santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

Шифровирусы шумной толпою

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 14.02.2019 16:43:48

Новый вариант шифратора: по классификации ESET Win32/Filecoder.Buhtrap
https://app.any.run/tasks/0826b150-e05d-4bf2-a800-e3cba4fc679c
https://www.virustotal.com/ru/file/4a9db92bd756018a61b0a2a7d8f7dc424a84ded2f0ea13755466a97e6bf96735/analysis/
https://id-ransomware.blogspot.com/2019/02/vegalocker-ransomware.html

файлы зашифрованы без изменения расширения
записка о выкупе:

Скрытый текст
ВНИМАНИЕ, ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ! Ваши документы, фотографии, базы данных, сохранения в играх и другие важные данные были зашифрованы уникальным ключем, который находится только у нас. Для восстановления данных необходим дешифровщик. Восстановить файлы Вы можете, написав нам на почту: * e-mail: [email protected] * резервный e-mail: [email protected] Пришлите Ваш идентификатор TOKEN и 1-2 файла, размером до 1 Мб каждый. Мы их восстановим, в доказательство возможности расшифровки. После демонстрации вы получите инструкцию по оплате, а после оплаты Вам будет отправлена программа-дешифратор, которая полностью восстановит все заблокированные файлы без потерь. Если связаться через почту не получается: * Перейдите по ссылке: https://bitmessage.org/wiki/Main_Page и скачайте почтовый клиент. Установите почтовый клиент и создайте себе новый адрес для отправки сообщений. * Напишите нам письмо на адрес: BM-2cVK1UBcUGmSPDVMo8TN7eh7BJG9jUVrdG (с указанием Вашей почты) и мы свяжемся с Вами. ВАЖНО! * Расшифровка гарантируется, если Вы свяжетесь с нами в течении 72 часов. * Выключение или перезагрузка компьютера может привести к потере Ваших файлов. * Не пытайтесь удалить программу или запускать антивирусные средства. * Попытки самостоятельной расшифровки файлов приведут к потере Ваших данных. * Дешифраторы других пользователей несовместимы с Вашими данными, так как у каждого пользователя уникальный ключ шифрования. Убедительная просьба писать людям, которые действительно заинтересованы в восстановлении файлов. Не следует угрожать и требовать дешифратор. Жалобами заблокировав e-mail, Вы лишаете возможности расшифровать свои файлы остальных. -----BEGIN TOKEN----- +E2FjDdTa6XHGyyNDzCLN12iSwV8ZRHjy7RahT4zy+pPHP7C+ic4fcStAXkxsxZv Ux4J7oq/pPy0RDQhkO1RuAIhQ/LKePE= -----END TOKEN-----

Скрытый текст

ВНИМАНИЕ, ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!

Ваши документы, фотографии, базы данных, сохранения в играх и другие
важные данные были зашифрованы уникальным ключем, который находится
только у нас. Для восстановления данных необходим дешифровщик.

Восстановить файлы Вы можете, написав нам на почту:
* e-mail: [email protected]
* резервный e-mail: [email protected]

Пришлите Ваш идентификатор TOKEN и 1-2 файла, размером до 1 Мб каждый.
Мы их восстановим, в доказательство возможности расшифровки.
После демонстрации вы получите инструкцию по оплате, а после оплаты
Вам будет отправлена программа-дешифратор, которая полностью восстановит
все заблокированные файлы без потерь.

Если связаться через почту не получается:
* Перейдите по ссылке: https://bitmessage.org/wiki/Main_Page и скачайте
почтовый клиент. Установите почтовый клиент и создайте себе новый адрес
для отправки сообщений.
* Напишите нам письмо на адрес: BM-2cVK1UBcUGmSPDVMo8TN7eh7BJG9jUVrdG
(с указанием Вашей почты) и мы свяжемся с Вами.

ВАЖНО!
* Расшифровка гарантируется, если Вы свяжетесь с нами в течении 72 часов.
* Выключение или перезагрузка компьютера может привести к потере Ваших файлов.
* Не пытайтесь удалить программу или запускать антивирусные средства.
* Попытки самостоятельной расшифровки файлов приведут к потере Ваших данных.
* Дешифраторы других пользователей несовместимы с Вашими данными,
так как у каждого пользователя уникальный ключ шифрования.

Убедительная просьба писать людям, которые действительно заинтересованы
в восстановлении файлов. Не следует угрожать и требовать дешифратор.
Жалобами заблокировав e-mail, Вы лишаете возможности расшифровать свои
файлы остальных.

-----BEGIN TOKEN-----
+E2FjDdTa6XHGyyNDzCLN12iSwV8ZRHjy7RahT4zy+pPHP7C+ic4fcStAXkxsxZv
Ux4J7oq/pPy0RDQhkO1RuAIhQ/LKePE=
-----END TOKEN-----

файлик шифратора с цифровой подписью

Цитата
File version 2, 4, 0, 0 Description Master Blankov Signature verification Signed file, verified signature Signing date 2:51 AM 2/12/2019 Signers [+] VERY EXCLUSIVE LTD. [+] COMODO RSA Code Signing CA [+] COMODO SECURE™ Counter signers [+] Symantec Time Stamping Services Signer - G4 [+] Symantec Time Stamping Services CA - G2 [+] Thawte Timestamping CA

[ Как создать образ автозапуска? ]

Перейти

Вылезает реклама Вулкан и 1xbet, где-то подхватил рекламный вирус

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 14.02.2019 12:22:53

Цитата
Сергей Яковлев написал: Уточню, сообщения появляются ни в самом хроме а в панели сообщений windows 10

добавьте скриншот сообщения,
+
ждем логов проверки в малваребайт

[ Как создать образ автозапуска? ]

Перейти

Вылезает реклама Вулкан и 1xbet, где-то подхватил рекламный вирус

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 14.02.2019 05:19:45

далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Перейти

Не удается установить Eset Endpoint antivirus на Win10, Не удается установить Eset Endpoint antivirus на Win10

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.02.2019 10:28:55

Цитата
Федоров Алексей написал: Я так понимаю советов больше не будет?

не устанавливаются младшие версии, и если нет проблем с лицензией, пробуйте установить старшие версии продукта.

[ Как создать образ автозапуска? ]

Перейти

Вылезает реклама Вулкан и 1xbet, где-то подхватил рекламный вирус

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.02.2019 18:11:49

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.1.2 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 v400c OFFSGNSAVE ;------------------------autoscript--------------------------- deldirex %SystemDrive%\USERS\ВАЛЕРА\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER delref HTTP://LOCALHOST/,HTTP://STEAMLOOPBACK.HOST/,HTTPS://STEAMLOOPBACK.HOST/,HTTPS://LOCALHOST/ delref HTTP://CRASH.DISCORDAPP.COM:1127/POST delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GHBMNNJOOEKPMOECNNNILNNBDLOLHKHI\1.7_0\GOOGLE ДОКУМЕНТЫ ОФЛАЙН delref %SystemDrive%\USERS\ВАЛЕРА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GHBMNNJOOEKPMOECNNNILNNBDLOLHKHI\1.4_0\GOOGLE ДОКУМЕНТЫ ОФЛАЙН delref %SystemDrive%\USERS\SERGVIC\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GHBMNNJOOEKPMOECNNNILNNBDLOLHKHI\1.7_0\GOOGLE ДОКУМЕНТЫ ОФЛАЙН delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLMJEGMLICAMNIMMFHCMPKCLMIGMMCBEH%26INSTALLSOURCE%3DONDEMAND%26UC delref 95.216.21.158:3128 delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDHDGFFKKEBHMKFJOJEJMPBLDMPOBFKFO%26INSTALLSOURCE%3DONDEMAND%26UC apply deltmp delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\SKYPE FOR DESKTOP\RESOURCES\APP.ASAR\PRELOAD.JS delref %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\DISCORD\0.0.304\MODULES\DISCORD_DESKTOP_CORE\CORE.ASAR\APP\MAINSCREENPRELOAD.JS delref %SystemDrive%\PROGRAM FILES (X86)\GIGABYTE\AORUS ENGINE\AUTORUN.EXE delref {9F2B0085-9218-42A1-88B0-9F0E65851666}\[CLSID] delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID] delref {FE285C8C-5360-41C1-A700-045501C740DE}\[CLSID] delref {9CDA66BE-3271-4723-8D35-DD834C58AD92}\[CLSID] delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL delref {DEF03232-9688-11E2-BE7F-B4B52FD966FF}\[CLSID] delref %SystemDrive%\PROGRAM FILES (X86)\MSI AFTERBURNER\MSIAFTERBURNER.EXE delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\NVCONTAINER\NVCONTAINER.EXE delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\NVIDIA GEFORCE EXPERIENCE\NVIDIA GEFORCE EXPERIENCE.EXE delref %SystemDrive%\PROGRAM FILES (X86)\NVIDIA CORPORATION\NVNODE\NVNODEJSLAUNCHER.EXE delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS delref %SystemRoot%\SYSWOW64\APPVETWCLIENTRES.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCLR.SYS delref %SystemRoot%\SYSWOW64\W32TIME.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\DXGMMS2.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\WINNAT.SYS delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\VMBUSR.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL delref %SystemRoot%\SYSWOW64\CSCSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\REFS.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL delref %SystemRoot%\SYSWOW64\LSM.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {57B83450-FD6E-4A1E-8B53-1320576F8054}\[CLSID] delref {870B678D-913A-4ABC-81FC-9F380BB4B24D}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref %SystemRoot%\SYSWOW64\IE4UINIT.EXE delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID] delref %SystemRoot%\SYSWOW64\BLANK.HTM delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID] delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref %SystemDrive%\USERS\DEFAULTUSER0\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.7074.1023\FILESYNCSHELL.DLL delref {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C}\[CLSID] delref {23170F69-40C1-278A-1000-000100020000}\[CLSID] delref {4A7C4306-57E0-4C0C-83A9-78C1528F618C}\[CLSID] delref %SystemDrive%\PROGRAM FILES\ACOUSTICA MIXCRAFT 8\ACURESIZEFILTER.DLL delref %SystemDrive%\PROGRAM FILES\ACOUSTICA MIXCRAFT 7\ACURESIZEFILTER.DLL delref %SystemDrive%\PROGRAM FILES\ACOUSTICA MIXCRAFT 8\ACURESIZEFILTERHIQ.DLL delref %SystemRoot%\SYSWOW64\HLSPLIT.DLL delref %SystemRoot%\SYSWOW64\HLAUDIO.DLL delref %Sys32%\DRIVERS\VMBUSR.SYS delref {A910D941-9DA9-4656-8933-AA1EAE01F76E}\[CLSID] delref %Sys32%\DRIVERS\VNVDIMM.SYS delref %Sys32%\HVSICONTAINERSERVICE.DLL delref %Sys32%\DRIVERS\INVDIMM.SYS delref %Sys32%\DRIVERS\NVDIMMN.SYS delref %Sys32%\DRIVERS\SCMDISK0101.SYS delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL delref %Sys32%\UNP\UNPCAMPAIGNMANAGER.EXE delref %Sys32%\BLANK.HTM delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS delref HELPSVC\[SERVICE] delref SACSVR\[SERVICE] delref TBS\[SERVICE] delref VMMS\[SERVICE] delref MESSENGER\[SERVICE] delref RDSESSMGR\[SERVICE] delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected] delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected] delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected] delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected] delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected] delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected] delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected] delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\EXTENSIONS\{972CE4C6-7E08-4474-A285-3208198CE6FD}.XPI delref %SystemDrive%\USERS\DEFAULTUSER0\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.7074.1023\FILECOAUTH.EXE delref %SystemDrive%\USERS\DEFAULTUSER0\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\ONEDRIVE.EXE delref %SystemDrive%\USERS\DEFAULTUSER0\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.7074.1023\FILECOAUTHLIB.DLL delref %SystemDrive%\USERS\DEFAULTUSER0\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.7074.1023\FILESYNCAPI.DLL delref %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\LOCAL\FREEDOWNLOADMANAGER.ORG\FREE DOWNLOAD MANAGER\WINCOMSERVER.EXE delref %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.7294.0108\AMD64\FILESYNCSHELL64.DLL delref %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.7294.0108\FILESYNCSHELL.DLL delref %SystemDrive%\PROGRAM FILES\COMMON FILES\AUTODESK SHARED\DIRECTCONNECT2015 (64-BIT)\BIN\ARUBA\INVENTOR SERVER\BIN\TESTSERVER.DLL delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\MICROSOFT SHARED\DAO\DAO350.DLL delref %SystemDrive%\PROGRAM FILES (X86)\BLUESTACKS\BSTKSVC.EXE delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES\COREL\PASMUTILITY\V1\PASMUTILITY.DLL delref %SystemDrive%\PROGRAM FILES (X86)\BLUESTACKS\BSTKC.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL delref %Sys32%\TETHERINGSETTINGHANDLER.DLL delref %Sys32%\QUICKACTIONSPS.DLL delref %SystemDrive%\PROGRAM FILES\ADOBE\ADOBE ILLUSTRATOR CC 2015\ADOBE ILLUSTRATOR CC\SUPPORT FILES\CONTENTS\WINDOWS\ILLUSTRATOR.EXE delref %Sys32%\GCHAND.DLL delref %Sys32%\CHTADVANCEDDS.DLL delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL delref %SystemRoot%\SYSWOW64\TTLSEXT.DLL delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE delref %SystemRoot%\SYSWOW64\TAPILUA.DLL delref %SystemRoot%\SYSWOW64\WBEM\KEYBOARDFILTERWMI.DLL delref %SystemRoot%\SYSWOW64\LOCATIONFRAMEWORK.DLL delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\PERCEPTIONSIMULATIONEXTENSIONS.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\DROPBOX\UPDATE\1.3.75.1\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\DROPBOX\UPDATE\1.3.127.1\PSMACHINE.DLL delref %SystemDrive%\PROGRA~2\PLAYER\WNDMAN~1.OCX delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL delref %SystemRoot%\SYSWOW64\MAPSCSP.DLL delref %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\LOCAL\TEMP\HYDD2C6.TMP.1490271932\HTA\3RDPARTY\FS.OCX delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\RMSROAMINGSECURITY.DLL delref %SystemRoot%\SYSWOW64\SYSTEMSETTINGSBROKER.EXE delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\ACROBAT READER DC\ACRORD32INFO.EXE delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SAPI_EXTENSIONS.DLL delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE delref %SystemDrive%\PROGRAM FILES (X86)\DROPBOX\UPDATE\1.3.65.1\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\GPSVC.DLL delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL delref {0D0F7ED5-9F2C-4240-9D0C-00092D294CD2}\[CLSID] delref %SystemDrive%\PROGRAM FILES (X86)\GARMIN\EXPRESS TRAY\EXPRESSTRAY.EXE delref %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\LOCAL\FREEDOWNLOADMANAGER.ORG\FREE DOWNLOAD MANAGER\FDM.EXE delref {1F13CE11-4FAC-49A9-8155-D4F3F0F91A33}\[CLSID] delref {C7DDDD27-F303-42A5-B979-51559F7DC0F0}\[CLSID] delref {717308E4-2400-4F8E-A163-189272CC2004}\[CLSID] delref %SystemDrive%\PROGRAM FILES (X86)\PLAYER\PLAYER.EXE delref %SystemDrive%\PROGRAM FILES (X86)\PLAYER\UNINSTALL.EXE delref D:\GAMES\STEAMLIBRARY\STEAMAPPS\COMMON\X-PLANE 10\RESOURCES\DOWNLOADS\PYTHONSCRIPTSNETINSTALLER.EXE delref D:\GAMES\FAR CRY 5\BIN\FARCRY5.EXE delref D:\PROGRAM FILES\AUTODESK\MAYA2015\BIN\MAYA.EXE ;------------------------------------------------------------- restart

Код


;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

deldirex %SystemDrive%\USERS\ВАЛЕРА\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref HTTP://LOCALHOST/*,HTTP://STEAMLOOPBACK.HOST/*,HTTPS://STEAMLOOPBACK.HOST/*,HTTPS://LOCALHOST/*
delref HTTP://CRASH.DISCORDAPP.COM:1127/POST
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GHBMNNJOOEKPMOECNNNILNNBDLOLHKHI\1.7_0\GOOGLE ДОКУМЕНТЫ ОФЛАЙН
delref %SystemDrive%\USERS\ВАЛЕРА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GHBMNNJOOEKPMOECNNNILNNBDLOLHKHI\1.4_0\GOOGLE ДОКУМЕНТЫ ОФЛАЙН
delref %SystemDrive%\USERS\SERGVIC\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GHBMNNJOOEKPMOECNNNILNNBDLOLHKHI\1.7_0\GOOGLE ДОКУМЕНТЫ ОФЛАЙН
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLMJEGMLICAMNIMMFHCMPKCLMIGMMCBEH%26INSTALLSOURCE%3DONDEMAND%26UC
delref 95.216.21.158:3128
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDHDGFFKKEBHMKFJOJEJMPBLDMPOBFKFO%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\SKYPE FOR DESKTOP\RESOURCES\APP.ASAR\PRELOAD.JS
delref %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\DISCORD\0.0.304\MODULES\DISCORD_DESKTOP_CORE\CORE.ASAR\APP\MAINSCREENPRELOAD.JS
delref %SystemDrive%\PROGRAM FILES (X86)\GIGABYTE\AORUS ENGINE\AUTORUN.EXE
delref {9F2B0085-9218-42A1-88B0-9F0E65851666}\[CLSID]
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {FE285C8C-5360-41C1-A700-045501C740DE}\[CLSID]
delref {9CDA66BE-3271-4723-8D35-DD834C58AD92}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref {DEF03232-9688-11E2-BE7F-B4B52FD966FF}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\MSI AFTERBURNER\MSIAFTERBURNER.EXE
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\NVCONTAINER\NVCONTAINER.EXE
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\NVIDIA GEFORCE EXPERIENCE\NVIDIA GEFORCE EXPERIENCE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\NVIDIA CORPORATION\NVNODE\NVNODEJSLAUNCHER.EXE
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
delref %SystemRoot%\SYSWOW64\APPVETWCLIENTRES.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCLR.SYS
delref %SystemRoot%\SYSWOW64\W32TIME.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DXGMMS2.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\WINNAT.SYS
delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBUSR.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\REFS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL
delref %SystemRoot%\SYSWOW64\LSM.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {57B83450-FD6E-4A1E-8B53-1320576F8054}\[CLSID]
delref {870B678D-913A-4ABC-81FC-9F380BB4B24D}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemRoot%\SYSWOW64\IE4UINIT.EXE
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\USERS\DEFAULTUSER0\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.7074.1023\FILESYNCSHELL.DLL
delref {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C}\[CLSID]
delref {23170F69-40C1-278A-1000-000100020000}\[CLSID]
delref {4A7C4306-57E0-4C0C-83A9-78C1528F618C}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\ACOUSTICA MIXCRAFT 8\ACURESIZEFILTER.DLL
delref %SystemDrive%\PROGRAM FILES\ACOUSTICA MIXCRAFT 7\ACURESIZEFILTER.DLL
delref %SystemDrive%\PROGRAM FILES\ACOUSTICA MIXCRAFT 8\ACURESIZEFILTERHIQ.DLL
delref %SystemRoot%\SYSWOW64\HLSPLIT.DLL
delref %SystemRoot%\SYSWOW64\HLAUDIO.DLL
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref {A910D941-9DA9-4656-8933-AA1EAE01F76E}\[CLSID]
delref %Sys32%\DRIVERS\VNVDIMM.SYS
delref %Sys32%\HVSICONTAINERSERVICE.DLL
delref %Sys32%\DRIVERS\INVDIMM.SYS
delref %Sys32%\DRIVERS\NVDIMMN.SYS
delref %Sys32%\DRIVERS\SCMDISK0101.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\UNP\UNPCAMPAIGNMANAGER.EXE
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\EXTENSIONS\{972CE4C6-7E08-4474-A285-3208198CE6FD}.XPI
delref %SystemDrive%\USERS\DEFAULTUSER0\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.7074.1023\FILECOAUTH.EXE
delref %SystemDrive%\USERS\DEFAULTUSER0\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\ONEDRIVE.EXE
delref %SystemDrive%\USERS\DEFAULTUSER0\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.7074.1023\FILECOAUTHLIB.DLL
delref %SystemDrive%\USERS\DEFAULTUSER0\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.7074.1023\FILESYNCAPI.DLL
delref %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\LOCAL\FREEDOWNLOADMANAGER.ORG\FREE DOWNLOAD MANAGER\WINCOMSERVER.EXE
delref %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.7294.0108\AMD64\FILESYNCSHELL64.DLL
delref %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.7294.0108\FILESYNCSHELL.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\AUTODESK SHARED\DIRECTCONNECT2015 (64-BIT)\BIN\ARUBA\INVENTOR SERVER\BIN\TESTSERVER.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\MICROSOFT SHARED\DAO\DAO350.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\BLUESTACKS\BSTKSVC.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\COREL\PASMUTILITY\V1\PASMUTILITY.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\BLUESTACKS\BSTKC.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
delref %Sys32%\TETHERINGSETTINGHANDLER.DLL
delref %Sys32%\QUICKACTIONSPS.DLL
delref %SystemDrive%\PROGRAM FILES\ADOBE\ADOBE ILLUSTRATOR CC 2015\ADOBE ILLUSTRATOR CC\SUPPORT FILES\CONTENTS\WINDOWS\ILLUSTRATOR.EXE
delref %Sys32%\GCHAND.DLL
delref %Sys32%\CHTADVANCEDDS.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemRoot%\SYSWOW64\TTLSEXT.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE
delref %SystemRoot%\SYSWOW64\TAPILUA.DLL
delref %SystemRoot%\SYSWOW64\WBEM\KEYBOARDFILTERWMI.DLL
delref %SystemRoot%\SYSWOW64\LOCATIONFRAMEWORK.DLL
delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\PERCEPTIONSIMULATIONEXTENSIONS.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\DROPBOX\UPDATE\1.3.75.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\DROPBOX\UPDATE\1.3.127.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRA~2\PLAYER\WNDMAN~1.OCX
delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL
delref %SystemRoot%\SYSWOW64\MAPSCSP.DLL
delref %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\LOCAL\TEMP\HYDD2C6.TMP.1490271932\HTA\3RDPARTY\FS.OCX
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\RMSROAMINGSECURITY.DLL
delref %SystemRoot%\SYSWOW64\SYSTEMSETTINGSBROKER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\ACROBAT READER DC\ACRORD32INFO.EXE
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SAPI_EXTENSIONS.DLL
delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\DROPBOX\UPDATE\1.3.65.1\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL
delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref {0D0F7ED5-9F2C-4240-9D0C-00092D294CD2}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\GARMIN\EXPRESS TRAY\EXPRESSTRAY.EXE
delref %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\LOCAL\FREEDOWNLOADMANAGER.ORG\FREE DOWNLOAD MANAGER\FDM.EXE
delref {1F13CE11-4FAC-49A9-8155-D4F3F0F91A33}\[CLSID]
delref {C7DDDD27-F303-42A5-B979-51559F7DC0F0}\[CLSID]
delref {717308E4-2400-4F8E-A163-189272CC2004}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\PLAYER\PLAYER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\PLAYER\UNINSTALL.EXE
delref D:\GAMES\STEAMLIBRARY\STEAMAPPS\COMMON\X-PLANE 10\RESOURCES\DOWNLOADS\PYTHONSCRIPTSNETINSTALLER.EXE
delref D:\GAMES\FAR CRY 5\BIN\FARCRY5.EXE
delref D:\PROGRAM FILES\AUTODESK\MAYA2015\BIN\MAYA.EXE
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007, Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.02.2019 18:05:33

@Светлана Морозова,

1. неплохо бы Вам обновить антивирусную программу до актуальной версии.
эта версия уже не поддерживается 4.2.64.12
хотя какое то время антивирусные базы еще будут выпускаться.

2. судя по образу автозапуска система уже очищена от тел шифратора.

3. по расшифровке пока что не можем вам помочь:
помогут восстановить документы только архивные копии, если есть такие.
если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.

[ Как создать образ автозапуска? ]

Перейти

Вылезает реклама Вулкан и 1xbet, где-то подхватил рекламный вирус

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.02.2019 15:20:20

прокси известный вам?
95.216.21.158:3128

Цитата
inetnum: 95.216.21.128 - 95.216.21.191 netname: HETZNER-hel1-dc2 descr: Hetzner Online GmbH descr: Datacenter hel1-dc2 country: FI

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] заблокировано соединение с windrvs.ru

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.02.2019 14:53:06

Цитата
andruhasms написал: больше 3 компов в сети . проблема только на трех. пока методом анализа не удалось установить какая программа может ломиться в интернет

вопрос:
если есть и другие компы в сети,
на них установлен ESET? может окна выходят только там где установлен ESET?

судя по содержимому, здесь какиие то заготовки для сборки файла

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] заблокировано соединение с windrvs.ru

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.02.2019 14:42:11

а компов в сети всего три?
больше?
нет ли на этих трех компутерах одинаковой установленной программы, которая просится обновиться?
+
вопрос:
если есть и другие компы в сети,
на них установлен ESET? может окна выходят только там где установлен ESET?

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Обновление с зеркала, http, ошибка неавторизованный доступ

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.02.2019 18:09:21

@Александр Тимощук,

вы можете обратиться за детальным разъяснением в [email protected] или в [email protected]

здесь важно, что Прокси-сервер HTTP Apache кэширует обновления.
и те клиенты которые не имеют выход в Инет, будут скачивать обновления из кэша Apache http proxy

[ Как создать образ автозапуска? ]

Перейти