Размещено 28.10.2020 15:40:14
Спасибо за помощь! Антивирус теперь работает штатно.
Благодарю за ответ. Выполнил то, что вы указали. Странно, что после обновления до последней верии Антивируса возникла проблема с запуском службы.
[ Закрыто] Вирусы мешали установке ESET Antivirus
[ Закрыто] Вирусы мешали установке ESET Antivirus
[ Закрыто] Вирусы мешали установке ESET Antivirus
Размещено 28.10.2020 10:32:18
Нужно было поставить антивирус на компьютер. Ранее там был только "Защитник Windows".
С помощью CureIT удалось избавиться от активной зловредной деятельности, однако остались хвосты в системе. В частности, при установки ESET Antivirus выдало ошибку MSI 1303. Почитав ваш форум посмотрел содержимое папок Program Files, Program Files(x86) и ProgramData. Там были созданы папки по названию антивирусов различных компаний. Удалив их, Eset установился. Теперь хотелось бы убедиться, что ничего не осталось в системе. Помогите, пожалуйста.
Образ и скриншот CureIT приложил.
С помощью CureIT удалось избавиться от активной зловредной деятельности, однако остались хвосты в системе. В частности, при установки ESET Antivirus выдало ошибку MSI 1303. Почитав ваш форум посмотрел содержимое папок Program Files, Program Files(x86) и ProgramData. Там были созданы папки по названию антивирусов различных компаний. Удалив их, Eset установился. Теперь хотелось бы убедиться, что ничего не осталось в системе. Помогите, пожалуйста.
Образ и скриншот CureIT приложил.
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
Размещено 28.10.2016 09:37:02
santy,
1) привычка из других форумов.
2) со стороны да. Выглядит всё запутанно.
3) Да, но как вижу, скрипт вычищает из автозагрузки системы подгрузку вирусов из сети. Вручную это лучше не делать, как я понял.
4) ОГромное спасибо!
5) Вот по последнему - есть ли какие хвосты?
6) понял..
1) привычка из других форумов.
2) со стороны да. Выглядит всё запутанно.
3) Да, но как вижу, скрипт вычищает из автозагрузки системы подгрузку вирусов из сети. Вручную это лучше не делать, как я понял.
4) ОГромное спасибо!
5) Вот по последнему - есть ли какие хвосты?
6) понял..
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
Размещено 27.10.2016 20:10:57
[QUOTE]santy написал:
[QUOTE] Андрей Пинчук написал:
2. У меня сомнение в чистоте двух файлов.
1) C:\users\ДАНИЛИНА.INCRGP\APPDATA\ROAMING\roamingrbq51.exe
2) C:\PROGRAMDATA\WINDOWS\CSRSS.EXE
[/QUOTE]
Я так понял, что скрипт по первому образу автозапуска из сообзщения 312 вы до сих пор не выполнили?
правильно?[/QUOTE]
Ещё пока не сделал.
[QUOTE]santy написал:
судя по второму образу этот файлик на месте.
[QUOTE]Полное имя C:\PROGRAMDATA\WINDOWS\CSRSS.EXE
Имя файла CSRSS.EXE
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Удовлетворяет критериям
RUN.LIST (ССЫЛКА ~ \RUN\CLIENT SERVER RUNTIME SUBSYSTEM)(1) [auto (1)]
RUN (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
SHIFR.LIST (ССЫЛКА ~ \RUN\CLIENT SERVER RUNTIME SUBSYSTEM)(1) [auto (0)]
Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске
File_Id 5795639761000
Linker 6.0
Размер 956483 байт
Создан 22.03.2016 в 11:24:19
Изменен 26.10.2016 в 11:46:55
TimeStamp 25.07.2016 в 00:55:51
EntryPoint +
OS Version 4.0
Subsystem Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись проверка не производилась
Версия файла 1.50.2
Описание PS3 Media Server
Продукт PS3 Media Server
Copyright
Производитель A. Brochard
Комментарий
Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла Не_типичен для этого файла [имя этого файла есть в известных]
Доп. информация на момент обновления списка
SHA1 61DFEC318DAC5309AD5627DA716A3F1EA2194B60
MD5 2B6BC30E37B7B919D5D1187CE633C339
Ссылки на объект
Ссылка HKEY_USERS\S-1-5-21-1352719698-2803580862-2519816203-1429\Software\Microsoft\Windows\CurrentVersion\Run\Client Server Runtime Subsystem
Client Server Runtime Subsystem"C:\ProgramData\Windows\csrss.exe"
Prefetcher C:\WINDOWS\Prefetch\Layout.ini
[/QUOTE]
я вижу у вас свое мнение по этому поводу. Ну-ну.[/QUOTE]
Уже нет этого файла. И UAC окон больше не появляется. Я обязательно выполню скрипт, только сделаю копию всего ЖД на всякий случай.
Второй образ автозапуска я делал до того, как убрал csrss.
И те два файла я в архивах RAR на флешке на рабочем компе антивирусом ESET со свежими базами проверил - детект есть.
-----
Не стал умничать...
По времени первый образ до скрипта. Второй - после. Скрипт выполнил самый последний только последние две команды местами поменял. ZOO*.7z файл есть Отправил на оба, указанных вами, почтовых ящика.
[QUOTE] Андрей Пинчук написал:
2. У меня сомнение в чистоте двух файлов.
1) C:\users\ДАНИЛИНА.INCRGP\APPDATA\ROAMING\roamingrbq51.exe
2) C:\PROGRAMDATA\WINDOWS\CSRSS.EXE
[/QUOTE]
Я так понял, что скрипт по первому образу автозапуска из сообзщения 312 вы до сих пор не выполнили?
правильно?[/QUOTE]
Ещё пока не сделал.
[QUOTE]santy написал:
судя по второму образу этот файлик на месте.
[QUOTE]Полное имя C:\PROGRAMDATA\WINDOWS\CSRSS.EXE
Имя файла CSRSS.EXE
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Удовлетворяет критериям
RUN.LIST (ССЫЛКА ~ \RUN\CLIENT SERVER RUNTIME SUBSYSTEM)(1) [auto (1)]
RUN (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
SHIFR.LIST (ССЫЛКА ~ \RUN\CLIENT SERVER RUNTIME SUBSYSTEM)(1) [auto (0)]
Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске
File_Id 5795639761000
Linker 6.0
Размер 956483 байт
Создан 22.03.2016 в 11:24:19
Изменен 26.10.2016 в 11:46:55
TimeStamp 25.07.2016 в 00:55:51
EntryPoint +
OS Version 4.0
Subsystem Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись проверка не производилась
Версия файла 1.50.2
Описание PS3 Media Server
Продукт PS3 Media Server
Copyright
Производитель A. Brochard
Комментарий
Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла Не_типичен для этого файла [имя этого файла есть в известных]
Доп. информация на момент обновления списка
SHA1 61DFEC318DAC5309AD5627DA716A3F1EA2194B60
MD5 2B6BC30E37B7B919D5D1187CE633C339
Ссылки на объект
Ссылка HKEY_USERS\S-1-5-21-1352719698-2803580862-2519816203-1429\Software\Microsoft\Windows\CurrentVersion\Run\Client Server Runtime Subsystem
Client Server Runtime Subsystem"C:\ProgramData\Windows\csrss.exe"
Prefetcher C:\WINDOWS\Prefetch\Layout.ini
[/QUOTE]
я вижу у вас свое мнение по этому поводу. Ну-ну.[/QUOTE]
Уже нет этого файла. И UAC окон больше не появляется. Я обязательно выполню скрипт, только сделаю копию всего ЖД на всякий случай.
Второй образ автозапуска я делал до того, как убрал csrss.
И те два файла я в архивах RAR на флешке на рабочем компе антивирусом ESET со свежими базами проверил - детект есть.
-----
Не стал умничать...
По времени первый образ до скрипта. Второй - после. Скрипт выполнил самый последний только последние две команды местами поменял. ZOO*.7z файл есть Отправил на оба, указанных вами, почтовых ящика.
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
Размещено 27.10.2016 17:33:47
[QUOTE]santy написал:
1. по теневым копиям.
как проверить.
используйте shadowExplorer
[URL=http://www.shadowexplorer.com/downloads.html]http://www.shadowexplorer.com/downloads.html[/URL]
но прежде чем восстанвить что-то из теневых копий (если они сохранились), надо точно знать, что в системе нет уже активного шифратора.
поэтому.
2. добавьте лог выполнения скрипта uVS.
файл дата_времяlog.txt
+
добавьте новый образ автозапуска.[/QUOTE]
1. Поэтому теневые копии пока не трогаю. Последняя надежда на них.
2. У меня сомнение в чистоте двух файлов.
1) C:\users\ДАНИЛИНА.INCRGP\APPDATA\ROAMING\roamingrbq51.exe
2) C:\PROGRAMDATA\WINDOWS\CSRSS.EXE
Размер у файлов одинаковый и иконка одна - как у установщиков INNO. Пока что не применял скрипт, который вы выслали ранее, но эти файлы выцепил из системы. Они у меня в архивах. На моём рабочем компьютере антивирус ESET определяет эти оба файла как NSIS/Injector.HV
В безопасном режиме сделал ещё один образ автозагрузки. Теперь от имени заражённого пользователя.
Кстати, у пользователя сменились обои. Теперь и там требование денег. Файл с рандомным значением в имени. 475395B1475395B1.bmp
1. по теневым копиям.
как проверить.
используйте shadowExplorer
[URL=http://www.shadowexplorer.com/downloads.html]http://www.shadowexplorer.com/downloads.html[/URL]
но прежде чем восстанвить что-то из теневых копий (если они сохранились), надо точно знать, что в системе нет уже активного шифратора.
поэтому.
2. добавьте лог выполнения скрипта uVS.
файл дата_времяlog.txt
+
добавьте новый образ автозапуска.[/QUOTE]
1. Поэтому теневые копии пока не трогаю. Последняя надежда на них.
2. У меня сомнение в чистоте двух файлов.
1) C:\users\ДАНИЛИНА.INCRGP\APPDATA\ROAMING\roamingrbq51.exe
2) C:\PROGRAMDATA\WINDOWS\CSRSS.EXE
Размер у файлов одинаковый и иконка одна - как у установщиков INNO. Пока что не применял скрипт, который вы выслали ранее, но эти файлы выцепил из системы. Они у меня в архивах. На моём рабочем компьютере антивирус ESET определяет эти оба файла как NSIS/Injector.HV
В безопасном режиме сделал ещё один образ автозагрузки. Теперь от имени заражённого пользователя.
Кстати, у пользователя сменились обои. Теперь и там требование денег. Файл с рандомным значением в имени. 475395B1475395B1.bmp
Изменено: Андрей Пинчук - 27.10.2016 18:05:00
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
Размещено 27.10.2016 16:12:31
[QUOTE]santy написал:
[QUOTE] Андрей Пинчук написал:
Когда выполнял указания техподдержки ESET по сбору данных для отправки, запустил компьютер в обычном режиме с входом в пользователь, который запустил инфекцию (от сети отключен физически). В карантине никаких данных по вирусу нет. При этом через некоторое время появилось окно UAC с просьбой разрешить запуск программы для управления теневыми копиями файлов. В подробностях видно было, что это запрос на удаление теневых копий.[/QUOTE]
возможно шифратор, если он активен, с каждым новым запуском в системе пытается проверить наличие теневых копий, и удалить их.
если UAC у вас был включен на момент шифрования, возможно шифратор в процессе шифрования не смог удалить теневые копии, так что проверьте: живые они или нет.[/QUOTE]
Есть надежда, что живы (см. скриншот). Или они в другом месте хранятся?[QUOTE]santy написал:
[QUOTE] Андрей Пинчук написал:
Кроме того. Пока выполнял указания техподдержки вирус зашифровал данные на загрузочной флешке. Так что вирус всё ещё активен.[/QUOTE]
здесь поясните.
шифрование флэшки было до рекомендации по очистке в uVS из безопасного режима?
если есть сомнения в очистке системы, сделайте новый образ автозапуска, и добавьте лог выполнения скрипта.
это файл дата_времяlog.txt из папки, откуда вы запускали uVS
[QUOTE]Кроме того. Сегодня утром в почтовый ящик организации прилетело ещё одно письмо с шифратором. Во вложение два файла: пустой rtf и js файл с кодом, похожим на шифратор. Куда можно отправить указанные файлы?[/QUOTE]
отправьте в почту [URL=mailto:safety@chklst.ru]safety@chklst.ru[/URL] в архиве, с паролем infected[/QUOTE]
1) После. Вначале я систему запустил в безопасном режиме, НО от имени пользователя, который локальный админ. uVC при запуске написал, что загружен реестр 6 пользователей.
2) сделал.
[QUOTE] Андрей Пинчук написал:
Когда выполнял указания техподдержки ESET по сбору данных для отправки, запустил компьютер в обычном режиме с входом в пользователь, который запустил инфекцию (от сети отключен физически). В карантине никаких данных по вирусу нет. При этом через некоторое время появилось окно UAC с просьбой разрешить запуск программы для управления теневыми копиями файлов. В подробностях видно было, что это запрос на удаление теневых копий.[/QUOTE]
возможно шифратор, если он активен, с каждым новым запуском в системе пытается проверить наличие теневых копий, и удалить их.
если UAC у вас был включен на момент шифрования, возможно шифратор в процессе шифрования не смог удалить теневые копии, так что проверьте: живые они или нет.[/QUOTE]
Есть надежда, что живы (см. скриншот). Или они в другом месте хранятся?[QUOTE]santy написал:
[QUOTE] Андрей Пинчук написал:
Кроме того. Пока выполнял указания техподдержки вирус зашифровал данные на загрузочной флешке. Так что вирус всё ещё активен.[/QUOTE]
здесь поясните.
шифрование флэшки было до рекомендации по очистке в uVS из безопасного режима?
если есть сомнения в очистке системы, сделайте новый образ автозапуска, и добавьте лог выполнения скрипта.
это файл дата_времяlog.txt из папки, откуда вы запускали uVS
[QUOTE]Кроме того. Сегодня утром в почтовый ящик организации прилетело ещё одно письмо с шифратором. Во вложение два файла: пустой rtf и js файл с кодом, похожим на шифратор. Куда можно отправить указанные файлы?[/QUOTE]
отправьте в почту [URL=mailto:safety@chklst.ru]safety@chklst.ru[/URL] в архиве, с паролем infected[/QUOTE]
1) После. Вначале я систему запустил в безопасном режиме, НО от имени пользователя, который локальный админ. uVC при запуске написал, что загружен реестр 6 пользователей.
2) сделал.
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
Размещено 27.10.2016 14:46:06
[QUOTE]Андрей Пинчук написал:
[QUOTE]
[/QUOTE]
Когда выполнял указания техподдержки ESET по сбору данных для отправки, запустил компьютер в обычном режиме с входом в пользователь, который запустил инфекцию (от сети отключен физически). В карантине никаких данных по вирусу нет. При этом через некоторое время появилось окно UAC с просьбой разрешить запуск программы для управления теневыми копиями файлов. В подробностях видно было, что это запрос на удаление теневых копий.[/QUOTE]
Кроме того. Пока выполнял указания техподдержки вирус зашифровал данные на загрузочной флешке. Так что вирус всё ещё активен.
[QUOTE]
[/QUOTE]
Когда выполнял указания техподдержки ESET по сбору данных для отправки, запустил компьютер в обычном режиме с входом в пользователь, который запустил инфекцию (от сети отключен физически). В карантине никаких данных по вирусу нет. При этом через некоторое время появилось окно UAC с просьбой разрешить запуск программы для управления теневыми копиями файлов. В подробностях видно было, что это запрос на удаление теневых копий.[/QUOTE]
Кроме того. Пока выполнял указания техподдержки вирус зашифровал данные на загрузочной флешке. Так что вирус всё ещё активен.
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
Размещено 27.10.2016 13:28:35
[QUOTE]santy написал:
да, файл шифратора в автозапуске еще.
по очистке системы выполните. (можно так же из безопасного режима системы)
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[CODE]
;uVS v3.87.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v388c
OFFSGNSAVE
addsgn 7300A398556A1F245CBE8EEE57137A04A58AFC7FD5DE0BBFC1E7D58CF296
zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
;------------------------autoscript---------------------------
chklst
delvir
delref %SystemDrive%\USERS\ДАНИЛИНА.INCRGP\APPDATA\ROAMING\JGUPMKO.DLL
delref HTTPS://LAREVANTE.COM/F6D3BVD/BOL57.EUP
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBEJNPNKHFGFKCPGIKIINOJLMDCJIMOBI%26INSTALLSOURCE%3D
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHJCGOMKANPKPBLOKEBECKNHAHGKCMOO%26INSTALLSOURCE%3D
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDKEKDLKMDPIPIHONAPOLEOPFEKMAPADH%26INSTALLSOURCE%3D
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3D
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3D
deltmp
delnfr
;-------------------------------------------------------------
czoo
restart
[/CODE]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (файл по формату: ZOO_yyyy-mm-dd_hh-mm-ss.rar/или 7z) отправить в почту [URL=mailto:sendvirus2011@gmail.com]sendvirus2011@gmail.com[/URL], [URL=mailto:support@esetnod32.ru]support@esetnod32.ru[/URL]
------------
+
далее,
сделайте дополнительно быструю проверку системы в малваребайт
[URL=http://forum.esetnod32.ru/forum9/topic10688/]http://forum.esetnod32.ru/forum9/topic10688/[/URL]
поскольку в системе был добавлен левый прокси.
LAREVANTE.COM/F6D3BVD/BOL57.EUP
задачи на компе здесь серьезные.
имеет смысл подумать о смене паролей в инете, поскольку трафик шел через левый прокси.[/QUOTE]
Заявка в техподдержке - № 1125441
delref %SystemDrive%\USERS\ДАНИЛИНА.INCRGP\APPDATA\ROAMING\JGUPMKO.DLL
Файл был удалён проверкой DrWeb. Загрузка была сделана с флешки. Этот файл классифицировался как вирус - Trojan.PWS.Spy.ХХХХХ цифры уже не помню.
Когда выполнял указания техподдержки ESET по сбору данных для отправки, запустил компьютер в обычном режиме с входом в пользователь, который запустил инфекцию (от сети отключен физически). В карантине никаких данных по вирусу нет. При этом через некоторое время появилось окно UAC с просьбой разрешить запуск программы для управления теневыми копиями файлов. В подробностях видно было, что это запрос на удаление теневых копий.
да, файл шифратора в автозапуске еще.
по очистке системы выполните. (можно так же из безопасного режима системы)
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[CODE]
;uVS v3.87.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v388c
OFFSGNSAVE
addsgn 7300A398556A1F245CBE8EEE57137A04A58AFC7FD5DE0BBFC1E7D58CF296
zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
;------------------------autoscript---------------------------
chklst
delvir
delref %SystemDrive%\USERS\ДАНИЛИНА.INCRGP\APPDATA\ROAMING\JGUPMKO.DLL
delref HTTPS://LAREVANTE.COM/F6D3BVD/BOL57.EUP
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBEJNPNKHFGFKCPGIKIINOJLMDCJIMOBI%26INSTALLSOURCE%3D
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHJCGOMKANPKPBLOKEBECKNHAHGKCMOO%26INSTALLSOURCE%3D
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDKEKDLKMDPIPIHONAPOLEOPFEKMAPADH%26INSTALLSOURCE%3D
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3D
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3D
deltmp
delnfr
;-------------------------------------------------------------
czoo
restart
[/CODE]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (файл по формату: ZOO_yyyy-mm-dd_hh-mm-ss.rar/или 7z) отправить в почту [URL=mailto:sendvirus2011@gmail.com]sendvirus2011@gmail.com[/URL], [URL=mailto:support@esetnod32.ru]support@esetnod32.ru[/URL]
------------
+
далее,
сделайте дополнительно быструю проверку системы в малваребайт
[URL=http://forum.esetnod32.ru/forum9/topic10688/]http://forum.esetnod32.ru/forum9/topic10688/[/URL]
поскольку в системе был добавлен левый прокси.
LAREVANTE.COM/F6D3BVD/BOL57.EUP
задачи на компе здесь серьезные.
имеет смысл подумать о смене паролей в инете, поскольку трафик шел через левый прокси.[/QUOTE]
Заявка в техподдержке - № 1125441
delref %SystemDrive%\USERS\ДАНИЛИНА.INCRGP\APPDATA\ROAMING\JGUPMKO.DLL
Файл был удалён проверкой DrWeb. Загрузка была сделана с флешки. Этот файл классифицировался как вирус - Trojan.PWS.Spy.ХХХХХ цифры уже не помню.
Когда выполнял указания техподдержки ESET по сбору данных для отправки, запустил компьютер в обычном режиме с входом в пользователь, который запустил инфекцию (от сети отключен физически). В карантине никаких данных по вирусу нет. При этом через некоторое время появилось окно UAC с просьбой разрешить запуск программы для управления теневыми копиями файлов. В подробностях видно было, что это запрос на удаление теневых копий.