Дмитрий Кошелев
Новый пользователь
- Сообщения
- 9
- Реакции
- 1
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
QuarantineFileF('c:\programdata\microsoft\macromed\flash player\9351fb06-7bac-44b0-8536-b458559e26e4', '*', true, '', 0 ,0);
QuarantineFileF('c:\programdata\krb updater utility', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 ,0);
QuarantineFileF('c:\users\admin\appdata\local\microsoft\extensions', '*', true, '', 0 ,0);
QuarantineFile('C:\ProgramData\Microsoft\Macromed\Flash Player\9351FB06-7BAC-44B0-8536-B458559E26E4\C033F8F6-5C83-4E9F-B9A4-8756CAD564E4.exe', '');
QuarantineFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', '');
QuarantineFile('C:\Users\admin\AppData\Local\Microsoft\Extensions\extsetup.exe', '');
ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\extsetupSB" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\KRBUUS\KRB Updater Utility Service" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\A9351FB06-7BAC-44B0-8536-B458559E26E4" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Microsoft\Windows\extsetupSB" /F', 0, 15000, true);
DeleteFile('C:\ProgramData\Microsoft\Macromed\Flash Player\9351FB06-7BAC-44B0-8536-B458559E26E4\C033F8F6-5C83-4E9F-B9A4-8756CAD564E4.exe', '32');
DeleteFile('C:\ProgramData\KRB Updater Utility\krbupdater.exe', '32');
DeleteFile('C:\Users\admin\AppData\Local\Microsoft\Extensions\extsetup.exe', '32');
DeleteFileMask('c:\programdata\krb updater utility', '*', true);
DeleteFileMask('c:\users\admin\appdata\local\microsoft\extensions', '*', true);
DeleteDirectory('c:\programdata\krb updater utility');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','9351FB06-7BAC-44B0-8536-B458559E26E4');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','KRB Updater Utility');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','extsetupSB');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','9351FB06-7BAC-44B0-8536-B458559E26E4');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','KRB Updater Utility');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','extsetupSB');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Start::
CreateRestorePoint:
VirusTotal: C:\Users\admin\AppData\Local\Schedule\Schedule.exe
() C:\Users\admin\AppData\Local\Schedule\Schedule.exe
C:\Users\admin\AppData\Local\Schedule\Schedule.exe
Startup: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Schedule.lnk [2018-05-09]
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
SearchScopes: HKU\S-1-5-21-2399178835-2304580121-637607134-1001 -> {AFDBDDAA-5D3F-42EE-B79C-185A7020515B} URL =
BHO-x32: No Name -> {8984B388-A5BB-4DF7-B274-77B879E179DB} -> No File
BHO-x32: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
Toolbar: HKU\S-1-5-21-2399178835-2304580121-637607134-1001 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> No File
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> No File
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> No File
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> No File
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> No File
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> No File
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> No File
AlternateDataStreams: C:\ProgramData\TEMP:8C35AEA7 [111]
AlternateDataStreams: C:\ProgramData\TEMP:8CE646EE [138]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:8C35AEA7 [111]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:8CE646EE [138]
EmptyTemp:
Reboot:
End::
Комп домашний? Если домашний, тогдаНастраивал ли политики не помню.
start
CreateRestorePoint:
GroupPolicy: Restriction <==== ATTENTION
GroupPolicy\User: Restriction <==== ATTENTION
GroupPolicyUsers\S-1-5-21-2399178835-2304580121-637607134-1003\User: Restriction <==== ATTENTION
GroupPolicyUsers\S-1-5-21-2399178835-2304580121-637607134-1002\User: Restriction <==== ATTENTION
EmptyTemp:
Reboot:
end
+очистка папки TEMP
очистка временных файлов adobe flash player
очистка кэш macromedia
очистка системной папки TEMP
очистка кэша всех браузеров, какие есть в списке
Это означает, что хром не нашел ожидаемого содержимого, жмите восстановить. Кстати, что с проблемами сейчас?У многих расширений Хрома имеются комментарии "Расширение возможно повреждено..." В таком состоянии оно не активно?
Нет. Можно удалять все расширения.это может привести к нестабильности работы Хрома?
Здравствуйте!Раз проблем нет, тогда финальные рекомендации
Подготовьте лог SecurityCheck by glax24
Ознакомьтесь: Рекомендации после лечения
Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
- Запустите AVZ.
- Выполните обновление баз (Меню Файл - Обновление баз)
- Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
- В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
- Закачайте полученный архив, как описано на этой странице.
- Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
Сейчас в автологере полиморфная версия AVZ работает. Такая проблема имеет место.В AVZ пункт "Обновление баз" не "работает". Шлю лог SC.
Сейчас в автологере полиморфная версия AVZ работает. Такая проблема имеет место.
Деинсталируйте
По возможности исправьте
--------------------------- [ OtherUtilities ] ----------------------------
7-Zip 16.04 v.16.04 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 4.20 (32-разрядная) v.4.20.0 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 171 (64-bit) v.8.0.1710.11 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u172-windows-x64.exe)^
Java 8 Update 171 v.8.0.1710.11 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u172-windows-i586.exe)^
------------------------------- [ Browser ] -------------------------------
Google Chrome v.66.0.3359.139 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
---------------------------- [ UnwantedApps ] -----------------------------
Unity Web Player v.5.3.3f1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Update for Html5 geolocation provider v.3.6.2.901 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Просто удалите папку с автологером.Не смог найти как деинсталлировать AVZ
Судя по логам должен быть в меню "Приложения и возможности"также вообще не нашёл Update for Html5 geolocation provider v.3.6.2.901.
Просто удалите папку с автологером.
Судя по логам должен быть в меню "Приложения и возможности"
Update for Html5 geolocation provider (HKLM-x32\...\{BFE6D377-F558-4E95-A062-673941B9BA5A}) (Version: 3.6.2.901 - AlterGeo)
FRST64 - нет, утилита требует специфичных знаний.Скажите, пожалуйста, могу ли в дальнейшем самостоятельно пользоваться программами adwcleaner и FRST64?
Тогда сделайте свежий лог adwcleaner, перепроверим.Да. Но его там нет - шлю перечень программ, отображаемых в меню "Приложения и возможности".
We use cookies and similar technologies for the following purposes:
Do you accept cookies and these technologies?
We use cookies and similar technologies for the following purposes:
Do you accept cookies and these technologies?