Технический форум - Помогите вылечить...

Технический форум (http://www.tehnari.ru/)

- Безопасность (http://www.tehnari.ru/f35/)

- - Помогите вылечить... (http://www.tehnari.ru/f35/t249274/)

Помогите вылечить...

Вирус, который переделывает на флэшке все файлы в .lnk
Вот лог uVS

Цитата:

uVS v3.85 [http://dsrt.dyndns.org]: Windows 7 Ultimate x64 (NT v6.1) build 7601 Service Pack 1 [C:\WINDOWS]

Текущая версия - 3.87.6, скачайте по ссылке отсюда - с зеркала, там самая свежая версия.

Выполните в ней скрипт:

Код:

;uVS v3.87.6 [http://dsrt.dyndns.org]

;Target OS: NTv6.1

v388c

OFFSGNSAVE

zoo %SystemDrive%\USERS\SECRETAR\APPDATA\ROAMING\MICROSOFT OFFICE\MICROSOFT EXCEL.WSF

dirzooex %SystemDrive%\USERS\SECRETAR\APPDATA\ROAMING\MICROSOFT OFFICE

delall %SystemDrive%\USERS\SECRETAR\APPDATA\ROAMING\MICROSOFT OFFICE\MICROSOFT EXCEL.WSF

delref %SystemDrive%\USERS\SECRETAR\APPDATA\LOCAL\KOMETA\PANEL\KOMETALAUNCHPANEL.EXE

deldir %SystemDrive%\USERS\SECRETAR\APPDATA\LOCAL\KOMETA\PANEL

delref %SystemDrive%\USERS\SECRETAR\APPDATA\ROAMING\MICROSOFT OFFICE\\MICROSOFT EXCEL.WSF

delref HTTP://EFREMYAN.RU/?UTM_SOURCE=STARTPAGE03&UTM_CONTENT=EE9D714796066E8D5BD1796CA9B9127C

czoo

deltmp

restart

Компьютер перезагрузится.

В папке с uVS появится архив 7z с именем, начинающимся с ZOO_ и далее из даты и времени, пришлите мне этот архив на vvvyg@ya.ru.

Сделайте новый полный образ автозапуска и дайте ссылку здесь в теме.

Архив не появился

добавьте новый образ автозапуска.

Вот новый лог

этот файл проверьте на http://virustotal.com
и дайте ссылку на линк проверки.

Цитата:

C:\PROGRAMDATA\PROTEXIS\KGYGAAVL.SYS

"https://virustotal.com/ru/file/fef2b4d2c9a57590d4df4bb2cc59055aaedff622924ab70a7f f1d7f10724eba0/analysis/1476254855/"

ссылка неверная,
но
судя по результату проверки файл чист.

Цитата:

2016-10-12
Файл был чист на момент проверки.

-----------

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:



;uVS v3.87.6 [http://dsrt.dyndns.org]

;Target OS: NTv6.1

OFFSGNSAVE

;------------------------autoscript---------------------------



chklst

delvir



delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCLPDGMDKDNIJJBGMNAJOLNBNJEJOEOGM%26INSTALLSOURCE%3DONDEMAND%26UC



delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEOFCBNMAJMJMPLFLAPAOJJNIHCJKIGCK%26INSTALLSOURCE%3DONDEMAND%26UC



delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPNOOFFJHCLKOCPLOPFFDBCDGHMIFFHJI%26INSTALLSOURCE%3DONDEMAND%26UC



deldirex %SystemDrive%\USERS\SECRETAR\APPDATA\LOCAL\KOMETA\PANEL



regt 27

deltmp

delnfr

;-------------------------------------------------------------



restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните сканирование (угроз) в Malwarebytes

Цитата:

Сообщение от safety (Сообщение 2422437)

ссылка неверная

Ссылка верная, просто движок сайта вписал туда лишний пробел.
Дублирую.
https://virustotal.com/ru/file/fef2b...is/1476254855/

Флешки больше не переделывает. Но иногда в браузере параллельно ссылки открываются. Сканирование (угроз) в Malwarebytes делаю. Отчет нужно выкладывать?