Ruslan8695
Новый пользователь
- Сообщения
- 46
- Реакции
- 0
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFile('C:\Windows\system32\MBCfg64.dll','');
QuarantineFile('C:\Program Files\Intel\SUR\QUEENCREEK\x64\task.vbs', '');
QuarantineFile('C:\Program Files (x86)\SCM\SCM.exe', '');
ExecuteFile('schtasks.exe', '/delete /TN "USER_ESRV_SVC_QUEENCREEK" /F', 0, 15000, true);
DeleteFile('C:\Program Files\Intel\SUR\QUEENCREEK\x64\task.vbs', '32');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Это упрощенное от детектирование антивирусным/защитным продуктом.Детект это, что пардон?
Start::
CreateRestorePoint:
HKU\S-1-5-21-437679703-1463114569-840393526-1001\...\MountPoints2: {0b193021-3601-11e7-8551-acfdcec75574} - "C:\Windows\system32\RunDLL32.EXE" Shell32.DLL,ShellExec_RunDLL L:\autorun.exe /auto
HKU\S-1-5-21-437679703-1463114569-840393526-1001\...\MountPoints2: {423e0b0f-5987-11e7-8591-acfdcec75574} - "C:\Windows\system32\RunDLL32.EXE" Shell32.DLL,ShellExec_RunDLL L:\autorun.exe /auto
HKU\S-1-5-21-437679703-1463114569-840393526-1001\...\MountPoints2: {597d8dd2-8bb3-11e7-85da-acfdcec75574} - "F:\Lenovo_Suite.exe"
HKU\S-1-5-21-437679703-1463114569-840393526-1001\...\MountPoints2: {67f81891-5053-11e7-857b-acfdcec75574} - "C:\Windows\system32\RunDLL32.EXE" Shell32.DLL,ShellExec_RunDLL L:\autorun.exe /auto
HKU\S-1-5-21-437679703-1463114569-840393526-1001\...\MountPoints2: {7576a4eb-4f4c-11e7-8579-d8cb8a806fb5} - "C:\Windows\system32\RunDLL32.EXE" Shell32.DLL,ShellExec_RunDLL M:\autorun.exe /auto
HKU\S-1-5-21-437679703-1463114569-840393526-1001\...\MountPoints2: {832de124-eae5-11e7-8689-acfdcec75574} - "H:\Lenovo_Suite.exe"
HKU\S-1-5-21-437679703-1463114569-840393526-1001\...\MountPoints2: {8abcefed-f092-11e6-84c6-d8cb8a806fb5} - "L:\Lenovo_Suite.exe"
HKU\S-1-5-21-437679703-1463114569-840393526-1001\...\MountPoints2: {8c5391fa-edc8-11e6-84c2-d8cb8a806fb5} - "I:\Lenovo_Suite.exe"
HKU\S-1-5-21-437679703-1463114569-840393526-1001\...\MountPoints2: {b36fa2aa-4f44-11e7-8578-d8cb8a806fb5} - "C:\Windows\system32\RunDLL32.EXE" Shell32.DLL,ShellExec_RunDLL M:\autorun.exe /auto
HKU\S-1-5-21-437679703-1463114569-840393526-1001\...\MountPoints2: {b61baa96-f5de-11e7-8698-d8cb8a806fb5} - "C:\Windows\system32\RunDLL32.EXE" Shell32.DLL,ShellExec_RunDLL J:\autorun.exe /auto
GroupPolicy: Restriction <==== ATTENTION
GroupPolicy\User: Restriction <==== ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page =
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
EmptyTemp:
Reboot:
End::
Скорее всего проблема в "недонсатройке" антивируса. Вот примерно, то, что нужно включить Как включить обнаружение программ, которые могут быть использованы злоумышленниками, в Kaspersky Internet Security 2016А Каспер меня опять подвел, думал если он стоит потом Адблоки всех мастей то мне нечего не страшно.
ТогдаАвасата некогда не было.
Start::
CreateRestorePoint:
ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File
Task: {78573E75-1732-42EE-B56C-B8D74652B8DE} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2018-02-02] (AVAST Software)
EmptyTemp:
Reboot:
End::
Дало, теперь просто хвосты детектирует в реестре. Их можно спокойно удалить при помощи ADWЗакладки деинсталировал результат не дало.
Start::
CreateRestorePoint:
FF Plugin HKU\S-1-5-21-437679703-1463114569-840393526-1001: @mail.ru/GameCenter -> C:\Users\Руслан\AppData\Local\Mail.Ru\GameCenter\NPDetector.dll [No File]
S3 mracsvc; C:\Windows\System32\mracsvc.exe [8010968 2017-12-30] (LLC Mail.Ru)
C:\Windows\System32\mracsvc.exe
S3 mracdrv; C:\Windows\System32\drivers\mracdrv.sys [7238880 2017-12-30] (LLC Mail.Ru)
C:\Windows\System32\drivers\mracdrv.sys
C:\Windows\System32\drivers\EsgScanner.sys
[-HKU\S-1-5-21-437679703-1463114569-840393526-1001\Software\Mail.Ru]
[-HKCU\Software\Mail.Ru]
EmptyTemp:
Reboot:
End::
Их физически и нет, можно проигнорироватькоторые я почему то не могу найти на диске и удалить Физически
Их детектировал Adwcleaner. Можете восстанавливать.Закладки то чем провинились?
Скажем так, перестраховались. Нельзя было быть уверенным, что это не реальное adware поселилось в начале.То есть я просто так 2 суток ерундой занимался?
Активного заражения не видно. Только немного нежелательно ПО.То есть все нормально можете сказать честно.
Такое отношение западный вендоров вызвано (в основном) тем, что продукты mail.ru распространялись, в том числе, при помощи вредоносного/рекламного ПО без запроса пользователя...PUP.Optional.Mail RU
We use cookies and similar technologies for the following purposes:
Do you accept cookies and these technologies?
We use cookies and similar technologies for the following purposes:
Do you accept cookies and these technologies?