Вирус майнер Robot.Demo. Как его удалить?

@rutulets · Регистрация: 10.01.2021

Author24 — интернет-сервис помощи студентам

Здравствуйте! На днях при установке русификатора поймал вирус, который грузит систему. Защитник Windows ругается на robotdemo.exe В папке programm data есть такая папка. удалив ее, при перезагрузке она восстанавливается.CollectionLog-2021.09.29-09.42.zip

@Sandor · 29.09.2021, 10:28

Здравствуйте!

Внимание! Рекомендации написаны специально для пользователя rutulets. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:

Driver Booster 8
MediaGet

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\program files (x86)\transmission\transmission-qt.exe');
 StopService('Transmission');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ClientTask');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ServerTask');
 DeleteService('Transmission');
 DeleteFileMask('C:\Program Files (x86)\Transmission\', '*', true);
 DeleteDirectory('C:\Program Files (x86)\Transmission\');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
ExecuteSysClean;
 ExecuteRepair(21);
 ExecuteRepair(22);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

Подготовьте новый CollectionLog.

@rutulets · 29.09.2021, 11:31 **[ТС]**

CollectionLog-2021.09.29-11.30.zip

@Sandor · 29.09.2021, 11:37

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@rutulets · 29.09.2021, 11:56 **[ТС]**

Addition и FRST.rar

@Sandor · 29.09.2021, 12:13

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код

Start::
SystemRestore: On
CreateRestorePoint:
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
CHR Notifications: Default -> hxxps://best-loan-info.com; hxxps://ccleaner-download.xyz; hxxps://mail-notification.info; hxxps://mnthor.xyz; hxxps://pinghauz.xyz; hxxps://s-tracking.xyz; hxxps://supertopfreegames.com; hxxps://www.youtube.com; hxxps://zarabotok-online.xyz
CHR HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
Blocks all annoying Ads 1.0.0.0 (HKLM-x32\...\{04bd45f1-093b-4f7e-9daa-945093b151af}) (Version: 1.0.0.0 - AdsBlockerTop) Hidden
cheetah deny 1.4.8.46 (HKLM-x32\...\{2fccd124-fa2d-4be6-b5c5-5e8f03ddeafd}) (Version: 1.4.8.46 - Empresa Asensio y Asoc.) Hidden
hedgehog talk 2.4.3.43 (HKLM-x32\...\{c28d7dcc-5a01-40fd-8c1d-663360c3cb19}) (Version: 2.4.3.43 - Fabbri s.r.l. SPA) Hidden
AlternateDataStreams: C:\Users\user\Desktop\Послужной список.odt:com.dropbox.attrs [54]
FirewallRules: [{4BFBBBA0-7E77-4F6D-9338-A64E5587872C}] => (Allow) C:\Users\user\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{38C99C36-3259-4481-83B5-30F06EE28558}] => (Allow) C:\Users\user\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{FBCC9395-013E-4AA2-B471-5DFCBEAA6E40}] => (Allow) C:\Users\user\MediaGet2\QtWebEngineProcess.exe => Нет файла
FirewallRules: [{3987045B-AAA1-4D66-9590-F6DB68409FDF}] => (Allow) C:\Users\user\MediaGet2\QtWebEngineProcess.exe => Нет файла
FirewallRules: [{C8682B42-B64C-44E8-A0CA-C4BBF8BB9AFD}] => (Allow) 㩃啜敳獲畜敳屲灁䑰瑡屡潒浡湩屧潴屣獱慣⹯硥e => Нет файла
FirewallRules: [{135324AB-4695-42E9-B2E6-54E5244DAFAA}] => (Allow) 㩃啜敳獲畜敳屲灁䑰瑡屡潒浡湩屧潴屣档潲敭牤癩牥攮數 => Нет файла
FirewallRules: [{AB569DAC-C353-482F-9AE1-6DDB1BE074B7}] => (Allow) 㩃啜敳獲畜敳屲灁䑰瑡屡潒浡湩屧潴屣桃潲敭䅜灰楬慣楴湯䍜牨浯⹥硥e => Нет файла
FirewallRules: [{D77DBBD0-0E2A-454F-B6BE-9856B10269CF}] => (Allow) 㩃啜敳獲畜敳屲灁䑰瑡屡潒浡湩屧潴屣畭呐攮數 => Нет файла
FirewallRules: [{B92C485C-50C5-42A9-B6E4-670538673A2A}] => (Allow) LPort=8299
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

В перечне установленных программ появятся скрытые ранее

Blocks all annoying Ads 1.0.0.0
cheetah deny 1.4.8.46
hedgehog talk 2.4.3.43

Удалите через Uninstall Tool или принудительно через Geek Uninstaller

@rutulets · 29.09.2021, 12:36 **[ТС]**

Fixlog.txt

@Sandor · 29.09.2021, 12:53

Сообщение от Sandor

появятся скрытые ранее

Удалили?

Что с проблемой?

@rutulets · 29.09.2021, 12:55 **[ТС]**

Удалил все указанные программы. Как находить такие скрытые программы, которые установлены в систему?

Добавлено через 55 секунд
Спасибо! Вроде как не наблюдаю больше зависаний.

@Sandor · 29.09.2021, 12:57

Сообщение от rutulets

Как находить такие скрытые программы

Например, через HijackThis. Но действовать нужно аккуратно. Некоторые легальные программы тоже устанавливаются с атрибутом скрытый.

В завершение:

1. Выполните процедуру, описанную на этой странице.

2.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

3.

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@rutulets · 29.09.2021, 14:51 **[ТС]**

Ссылка на результаты анализа https://defendium.info/aqs/qr_... 6BD04B0330

@Sandor · 29.09.2021, 14:59

--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Защитника Windows (mpssvc) - Служба работает
Отключен доменный профиль Брандмауэра Windows
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
--------------------------- [ OtherUtilities ] ----------------------------
LibreOffice 7.2.0.4 v.7.2.0.4 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.91 (64-разрядная) v.5.91.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46074 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
iTunes v.12.11.4.15 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat DC v.21.005.20060 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
------------------------------- [ Browser ] -------------------------------
Opera Stable 79.0.4143.50 v.79.0.4143.50 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Google Chrome v.93.0.4577.82 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^

Читайте Рекомендации после удаления вредоносного ПО

@rutulets · 29.10.2021, 10:22 **[ТС]**

Данный вирус вновь появился в системе. Не стал писать новую тему, а решил продолжить тут же (не знаю правильно это или нет). Снова собрал лог

@rutulets · 29.10.2021, 10:28 **[ТС]**

В hijack вижу скрытые непонятные программы Plusstock 1.3.3.54 и Launcher Prerequisites (x64)

@Sandor · 29.10.2021, 10:32

Сообщение от rutulets

вирус вновь появился в системе

Проанализируйте действия пользователей компьютера. Все ли последние рекомендации были выполнены? Не отключался ли антивирус (Защитник), контроль учётных записей? И т.д.

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\program files (x86)\transmission\transmission-qt.exe');
 StopService('Transmission');
 QuarantineFile('C:\Users\user\AppData\Local\Programs\AdsBlockerTop\upd.exe', '');
 DeleteSchedulerTask('BlockerTopLogonUpdate');
 DeleteFile('C:\Users\user\AppData\Local\Programs\AdsBlockerTop\upd.exe', '64');
 DeleteService('Transmission');
 DeleteFileMask('C:\Program Files (x86)\Transmission\', '*', true);
 DeleteDirectory('C:\Program Files (x86)\Transmission\');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код

begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.
К сообщению прикреплять файл quarantine.7z не нужно!
Подготовьте новый CollectionLog.

@rutulets · 29.10.2021, 10:52 **[ТС]**

2021.10.29_quarantine_4bef3284a03efd5f0447092e68b11a93.7z

@rutulets · 29.10.2021, 10:58 **[ТС]**

Вот новый лог

@Sandor · 29.10.2021, 11:01

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте в архив).
Подробнее читайте в этом руководстве.

@rutulets · 29.10.2021, 11:12 **[ТС]**

Вот логи

@Sandor · 29.10.2021, 11:20

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код

Start::
SystemRestore: On
CreateRestorePoint:
GroupPolicy: Ограничение - Windows Defender <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
CHR HomePage: Default -> hxxps//find-it.pro/?utm_source=distr_m
2021-10-25 08:35 - 2021-10-28 11:15 - 000000000 ____D C:\ProgramData\RobotDemo
2021-09-29 09:25 - 2021-09-29 09:26 - 000000000 ____D C:\Users\user\AppData\Local\transmission
Plusstock 1.3.3.54 (HKLM-x32\...\{51d2718e-97f7-482e-b342-a82a28490653}) (Version: 1.3.3.54 - Zayas de Segovia e Hija e Hijo) Hidden
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Plusstock 1.3.3.54 деинсталлируйте.

Сообщение от rutulets

Launcher Prerequisites

Это от игры.

@rutulets 0 / 0 / 0 Регистрация: 10.01.2021 Сообщений: 14
	29.10.2021, 10:52 [ТС]	16
	2021.10.29_quarantine_4bef3284a03efd5f0447092e68b11a93.7z 0

@Sandor 21907 / 15703 / 3030 Регистрация: 08.10.2012 Сообщений: 63,797
	29.09.2021, 10:28	2
	Здравствуйте! Внимание! Рекомендации написаны специально для пользователя rutulets. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ______________________________________________________ Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО: Driver Booster 8 MediaGet Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('c:\program files (x86)\transmission\transmission-qt.exe'); StopService('Transmission'); DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ClientTask'); DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ServerTask'); DeleteService('Transmission'); DeleteFileMask('C:\Program Files (x86)\Transmission\', '', true); DeleteDirectory('C:\Program Files (x86)\Transmission\'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); ExecuteSysClean; ExecuteRepair(21); ExecuteRepair(22); ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. Подготовьте новый CollectionLog*. 0

@rutulets 0 / 0 / 0 Регистрация: 10.01.2021 Сообщений: 14
	29.09.2021, 11:31 [ТС]	3
	CollectionLog-2021.09.29-11.30.zip 0

@Sandor 21907 / 15703 / 3030 Регистрация: 08.10.2012 Сообщений: 63,797
	29.09.2021, 11:37	4
	Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@rutulets 0 / 0 / 0 Регистрация: 10.01.2021 Сообщений: 14
	29.09.2021, 11:56 [ТС]	5
	Addition и FRST.rar 0

@rutulets 0 / 0 / 0 Регистрация: 10.01.2021 Сообщений: 14
	29.09.2021, 12:36 [ТС]	7
	Fixlog.txt 0

@Sandor 21907 / 15703 / 3030 Регистрация: 08.10.2012 Сообщений: 63,797
	29.09.2021, 12:53	8
	Сообщение от Sandor появятся скрытые ранее Удалили? Что с проблемой? 0

@rutulets 0 / 0 / 0 Регистрация: 10.01.2021 Сообщений: 14
	29.09.2021, 12:55 [ТС]	9
	Удалил все указанные программы. Как находить такие скрытые программы, которые установлены в систему? Добавлено через 55 секунд Спасибо! Вроде как не наблюдаю больше зависаний. 0

@Sandor 21907 / 15703 / 3030 Регистрация: 08.10.2012 Сообщений: 63,797
	29.09.2021, 12:57	10
	Сообщение от rutulets Как находить такие скрытые программы Например, через HijackThis. Но действовать нужно аккуратно. Некоторые легальные программы тоже устанавливаются с атрибутом скрытый. В завершение: 1. Выполните процедуру, описанную на этой странице. 2. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 3. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0

@Sandor 21907 / 15703 / 3030 Регистрация: 08.10.2012 Сообщений: 63,797
	29.09.2021, 14:59	12
	--------------------------- [ FirewallWindows ] --------------------------- Брандмауэр Защитника Windows (mpssvc) - Служба работает Отключен доменный профиль Брандмауэра Windows Отключен общий профиль Брандмауэра Windows Отключен частный профиль Брандмауэра Windows --------------------------- [ OtherUtilities ] ---------------------------- LibreOffice 7.2.0.4 v.7.2.0.4 Внимание! Скачать обновления ------------------------------ [ ArchAndFM ] ------------------------------ WinRAR 5.91 (64-разрядная) v.5.91.0 Внимание! Скачать обновления --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.5.5.46074 Внимание! Клиент сети P2P с рекламным модулем!. -------------------------------- [ Media ] -------------------------------- iTunes v.12.11.4.15 Внимание! Скачать обновления ^Для проверки новой версии используйте приложение Apple Software Update^ --------------------------- [ AdobeProduction ] --------------------------- Adobe Acrobat DC v.21.005.20060 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - Проверить обновления!^ ------------------------------- [ Browser ] ------------------------------- Opera Stable 79.0.4143.50 v.79.0.4143.50 Внимание! Скачать обновления ^Проверьте обновления через меню О программе!^ Google Chrome v.93.0.4577.82 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О Google Chrome!^ Читайте Рекомендации после удаления вредоносного ПО 0

@rutulets 0 / 0 / 0 Регистрация: 10.01.2021 Сообщений: 14
	29.10.2021, 10:28 [ТС]	14
	В hijack вижу скрытые непонятные программы Plusstock 1.3.3.54 и Launcher Prerequisites (x64) 0

	29.10.2021, 11:20

@Sandor 21907 / 15703 / 3030 Регистрация: 08.10.2012 Сообщений: 63,797
	29.10.2021, 10:32	15
	Сообщение от rutulets вирус вновь появился в системе Проанализируйте действия пользователей компьютера. Все ли последние рекомендации были выполнены? Не отключался ли антивирус (Защитник), контроль учётных записей? И т.д. Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): Код begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); TerminateProcessByName('c:\program files (x86)\transmission\transmission-qt.exe'); StopService('Transmission'); QuarantineFile('C:\Users\user\AppData\Local\Programs\AdsBlockerTop\upd.exe', ''); DeleteSchedulerTask('BlockerTopLogonUpdate'); DeleteFile('C:\Users\user\AppData\Local\Programs\AdsBlockerTop\upd.exe', '64'); DeleteService('Transmission'); DeleteFileMask('C:\Program Files (x86)\Transmission\', '', true); DeleteDirectory('C:\Program Files (x86)\Transmission\'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: Код begin DeleteFile(GetAVZDirectory+'quarantine.7z'); ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\', 1, 300000, false); end. Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма. К сообщению прикреплять файл quarantine.7z не нужно! Подготовьте новый CollectionLog. 0

@Sandor 21907 / 15703 / 3030 Регистрация: 08.10.2012 Сообщений: 63,797
	29.10.2021, 11:01	18
	Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте в архив). Подробнее читайте в этом руководстве. 0