Выбрать дату в календареВыбрать дату в календаре

[ Закрыто] Ошибка MSI.1303 вызвана вредоносными программами
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.1.7 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

zoo %SystemDrive%\PROGRAMDATA\RUNDLL\START.EXE
addsgn 1A69149A5583348CF42B254E3143FE53A8CFF4A6020BF7FA793C3A7B5622­B50E239C050963979949EC81705B0416A0CD802017F9AA8F3BC07BFC55E8­C1F2E631 8 Python/Agent.BT 7

chklst
delvir

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFHKBFKKOHCDGPCKFFAKHBLLIFKAKIHMH%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNECFMKPLPMINFJAGBLFABGGOMDPAAKAN%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref %SystemDrive%\USERS\ANTON\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH\1.2.9.0_0\ПОИСК  ЯНДЕКСA
delref %SystemDrive%\USERS\ANTON\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\FHKBFKKOHCDGPCKFFAKHBLLIFKAKIHMH\2.0.1.16_0\ПОИСК  ЯНДЕКСA
delref %SystemDrive%\USERS\ANTON\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.9.0_0\СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\ANTON\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\IBKNAFOBNMNDICOJAHLPPOLCAAIBNGJF\2.0.3.16_0\ПОИСК  ЯНДЕКСA
delref %SystemDrive%\USERS\ANTON\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NECFMKPLPMINFJAGBLFABGGOMDPAAKAN\2.0.3.15_0\ПОИСК  ЯНДЕКСA
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIBKNAFOBNMNDICOJAHLPPOLCAAIBNGJF%26INSTALLSOURCE%3D­ONDEMAND%26UC
apply

; Java™ 6 Update 45 (64-bit)
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F86416045FF} /quiet

; Java™ 6 Update 45
exec  MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216045FF} /quiet

deltmp
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref %SystemRoot%\SYSWOW64\TBSSVC.DLL
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\UMPO.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\RDVGKMD.SYS
delref %SystemRoot%\SYSWOW64\LSM.EXE
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBC}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\29.0.1547.67\INSTALLER\CHRMSTP.EXE
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref %Sys32%\DRIVERS\RDVGKMD.SYS
delref %Sys32%\DRIVERS\TSUSBHUB.SYS
delref %Sys32%\BLANK.HTM
delref SWPRV\[SERVICE]
delref %Sys32%\DRIVERS\EW_JUBUSENUM.SYS
delref %Sys32%\DRIVERS\SYNTH3DVSC.SYS
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.15\PSMACHINE_64.DLL
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.115\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.15\PSMACHINE.DLL
delref D:\INSTALL MEGAFON INTERNET.EXE
delref D:\HISUITEDOWNLOADER.EXE
delref F:\INSTALL MEGAFON INTERNET.EXE
delref E:\DRIVERPACK.EXE
delref F:\HISUITEDOWNLOADER.EXE
delref {2670000A-7350-4F3C-8081-5663EE0C6C49}\[CLSID]
delref {91397D20-1446-11D4-8AF4-0040CA1127B6}\[CLSID]
delref {92780B25-18CC-41C8-B9BE-3C9C571A8263}\[CLSID]
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.

+ вопрос:
что именно нашел дрвеб
[QUOTE]Проверили dr. web cureit нашлось 75 вирусов, удалили и лечили.[/QUOTE]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
Название шифровальщиков, Другие названия шифровальщиков Win32/Filecoder
В большинстве случаев файлы шифраторов образуют класс вредоносных программ, называемый FIlecoder.
варианты шифраторов подразделяются на виды Filecoder.B (bat encoder), Filecoder.BC/BD/AS (CryptoVault) и т.д.

Кроме, того, наименования шифраторов может иметь общепринятый вид, например:
CryptVault, HydraCrypt, Cerber, CryptoWall, TeslaCrypt, Enigma, RotoCrypt, Crysis и другие

префикс Win32/Kryptik добавляется к вредоносному файлу, если он закриптован таким образом, что сигнатурно невозможно определить
какой вариант вредоносного кода находится в под "криптоскорлупой".
msi.1920 ошибка установки
пролечите систему с загрузочного диска, просто кишит вирусами(руткиты и прочее), возможно есть и файловое заражение
после лечения системы еще раз сделайте образ автозапуска системы.
https://chklst.ru/discussion/13/eset-sysrescue-na-baze-linux-ot-eset
файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007, Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt
[QUOTE]Дмитрий Фриман написал:
Добрый день!
Как почистить пк после вируса .crypted000007?[/QUOTE]

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.1.6 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\SYSWOW64\02FBPHNW.CMD
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAMDATA\SYSWOW64\02FBPHNW.CMD
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3D­ONDEMAND%26UC
apply

regt 27
deltmp
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref %SystemDrive%\USERS\ЕКАТЕРИНА\DOWNLOADS\LJP2015-PCL5-PNP-WIN64-WW.EXE
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\UMPO.DLL
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {0D012ABD-CEED-11D2-9C76-00105AA73033}\[CLSID]
delref {56A58823-AE99-11D5-B90B-0050DACD1F75}\[CLSID]
delref {E01D1C6A-4F40-11D3-8958-00105A272DCF}\[CLSID]
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref %Sys32%\BLANK.HTM
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES (X86)\DROPBOX\UPDATE\1.3.189.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\ACCESSIBLEMARSHAL.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\DROPBOX\UPDATE\1.3.141.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\DROPBOX\UPDATE\1.3.75.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\DROPBOX\UPDATE\1.3.127.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\DROPBOX\UPDATE\1.3.65.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\GOOGLEUPDATEBROKER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ДОКУМЕНТЫ ПУ 5\IPFRX5.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ДОКУМЕНТЫ ПУ 5\UNINSTALL.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ДОКУМЕНТЫ ПУ-6\PU.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ДОКУМЕНТЫ ПУ-6\UNINSTALL.EXE
delref %SystemDrive%\USERS\ЕКАТЕРИНА\APPDATA\LOCAL\YANDEX\YANDEXBRO­WSER\APPLICATION\BROWSER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\VISTALIZATOR\VISTALIZATOR.EXE
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
Файлы с расширением SCARY
судя по образу система уже очищена от тел шифратора.
по расшифровке файлов, при наличие лицензии на продукт ESET напишите в техническую поддержку support@esetnod32.ru
по некоторым вариантам Scarab у ESET есть расшифровка.
Файлы с расширением SCARY
судя по детекту на ID Ransomware - это Scarab
https://id-ransomware.malwarehunterteam.com/identify.php?case=19a0b411ccbea717ee33f161a0ef7109a37f888a

[QUOTE]Опознан как

   custom_rule: Encrypted size marker [0x00 - 0x08] 0x0440000000000000
[/QUOTE]

добавьте образ автозапуска с зашифрованной системы
удаления программы, удалени я программы полностью
[QUOTE]nataliana123 написал:
можете пожалуйста  прислать инструкция, или он удаляется через  панель удаления, программы и компоненты[/QUOTE]
какая инструкция? удаляйте через панель управления/программы и компоненты

ссылка на унинсталлер для флэш плейера:
http://fpdownload.macromedia.com/get/flashplayer/current/support/uninstall_flash_player.exe

свежий билд флэш плейера можно скачать отсюда:
http://fpdownload.macromedia.com/pub/flashplayer/latest/help/install_flash_player_ax.exe
http://fpdownload.macromedia.com/pub/flashplayer/latest/help/install_flash_player_ppapi.exe
http://fpdownload.macromedia.com/pub/flashplayer/latest/help/install_flash_player.exe
возможно, WannaCash
[QUOTE]Саня Иткин написал:
Здравствуйте! зделал как вы написали  но после выполнения скрипта компьютер перезагружается , и после перезагрузки проблема осталась все фотографии зашифрованы.[/QUOTE]
да, не исправил команду restart на QUIT,
по расшифровке что и как делать написал вам в личные сообщения. Теперь на форум можете написать как будет результат расшифровки.
удаления программы, удалени я программы полностью
[QUOTE]nataliana123 написал:
мазалу нужно удалить полностью и из реестра со всеми утилами так как в нём проблемы нет звука на некоторых сайтах как яндекс музыка и ютьюбе а раньше была[/QUOTE]
деинсталлируйте вместе с профилем
удаления программы, удалени я программы полностью
Firefox можно удалить штатным образом через установку_удаление программ,
для Adobe Flash есть свой деинсталлятор:
uninstall_flash_player.exe