss.exe', '32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Tok-Cirrhatus','command');
DeleteService('{fd600559-a688-4110-b9b9-0f1a9beae8ae}Gw64');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O4 - MSConfig\startupfolder: C:^Users^xxx^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Empty.pif - C:\Windows\pss\Empty.pif.Startup (2017/07/18)puertorikanez
Постоянный участник
- Сообщения
- 189
- Реакции
- 18
Report.7z — RGhost — файлообменник
карантин на почте
карантин на почте
- Статус