[QUOTE]
santy написал:
да, файл шифратора в автозапуске еще.
по очистке системы выполните. (можно так же из безопасного режима системы)
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[CODE]
;uVS v3.87.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v388c
OFFSGNSAVE
addsgn 7300A398556A1F245CBE8EEE57137A04A58AFC7FD5DE0BBFC1E7D58CF296
71C57F33DFA82BE11D092B7F912FC656499C40D9E8064489584B1C77A414
0472251B 8 da_vinci_code
zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
;------------------------autoscript---------------------------
chklst
delvir
delref %SystemDrive%\USERS\ДАНИЛИНА.INCRGP\APPDATA\ROAMING\JGUPMKO.DLL
delref HTTPS://LAREVANTE.COM/F6D3BVD/BOL57.EUP
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBEJNPNKHFGFKCPGIKIINOJLMDCJIMOBI%26INSTALLSOURCE%3D
ONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHJCGOMKANPKPBLOKEBECKNHAHGKCMOO%26INSTALLSOURCE%3D
ONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDKEKDLKMDPIPIHONAPOLEOPFEKMAPADH%26INSTALLSOURCE%3D
ONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3D
ONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3D
ONDEMAND%26UC
deltmp
delnfr
;-------------------------------------------------------------
czoo
restart
[/CODE]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (файл по формату: ZOO_yyyy-mm-dd_hh-mm-ss.rar/или 7z) отправить в почту [URL=mailto:
[email protected]]
[email protected][/URL], [URL=mailto:
[email protected]]
[email protected][/URL]
------------
+
далее,
сделайте дополнительно быструю проверку системы в малваребайт
[URL=http://forum.esetnod32.ru/forum9/topic10688/]http://forum.esetnod32.ru/forum9/topic10688/[/URL]
поскольку в системе был добавлен левый прокси.
LAREVANTE.COM/F6D3BVD/BOL57.EUP
задачи на компе здесь серьезные.
имеет смысл подумать о смене паролей в инете, поскольку трафик шел через левый прокси.[/QUOTE]
Заявка в техподдержке - № 1125441
delref %SystemDrive%\USERS\ДАНИЛИНА.INCRGP\APPDATA\ROAMING\JGUPMKO.DLL
Файл был удалён проверкой DrWeb. Загрузка была сделана с флешки. Этот файл классифицировался как вирус - Trojan.PWS.Spy.ХХХХХ цифры уже не помню.
Когда выполнял указания техподдержки ESET по сбору данных для отправки, запустил компьютер в обычном режиме с входом в пользователь, который запустил инфекцию (от сети отключен физически). В карантине никаких данных по вирусу нет. При этом через некоторое время появилось окно UAC с просьбой разрешить запуск программы для управления теневыми копиями файлов. В подробностях видно было, что это запрос на удаление теневых копий.