ЕВГЕНИЙ: Плановая проверка

ukh255 · January 2018

сканировал каспером - он удалил что нашел
потом мбам и фрст

safety · January 2018

можно еще раз просканировать Касперским через некоторое время. Если больше ничего не найдет, значит все вычистили. + проверить, нет ли скрытых пользовательских папок. можно в far-е глянуть.

можно эти папки глянуть:

%SystemDrive%\USERS\PUBLIC\FOXIT SOFTWARE
%SystemDrive%\USERS\PUBLIC\FOXIT SOFTWARE\FOXIT READER
%SystemDrive%\USERS\PUBLIC\DOWNLOADS
%SystemDrive%\USERS\PUBLIC\DOCUMENTS
%SystemDrive%\USERS\PUBLIC\FAVORITES

ukh255 · February 2018

043 ювс https://yadi.sk/d/Qf4Knh8i3S2JTP

safety · February 2018

судя по образу, серьезных проблем, связанных с заражением нет.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"


;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref HTTPS://CHROME.GOOGLE.COM/WEBSTORE/DETAIL/FHOIBNPONJCGJGCNFACEKAIJDBBPLHIB
apply

deltmp
delref %SystemDrive%\PROGRAM FILES\IOBIT\DRIVER BOOSTER\DRIVERBOOSTER.EXE
delref A9A33436-678B-4C9C-A211-7CC38785E79D\[CLSID]
delref 752073A1-23F2-4396-85F0-8FDB879ED0ED\[CLSID]
delref {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {0D012ABD-CEED-11D2-9C76-00105AA73033}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {19916E01-B44E-4E31-94A4-4696DF46157B}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {56A58823-AE99-11D5-B90B-0050DACD1F75}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {E01D1C6A-4F40-11D3-8958-00105A272DCF}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %Sys32%\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %SystemDrive%\PROGRAMDATA\KASPERSKY LAB\AVP16.0.1\BASES\KLIDS.SYS
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 15.0.0\KLWTBWS.EXE
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\ACCESSIBLEMARSHAL.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 15.0.0\ABHELPER.DLL
delref %SystemDrive%\PROGRAM FILES\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 15.0.0\KLWTBLFS.EXE
delref %SystemDrive%\PROGRAM FILES\MCAFEE SECURITY SCAN\3.11.523\MCCOREPS.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL
delref D:\SETUP.EXE
delref {001032CB-B0AC-4F2C-A650-AD4B2B26E5DA}\[CLSID]
delref {03993315-5CE9-4F00-8790-D14A94F1D91A}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\KASPERSKY LAB\KASPERSKY ENDPOINT SECURITY 10 FOR WINDOWS\AVP.EXE
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.

если есть такая необходимость,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

ukh255 · February 2018

какой-то майнер пытается по сети распространится - в данный момент все компы в сети отключены. буду включать и по-очереди лечить
сначала каспером прогоняю а уж потом ювс
каспер выдает вот такой (3 реакции) https://yadi.sk/d/TRQF-vmb3SfPhB

Уведомления:
Критическое событие: 22.02.2018 12:00:23:
Тип события: Обнаружен вредоносный объект
Результат\Описание: Обнаружено
Результат\Тип: Троянская программа
Результат\Название: Trojan.Win32.Miner.ays
Результат\Степень угрозы: Высокая
Результат\Точность: Точно
Объект: C:\SCAN\DOC001.exe/NsCpuCNMiner32.exe
Объект\Тип: Файл
Объект\Путь: C:\SCAN\DOC001.exe/
Объект\Название: NsCpuCNMiner32.exe

044 ювс http://rgho.st/8bZJqTvBB

safety · February 2018

Папка C:\SCAN - общего пользования? возможно какой-то из компутер заражен, и ложит вредоносные тела в расшаренные папки по всей локальной сети.

попробуйте временно сделать эту папку только для чтения на время лечения компьютеров в локальной сети.
+
как вариант пробивает из внешней сети. в этом случае лучше включить брэндмауэр, и таки установить актуальные обновления системы, возможно используется уязвимость в системе. (из-за неустановленных обновлений)

образ сейчас гляну

ukh255 · February 2018

да она общая... причем сегодня наделал таких папок на каждом компе - чтобы сканировать с сетевого мфу
смысла убирать сетевой признак не вижу поскольку на время лечения все компы отключены от питания - лечить будем по очереди: пролечили и отключили

safety · February 2018

по этому компу особых проблем нет.

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"


;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAONEDLCHKBICMHEPIMIAHFALHEEDJGBH%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_1300_21575\607_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_4808_14841\582_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_4808_19864\582_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_4700_28698\583_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5556_6164\584_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_2932_15453\586_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_2728_22588\590_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_4712_17749\591_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_4712_3714\591_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_4712_16984\591_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_4712_4319\592_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5956_31953\593_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5956_20553\23.131.2_WIN64_SOFTWAREREPORTER.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_6108_9787\596_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5156_6091\28.0.0.126_WIN64_PEPPERFLASHPLAYER.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_3836_26205\598_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5156_4972\28.0.0.126_WIN64_PEPPERFLASHPLAYER.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5156_22029\598_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_3836_11743\598_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_4688_25996\599_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_4760_17748\603_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_3236_7646\605_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5680_10404\606_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_1300_3595\607_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_1980_1095\611_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_1980_27853\611_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_1980_27934\611_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5552_11406\612_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5552_15751\612_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5400_11048\613_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5400_32484\613_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_1228_31745\28.0.0.137_WIN64_PEPPERFLASHPLAYER.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_1228_13002\28.0.0.137_WIN64_PEPPERFLASHPLAYER.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_1228_14260\28.0.0.137_WIN64_PEPPERFLASHPLAYER.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_1228_25891\634_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_1228_12045\634_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_1228_26093\634_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5680_4349\659_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5680_25855\28.0.0.161_WIN64_PEPPERFLASHPLAYER.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5680_4023\28.0.0.161_WIN64_PEPPERFLASHPLAYER.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5680_8671\28.0.0.161_WIN64_PEPPERFLASHPLAYER.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5680_28653\659_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5680_17550\659_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5704_4982\660_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5704_23565\660_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5768_959\663_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_3180_23475\662_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5768_32011\663_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_3548_6692\666_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_6068_11646\101.3.33.11_WIN_CHROMERECOVERY.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_6068_31582\101.3.33.11_WIN_CHROMERECOVERY.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_6068_3994\101.3.33.11_WIN_CHROMERECOVERY.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_6068_362\666_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_2712_19124\666_ALL_STHSET.CRX2
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.

safety · February 2018

ukh255 написал: »

да она общая... причем сегодня наделал таких папок на каждом компе - чтобы сканировать с сетевого мфу
смысла убирать сетевой признак не вижу поскольку на время лечения все компы отключены от питания - лечить будем по очереди: пролечили и отключили

хорошо, только надо будет глянуть логи Каспера после выполнения скрипта и перезагрузки. Найдет он что-то опять в этой сетевой папке или нет.
Если не найдет, значит пробивает по локальной сети с какого-то компа.

ukh255 · February 2018

это скорее всего первоисточник - откуда пошло заражение
045 ювс http://rgho.st/7LhWDxDpn

safety · February 2018

судя по образу уже очищен. остался мусор.

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"


;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAONEDLCHKBICMHEPIMIAHFALHEEDJGBH%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_2376_28378\589_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_4632_17399\590_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_4632_3304\590_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5288_9352\591_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5496_20520\592_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5580_29970\599_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_3120_28929\603_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5992_584\612_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5992_31144\612_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_3676_7100\625_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_3676_10741\625_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_3676_30799\625_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_3208_19684\28.0.0.137_WIN64_PEPPERFLASHPLAYER.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_3132_2666\28.0.0.137_WIN64_PEPPERFLASHPLAYER.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_3132_21488\626_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_3132_21171\626_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_3144_22383\627_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5580_18059\627_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_2728_21811\627_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_3144_22933\627_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5048_9988\627_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5244_17098\627_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5952_31093\628_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_4964_23083\634_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_2680_6496\638_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_1548_8078\641_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_1548_16212\641_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_3236_10661\647_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_3236_13063\647_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5900_24520\649_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_3780_5328\28.0.0.161_WIN64_PEPPERFLASHPLAYER.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_3780_16640\28.0.0.161_WIN64_PEPPERFLASHPLAYER.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5672_12778\28.0.0.161_WIN64_PEPPERFLASHPLAYER.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5672_20501\652_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_2492_27495\654_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5228_14256\101.3.33.11_WIN_CHROMERECOVERY.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5228_30132\101.3.33.11_WIN_CHROMERECOVERY.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5228_1134\666_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_6056_3500\666_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_6056_30016\666_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_4604_22828\666_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_4604_24804\666_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_4604_25712\666_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5612_30044\669_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5532_10158\25.141.202_WIN64_SOFTWAREREPORTER.CRX3
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref %SystemRoot%\SYSWOW64\TBSSVC.DLL
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\UMPO.DLL
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\50.0.2661.94\INSTALLER\CHRMSTP.EXE
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4}\[CLSID]
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref %Sys32%\BLANK.HTM
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.

safety · February 2018

так же майнер могли занести с флэшки. желательно проверить и почистить все рабочие флэшки сотрудников.

ukh255 · February 2018

не могли а занесли - именно на флэшку и ругался каспер изначально
потом чистить буду
046 https://yadi.sk/d/c7ApFy3t3SfTRL

safety · February 2018

по 046:

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"


;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAONEDLCHKBICMHEPIMIAHFALHEEDJGBH%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemRoot%\SYSWOW64\SPOOL\DRIVERS\X64\3\CNAP2LAK.EXE
delref %SystemRoot%\SYSWOW64\SPOOL\DRIVERS\X64\3\CNAP2RPK.EXE
delref %SystemRoot%\SYSWOW64\SPOOL\DRIVERS\X64\3\CNAB8SWK.EXE
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\SLACK\APP-3.0.5\RESOURCES\APP.ASAR\SRC\STATIC\INDEX.JS
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\SLACK\APP-3.0.5\RESOURCES\APP.ASAR\SRC\STATIC\SSB-INTEROP.JS
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_2644_18930\610_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5552_11913\585_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_4348_3308\585_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_5908_24019\611_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_4768_3142\627_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\CLIENT\APPDATA\LOCAL\TEMP\CHROME_BITS_4068_3956\669_ALL_STHSET.CRX3
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref %SystemRoot%\SYSWOW64\TBSSVC.DLL
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\UMPO.DLL
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\55.0.2883.87\INSTALLER\CHRMSTP.EXE
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4}\[CLSID]
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref %Sys32%\BLANK.HTM
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE_64.DLL
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.

ukh255 · March 2018

047 ювс http://rgho.st/6jJYHf5Nm

safety · March 2018

047: по очистке системы

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"


;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

deldirex %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGKNPFANCPEAMEJMCOOEDLJJNADDLDHG%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFOPEFGOBKMBLBIPKDEBGNNLCLCHLAKOM%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGNDACICECCGAPJHPNIECKNJLMMLANAEM%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJAEAHNNFOHIKJNEJPOKEAAIINIJHPFOP%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLANABBPAHPJNALJEBNPGKJEMCBKEPIAK%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNJABJMHINNDPHFNBJEHDALKPHPDMEPLI%26INSTALLSOURCE%3DONDEMAND%26UC
apply

regt 27
regt 28
regt 29
deltmp
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref %SystemRoot%\SYSWOW64\TBSSVC.DLL
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\UMPO.DLL
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\RDVGKMD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {0D012ABD-CEED-11D2-9C76-00105AA73033}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {56A58823-AE99-11D5-B90B-0050DACD1F75}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {E01D1C6A-4F40-11D3-8958-00105A272DCF}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref {087D4A97-18A9-4D99-C3DA-B4A1A723340B}\[CLSID]
delref {1B769096-0340-483A-EF57-405CC5EF700E}\[CLSID]
delref {88F5B6EA-6308-4489-C62D-146E18E1D77D}\[CLSID]
delref {FDC3AA79-49F9-406E-82A2-6FBD178E9449}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\RDVGKMD.SYS
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref %Sys32%\BLANK.HTM
delref {45AC2688-0253-4ED8-97DE-B5370FA7D48A}\[CLSID]
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\DRIVERS\DGIVECP.SYS
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
delref F:\CHECKVER.OCX
delref F:\DRIVE~1F.OCX
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.99\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL
delref G:\LGAUTORUN.EXE
delref {094099F8-E8CA-46D9-871F-298D44E43607}\[CLSID]
delref {153BAC32-042B-403A-B524-125375B8AE08}\[CLSID]
delref {2670000A-7350-4F3C-8081-5663EE0C6C49}\[CLSID]
delref {319D9D21-9330-492D-BA18-E78097D6D08C}\[CLSID]
delref {42FEFB42-1F50-43F0-9F1C-EB66AB93E16A}\[CLSID]
delref {44B22511-A79A-4FFB-8630-2E109C492F08}\[CLSID]
delref {4B859D10-B36D-456C-B88A-84125A886089}\[CLSID]
delref {5B34A1C1-F8B2-448E-9A5D-A30FEBBDD7B9}\[CLSID]
delref {77F19B6E-5C0F-4A14-8C9A-931AD982A91B}\[CLSID]
delref {992FBA83-F5C5-4D46-8375-6B1E85B43396}\[CLSID]
delref {B0C22EEE-F45F-4FCB-BCA1-2B027436E565}\[CLSID]
delref {C573C16B-1424-4A2E-9EED-61ECD2B6767B}\[CLSID]
delref {C9D07EA1-8B3C-45EC-94D0-EBFD4F171709}\[CLSID]
delref {DA3AD6A5-03CF-4D44-A17D-0EDC47288B45}\[CLSID]
delref {E4F4E231-53CA-46CA-A2DC-458A36B0BDF9}\[CLSID]
delref {F8FA7A02-B865-4A81-A285-F14D40E08E78}\[CLSID]
delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\MAIL.RU\AGENT\MAGENTSETUP.EXE
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.

далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

ukh255 · March 2018

мбам http://rgho.st/8ZHd9vX92

safety · March 2018

это можно оставить:

-Данные проверки-
Процесс: 1
RiskWare.KMS, C:\WINDOWS\KMSEM\KMSERVICE.EXE, Проигнорировано пользователем, [8706], [442866],1.0.4500

Модуль: 1
RiskWare.KMS, C:\WINDOWS\KMSEM\KMSERVICE.EXE, Проигнорировано пользователем, [8706], [442866],1.0.4500
PUP.Optional.RAAmmyy, C:\USERS\Пользователь\DESKTOP\AA_V3.5.EXE, Проигнорировано пользователем, [8091], [316623],1.0.4500
HackTool.Agent, C:\PROGRAM FILES (X86)\MICROSOFT OFFICE\ACTIVATOR.EXE, Проигнорировано пользователем, [3968], [85888],1.0.4500

RiskWare.KMS, C:\WINDOWS\KMSEM\KMSERVICE.EXE, Проигнорировано пользователем, [8706], [442866],1.0.4500

остальное удаляем,
перегружаем систему.

если проблема не решилась,

далее,
3.сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

5.сделайте проверку в FRST
http://forum.esetnod32.ru/forum9/topic2798/

ukh255 · April 2018

048 ювс http://rgho.st/64LW9gfCz

safety · April 2018

по 048:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"


;uVS v4.0.11 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DINDJGIEBMAKHMNAPLNLNANODKFIEJFJD%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNECFMKPLPMINFJAGBLFABGGOMDPAAKAN%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DODIJCGAFKHPOBJLNFDGIACPDENPMBGME%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPHKDCINMMLJBLPNKOHLIPAIODLONPINF%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPMPOAAHLECCAIBBHFJFIMIGEPMFMMBBK%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.0.7_0\СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PHKDCINMMLJBLPNKOHLIPAIODLONPINF\11.0.3_1\ПОИСК MAIL.RU
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 2\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.0.7_0\СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 2\EXTENSIONS\NEHAPOFAKGHLJOPFEGJOGPGPELJKHJJN\8.22.5_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 2\EXTENSIONS\PHKDCINMMLJBLPNKOHLIPAIODLONPINF\11.0.3_0\ПОИСК MAIL.RU
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 4\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.9.0_1\СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 5\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.0.7_0\СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 6\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.0.7_0\СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\НАДЮХХХА)\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.0_0\СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\ЛИКА)))\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.9.0_0\СТАРТОВАЯ — ЯНДЕКС
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\PROGRAM FILES (X86)\QUICKTIME\QTTASK.EXE
apply

regt 9
; OpenAL
exec  C:\Program Files (x86)\OpenAL\OpenAL.exe" /U
deltmp
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\TEMP\CHROME_BITS_2560_13152\E0282270767987CCB22D9B7267C32DA708BA446E96FA45B77563A8CF4B3017B3.CRXD
delref %SystemDrive%\PROGRAM FILES\AVAST SOFTWARE\AVAST\AVEMUPDATE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\READER 10.0\READER\READER_SL.EXE
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\57.0.2987.133\INSTALLER\CHRMSTP.EXE
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\RDVGKMD.SYS
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref %Sys32%\BLANK.HTM
delref {472083B0-C522-11CF-8763-00608CC02F24}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.23.9\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE_64.DLL
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\ATI TECHNOLOGIES\ATI.ACE\CORE-IMPLEMENTATION\64\WBOCX.OCX
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.115\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.22.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.23.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\ACROBAT READER DC\ACRORD32INFO.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\PRMT8\PRMTIF\TRANSMAN.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ITUNES\ITUNES.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\YANDEX\BROWSERMANAGER\MBLAUNCHER.EXE
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.EXE
delref %SystemDrive%\USERS\НАДЮХХХА)\APPDATA\ROAMING\UTORRENT\UTORRENT.EXE
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.

далее,
выполните сканирование (угроз) в Malwarebytes

ukh255 · May 2018

049 ювс http://rgho.st/6gskwsrWF

safety · May 2018

по 049:
судя по образу, нет серьезных проблем

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"


;uVS v4.0.11 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

apply

deltmp
delref %SystemDrive%\PROGRAM FILES\DOLBY DIGITAL PLUS\DDP.EXE
delref {9F2B0085-9218-42A1-88B0-9F0E65851666}\[CLSID]
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {5AA199A0-1CED-43A5-9B85-3226086738A3}\[CLSID]
delref {EA9155A3-8A39-40B4-8963-D3C761B18371}\[CLSID]
delref {DEF03232-9688-11E2-BE7F-B4B52FD966FF}\[CLSID]
delref {EBF00FCB-0769-4B81-9BEC-6C05514111AA}\[CLSID]
delref {BF6C1E47-86EC-4194-9CE5-13C15DCB2001}\[CLSID]
delref {1B1F472E-3221-4826-97DB-2C2324D389AE}\[CLSID]
delref %Sys32%\AUTOWORKPLACE.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {0D012ABD-CEED-11D2-9C76-00105AA73033}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {19916E01-B44E-4E31-94A4-4696DF46157B}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {56A58823-AE99-11D5-B90B-0050DACD1F75}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {E01D1C6A-4F40-11D3-8958-00105A272DCF}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {9E00DD0C-B830-4AB3-E181-D87582508B35}\[CLSID]
delref {E8570839-93FC-4E51-8BF5-AB6C9FE6E550}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\IGFXPPH.DLL
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref {A910D941-9DA9-4656-8933-AA1EAE01F76E}\[CLSID]
delref %Sys32%\ALTTAB.DLL
delref %Sys32%\WDFRES.DLL
delref %Sys32%\RASCLUSTERRES.DLL
delref %Sys32%\QAGENTRT.DLL
delref %SystemRoot%\WINSTORE\WINSTOREUI.DLL
delref %Sys32%\DRIVERS\UMDF\HIDBTHLE.DLL
delref %Sys32%\SYSTEMSETTINGSDATABASE.DLL
delref %Sys32%\LOCATIONNOTIFICATIONS.EXE
delref %Sys32%\SYNCENGINE.DLL
delref %SystemDrive%\PROGRAM FILES\INTERNET EXPLORER\IEDVTOOL.DLL
delref %Sys32%\NAPIPSEC.DLL
delref %SystemRoot%\FILEMANAGER\FILEMANAGERAPP.DLL
delref %Sys32%\WINDOWS.DEVICES.GEOLOCATION.DLL
delref %SystemRoot%\FILEMANAGER\DATAMODEL.DLL
delref %Sys32%\MSSHA.DLL
delref %Sys32%\GEOFENCEMONITORSERVICE.DLL
delref %Sys32%\WINDOWSANYTIMEUPGRADERESULTS.EXE
delref %Sys32%\DHCPQEC.DLL
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %SystemRoot%\INF\UNREGMP2.EXE
delref %Sys32%\BLANK.HTM
delref {472083B0-C522-11CF-8763-00608CC02F24}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\MCAFEE\VIRUSS~1\MCCTXMNU.DLL
delref %Sys32%\IGFXSRVC.EXE
delref %SystemDrive%\PROGRAM FILES\MCAFEE\MPS\MPSEVH.DLL
delref %SystemDrive%\PROGRAM FILES\MCAFEE\VIRUSS~1\MCODSPS.DLL
delref %SystemDrive%\PROGRAM FILES\MCAFEE\VIRUSS~1\MCODSSHM.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\MCAFEE\VIRUSS~1\MVSVER.DLL
delref %SystemDrive%\PROGRAM FILES\MCAFEE\VIRUSS~1\VSANNPS.DLL
delref %SystemDrive%\PROGRAM FILES\MCAFEE\VIRUSS~1\MVSSCAN.DLL
delref %SystemDrive%\PROGRAM FILES\MCAFEE\VIRUSS~1\MCVSMAP.EXE
delref %Sys32%\IGFXDO.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
delref %Sys32%\IGFXTMM.DLL
delref %SystemDrive%\PROGRAM FILES\MCAFEE\MPS\MPSCFG.DLL
delref %SystemDrive%\PROGRAM FILES\MCAFEE\VIRUSS~1\MCQTAX.DLL
delref %SystemDrive%\PROGRAM FILES\MCAFEE\VIRUSS~1\MVSAP.DLL
delref %SystemDrive%\PROGRAM FILES\MCAFEE\VIRUSS~1\MCOASSHM.DLL
delref %SystemDrive%\PROGRAM FILES\MCAFEE\VIRUSS~1\MCVSPS.DLL
delref %SystemDrive%\PROGRAM FILES\MCAFEE\MPS\MPSMISP.DLL
delref %Sys32%\IGFXDEV.DLL
delref %SystemDrive%\PROGRAM FILES\MCAFEE\VIRUSS~1\MVSLOG.DLL
delref %Sys32%\IGFXCFG.EXE
delref %Sys32%\TETHERINGSETTINGHANDLER.DLL
delref %SystemDrive%\PROGRAM FILES\MCAFEE\VIRUSS~1\VSANN.DLL
delref %Sys32%\QUICKACTIONSPS.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\MCAFEE\VIRUSS~1\MCVSOCFG.DLL
delref %Sys32%\IGFXSRVC.DLL
delref %SystemDrive%\PROGRAM FILES\MCAFEE\VIRUSS~1\MCAVTSUB.DLL
delref %SystemDrive%\PROGRAM FILES\MCAFEE\VIRUSS~1\ESCNPLUG.DLL
delref %Sys32%\CHTADVANCEDDS.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\AVG\AV\TUNEUP\TUMICR~1.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\PERCEPTIONSIMULATIONEXTENSIONS.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\MCAFEE\PLATFORM\PLATFORMSERVICEFWPS.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MCAFEE\PLATFORM\MCSVCHOST\MCSVHVER.DLL
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL
delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref {041CA328-918A-4EB9-BBC0-525BB3E5B535}\[CLSID]
delref {0A049974-8D00-4CB3-A29C-4C3E57DF70D4}\[CLSID]
delref {24963A9E-91CF-4311-A38C-5B06176CF9BE}\[CLSID]
delref {29B61B66-5296-4B11-17C4-55D08FC3BC46}\[CLSID]
delref {2A5D2C17-4836-4BBE-897F-64167A9101EB}\[CLSID]
delref {33440053-B280-46C5-A059-F6A53F572DEA}\[CLSID]
delref {397125CE-7F77-4681-BD4D-38CC901EBE07}\[CLSID]
delref {3AEA518F-9937-4666-8255-2E17AA5A7F6E}\[CLSID]
delref {443889B2-D4BC-4798-B959-0B0C0F98CD48}\[CLSID]
delref {470E238A-55D2-419B-B59C-673D10F0E51B}\[CLSID]
delref {5D8D0F2D-366E-4C7A-913E-6218427F73C8}\[CLSID]
delref {5FA472A5-764D-4C84-9F1E-65B4E5C77806}\[CLSID]
delref {5FAB84B8-F777-45C0-A23A-A7074432A2B9}\[CLSID]
delref {6220FB26-353D-4F22-9E8B-2CAA1B1A5211}\[CLSID]
delref {66773B6C-36E3-4DE7-A85F-CE8A9384E1F4}\[CLSID]
delref {6C4F64E2-D7CE-4748-EB70-C911BABCED46}\[CLSID]
delref {6CBA35E8-8B69-4E19-999E-3F0B031F40A5}\[CLSID]
delref {72CABA3A-6910-4496-BE2D-B3E2A464B5FC}\[CLSID]
delref {738D41D7-6A68-4392-A45E-7C33F97E5892}\[CLSID]
delref {77E65655-CE52-4AA0-B431-1ABED0D9A59C}\[CLSID]
delref {8151E923-BAE1-4C40-9A7D-1E8BBFB438F7}\[CLSID]
delref {8CDED1B0-51CA-497F-B668-36BE9CFA10A9}\[CLSID]
delref {8E39EBE3-185C-40DC-88D7-D3285CFF07B2}\[CLSID]
delref {8FFD065E-D5BC-4DD5-AFC8-129521D881E8}\[CLSID]
delref {93116F62-CDA5-4DBA-9ACF-04E123A7A187}\[CLSID]
delref {956EE757-03D1-4605-AB4D-61E12447914F}\[CLSID]
delref {9B162141-8C4B-47B8-B0A4-678026ADB884}\[CLSID]
delref {AAF93162-F338-41CB-BB5F-4115BDA972FB}\[CLSID]
delref {AD7BA4D6-DE06-4D5D-BA2B-E1FD7BEE1E8F}\[CLSID]
delref {B2BB9F5E-D8CC-46FC-A268-6DD618B04536}\[CLSID]
delref {B5B27B9D-BDFC-4645-9AA5-33A8008E3860}\[CLSID]
delref {B738032D-77A3-443B-B7FB-BAD755CBB314}\[CLSID]
delref {BC36B832-F27B-4EF0-8088-D8819816780C}\[CLSID]
delref {C58EAE54-E2CB-40E7-8002-6AF278550928}\[CLSID]
delref {C8804369-9983-48B4-ACED-DB6C44418EA4}\[CLSID]
delref {D4FA53A5-1BCD-46B8-A843-5550D131F9DE}\[CLSID]
delref {E6402EA8-4038-4C52-8510-80043BA72857}\[CLSID]
delref {E6D8014F-6818-412D-9975-469DC45A7FD1}\[CLSID]
delref {FE341F2F-1296-4C20-82C0-E6EC54F4D8B7}\[CLSID]
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.

ukh255 · May 2018

а что тогда на флэшке? http://rgho.st/86nyhhBz4
просто настораживает
собственно клиент обратился именно с проблемой по поводу банка: во время работы в банковской программе возникали проблемы с подписанием + зависала сессия в браузере

safety · May 2018

похоже, что какое то средство криптографии, с автозапуском.

F:\START.EXE
Файл был чист на момент проверки.
Company InfoCrypt
http://www.infocrypt.ru/

а в autorun.inf прописан запуск этой программы

Полное имя F:\autorun.INF
Имя файла autorun.INF
Тек. статус ПОДОЗРИТЕЛЬНЫЙ АВТОРАНОВЫЙ

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ АВТОРАНОВЫЙ
Размер 160 байт
Создан 01.01.1980 в 00:00:00
Изменен 23.12.2015 в 18:58:42
Цифр. подпись Отсутствует либо ее не удалось проверить

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Автозапуск AUTORUN.INF в корне диска [типично для авторановых вирусов]

Доп. информация на момент обновления списка
SHA1 4D66A91F427959850DA0F8D66DEEC342A825ED8B
MD5 4137DB9220A00AD4629CA511EA304586

#FILE# [autorun]
open="start.exe"
label=Infocrypt HWDSSL
action=Run Infocrypt HWDSSL
shell\open=Run Infocrypt HWDSSL
shell\open\Command="start.exe"
UseAutoPlay=1

Ссылки на объект
Ссылка F:\autorun.inf

safety · May 2018

единственно, указано, что цифровая подпись файла устарела

Действительна, однако сертификат УСТАРЕЛ
Company InfoCrypt

ukh255 · May 2018

050 ювс http://rgho.st/8XjfPNwjG

safety · May 2018

по 050:

выполняем скрипт в uVS из файла:

файл скрипта скачайте отсюда:
http://rgho.st/private/7t2sGjcMx/d4e77539b599f5be8d329ef36b1e0610

- закрываем все браузеры перед выполнением скрипта;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из файла;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
перезагрузка, пишем о старых и новых проблемах.

далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

ukh255 · May 2018

мбам http://rgho.st/6D6WxlcWF

safety · May 2018

система конечно замусорена.

в мбам можно оставить записи с DriverPack
например:
PUP.Optional.DriverPack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\DRIVERPACK NOTIFIER, Проигнорировано пользователем, [876], [358061],1.0.5110

остальное удаляем.
далее, сделать проверку в AdwCleaner
http://forum.esetnod32.ru/forum9/topic7084/

ukh255 · May 2018

http://rgho.st/6ZDHbsttn

Привет, незнакомец!

Быстрые ссылки

Разделы

In this Discussion

ЕВГЕНИЙ: Плановая проверка

Комментарии