santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] js/adware.adport.a, NOD32 блокирует попытки перейти на сайт - js/adware.adport.a

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 19.02.2020 17:08:47

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.1.8 [http://dsrt.dyndns.org:8888] ;Target OS: NTv10.0 v400c OFFSGNSAVE ;------------------------autoscript--------------------------- delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMJBEPBHONBOJPOAENHCKJOCCHGFIAOFO%26INSTALLSOURCE%3DONDEMAND%26UC apply deltmp delref %SystemDrive%\PROGRAM FILES\WINDOWSAPPS\91750D7E.SLACK_4.3.4.0_X64__8SHE8KYBCNZG4\APP\RESOURCES\APP.ASAR\DIST\MAIN-PRELOAD-ENTRY-POINT.BUNDLE.JS delref %SystemDrive%\USERS\SERGEY\DOCUMENTS\CASHBOXPERSONAL\NODE_MODULES\.BIN\UMI\BIN\UMI.JS delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\SKYPE FOR DESKTOP\RESOURCES\APP.ASAR\PRELOAD.JS delref %SystemDrive%\USERS\SERGEY\APPDATA\LOCAL\TEMP\CHROME_BITS_14272_1876490399\AJHRUZOZWHY-X4JOGVG8FSE delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID] delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL delref %SystemRoot%\SYSWOW64\GPSVC.DLL delref %SystemRoot%\SYSWOW64\VID.DLL delref %SystemRoot%\SYSWOW64\WEVTSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS delref %SystemRoot%\SYSWOW64\W32TIME.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\DXGMMS2.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\WINNAT.SYS delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\VMBUSR.SYS delref %SystemRoot%\SYSWOW64\BTHSERV.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\REFS.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL delref %SystemRoot%\SYSWOW64\LSM.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS delref %SystemDrive%\PROGRAM FILES\JAVA\JRE-9.0.4\BIN\SSV.DLL delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref %SystemRoot%\SYSWOW64\IE4USHOWIE.EXE delref %SystemRoot%\SYSWOW64\IE4UINIT.EXE delref %SystemRoot%\SYSWOW64\BLANK.HTM delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID] delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref {23170F69-40C1-278A-1000-000100020000}\[CLSID] delref {474C98EE-CF3D-41F5-80E3-4AAB0AB04301}\[CLSID] delref {7EFA68C6-086B-43E1-A2D2-55A113531240}\[CLSID] delref {748F920F-FB24-4D09-B360-BAF6F199AD6D}\[CLSID] delref {4A7C4306-57E0-4C0C-83A9-78C1528F618C}\[CLSID] delref %Sys32%\DRIVERS\VMBUSR.SYS delref %Sys32%\DRIVERS\TEEDRIVERW8X64.SYS delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL delref %Sys32%\BLANK.HTM delref APPMGMT\[SERVICE] delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS delref HELPSVC\[SERVICE] delref SACSVR\[SERVICE] delref TBS\[SERVICE] delref VMMS\[SERVICE] delref BROWSER\[SERVICE] delref MESSENGER\[SERVICE] delref RDSESSMGR\[SERVICE] delref IRENUM\[SERVICE] delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.119.43\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.117.29\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.119.39\PSMACHINE_64.DLL delref %Sys32%\TETHERINGSETTINGHANDLER.DLL delref %Sys32%\QUICKACTIONSPS.DLL delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE delref %SystemRoot%\SYSWOW64\TAPILUA.DLL delref %SystemRoot%\SYSWOW64\LOCATIONFRAMEWORK.DLL delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL delref %SystemRoot%\SYSWOW64\PERCEPTIONSIMULATIONEXTENSIONS.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.119.43\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\CUI_DCH.INF_AMD64_F3A64C75EE4DEFB7\IGFXEXPS32.DLL delref %SystemRoot%\SYSWOW64\COMPPKGSRV.EXE delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL delref %SystemRoot%\SYSWOW64\MAPSCSP.DLL delref %SystemRoot%\SYSWOW64\LISTSVC.DLL delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NVDMI.INF_AMD64_8C920D10F051568D\NVENCMFTH264.DLL delref %SystemRoot%\SYSWOW64\WPCREFRESHTASK.DLL delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NVDMI.INF_AMD64_8C920D10F051568D\NVDECMFTMJPEG.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.117.29\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.119.39\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\RMSROAMINGSECURITY.DLL delref %SystemRoot%\SYSWOW64\SYSTEMSETTINGSBROKER.EXE delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NVDMI.INF_AMD64_8C920D10F051568D\NVENCMFTHEVC.DLL delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SAPI_EXTENSIONS.DLL delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL delref %SystemRoot%\SYSWOW64\WIREDNETWORKCSP.DLL delref D:\ECLIPSE\ECLIPSE\ECLIPSE.EXE ;------------------------------------------------------------- restart

Код


;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMJBEPBHONBOJPOAENHCKJOCCHGFIAOFO%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemDrive%\PROGRAM FILES\WINDOWSAPPS\91750D7E.SLACK_4.3.4.0_X64__8SHE8KYBCNZG4\APP\RESOURCES\APP.ASAR\DIST\MAIN-PRELOAD-ENTRY-POINT.BUNDLE.JS
delref %SystemDrive%\USERS\SERGEY\DOCUMENTS\CASHBOXPERSONAL\NODE_MODULES\.BIN\UMI\BIN\UMI.JS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\SKYPE FOR DESKTOP\RESOURCES\APP.ASAR\PRELOAD.JS
delref %SystemDrive%\USERS\SERGEY\APPDATA\LOCAL\TEMP\CHROME_BITS_14272_1876490399\AJHRUZOZWHY-X4JOGVG8FSE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemRoot%\SYSWOW64\VID.DLL
delref %SystemRoot%\SYSWOW64\WEVTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
delref %SystemRoot%\SYSWOW64\W32TIME.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DXGMMS2.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\WINNAT.SYS
delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBUSR.SYS
delref %SystemRoot%\SYSWOW64\BTHSERV.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\REFS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL
delref %SystemRoot%\SYSWOW64\LSM.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS
delref %SystemDrive%\PROGRAM FILES\JAVA\JRE-9.0.4\BIN\SSV.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemRoot%\SYSWOW64\IE4USHOWIE.EXE
delref %SystemRoot%\SYSWOW64\IE4UINIT.EXE
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {23170F69-40C1-278A-1000-000100020000}\[CLSID]
delref {474C98EE-CF3D-41F5-80E3-4AAB0AB04301}\[CLSID]
delref {7EFA68C6-086B-43E1-A2D2-55A113531240}\[CLSID]
delref {748F920F-FB24-4D09-B360-BAF6F199AD6D}\[CLSID]
delref {4A7C4306-57E0-4C0C-83A9-78C1528F618C}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\TEEDRIVERW8X64.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref APPMGMT\[SERVICE]
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref BROWSER\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref IRENUM\[SERVICE]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.119.43\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.117.29\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.119.39\PSMACHINE_64.DLL
delref %Sys32%\TETHERINGSETTINGHANDLER.DLL
delref %Sys32%\QUICKACTIONSPS.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE
delref %SystemRoot%\SYSWOW64\TAPILUA.DLL
delref %SystemRoot%\SYSWOW64\LOCATIONFRAMEWORK.DLL
delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL
delref %SystemRoot%\SYSWOW64\PERCEPTIONSIMULATIONEXTENSIONS.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.119.43\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\CUI_DCH.INF_AMD64_F3A64C75EE4DEFB7\IGFXEXPS32.DLL
delref %SystemRoot%\SYSWOW64\COMPPKGSRV.EXE
delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL
delref %SystemRoot%\SYSWOW64\MAPSCSP.DLL
delref %SystemRoot%\SYSWOW64\LISTSVC.DLL
delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NVDMI.INF_AMD64_8C920D10F051568D\NVENCMFTH264.DLL
delref %SystemRoot%\SYSWOW64\WPCREFRESHTASK.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NVDMI.INF_AMD64_8C920D10F051568D\NVDECMFTMJPEG.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.117.29\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.119.39\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\RMSROAMINGSECURITY.DLL
delref %SystemRoot%\SYSWOW64\SYSTEMSETTINGSBROKER.EXE
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NVDMI.INF_AMD64_8C920D10F051568D\NVENCMFTHEVC.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SAPI_EXTENSIONS.DLL
delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE
delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL
delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref %SystemRoot%\SYSWOW64\WIREDNETWORKCSP.DLL
delref D:\ECLIPSE\ECLIPSE\ECLIPSE.EXE
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Перейти

Шифровирусы шумной толпою

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 19.02.2020 16:40:15

злоумышленники распространяют Dharma Ransomware в новой спам-кампании, ориентированной на пользователей Windows в Италии.

Dharma Ransomware была активна в течение многих лет и основана на другой семье вымогателей под названием Crysis. Тем не менее, не принято видеть, как это семейство вымогателей распространяется через malspam, поскольку оно чаще устанавливается через взломанные службы удаленных рабочих столов.

Исследователи безопасности недавно заметили новую спам-кампанию, которая заражает пользователей с помощью кейлоггера Ursniff или Dharma Ransomware.

В электронном письме содержится ссылка на предполагаемый счет-фактуру, который при нажатии приводит пользователя на страницу OneDrive, на которой размещен файл с именем «New documentmento 2.zip». Этот файл будет автоматически загружен, когда пользователь заходит на страницу.

Внутри этого zip-файла находятся два файла; сценарий VBS под названием «Nuovo documentmento 2.vbs» и файл изображения под названием «yuy7z.jpg», который отображает DNS-запись для домена tuconcordancia.com.

Если пользователь запускает «Nuovo documentmento 2.vbs», то обнаруживаются различные вредоносные программы.

Ранее в тот же день TG Soft увидела, как троянец кражи данных Ursniff устанавливается скриптом VB, а с раннего утра переключился на установку Dharma Ransomware.

Установленная версия Dharma Ransomware добавляет расширение .ROGER к зашифрованным файлам и отображает записку с требованием выкупа, в которой жертва обращается к [email protected] за информацией о платеже.

https://www.bleepingcomputer.com/news/security/dharma-ransomware-attacks-italy-in-new-spam-campaign/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] js/adware.adport.a, NOD32 блокирует попытки перейти на сайт - js/adware.adport.a

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 19.02.2020 15:58:48

+
добавьте образ автозапуска системы
+
лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] После обновления модулей антивирус окривел., после обновления

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 19.02.2020 14:59:36

Цитата
Николай Осадчук написал: не совсем понял какой оригинальный файл. если от старых версии то где их взять..

для исправления ошибок в старых версиях используем данный установщик 5 версии
http://repository.eset.com/v1/com/eset/tools/certfix/v1/latest/eea_nt32_rus.exe && EAVx86
http://repository.eset.com/v1/com/eset/tools/certfix/v1/latest/eea_nt64_rus.exe && EAVx64
http://repository.eset.com/v1/com/eset/tools/certfix/v1/latest/ees_nt32_rus.exe && EESx86
http://repository.eset.com/v1/com/eset/tools/certfix/v1/latest/ees_nt64_rus.exe && EES x64

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] После обновления модулей антивирус окривел., после обновления

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 19.02.2020 14:56:02

Цитата
Alexey Leonchik написал: Подтверждаю! ОКРИВЕЛ ! Удалить не получается. Остановить службу не получается. Весь интерфейс стал на английском. Управлять не позволяет. Короче ДЕРЬМО подкинули. "Спасибо"... Удалять получается ТОЛЬКО в безопасном режиме спецУтилитой . Компьютеров МНОГО разбросаны территориально. Нет слов. Только маты, Маты, МАТЫ...

Цитата

Alexey Leonchik написал:
Подтверждаю!

ОКРИВЕЛ !

Удалить не получается. Остановить службу не получается. Весь интерфейс стал на английском. Управлять не позволяет. Короче ДЕРЬМО подкинули. "Спасибо"... Удалять получается ТОЛЬКО в безопасном режиме спецУтилитой . Компьютеров МНОГО разбросаны территориально.

Нет слов. Только маты, Маты, МАТЫ...

читаем выше тему,
и решаем проблему согласно рекомендаций технической поддержки:

Цитата
читаем обновление по alert7396 https://support.eset.com/en/alert7396-legacy-products-startup-issue If you have installed ESET Endpoint product 5.x on your computer, see our instructions. https://support.eset.com/kb7442 If you have installed ESET Endpoint product 6.5 on your computer, see our instructions. https://support.eset.com/kb7443 If you have installed ESET Security product for Windows Servers 6.5 on your computer, see our instructions. https://support.eset.com/kb7444

Цитата

читаем обновление по alert7396
https://support.eset.com/en/alert7396-legacy-products-startup-issue

If you have installed ESET Endpoint product 5.x on your computer, see our instructions.
https://support.eset.com/kb7442

If you have installed ESET Endpoint product 6.5 on your computer, see our instructions.
https://support.eset.com/kb7443

If you have installed ESET Security product for Windows Servers 6.5 on your computer, see our instructions.
https://support.eset.com/kb7444

рекомендуем в дальнейшем регулярно обновлять версии антивирусов до актуальной, не дожидаясь, когда закончится сертификат или срок поддержки данных версий.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] win32/trojanproxy.hioles.ak

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 19.02.2020 14:50:58

Цитата
Антон Герасимов написал: Файл выслал.Malwarebytes ошибок не обнаружила.Пока что Нод32 о вирусах не сообщал.

возможно, свежая сборка была файла, мало кто его детектирует
https://www.virustotal.com/gui/file/555d0fe1f80b0faef0b0a8818c5ee564b83a61cb48d5eb27ed65c25c0911e201/detection

если мбам больше ничего не нашел в системе, можно продолжить очистку другими инструментами, которые указаны выше в сообщении RP55

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] win32/trojanproxy.hioles.ak

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 18.02.2020 16:55:47

скрипт поправил.
файл ZOO*** вышлите в почту [email protected]
(архив из каталога uVS (по формату: ZOO_гггг-мм-дд_чч-мм-сс.rar/7z) отправить в почту [email protected]
MYBUNDLE.EXE здесь чистый файл, но использует он скорее всего вредоносную dll из текущего каталога, вместо чистой dll от Chrome

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] win32/trojanproxy.hioles.ak

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 18.02.2020 16:53:44

Код
;uVS v4.1.8 [http://dsrt.dyndns.org:8888] ;Target OS: NTv6.3 v400c OFFSGNSAVE ;------------------------autoscript--------------------------- delall %SystemDrive%\PROGRAMDATA\CHROME\MYBUNDLE.EXE ZOO %SystemDrive%\PROGRAMDATA\CHROME\GOOPDATE.DLL delall %SystemDrive%\PROGRAMDATA\CHROME\GOOPDATE.DLL delall %SystemDrive%\PROGRAMDATA\CHROME\BITOREEN.EXE delref %SystemDrive%\USERS\АНТОН\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\MDPLJNDCMBEIKFNLFLCGGAIPGNHIEDBL\8.70_0\SAVEFROM.NET ПОМОЩНИК delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDHDGFFKKEBHMKFJOJEJMPBLDMPOBFKFO%26INSTALLSOURCE%3DONDEMAND%26UC delref E:\TOTAL WAR - WARHAMMER 2\WARHAMMER2.EXE apply deltmp delref %SystemDrive%\USERS\3EC2~1\APPDATA\LOCAL\TEMP\YANDEX_BROWSER_BITS_1600_1515545682\RESPONSE delref %SystemDrive%\USERS\3EC2~1\APPDATA\LOCAL\TEMP\YANDEX_BROWSER_BITS_3476_1104829948\RESPONSE delref %SystemDrive%\USERS\3EC2~1\APPDATA\LOCAL\TEMP\YANDEX_BROWSER_BITS_2240_990449884\RESPONSE delref %SystemDrive%\USERS\3EC2~1\APPDATA\LOCAL\TEMP\YANDEX_BROWSER_BITS_748_1311236705\RESPONSE delref %SystemDrive%\USERS\3EC2~1\APPDATA\LOCAL\TEMP\YANDEX_BROWSER_BITS_3508_114404903\RESPONSE delref %SystemDrive%\USERS\3EC2~1\APPDATA\LOCAL\TEMP\YANDEX_BROWSER_BITS_3508_910104778\RESPONSE delref %SystemDrive%\PROGRAM FILES (X86)\DOWNLOAD STUDIO\DSTUDIOSVC.EXE delref %SystemDrive%\PROGRAM FILES (X86)\DOWNLOAD STUDIO\DSTUDIO-GUI.EXE delref A9A33436-678B-4C9C-A211-7CC38785E79D\[CLSID] delref 752073A1-23F2-4396-85F0-8FDB879ED0ED\[CLSID] delref %SystemDrive%\USERS\АНТОН\APPDATA\LOCAL\PROGRAMS\OPERA\LAUNCHER.EXE delref %SystemRoot%\SYSWOW64\COMPMGMTLAUNCHER.EXE delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL delref %SystemRoot%\SYSWOW64\CSCSVC.DLL delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL delref {19916E01-B44E-4E31-94A4-4696DF46157B}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID] delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID] delref %SystemRoot%\SYSWOW64\BLANK.HTM delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL delref %Sys32%\BLANK.HTM delref %SystemDrive%\PROGRAM FILES\ATI TECHNOLOGIES\ATI.ACE\FUEL\AMD64\AODDRIVER2.SYS delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE_64.DLL delref %Sys32%\SRSLABS\{176F4E15-8F7C-4833-ADED-81FAE8CCD186}\SLUAPO64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\AEPROAM.DLL delref %SystemRoot%\SYSWOW64\RTCOM\RTDATAPROC.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\RSTRUI.EXE delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\WPCCPL.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\GOOGLEUPDATEBROKER.EXE delref K:\SETUP.EXE ;------------------------------------------------------------- CZOO restart

Код


;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAMDATA\CHROME\MYBUNDLE.EXE
ZOO %SystemDrive%\PROGRAMDATA\CHROME\GOOPDATE.DLL
delall %SystemDrive%\PROGRAMDATA\CHROME\GOOPDATE.DLL
delall %SystemDrive%\PROGRAMDATA\CHROME\BITOREEN.EXE
delref %SystemDrive%\USERS\АНТОН\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\MDPLJNDCMBEIKFNLFLCGGAIPGNHIEDBL\8.70_0\SAVEFROM.NET ПОМОЩНИК
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDHDGFFKKEBHMKFJOJEJMPBLDMPOBFKFO%26INSTALLSOURCE%3DONDEMAND%26UC
delref E:\TOTAL WAR - WARHAMMER 2\WARHAMMER2.EXE
apply

deltmp
delref %SystemDrive%\USERS\3EC2~1\APPDATA\LOCAL\TEMP\YANDEX_BROWSER_BITS_1600_1515545682\RESPONSE
delref %SystemDrive%\USERS\3EC2~1\APPDATA\LOCAL\TEMP\YANDEX_BROWSER_BITS_3476_1104829948\RESPONSE
delref %SystemDrive%\USERS\3EC2~1\APPDATA\LOCAL\TEMP\YANDEX_BROWSER_BITS_2240_990449884\RESPONSE
delref %SystemDrive%\USERS\3EC2~1\APPDATA\LOCAL\TEMP\YANDEX_BROWSER_BITS_748_1311236705\RESPONSE
delref %SystemDrive%\USERS\3EC2~1\APPDATA\LOCAL\TEMP\YANDEX_BROWSER_BITS_3508_114404903\RESPONSE
delref %SystemDrive%\USERS\3EC2~1\APPDATA\LOCAL\TEMP\YANDEX_BROWSER_BITS_3508_910104778\RESPONSE
delref %SystemDrive%\PROGRAM FILES (X86)\DOWNLOAD STUDIO\DSTUDIOSVC.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\DOWNLOAD STUDIO\DSTUDIO-GUI.EXE
delref A9A33436-678B-4C9C-A211-7CC38785E79D\[CLSID]
delref 752073A1-23F2-4396-85F0-8FDB879ED0ED\[CLSID]
delref %SystemDrive%\USERS\АНТОН\APPDATA\LOCAL\PROGRAMS\OPERA\LAUNCHER.EXE
delref %SystemRoot%\SYSWOW64\COMPMGMTLAUNCHER.EXE
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
delref {19916E01-B44E-4E31-94A4-4696DF46157B}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL
delref %Sys32%\BLANK.HTM
delref %SystemDrive%\PROGRAM FILES\ATI TECHNOLOGIES\ATI.ACE\FUEL\AMD64\AODDRIVER2.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE_64.DLL
delref %Sys32%\SRSLABS\{176F4E15-8F7C-4833-ADED-81FAE8CCD186}\SLUAPO64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\AEPROAM.DLL
delref %SystemRoot%\SYSWOW64\RTCOM\RTDATAPROC.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\RSTRUI.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\WPCCPL.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\GOOGLEUPDATEBROKER.EXE
delref K:\SETUP.EXE
;-------------------------------------------------------------
CZOO
restart

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] win32/trojanproxy.hioles.ak

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 18.02.2020 16:49:40

Цитата
Время;Модуль сканирования;Тип объекта;Объект;Обнаружение;Действие;Пользователь;Информация;Хэш;Первое обнаружение здесь 18.02.2020 2:50:48;Модуль сканирования файлов, исполняемых при запуске системы;файл;Оперативная память = MyBundle.exe(5624);модифицированный Win32/TrojanProxy.Hioles.AK троянская программа;очищен (после следующего перезапуска) - содержит зараженные файлы;;;B1F9FC681B25B7943AF12D93AADA7686947E629A; 18.02.2020 2:52:49;Модуль сканирования файлов, исполняемых при запуске системы;файл;Оперативная память = MyBundle.exe(5624);модифицированный Win32/TrojanProxy.Hioles.AK троянская программа;очищен (после следующего перезапуска) - содержит зараженные файлы;;;0AA4DA96A8CBA4D5E7751F46F444B627ABCA47AD;

Цитата

Время;Модуль сканирования;Тип объекта;Объект;Обнаружение;Действие;Пользователь;Информация;Хэш;Первое обнаружение здесь
18.02.2020 2:50:48;Модуль сканирования файлов, исполняемых при запуске системы;файл;Оперативная память = MyBundle.exe(5624);модифицированный Win32/TrojanProxy.Hioles.AK троянская программа;очищен (после следующего перезапуска) - содержит зараженные файлы;;;B1F9FC681B25B7943AF12D93AADA7686947E629A;
18.02.2020 2:52:49;Модуль сканирования файлов, исполняемых при запуске системы;файл;Оперативная память = MyBundle.exe(5624);модифицированный Win32/TrojanProxy.Hioles.AK троянская программа;очищен (после следующего перезапуска) - содержит зараженные файлы;;;0AA4DA96A8CBA4D5E7751F46F444B627ABCA47AD;

судя по рисунку, вы этот файл проверили на VT
C:\PROGRAMDATA\CHROME\BITOREEN.EXE

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] win32/trojanproxy.hioles.ak

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 18.02.2020 16:36:21

Цитата
Антон Герасимов написал: Как бы странно ни звучало, но этот файл в данной папке (PROGRAMDATA) не обнаружен. Даже папки CHROME нет. И поисковик его не находит.

он имеет атрибут скрытый.
"Скрытый" или "Системный" [типично для вирусов]
посмотрите его например в far
возможно что и папка CHROME имеет данный атрибут. скрытый

[ Как создать образ автозапуска? ]

Перейти