Выложите файл здесь. Ссылка на ваш файл блокируется антивирусом и защитой браузера.Ниже ссылка на результат сканирования, согласно инструкции оформления тем:
Это какой-то косяк этого форума.Прикрепить логи к посту не удается из-за ошибки "При загрузке файла возникла проблема.".
https://hcas1.forum.local
ManualProxies = 1pmc-inet.pmc.local:3128
ProxyServer = pmc-inet.pmc.local:3128
PBot [2016/12/30 12:06:12]-->C:\Users\***\AppData\Roaming\PBot\uninstall.exe
urlopener [2016/12/30 12:06:49]-->C:\Users\***\AppData\Roaming\urlopener\uninstall.exe
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
TerminateProcessByName('c:\users\***\appdata\local\scriptwriter\scriptwriter.exe');
TerminateProcessByName('C:\Users\***\AppData\Roaming\PBot\python\pythonw.exe');
QuarantineFile('C:\Users\***\AppData\Roaming\PBot\launchall.py','');
QuarantineFile('C:\Users\***\AppData\Roaming\MinesweeperApp2\mineApplication2.exe','');
QuarantineFile('c:\users\***\appdata\local\scriptwriter\scriptwriter.exe','');
QuarantineFileF('C:\Users\***\AppData\Roaming\PBot', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
QuarantineFileF('C:\Users\***\AppData\Roaming\MinesweeperApp2', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
QuarantineFileF('C:\Users\***\AppData\Roaming\urlopener', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
QuarantineFileF('c:\users\***\appdata\local\scriptwriter', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0 ,0);
ExecuteFile('schtasks.exe', '/delete /TN "ScriptWriter" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "urlopener" /F', 0, 15000, true);
DeleteFile('c:\users\***\appdata\local\scriptwriter\scriptwriter.exe','32');
DeleteFile('C:\Users\***\AppData\Roaming\PBot\launchall.py','32');
DeleteFile('C:\Users\***\AppData\Roaming\MinesweeperApp2\mineApplication2.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','mineApplication');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PBot');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','tncdbfxzls');
DeleteFileMask('C:\Users\***\AppData\Roaming\PBot','*', true);
DeleteFileMask('C:\Users\***\AppData\Roaming\MinesweeperApp2','*', true);
DeleteFileMask('c:\users\***\appdata\local\scriptwriter','*', true);
DeleteFileMask('C:\Users\***\AppData\Roaming\urlopener','*', true);
DeleteDirectory('C:\Users\***\AppData\Roaming\PBot');
DeleteDirectory('C:\Users\***\AppData\Roaming\MinesweeperApp2');
DeleteDirectory('c:\users\***\appdata\local\scriptwriter');
DeleteDirectory('C:\Users\***\AppData\Roaming\urlopener');
ExecuteSysClean;
ExecuteWizard('SCU',2,3,true);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
RegKeyParamDel('HKEY_USERS','S-1-5-21-754687995-1579746219-2587340142-1941\Software\Microsoft\Windows\CurrentVersion\Run','tncdbfxzls');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(true);
end.
C:\Users\ZhukovSI\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk ( url,FileProtocolHandler "hxxp://www.mail.ru/cnt/20775012?gp=811008" )
C:\Users\oreshnikovvy\AppData\Roaming\zona
CHR Extension: (Chrome Web Store Payments) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2017-01-10]
CHR Extension: (Chrome Media Router) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2016-12-08]
CHR Extension: (No Name) - C:\Users\Администратор\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-12-08]
start
CreateRestorePoint:
Task: {F76356E9-6674-4D94-94B0-E7097B9A2D13} - \PowerMonitor -> No File <==== ATTENTION
HKLM-x32\...\Run: [] => [X]
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
C:\Users\OreshnikovVY\AppData\Local\Temp\jre-8u66-windows-au.exe
C:\Users\OreshnikovVY\AppData\Local\Temp\jre-8u71-windows-au.exe
C:\Users\OreshnikovVY\AppData\Local\Temp\jre-8u77-windows-au.exe
C:\Users\ZhukovSI\AppData\Local\Temp\8CncWLusfJ2h.exe
C:\Users\ZhukovSI\AppData\Local\Temp\B7OhnsNflhDO.exe
C:\Users\ZhukovSI\AppData\Local\Temp\cHVCMlkT19u5.exe
C:\Users\ZhukovSI\AppData\Local\Temp\DAeABavbI9Gk.exe
C:\Users\ZhukovSI\AppData\Local\Temp\dHFldyy3QnqJ.exe
C:\Users\ZhukovSI\AppData\Local\Temp\f68ZESDsmeVz.exe
C:\Users\ZhukovSI\AppData\Local\Temp\gXwczhaKGVta.exe
C:\Users\ZhukovSI\AppData\Local\Temp\HyVK2mtFXqgD.exe
C:\Users\ZhukovSI\AppData\Local\Temp\iPhimA7kwrLD.exe
C:\Users\ZhukovSI\AppData\Local\Temp\KA4NkTFJUUGa.exe
C:\Users\ZhukovSI\AppData\Local\Temp\KbVfEfjLx7Qh.exe
C:\Users\ZhukovSI\AppData\Local\Temp\MjdMKBIkoOb7.exe
C:\Users\ZhukovSI\AppData\Local\Temp\n1gZQxoQBeuI.exe
C:\Users\ZhukovSI\AppData\Local\Temp\O7i4gEnfwwoi.exe
C:\Users\ZhukovSI\AppData\Local\Temp\P4AjGA83XU5V.exe
C:\Users\ZhukovSI\AppData\Local\Temp\sUZoVPQIMTSq.exe
C:\Users\ZhukovSI\AppData\Local\Temp\uql5PZFJwH68.exe
C:\Users\ZhukovSI\AppData\Local\Temp\WHp1ZPmQZb8O.exe
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
GroupPolicyScripts: Restriction <======= ATTENTION
Reboot:
end
Спасибо. Карантин пришел.shestale, отправил запрошенные данные на указанную почту.
We use cookies and similar technologies for the following purposes:
Do you accept cookies and these technologies?
We use cookies and similar technologies for the following purposes:
Do you accept cookies and these technologies?