Размещено 10.10.2019 15:09:07
| Цитата |
|---|
| Валерия МК написал: Спасибо, есть ли возможность, в случае неудачи, обратиться к Вам с вопросом о расшифровке / подборе пароля к архиву? |
Дорогие участники форума!
Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.
Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новые продукты компании PRO32.
PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.
Архив Desktop.rar с паролем, Все содержимое удалено и запаковано в архив
Подмена arp-кэша
Архив Desktop.rar с паролем, Все содержимое удалено и запаковано в архив
Размещено 08.10.2019 17:21:25
этот майл [email protected] (резервный [email protected]) давно (несколько лет) встречается в инцидентах со взломом и вымогательством.
проверьте, есть ли возможность восстановить удаленные данные с помощью например, r-studio. Только запускать r-studio необходимо со стороннего носителя. на диск удаленными данными пока ничего не пишите.
доступ из внешней сети надо прекратить, или разрешить доступ только с определенных доверенных адресов. Иначе, взломы повторятся.
возможно, подобрали пароль, если он был несложный. пароли доступа необходимо сменить.
так же проверьте по журналам событий, с каких ip к вам подключались в этот период.
проверьте, есть ли возможность восстановить удаленные данные с помощью например, r-studio. Только запускать r-studio необходимо со стороннего носителя. на диск удаленными данными пока ничего не пишите.
доступ из внешней сети надо прекратить, или разрешить доступ только с определенных доверенных адресов. Иначе, взломы повторятся.
возможно, подобрали пароль, если он был несложный. пароли доступа необходимо сменить.
так же проверьте по журналам событий, с каких ip к вам подключались в этот период.
Архив Desktop.rar с паролем, Все содержимое удалено и запаковано в архив
Архив Desktop.rar с паролем, Все содержимое удалено и запаковано в архив
[ Закрыто] Не могу установить NOD 32 - MSI 1920, Выдает, что установка не может быть звершена
Размещено 07.10.2019 17:10:47
ну, или такой скрипт (который подтверждает наличие ЗОО) выполните, затем новый образ автозапуска.
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
перезагрузка, пишем о старых и новых проблемах.
------------
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
| Код |
|---|
;uVS v4.1.7 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------
delall %SystemDrive%\PROGRAM FILES (X86)\BREK\784680686.EXE
delref HTTPS://SECURESEARCH.ORG?Q={SEARCHTERMS}
delref HTTP://SECUREDSEARCH.LAVASOFT.COM/?PR=VMN&ID=WEBCOMPA&ENT=HP_WCYID10057_344_191005
delref HTTP://SEASONDJMUSIC.COM/APP/APP.EXE
zoo %SystemRoot%\RSS\CSRSS.EXE
addsgn 1A65739A5583C28CF42BFB3A8837670DCD4A010976A342BBD048294A15DE701AA8E604517AA7DD495F8AEE9310FE91058220B12BDE1CEE71EF73A47A4CEA4873 8 Win32/Kryptik.GWZN 7
zoo %SystemDrive%\USERS\ПК\APPDATA\LOCAL\RLIGFI.DLL
addsgn A7679B19918A1A208081BE236F0866010E4A71F6C00412914FC3D537985BE54D142FC347C1618DF32A80849FC53A6DFD248E6B8BAAAEA5AFD486D03F9F81F3B5 64 notcheck_VT 7
zoo %SystemDrive%\USERS\ПК\APPDATA\LOCAL\TEMP\IS-EMQ2C.TMP\LGNGXIOGQGR.TMP
addsgn A7679B19919E1F245C3CA4C89237FA64B97C031E3153E9876DC86B4AAF3EFFAFD5E82BF66FA262A12FD47360AE4D3A0D823786A8A2255845B48F5BC7BB47DB8C 64 not_check_VT1 7
zoo %SystemRoot%\WINDEFENDER.EXE
addsgn 9252620A376AC1CCE0AB734E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 Win32/Agent 7
zoo %SystemDrive%\USERS\ПК\APPDATA\ROAMING\EPICNET INC\CLOUDNET\CLOUDNET.EXE
addsgn 71D13ED8176A4C7D8FAAAFB164695347678A7CCE608F12380EDB467C54D5B2EF2357895754553C913BC8846096B54DBA37DF632A69597328A46AAC6F8D062176 8 Cloudnet 7
zoo %SystemDrive%\USERS\ПК\APPDATA\LOCAL\TEMP\WUP\WUP.EXE
addsgn BA6F9BB2BD2145720B9C2D754C2160FBDA75303A4536D3B4490F09709C1A172A2C0847573E559D496303688F0A9F5DDE3156B4565D9783F761FAF00BDF4A09A3 8 Win64/CoinMiner.DN 7
zoo %SystemDrive%\USERS\ПК\APPDATA\LOCAL\TEMP\CSRSS\SCHEDULED.EXE
addsgn 1A3F739A5583C28CF42BFB3A883E570D24DC77074EFC5B0BC4C3B1B63ADA27A4CFED3CA8670C168F75DD469B4643C2162B209D7ADE2B5805D5885BE8C14A5132 8 Trojan:Win32/Glupteba.D!bit [Microsoft] 7
zoo %Sys32%\DRIVERS\F1D58DA7A4049097.SYS
addsgn BA6F9BB219E18E3E801D46249B37ED4CAE5AB57D40B29CBCAD2A3702AF29BD809367C3573E559D492B80849F8C6249FA7D9FE87255DAB02C2D77A42FC7062273 64 Trojan.Siggen8.43711 [DrWeb] 7
zoo %SystemDrive%\PROGRAM FILES (X86)\MACHINERDATA\MODULARINSTALLER.EXE
addsgn 7300F39B556A1F245CE775D965481205ACD6D8EE4EBE3B681D6285BCD98A556CE553E7431EAA88E9ABC08460538AC9BA7DFA178DAA65D6112B77072333442207 26 NSIS/Injector 7
zoo %Sys32%\DRIVERS\WINMON.SYS
addsgn BA652BBE5D3D04F1E7F4E63ABE8099FCCDEDB2F689B294ABCD480AF4DB8A557C6B94077761BC2FB7D47F48530E9F15DE7588A0F1B9FAF8A728C0BA2FC74EA98A 64 Win64/Rootkit.Agent 6
zoo %Sys32%\DRIVERS\WINMONFS.SYS
addsgn BA652BBE5D3D04F1E7F4E63ABE8099FCCD9DFCF689B294ABCD480AF4DB8A557C6B94077761BC33B7D47F48530E9D4C57C32017376613F9941FD57B025E2D2273 64 Win64/Rootkit.Agent 6
zoo %Sys32%\DRIVERS\WINMONPROCESSMONITOR.SYS
addsgn BA652BBE5D3D04F1E7F4E63ABE8099FCCD2D62F689B294ABCD480AF4DB8A557C6B94077761BC2FB7D47F48530E9F15DE7588A0F1B9FAF8A728E0DA2FC74EA98A 64 Win64/Rootkit.Agent 6
zoo %SystemDrive%\USERS\ПК\APPDATA\LOCAL\TEMP\IS-GJ2FB.TMP\PROGHUI.EXE
addsgn A7679B1991AE1F245CE76E3821389B40F9620A737605F785123C3A54344D8EB3CBA05CA8C1BDCBF6D47F6C72AEE9B6122935178D661AE5448CC6E42FA3F91217 19 Win32/Adware.Agent.NSU 7
addsgn A7679B1991AE1F245CE76E3821389B40F9620A737605F785123C3A54344D8EB3CBA05CA8C1BDCBF6D47F6C72AEE9B6122935178D661AE5448CC6E42FA3F91217 8 PUA:Win32/CandyOpen [Microsoft] 7
zoo %SystemDrive%\USERS\ПК\APPDATA\ROAMING\L23XETKYML1\I4JVKPCBTAU.EXE
zoo %SystemDrive%\PROGRAM FILES\MPDNMXT9RI\MPDNMXT9R.EXE
addsgn 0DC977BA156A7BBC32EE61449E1B2572E721E7DB4CA0811F359F878BF399316BA1C47DCC82CC00C73A5591EC49A937E6500993B6551DDB37A1C0E1BF66279CC2 8 MSIL/Kryptik.LML 7
zoo %SystemDrive%\USERS\ПК\APPDATA\ROAMING\KDAAIUDPYHX\LGNGXIOGQGR.EXE
zoo %SystemDrive%\PROGRAM FILES\2QA46FLF1B\2QA46FLF1.EXE
zoo %SystemDrive%\PROGRAM FILES\IHOSW3V4JV\U7U74314I.EXE
zoo %SystemDrive%\USERS\ПК\APPDATA\ROAMING\EWUBTX2TZCV\AQ515NMOUNC.EXE
zoo %SystemDrive%\PROGRAM FILES\8R3RLDZE3B\8R3RLDZE3.EXE
zoo %SystemDrive%\USERS\ПК\APPDATA\ROAMING\MDE31GXLEF2\XHS11UULTQM.EXE
zoo %SystemDrive%\USERS\ПК\APPDATA\ROAMING\GBQ1SM51JCJ\WSCV4N2J3QP.EXE
zoo %SystemDrive%\PROGRAM FILES\3E1YXGHPJT\3E1YXGHPJ.EXE
zoo %SystemDrive%\USERS\ПК\APPDATA\ROAMING\M5SY4TR4KQN\IFCRNMZXCMP.EXE
zoo %SystemDrive%\PROGRAM FILES\EM9UA6ZIYA\3HYRPLRB3.EXE
zoo %SystemDrive%\PROGRAM FILES\GNPMLQEFID\GNPMLQEFI.EXE
zoo %SystemDrive%\USERS\ПК\APPDATA\ROAMING\TJQJD2QVDE3\14MFT3A3WMK.EXE
zoo %SystemDrive%\PROGRAM FILES\SGPB3HZ0OF\SGPB3HZ0O.EXE
zoo %SystemDrive%\USERS\ПК\APPDATA\ROAMING\VYMMVYCPFOI\OHKMDHYCVQQ.EXE
zoo %SystemDrive%\PROGRAM FILES\QTNB293DY5\3ITQA89EX.EXE
zoo %SystemDrive%\USERS\ПК\APPDATA\ROAMING\DXFN1S4D3FK\43OOOIAOLXV.EXE
zoo %SystemDrive%\USERS\ПК\APPDATA\ROAMING\MAHVOBFZIMZ\IVIPR1ODX41.EXE
zoo %SystemDrive%\PROGRAM FILES\MJC1AJYGUK\MJC1AJYGU.EXE
zoo %SystemDrive%\USERS\ПК\APPDATA\ROAMING\WWFHYH4Y2NF\UTLNKRSVOKH.EXE
zoo %SystemDrive%\PROGRAM FILES\6NHF0NOA1B\HBU3GWOZI.EXE
zoo %SystemDrive%\USERS\ПК\APPDATA\ROAMING\FOZP3MQZTNW\QUXM2FNVLNS.EXE
zoo %SystemDrive%\PROGRAM FILES\U4PJZ4ULC5\U4PJZ4ULC.EXE
zoo %SystemDrive%\USERS\ПК\APPDATA\ROAMING\2RZD1332H1Y\HTCH2HKILXP.EXE
zoo %SystemDrive%\PROGRAM FILES\L2MK1EFOC3\H103GW31A.EXE
zoo %SystemDrive%\USERS\ПК\APPDATA\ROAMING\HO4AJHC40ZO\F4DRJLRCIUI.EXE
zoo %SystemDrive%\PROGRAM FILES\ANIJHF7F7X\TGDKPI9Z1.EXE
zoo %SystemDrive%\USERS\ПК\APPDATA\ROAMING\P5JW5CXWCFO\FU0CJ5UIITE.EXE
zoo %SystemDrive%\USERS\ПК\APPDATA\ROAMING\XPUUH14TOCR\2XQMUXAGIO0.EXE
zoo %SystemDrive%\PROGRAM FILES\VAI0L12P4Y\VAI0L12P4.EXE
zoo %SystemDrive%\USERS\ПК\APPDATA\ROAMING\GDF5LAKZLSL\HCCS2V3VIF0.EXE
zoo %SystemDrive%\PROGRAM FILES\LAHVSJWQJ8\LAHVSJWQJ.EXE
zoo %SystemDrive%\PROGRAM FILES\K9C8OALJLD\K9C8OALJL.EXE
zoo %SystemDrive%\USERS\ПК\APPDATA\ROAMING\GLCJRWNFNU1\5U25SJHCU0L.EXE
zoo %SystemDrive%\PROGRAM FILES\X54GZCX58B\X54GZCX58.EXE
zoo %SystemDrive%\USERS\ПК\APPDATA\ROAMING\O2J2MDL2ESR\OIJAZO0WA4F.EXE
zoo %SystemDrive%\USERS\ПК\DOWNLOADS\PHOTOCONVERTER_LITE.EXE
addsgn A7679B1991AE1F245CE76E3821389B40F9625E637605F7D1223C3A54841F8EB3CB0C09A8C1BD93BAD47F6CEAB2E9B6C9BD8A80A9F49AB048D247C0A6E735F026 8 PUA:Win32/CandyOpen [Microsoft] 7
zoo %SystemDrive%\USERS\ПК\DOWNLOADS\PHOTOCONVERTER.EXE
zoo %SystemDrive%\USERS\ПК\DOWNLOADS\PDFCREATORWEBSETUP.EXE
addsgn A7679B1991AE1F245CE76E3821389B40F9627A627605F7F5233C3A544C7F8EB3CB440AA8C1BD0780D47F6C56B4E9B6124D2B178D661AE544D1D5E42FA3F91217 8 PUA:Win32/CandyOpen [Microsoft] 7
chklst
delvir
deldirex %SystemDrive%\USERS\ПК\APPDATA\LOCAL\MEDIAGET2
deldirex %SystemDrive%\PROGRAM FILES (X86)\ZAXAR
delref [email protected]
delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIAKDDMMLEDECLCODPBGEBFKHEGAADDGE%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGNDELHFHCFBDHNDFPCINEBIJFCJPMPEC%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\PROGRAM FILES (X86)\LAVASOFT\WEB COMPANION\APPLICATION\WEBCOMPANION.EXE
apply
regt 27
regt 28
regt 29
deltmp
delref %SystemRoot%\SYSWOW64\TBSSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\UMPO.DLL
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {0D012ABD-CEED-11D2-9C76-00105AA73033}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {56A58823-AE99-11D5-B90B-0050DACD1F75}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {E01D1C6A-4F40-11D3-8958-00105A272DCF}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\ZAXAR\ZAXARLOADER.EXE
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\58.0.3029.81\INSTALLER\CHRMSTP.EXE
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {126F4AE6-31EC-4A1E-AC60-B1E5FF812C3D}\[CLSID]
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref %Sys32%\BLANK.HTM
delref APPMGMT\[SERVICE]
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\DRIVERS\MASSFILTER.SYS
delref D:\CDRIVER64.SYS
delref %Sys32%\DRIVERS\TBPANEL.SYS
delref %Sys32%\DRIVERS\ZTEUSBMDM6K.SYS
delref %Sys32%\DRIVERS\ZTEUSBNMEA.SYS
delref %Sys32%\DRIVERS\ZTEUSBSER6K.SYS
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\USERS\ПК\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.0.1364.22194\DELEGATE_EXECUTE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\MCAFEE SECURITY SCAN\3.11.523\MCCOREPS.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.23.9\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE_64.DLL
delref %Sys32%\IGFXCFG.EXE
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\ESET\ESET SECURITY\EPLGOUTLOOK.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.22.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.145\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.115\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.22.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.2.183.39\GOOPDATE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.135\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.65\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.79\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.123\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.111\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.165\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.153\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.99\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.69\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.23.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\ACROBAT READER DC\ACRORD32INFO.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\GOOGLEUPDATEBROKER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ITUNES\ITUNES.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL
delref I:\LAUNCHU3.EXE
delref {E1FDD8C7-FF85-4C72-A362-4EA80013F088}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\ZAXAR\ZAXARGAMEBROWSER.EXE
;-------------------------------------------------------------
restart
|
перезагрузка, пишем о старых и новых проблемах.
------------
[ Закрыто] Ошибка MSI.1303 вызвана вредоносными программами
Размещено 06.10.2019 12:42:15
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
перезагрузка, пишем о старых и новых проблемах.
+ вопрос:
что именно нашел дрвеб
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
| Код |
|---|
;uVS v4.1.7 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------
zoo %SystemDrive%\PROGRAMDATA\RUNDLL\START.EXE
addsgn 1A69149A5583348CF42B254E3143FE53A8CFF4A6020BF7FA793C3A7B5622B50E239C050963979949EC81705B0416A0CD802017F9AA8F3BC07BFC55E8C1F2E631 8 Python/Agent.BT 7
chklst
delvir
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFHKBFKKOHCDGPCKFFAKHBLLIFKAKIHMH%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNECFMKPLPMINFJAGBLFABGGOMDPAAKAN%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\USERS\ANTON\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH\1.2.9.0_0\ПОИСК ЯНДЕКСA
delref %SystemDrive%\USERS\ANTON\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\FHKBFKKOHCDGPCKFFAKHBLLIFKAKIHMH\2.0.1.16_0\ПОИСК ЯНДЕКСA
delref %SystemDrive%\USERS\ANTON\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.9.0_0\СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\ANTON\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\IBKNAFOBNMNDICOJAHLPPOLCAAIBNGJF\2.0.3.16_0\ПОИСК ЯНДЕКСA
delref %SystemDrive%\USERS\ANTON\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NECFMKPLPMINFJAGBLFABGGOMDPAAKAN\2.0.3.15_0\ПОИСК ЯНДЕКСA
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIBKNAFOBNMNDICOJAHLPPOLCAAIBNGJF%26INSTALLSOURCE%3DONDEMAND%26UC
apply
; Java(TM) 6 Update 45 (64-bit)
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F86416045FF} /quiet
; Java(TM) 6 Update 45
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216045FF} /quiet
deltmp
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref %SystemRoot%\SYSWOW64\TBSSVC.DLL
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\UMPO.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\RDVGKMD.SYS
delref %SystemRoot%\SYSWOW64\LSM.EXE
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBC}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\29.0.1547.67\INSTALLER\CHRMSTP.EXE
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref %Sys32%\DRIVERS\RDVGKMD.SYS
delref %Sys32%\DRIVERS\TSUSBHUB.SYS
delref %Sys32%\BLANK.HTM
delref SWPRV\[SERVICE]
delref %Sys32%\DRIVERS\EW_JUBUSENUM.SYS
delref %Sys32%\DRIVERS\SYNTH3DVSC.SYS
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.15\PSMACHINE_64.DLL
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.115\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.15\PSMACHINE.DLL
delref D:\INSTALL MEGAFON INTERNET.EXE
delref D:\HISUITEDOWNLOADER.EXE
delref F:\INSTALL MEGAFON INTERNET.EXE
delref E:\DRIVERPACK.EXE
delref F:\HISUITEDOWNLOADER.EXE
delref {2670000A-7350-4F3C-8081-5663EE0C6C49}\[CLSID]
delref {91397D20-1446-11D4-8AF4-0040CA1127B6}\[CLSID]
delref {92780B25-18CC-41C8-B9BE-3C9C571A8263}\[CLSID]
;-------------------------------------------------------------
restart
|
перезагрузка, пишем о старых и новых проблемах.
+ вопрос:
что именно нашел дрвеб
| Цитата |
|---|
| Проверили dr. web cureit нашлось 75 вирусов, удалили и лечили. |
далее,
сделайте дополнительно быструю проверку системы в малваребайт
Название шифровальщиков, Другие названия шифровальщиков Win32/Filecoder
Размещено 29.09.2019 14:14:55
В большинстве случаев файлы шифраторов образуют класс вредоносных программ, называемый FIlecoder.
варианты шифраторов подразделяются на виды Filecoder.B (bat encoder), Filecoder.BC/BD/AS (CryptoVault) и т.д.
Кроме, того, наименования шифраторов может иметь общепринятый вид, например:
CryptVault, HydraCrypt, Cerber, CryptoWall, TeslaCrypt, Enigma, RotoCrypt, Crysis и другие
префикс Win32/Kryptik добавляется к вредоносному файлу, если он закриптован таким образом, что сигнатурно невозможно определить
какой вариант вредоносного кода находится в под "криптоскорлупой".
варианты шифраторов подразделяются на виды Filecoder.B (bat encoder), Filecoder.BC/BD/AS (CryptoVault) и т.д.
Кроме, того, наименования шифраторов может иметь общепринятый вид, например:
CryptVault, HydraCrypt, Cerber, CryptoWall, TeslaCrypt, Enigma, RotoCrypt, Crysis и другие
префикс Win32/Kryptik добавляется к вредоносному файлу, если он закриптован таким образом, что сигнатурно невозможно определить
какой вариант вредоносного кода находится в под "криптоскорлупой".
[ Закрыто] msi.1920 ошибка установки
файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007, Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt
Размещено 20.09.2019 17:33:13
| Цитата |
|---|
| Дмитрий Фриман написал: Добрый день! Как почистить пк после вируса .crypted000007? |
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
| Код |
|---|
;uVS v4.1.6 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\SYSWOW64\02FBPHNW.CMD
;------------------------autoscript---------------------------
delall %SystemDrive%\PROGRAMDATA\SYSWOW64\02FBPHNW.CMD
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC
apply
regt 27
deltmp
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref %SystemDrive%\USERS\ЕКАТЕРИНА\DOWNLOADS\LJP2015-PCL5-PNP-WIN64-WW.EXE
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\UMPO.DLL
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {0D012ABD-CEED-11D2-9C76-00105AA73033}\[CLSID]
delref {56A58823-AE99-11D5-B90B-0050DACD1F75}\[CLSID]
delref {E01D1C6A-4F40-11D3-8958-00105A272DCF}\[CLSID]
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref %Sys32%\BLANK.HTM
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES (X86)\DROPBOX\UPDATE\1.3.189.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\ACCESSIBLEMARSHAL.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\DROPBOX\UPDATE\1.3.141.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\DROPBOX\UPDATE\1.3.75.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\DROPBOX\UPDATE\1.3.127.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\DROPBOX\UPDATE\1.3.65.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\GOOGLEUPDATEBROKER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ДОКУМЕНТЫ ПУ 5\IPFRX5.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ДОКУМЕНТЫ ПУ 5\UNINSTALL.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ДОКУМЕНТЫ ПУ-6\PU.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ДОКУМЕНТЫ ПУ-6\UNINSTALL.EXE
delref %SystemDrive%\USERS\ЕКАТЕРИНА\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\VISTALIZATOR\VISTALIZATOR.EXE
;-------------------------------------------------------------
restart
|
перезагрузка, пишем о старых и новых проблемах.
------------