файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.* - Форум технической поддержки ESET NOD32

Цитата
C:\DOCUMENTS AND SETTINGS\HIMKI\МОИ ДОКУМЕНТЫ\144109.DEVID.INFO.EXE

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.04.2017 11:19:03

минутку, сейчас еще раз проверю скрипт, пока ничего не выполняем

[ Как создать образ автозапуска? ]

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.04.2017 11:23:30

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.0b11 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE ;------------------------autoscript--------------------------- zoo %SystemDrive%\USERS\BUH2\APPDATA\ROAMING\INTEL\SRVANY.EXE addsgn 1A54A79A5583338CF42B627DA804DEC9E946303A4536482E0EB7E1ACDB9A5558A86BE75BB59416982846BF61301E7202725D807155DABF96088B9563C7075174 8 Win32/Filecoder.Ishtar 7 zoo %SystemDrive%\USERS\BUH2\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\FONTDRVHOST.EXE addsgn 9A64769A55024C720BD4C68D508912ED79CAFCF60A3E131085C3C5BCB883314C23B483637F55F5492B8084F7460649FA15DFE8725532F26C2D770713F347229B 8 Trojan:Win32/Dynamer!ac [Microsoft] 7 zoo %SystemDrive%\INTEL\LOGS\FONTDRVHOST.EXE chklst delvir deldirex %SystemDrive%\PROGRAM FILES (X86)\PENNYBEE delref D:\АРХИВ 1С\NICEHASHMINER_V1.7.3.6\NICEHASHMINER.EXE del D:\АРХИВ 1С\NICEHASHMINER_V1.7.3.6\NICEHASHMINER.EXE delref %SystemDrive%\USERS\BUH2\APPDATA\ROAMING\M\START.VBS del %SystemDrive%\USERS\BUH2\APPDATA\ROAMING\M\START.VBS delref %SystemDrive%\USERS\BUH2\APPDATA\ROAMING\MICROSOFT\WEBISIDA.BROWSER.EXE del %SystemDrive%\USERS\BUH2\APPDATA\ROAMING\MICROSOFT\WEBISIDA.BROWSER.EXE delref %SystemDrive%\PROGRAMDATA\SERVICE\PUBWIN.VBS del %SystemDrive%\PROGRAMDATA\SERVICE\PUBWIN.VBS delref %SystemDrive%\PROGRAMDATA\UPDATE.EXE del %SystemDrive%\PROGRAMDATA\UPDATE.EXE delref %SystemDrive%\PROGRAMDATA\MUI.EXE del %SystemDrive%\PROGRAMDATA\MUI.EXE apply deltmp delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS delref %SystemRoot%\SYSWOW64\UMPO.DLL delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS delref %SystemRoot%\SYSWOW64\LSM.EXE delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {6BF52A52-394A-11D3-B153-00C04F79FAA6}\[CLSID] delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref %SystemRoot%\SYSWOW64\WIN32K.SYS delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID] delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID] delref %SystemRoot%\SYSWOW64\BLANK.HTM delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref %Sys32%\BLANK.HTM delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL delref HELPSVC\[SERVICE] delref TABLETINPUTSERVICE\[SERVICE] delref TBS\[SERVICE] delref VMMS\[SERVICE] delref MESSENGER\[SERVICE] delref NATIVEWIFIP\[SERVICE] delref RDSESSMGR\[SERVICE] delref WLANSVC\[SERVICE] delref %Sys32%\DRIVERS\DGIVECP.SYS delref %SystemDrive%\PROGRAM FILES (X86)\PENNYBEE\PENNYBEE.EXE delref %Sys32%\PSXSS.EXE delref IRENUM\[SERVICE] delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.30.3\PSUSER_64.DLL delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.24.7\PSUSER_64.DLL delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.28.13\PSUSER_64.DLL delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.29.5\PSUSER_64.DLL delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.25.11\PSUSER_64.DLL delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.24.15\PSUSER_64.DLL delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.29.1\PSUSER_64.DLL delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.149\PSUSER.DLL delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.145\PSUSER.DLL delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.79\PSUSER.DLL delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.30.3\PSUSER.DLL delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.24.7\PSUSER.DLL delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.153\PSUSER.DLL delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.28.13\PSUSER.DLL delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.29.5\PSUSER.DLL delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.25.11\PSUSER.DLL delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.24.15\PSUSER.DLL delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.165\PSUSER.DLL delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.22.3\PSUSER.DLL delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.29.1\PSUSER.DLL delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.22.5\PSUSER.DLL delref %SystemDrive%\USERS\МОСЕНЁВА\APPDATA\LOCAL\TEMP\3\V8_C707_91.TMP delref %SystemDrive%\USERS\МОСЕНЁВА\APPDATA\LOCAL\TEMP\2\V8_C94B_80.TMP delref %SystemDrive%\USERS\МОСЕНЁВА\APPDATA\LOCAL\TEMP\3\V8_4D70_AE.TMP delref %SystemDrive%\USERS\МОСЕНЁВА\APPDATA\LOCAL\TEMP\2\V8_A2F5_AE.TMP delref %SystemDrive%\USERS\МОСЕНЁВА\APPDATA\LOCAL\TEMP\5\V8_50AF_A8.TMP delref %SystemDrive%\USERS\МОСЕНЁВА\APPDATA\LOCAL\TEMP\2\V8_E6F7_8D.TMP delref %SystemDrive%\USERS\МОСЕНЁВА\APPDATA\LOCAL\TEMP\3\V8_48F3_5C.TMP delref %SystemDrive%\USERS\ЮРЛОВА\APPDATA\LOCAL\TEMP\2\V8_DD99_94.TMP delref %SystemDrive%\USERS\ЮРЛОВА\APPDATA\LOCAL\TEMP\2\V8_F7C6_AB.TMP delref %SystemDrive%\USERS\ЮРЛОВА\APPDATA\LOCAL\TEMP\4\V8_40AE_A1.TMP delref %SystemDrive%\USERS\ЮРЛОВА\APPDATA\LOCAL\TEMP\5\V8_C4EB_63.TMP delref %SystemDrive%\USERS\АЛЬКИНА\APPDATA\LOCAL\TEMP\5\V8_1DE0_E3.TMP delref %SystemDrive%\USERS\АЛЬКИНА\APPDATA\LOCAL\TEMP\2\V8_61F1_9B.TMP delref %SystemDrive%\USERS\АЛЬКИНА\APPDATA\LOCAL\TEMP\3\V8_F987_68.TMP delref %SystemDrive%\USERS\АЛЬКИНА\APPDATA\LOCAL\TEMP\2\V8_FDE7_99.TMP delref %SystemDrive%\USERS\АЛЬКИНА\APPDATA\LOCAL\TEMP\3\V8_DCCA_CA.TMP delref %SystemDrive%\USERS\UNIVER\APPDATA\LOCAL\TEMP\4\V8_D33_5B.TMP delref %SystemDrive%\USERS\UNIVER\APPDATA\LOCAL\TEMP\2\V8_E127_9B.TMP delref %SystemDrive%\USERS\UNIVER\APPDATA\LOCAL\TEMP\2\V8_FC03_98.TMP delref %SystemDrive%\USERS\UNIVER\APPDATA\LOCAL\TEMP\2\V8_72EB_51.TMP delref %SystemDrive%\USERS\UNIVER\APPDATA\LOCAL\TEMP\2\V8_A90F_94.TMP delref %SystemDrive%\USERS\UNIVER\APPDATA\LOCAL\TEMP\2\V8_E4DC_91.TMP delref %SystemDrive%\USERS\UNIVER\APPDATA\LOCAL\TEMP\2\V8_C34_66.TMP delref %SystemDrive%\USERS\RYAZAN\APPDATA\LOCAL\TEMP\2\V8_29_6B.TMP delref %SystemDrive%\USERS\RYAZAN\APPDATA\LOCAL\TEMP\2\V8_126D_97.TMP delref %SystemDrive%\USERS\RYAZAN\APPDATA\LOCAL\TEMP\5\V8_EC2B_94.TMP delref %SystemDrive%\USERS\BUH2\APPDATA\LOCAL\TEMP\3\V8_7DD_DF.TMP delref %SystemDrive%\USERS\BUH2\APPDATA\LOCAL\TEMP\4\V8_D32A_64.TMP delref %SystemDrive%\USERS\СОЛОМАТИНА\APPDATA\LOCAL\TEMP\2\V8_9B66_A5.TMP delref %SystemDrive%\USERS\СОЛОМАТИНА\APPDATA\LOCAL\TEMP\5\V8_A4BF_D9.TMP delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\SAERHDLR.DLL delref %SystemRoot%\SYSWOW64\SAIMGFLT.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\SASEGFLT.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\SAMINDRV.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL delref {2670000A-7350-4F3C-8081-5663EE0C6C49}\[CLSID] delref {92780B25-18CC-41C8-B9BE-3C9C571A8263}\[CLSID] delref %SystemDrive%\USERS\ANTON\WINDOWS\TWAIN_32\SAMSUNG\SCANMGR.EXE restart ;-------------------------------------------------------------

Код


;uVS v4.0b11 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

zoo %SystemDrive%\USERS\BUH2\APPDATA\ROAMING\INTEL\SRVANY.EXE
addsgn 1A54A79A5583338CF42B627DA804DEC9E946303A4536482E0EB7E1ACDB9A5558A86BE75BB59416982846BF61301E7202725D807155DABF96088B9563C7075174 8 Win32/Filecoder.Ishtar 7

zoo %SystemDrive%\USERS\BUH2\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\FONTDRVHOST.EXE
addsgn 9A64769A55024C720BD4C68D508912ED79CAFCF60A3E131085C3C5BCB883314C23B483637F55F5492B8084F7460649FA15DFE8725532F26C2D770713F347229B 8 Trojan:Win32/Dynamer!ac [Microsoft] 7

zoo %SystemDrive%\INTEL\LOGS\FONTDRVHOST.EXE
chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES (X86)\PENNYBEE

delref D:\АРХИВ 1С\NICEHASHMINER_V1.7.3.6\NICEHASHMINER.EXE
del D:\АРХИВ 1С\NICEHASHMINER_V1.7.3.6\NICEHASHMINER.EXE
delref %SystemDrive%\USERS\BUH2\APPDATA\ROAMING\M\START.VBS
del %SystemDrive%\USERS\BUH2\APPDATA\ROAMING\M\START.VBS
delref %SystemDrive%\USERS\BUH2\APPDATA\ROAMING\MICROSOFT\WEBISIDA.BROWSER.EXE
del %SystemDrive%\USERS\BUH2\APPDATA\ROAMING\MICROSOFT\WEBISIDA.BROWSER.EXE
delref %SystemDrive%\PROGRAMDATA\SERVICE\PUBWIN.VBS
del %SystemDrive%\PROGRAMDATA\SERVICE\PUBWIN.VBS
delref %SystemDrive%\PROGRAMDATA\UPDATE.EXE
del %SystemDrive%\PROGRAMDATA\UPDATE.EXE
delref %SystemDrive%\PROGRAMDATA\MUI.EXE
del %SystemDrive%\PROGRAMDATA\MUI.EXE
apply

deltmp
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\UMPO.DLL
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {6BF52A52-394A-11D3-B153-00C04F79FAA6}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\BLANK.HTM
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref HELPSVC\[SERVICE]
delref TABLETINPUTSERVICE\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref NATIVEWIFIP\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref WLANSVC\[SERVICE]
delref %Sys32%\DRIVERS\DGIVECP.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\PENNYBEE\PENNYBEE.EXE
delref %Sys32%\PSXSS.EXE
delref IRENUM\[SERVICE]
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.30.3\PSUSER_64.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.24.7\PSUSER_64.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.28.13\PSUSER_64.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.29.5\PSUSER_64.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.25.11\PSUSER_64.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.24.15\PSUSER_64.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.29.1\PSUSER_64.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.149\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.145\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.79\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.30.3\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.24.7\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.153\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.28.13\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.29.5\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.25.11\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.24.15\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.165\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.22.3\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.29.1\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.22.5\PSUSER.DLL
delref %SystemDrive%\USERS\МОСЕНЁВА\APPDATA\LOCAL\TEMP\3\V8_C707_91.TMP
delref %SystemDrive%\USERS\МОСЕНЁВА\APPDATA\LOCAL\TEMP\2\V8_C94B_80.TMP
delref %SystemDrive%\USERS\МОСЕНЁВА\APPDATA\LOCAL\TEMP\3\V8_4D70_AE.TMP
delref %SystemDrive%\USERS\МОСЕНЁВА\APPDATA\LOCAL\TEMP\2\V8_A2F5_AE.TMP
delref %SystemDrive%\USERS\МОСЕНЁВА\APPDATA\LOCAL\TEMP\5\V8_50AF_A8.TMP
delref %SystemDrive%\USERS\МОСЕНЁВА\APPDATA\LOCAL\TEMP\2\V8_E6F7_8D.TMP
delref %SystemDrive%\USERS\МОСЕНЁВА\APPDATA\LOCAL\TEMP\3\V8_48F3_5C.TMP
delref %SystemDrive%\USERS\ЮРЛОВА\APPDATA\LOCAL\TEMP\2\V8_DD99_94.TMP
delref %SystemDrive%\USERS\ЮРЛОВА\APPDATA\LOCAL\TEMP\2\V8_F7C6_AB.TMP
delref %SystemDrive%\USERS\ЮРЛОВА\APPDATA\LOCAL\TEMP\4\V8_40AE_A1.TMP
delref %SystemDrive%\USERS\ЮРЛОВА\APPDATA\LOCAL\TEMP\5\V8_C4EB_63.TMP
delref %SystemDrive%\USERS\АЛЬКИНА\APPDATA\LOCAL\TEMP\5\V8_1DE0_E3.TMP
delref %SystemDrive%\USERS\АЛЬКИНА\APPDATA\LOCAL\TEMP\2\V8_61F1_9B.TMP
delref %SystemDrive%\USERS\АЛЬКИНА\APPDATA\LOCAL\TEMP\3\V8_F987_68.TMP
delref %SystemDrive%\USERS\АЛЬКИНА\APPDATA\LOCAL\TEMP\2\V8_FDE7_99.TMP
delref %SystemDrive%\USERS\АЛЬКИНА\APPDATA\LOCAL\TEMP\3\V8_DCCA_CA.TMP
delref %SystemDrive%\USERS\UNIVER\APPDATA\LOCAL\TEMP\4\V8_D33_5B.TMP
delref %SystemDrive%\USERS\UNIVER\APPDATA\LOCAL\TEMP\2\V8_E127_9B.TMP
delref %SystemDrive%\USERS\UNIVER\APPDATA\LOCAL\TEMP\2\V8_FC03_98.TMP
delref %SystemDrive%\USERS\UNIVER\APPDATA\LOCAL\TEMP\2\V8_72EB_51.TMP
delref %SystemDrive%\USERS\UNIVER\APPDATA\LOCAL\TEMP\2\V8_A90F_94.TMP
delref %SystemDrive%\USERS\UNIVER\APPDATA\LOCAL\TEMP\2\V8_E4DC_91.TMP
delref %SystemDrive%\USERS\UNIVER\APPDATA\LOCAL\TEMP\2\V8_C34_66.TMP
delref %SystemDrive%\USERS\RYAZAN\APPDATA\LOCAL\TEMP\2\V8_29_6B.TMP
delref %SystemDrive%\USERS\RYAZAN\APPDATA\LOCAL\TEMP\2\V8_126D_97.TMP
delref %SystemDrive%\USERS\RYAZAN\APPDATA\LOCAL\TEMP\5\V8_EC2B_94.TMP
delref %SystemDrive%\USERS\BUH2\APPDATA\LOCAL\TEMP\3\V8_7DD_DF.TMP
delref %SystemDrive%\USERS\BUH2\APPDATA\LOCAL\TEMP\4\V8_D32A_64.TMP
delref %SystemDrive%\USERS\СОЛОМАТИНА\APPDATA\LOCAL\TEMP\2\V8_9B66_A5.TMP
delref %SystemDrive%\USERS\СОЛОМАТИНА\APPDATA\LOCAL\TEMP\5\V8_A4BF_D9.TMP
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\SAERHDLR.DLL
delref %SystemRoot%\SYSWOW64\SAIMGFLT.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\SASEGFLT.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\SAMINDRV.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref {2670000A-7350-4F3C-8081-5663EE0C6C49}\[CLSID]
delref {92780B25-18CC-41C8-B9BE-3C9C571A8263}\[CLSID]
delref %SystemDrive%\USERS\ANTON\WINDOWS\TWAIN_32\SAMSUNG\SCANMGR.EXE

restart
;-------------------------------------------------------------

перезагрузка, пишем о старых и новых проблемах.
------------

[ Как создать образ автозапуска? ]

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.04.2017 11:37:49

проверьте так же назначение этого файла
C:\PROGRAMDATA\SYSTEMAVX-AES\ST.EXE
HKLM\mfpqvpuks\Software\Microsoft\Windows\CurrentVersion\Run\st.exe
C:\ProgramData\SystemAVX-AES\st.exe

[ Как создать образ автозапуска? ]

Сообщений: 7

Баллов: 3

Регистрация: 04.07.2017

Размещено 04.07.2017 17:21:35

Добрый день. 28 июня файлы на сервере были переименованы и стали выглядет вот так:
[email protected] 1.3.1.0.id-@@@@@CA09-2542.randomname-RSSTUUVWXYYYZABCCDDEFGGHHIJKKL.MMN.oop
[email protected] 1.3.1.0.id-@@@@@CA09-2542.randomname-TUUVWWXYZABBBCDEFFFGHIJJKKLMNN.OPP.qrr
[email protected] 1.3.1.0.id-@@@@@CA09-2542.randomname-IJJKLMNNOOPQRRSSTUVWWWXYZAAABC.DEF.fgg
[email protected] 1.3.1.0.id-@@@@@CA09-2542.randomname-RTTUVWXXYYZABCCDDEFGGHHIJKKLMM.NOP.qqq
[email protected] 1.3.1.0.id-@@@@@CA09-2542.randomname-DEFGHHIJKKLLMNNOPPQRRSTUUVVWXY.YZA.abc
и так далее.
Также были созданы во всех папках readmy.txt со следующим сообщением:
"for decrypt files write you country to [email protected]"

В приложении архив с парочкой таких файлов.

Источник всего этого безобразия неизвестен - сервер работал отлично, а в 13-14 часов произошли все эти изменения файлов.
Проверка ПК NOD32 Antivirus 10 выявила и очистила 4 угрозы:
1. Модифицированный Win32/Filecoder.NHT троянская программа
2. Модифицированный Win32/Filecoder.NLK троянская программа
3. Win64/Agent.GW троянская программа
4. Модифицированный Win32/Kryptik.FTOK троянская программа

Просим помощи!
Заранее спасибо!

Прикрепленные файлы

crypt files.rar (558.61 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.07.2017 17:30:16

Добавьте образ автозапуска системы, возможно необходима дополнительная очистка системы.

[ Как создать образ автозапуска? ]

Сообщений: 7

Баллов: 3

Регистрация: 04.07.2017

Размещено 04.07.2017 18:06:12

Прикрепляю образ автозапуска

Прикрепленные файлы

GS-PC_2017-07-04_18-29-48.7z (610.36 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 05.07.2017 02:50:04

Remote Control сами установили?
C:\PROGRAM FILES (X86)\REMOTE MANIPULATOR SYSTEM - HOST\RUTSERV.EXE
+
в системе еще активный майнер.
C:\WINDOWS\SYS\SVCHOST.EXE

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.0.6 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE ;------------------------autoscript--------------------------- zoo %SystemRoot%\SYS\SVCHOST.EXE addsgn BA6F9BB2BD7549720B9C2D754C2120FBDA75303AC171DB300C9BCDF4D9BE6104AA67DB1FB72DBD087DC80773665FC2A34597638018514064A69EE8A284026BF8 8 a variant of Win64/BitCoinMiner 7 chklst delvir delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFLLIILNDJEOHCHALPBBCDEKJKLBDGFKK%26INSTALLSOURCE%3DONDEMAND%26UC apply deltmp delref %SystemRoot%\SYSWOW64\HASPLMS.EXE delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID] delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID] delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID] delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID] delref %SystemRoot%\SYSWOW64\TBSSVC.DLL delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS delref %SystemRoot%\SYSWOW64\UMPO.DLL delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL delref %SystemRoot%\SYSWOW64\CSCSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\RDVGKMD.SYS delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS delref %SystemRoot%\SYSWOW64\LSM.EXE delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID] delref %SystemRoot%\SYSWOW64\WIN32K.SYS delref %SystemDrive%\PROGRA~2\MICROS~1\OFFICE12\MLCFG32.CPL delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID] delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\57.0.2987.133\INSTALLER\CHRMSTP.EXE delref %SystemRoot%\SYSWOW64\BLANK.HTM delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref F:\SETUP.EXE delref E:\AVPKISETUP2.EXE delref {2670000A-7350-4F3C-8081-5663EE0C6C49}\[CLSID] delref {72853161-30C5-4D22-B7F9-0BBC1D38A37E}\[CLSID] delref {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA}\[CLSID] delref {92780B25-18CC-41C8-B9BE-3C9C571A8263}\[CLSID] delref {B4F3A835-0E21-4959-BA22-42B3008E02FF}\[CLSID] delref %Sys32%\BLANK.HTM delref %Sys32%\DRIVERS\RDVGKMD.SYS delref {45AC2688-0253-4ED8-97DE-B5370FA7D48A}\[CLSID] delref HELPSVC\[SERVICE] delref SACSVR\[SERVICE] delref VMMS\[SERVICE] delref MESSENGER\[SERVICE] delref RDSESSMGR\[SERVICE] delref %Sys32%\PSXSS.EXE delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected] delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected] delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected] delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected] delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\EXTENSIONS\{972CE4C6-7E08-4474-A285-3208198CE6FD}.XPI delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected] delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\DDG.XML delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\GOOGLE.XML delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\MAILRU.XML delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\OZONRU.XML delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\PRICERU.XML delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\WIKIPEDIA-RU.XML delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\YANDEX-SLOVARI.XML delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\YANDEX.XML delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE1.8.0_25\BIN\JP2IEXP.DLL delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE1.8.0_31\BIN\JP2IEXP.DLL delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE1.8.0_45\BIN\JP2IEXP.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL delref %Sys32%\IGFXCFG.EXE delref %Sys32%\SHAREMEDIACPL.CPL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\ITUNES\ITUNESADMIN.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL delref %SystemDrive%\PROGRA~2\COMMON~1\MICROS~1\MSINFO\OINFO12.OCX delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE12\WORDCNVPXY.CNV delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\READER 11.0\READER\PLUG_INS\ACCESSIBILITY.API delref %SystemDrive%\USERS\GS\1CV77\BIN\ZLIBENG.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\ITUNES\ITDETECTOR.OCX delref %SystemDrive%\PROGRAM FILES (X86)\ITUNES\ITUNES.EXE delref {70477530-83ED-4F81-B8F5-D04A7750209C}\[CLSID] delref %SystemDrive%\PROGRAM FILES\ASROCK UTILITY\ASRAPPCHARGER\ASROCK APP CHARGER.URL ;------------------------------------------------------------- deldirex %SystemRoot%\SYS restart

Код


;uVS v4.0.6 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

zoo %SystemRoot%\SYS\SVCHOST.EXE
addsgn BA6F9BB2BD7549720B9C2D754C2120FBDA75303AC171DB300C9BCDF4D9BE6104AA67DB1FB72DBD087DC80773665FC2A34597638018514064A69EE8A284026BF8 8 a variant of Win64/BitCoinMiner 7

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFLLIILNDJEOHCHALPBBCDEKJKLBDGFKK%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemRoot%\SYSWOW64\HASPLMS.EXE
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref %SystemRoot%\SYSWOW64\TBSSVC.DLL
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\UMPO.DLL
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\RDVGKMD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref %SystemDrive%\PROGRA~2\MICROS~1\OFFICE12\MLCFG32.CPL
delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\57.0.2987.133\INSTALLER\CHRMSTP.EXE
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref F:\SETUP.EXE
delref E:\AVPKISETUP2.EXE
delref {2670000A-7350-4F3C-8081-5663EE0C6C49}\[CLSID]
delref {72853161-30C5-4D22-B7F9-0BBC1D38A37E}\[CLSID]
delref {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA}\[CLSID]
delref {92780B25-18CC-41C8-B9BE-3C9C571A8263}\[CLSID]
delref {B4F3A835-0E21-4959-BA22-42B3008E02FF}\[CLSID]
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\RDVGKMD.SYS
delref {45AC2688-0253-4ED8-97DE-B5370FA7D48A}\[CLSID]
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\EXTENSIONS\{972CE4C6-7E08-4474-A285-3208198CE6FD}.XPI
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\DDG.XML
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\GOOGLE.XML
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\MAILRU.XML
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\OZONRU.XML
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\PRICERU.XML
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\WIKIPEDIA-RU.XML
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\YANDEX-SLOVARI.XML
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\YANDEX.XML
delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE1.8.0_25\BIN\JP2IEXP.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE1.8.0_31\BIN\JP2IEXP.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE1.8.0_45\BIN\JP2IEXP.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %Sys32%\IGFXCFG.EXE
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ITUNES\ITUNESADMIN.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRA~2\COMMON~1\MICROS~1\MSINFO\OINFO12.OCX
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE12\WORDCNVPXY.CNV
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\READER 11.0\READER\PLUG_INS\ACCESSIBILITY.API
delref %SystemDrive%\USERS\GS\1CV77\BIN\ZLIBENG.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ITUNES\ITDETECTOR.OCX
delref %SystemDrive%\PROGRAM FILES (X86)\ITUNES\ITUNES.EXE
delref {70477530-83ED-4F81-B8F5-D04A7750209C}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\ASROCK UTILITY\ASRAPPCHARGER\ASROCK  APP CHARGER.URL
;-------------------------------------------------------------

deldirex %SystemRoot%\SYS
restart

перезагрузка, пишем о старых и новых проблемах.
------------
зашифрованные файлы восстанавливаем из архивных копий.

[ Как создать образ автозапуска? ]

Сообщений: 7

Баллов: 3

Регистрация: 04.07.2017

Размещено 05.07.2017 10:42:43

"Remote Control сами установили?
C:\PROGRAM FILES (X86)\REMOTE MANIPULATOR SYSTEM - HOST\RUTSERV.EXE
+
в системе еще активный майнер.
C:\WINDOWS\SYS\SVCHOST.EXE "
Не можем знать - возможно и не сами(
Скрипт выполнили, перезагрузились - из нового только ошибка Firefox при загрузке Windows вылезла, а так ничего не поменялось на первый взгляд.
Наши дальнейшие действия?

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 05.07.2017 10:50:05

а админы в курсе вашей проблемы?
+
добавьте новый образ автозапуска для контроля.

[ Как создать образ автозапуска? ]

Сообщений: 7

Баллов: 3

Регистрация: 04.07.2017

Размещено 05.07.2017 11:17:14

Админы... штатных нет, а знакомый админ сказал шуршать по интернету в происках решения проблемы( поэтому - вот своими силами и с вашей огромной помощью надеемся восстановить все данные
Новый образ автозапуска в приложении

Прикрепленные файлы

GS-PC_2017-07-05_11-39-33.7z (643.56 КБ)

файлы зашифрованы в Cryakl CL 0.1..-1.3.. , Filecoder.EQ/Encoder.567/Cryakl

Ответы

файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.* , Filecoder.EQ/Encoder.567/Cryakl

Ответы

файлы зашифрованы в Cryakl CL 0.1..-1.3.. , Filecoder.EQ/Encoder.567/Cryakl