santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

Настройки автоматической блокировки ПНП JS/CoinMiner.AH

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.01.2019 12:12:02

попробуйте изменить настройки для защиты доступа в Интернет, а частности уровень очистки сделать максимальным.

[ Как создать образ автозапуска? ]

Перейти

Настройки автоматической блокировки ПНП JS/CoinMiner.AH

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.01.2019 11:48:58

а если в браузер добавить расширения, например, NoScript, для блокирования контента с js? Повлияет это на функциональность нужных вам проверок CMS?

[ Как создать образ автозапуска? ]

Перейти

Настройки автоматической блокировки ПНП JS/CoinMiner.AH

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.01.2019 11:12:26

Цитата
Александр Ходаковский написал: Моя специфика работы связана с тем, что мне приходится проверять большое количество сайтов с помощью софта.

каким образом вы проверяете сайты? получаете доступ к сайту для проверки файлов, или открываете сайты по URL в браузерах?

[ Как создать образ автозапуска? ]

Перейти

Шифровирусы шумной толпою

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.01.2019 08:08:03

Цитата
santy написал: вводная статья в тему работы с дешифраторами, но содержит ряд методических неточностей и ошибок:

примерный алгоритм работы с системой, если она подверглась атаке шифратора:

Инфекции вымогателей могут быть уникальными во многих отношениях. Самое главное, что привычки, которые обычно правильны при работе с вредоносными программами, могут ухудшить ситуацию при работе с вымогателями. Пожалуйста, ознакомьтесь с приведенными ниже инструкциями в качестве руководства по борьбе с заражением вымогателями.

Не удаляйте инфекции вымогателей
Естественная реакция большинства пользователей заключается в том, чтобы сначала удалить инфекцию как можно быстрее. Этот инстинкт, к сожалению, неверен. В большинстве случаев нам потребуется исполняемый файл вымогателя, чтобы выяснить, что именно вымогатель сделал с вашими файлами. Поиск правильного образца вымогателей становится бесконечно более сложным, когда вы удалили инфекцию и не можете предоставить нам вымогателей. Можно отключить заражение, отключив все записи автозапуска, указывающие на него, или поместив заражение в карантин. Однако важно не удалять его из карантина или удалять вредоносные файлы сразу без резервного копирования.

Немедленно отключите любое программное обеспечение для оптимизации и очистки системы
Многие вымогатели будут хранить либо сами, либо необходимые файлы в папке временных файлов. Если вы используете инструменты очистки или оптимизации системы, такие как CCleaner, BleachBit, Glary Utilities, Clean Master, Advanced SystemCare, Wise Disk / Registry Cleaner, Wise Care, Auslogics BoostSpeed, System Mechanic или что-либо подобное, немедленно отключите эти инструменты и убедитесь, что автоматические запуски не запланированы. В противном случае эти приложения могут удалить зараженные или необходимые файлы-вымогатели из вашей системы, которые могут потребоваться для восстановления ваших данных.

Создайте резервную копию ваших зашифрованных файлов
Некоторые вымогатели имеют скрытые полезные нагрузки, которые будут удалять и перезаписывать зашифрованные файлы через определенное время. Расшифровщики также могут быть не на сто процентов точными, поскольку вымогатель часто обновляется или просто глючит и может повредить файлы в процессе восстановления. В этих случаях лучше использовать зашифрованную резервную копию, чем не иметь ее вообще. Поэтому мы настоятельно рекомендуем вам сначала создать резервную копию ваших зашифрованных файлов, прежде чем делать что-либо еще.

Если пострадал сервер: выясните точку входа и закройте ее
Особенно в последнее время мы видели много заражений серверов. Обычный способ - это перебор паролей пользователей через RDP / Remote Desktop. Мы настоятельно рекомендуем вам проверить журналы событий на наличие большого количества попыток входа в систему. Если вы обнаружите такие записи или если ваш журнал событий будет пустым, ваш сервер был взломан через RDP. Крайне важно немедленно изменить все пароли учетных записей пользователей. Мы также предлагаем отключить RDP, если это возможно, или хотя бы изменить порт.

Кроме того, важно проверить все учетные записи пользователей на сервере, чтобы убедиться, что злоумышленники не создали собственных учетных записей, которые позволили бы им позднее получить доступ к системе.

Выясните, какой из вымогателей заразил вас
И последнее, но не менее важное: важно определить, какой вымогатель заразил вас. Такие сервисы, как VirusTotal, который позволяет вам сканировать вредоносные файлы, и ID Ransomware, который позволяет загружать записку с выкупом и зашифрованные файлы для идентификации семейства вымогателей, невероятно полезны, и мы, вероятно, в конечном итоге попросим вас предоставить результаты любого из этих Сервисов. Таким образом, предоставляя их сразу, вы можете ускорить процесс возврата ваших файлов.

https://support.emsisoft.com/topic/29386-first-steps-when-dealing-with-ransomware/

[ Как создать образ автозапуска? ]

Перейти

Настройки автоматической блокировки ПНП JS/CoinMiner.AH

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.01.2019 06:12:15

уровень очистки какой задаете при таких проверках?

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .betta; .vanss; .like; .gdb; .xxxxx; .adobe; .tron; .AUDIT; .cccmn; .back; .Bear; .fire; .myjob; .war; .risk; .bkpx;.santa; .bizer, Filecoder.Crysis / Encoder.3953; r/n: info.hta

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.01.2019 06:02:35

https://id-ransomware.malwarehunterteam.com/identify.php?case=83c161c722b58f3b967989730208b87b5915e579

Цитата
Для этого вымогателя пока нет способа дешифровки данных. Сделайте бэкап зашифрованных файлов, может в будущем будет дешифровщик. Опознан как sample_extension: .id-<id>.[<email>].adobe sample_bytes: [0x7D20 - 0x7D60] 0x00000000020000000CFE7A410000000000000000000000002000000000000000 custom_rule: Original filename "Readme_SG.txt" after filemarker

Цитата

Для этого вымогателя пока нет способа дешифровки данных.

Сделайте бэкап зашифрованных файлов, может в будущем будет дешифровщик.

Опознан как

sample_extension: .id-<id>.[<email>].adobe
sample_bytes: [0x7D20 - 0x7D60] 0x00000000020000000CFE7A410000000000000000000000002000000000000000
custom_rule: Original filename "Readme_SG.txt" after filemarker

добавьте образ автозапуска системы для проверки и очистки системы.

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 06.01.2019 17:05:55

Цитата
Вадим Яковлев написал: Здравствуйте. Можно расшифровать? Код: F469768D78D6A65D8A05\|0 Спасибо.

шифрование раннее, ключа соответствующего коду в публичном доступе нет,
попробуйте обратиться на форум ЛК, возможно у них получится расшифровать ваши файлы.

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007, Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.01.2019 14:02:53

можете такой скрипт использовать, он только выгрузит из памяти и удалит вредоносные файлы, и зачистит ссылки в реестре, в которых прописан их автозапуск.
без перезагрузки системы.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.1.2 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 v400c OFFSGNSAVE ;---------command-block--------- delall %SystemDrive%\PROGRAMDATA\DRIVERS\CSRSS.EXE delall %SystemDrive%\PROGRAMDATA\RESOURCES\SVCHOST.EXE delall %SystemDrive%\PROGRAMDATA\SERVICES\CSRSS.EXE delall %SystemDrive%\PROGRAMDATA\SYSWOW64\DQIMWQ.CMD delall %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE apply QUIT

Код


;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\PROGRAMDATA\DRIVERS\CSRSS.EXE
delall %SystemDrive%\PROGRAMDATA\RESOURCES\SVCHOST.EXE
delall %SystemDrive%\PROGRAMDATA\SERVICES\CSRSS.EXE
delall %SystemDrive%\PROGRAMDATA\SYSWOW64\DQIMWQ.CMD
delall %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
apply

QUIT

без перегрузки системы
------------

Цитата
Сейчас у меня есть восстановленная папка system volume information (2гб), и там как раз данные от 12.12.2018, за несколько дней до вируса. Вот из нее есть способ восстановления информации? пробовал скопировать на копию диска в папку с такими же именами и директориями - shadow explorer не видит информации... возможно делаю что то не так - подскажите, если есть еще варианты...

Цитата

Сейчас у меня есть восстановленная папка system volume information (2гб), и там как раз данные от 12.12.2018, за несколько дней до вируса. Вот из нее есть способ восстановления информации? пробовал скопировать на копию диска в папку с такими же именами и директориями - shadow explorer не видит информации... возможно делаю что то не так - подскажите, если есть еще варианты...

мне не известны случаи подобного восстановления точек восстановления.
хотя, не исключаю, что это и возможно. сделать.

обычно, шифраторы после удаления точек восстановления, могут еще запустить и cipher, который зачищает все удаленные файлы с диска, так чтобы не было возможности их восстановить с помощью инструментов восстановления удаленных файлов.
но это пожалуй, единственный вариант, если нет расшифровки, нет архивных копий.

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007, Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.01.2019 13:23:34

добавлю, что все 4 файла шифратора детектируются антивирусом ESET

Цитата
Полное имя C:\PROGRAMDATA\DRIVERS\CSRSS.EXE Имя файла CSRSS.EXE Тек. статус ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске Обнаруженные сигнатуры Сигнатура Win32/Filecoder.ED [ESET-NOD32] (delall) [глубина совпадения 18(58), необх. минимум 8, максимум 64] 2017-04-14 www.virustotal.com 2019-01-03 BitDefender Gen:Trojan.Heur.2mKfXadFIYgc Symantec Trojan.Gen ESET-NOD32 Win32/Filecoder.ED Kaspersky Trojan.Win32.Agent.nezeod DrWeb Trojan.DownLoader23.51213 Microsoft Trojan:Win32/Bagsu!rfn Avast Win32:Malware-gen

Цитата

Полное имя C:\PROGRAMDATA\DRIVERS\CSRSS.EXE
Имя файла CSRSS.EXE
Тек. статус ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Обнаруженные сигнатуры
Сигнатура Win32/Filecoder.ED [ESET-NOD32] (delall) [глубина совпадения 18(58), необх. минимум 8, максимум 64] 2017-04-14

www.virustotal.com 2019-01-03
BitDefender Gen:Trojan.Heur.2mKfXadFIYgc
Symantec Trojan.Gen
ESET-NOD32 Win32/Filecoder.ED
Kaspersky Trojan.Win32.Agent.nezeod
DrWeb Trojan.DownLoader23.51213
Microsoft Trojan:Win32/Bagsu!rfn
Avast Win32:Malware-gen

Цитата
Полное имя C:\PROGRAMDATA\RESOURCES\SVCHOST.EXE Имя файла SVCHOST.EXE Тек. статус ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске Обнаруженные сигнатуры Сигнатура Win32/Filecoder.ED (delall) [глубина совпадения 64(64), необх. минимум 8, максимум 64] 2019-01-04 www.virustotal.com 2019-01-03 BitDefender Trojan.GenericKD.40276370 Symantec Ransom.Troldesh ESET-NOD32 a variant of Win32/Filecoder.ED Kaspersky Trojan.Win32.Reconyc.izkx DrWeb Trojan.DownLoader26.49009 Microsoft Trojan:Win32/Occamy.B Avast FileRepMalware

Цитата

Полное имя C:\PROGRAMDATA\RESOURCES\SVCHOST.EXE
Имя файла SVCHOST.EXE
Тек. статус ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Обнаруженные сигнатуры
Сигнатура Win32/Filecoder.ED (delall) [глубина совпадения 64(64), необх. минимум 8, максимум 64] 2019-01-04

www.virustotal.com 2019-01-03
BitDefender Trojan.GenericKD.40276370
Symantec Ransom.Troldesh
ESET-NOD32 a variant of Win32/Filecoder.ED
Kaspersky Trojan.Win32.Reconyc.izkx
DrWeb Trojan.DownLoader26.49009
Microsoft Trojan:Win32/Occamy.B
Avast FileRepMalware

Цитата
Полное имя C:\PROGRAMDATA\SERVICES\CSRSS.EXE Имя файла CSRSS.EXE Тек. статус ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске Обнаруженные сигнатуры Сигнатура Win32/Filecoder.ED (delall) [глубина совпадения 64(64), необх. минимум 8, максимум 64] 2019-01-04 www.virustotal.com 2019-01-03 BitDefender Gen:Trojan.Heur.GZ.JnGfbqG1KGi Symantec Ransom.Troldesh ESET-NOD32 a variant of Win32/Filecoder.ED Kaspersky HEUR:Trojan.Win32.Generic DrWeb Trojan.DownLoader27.17176 Microsoft Trojan:Win32/Skeeyah.A!rfn Avast Win32:Trojan-gen

Цитата

Полное имя C:\PROGRAMDATA\SERVICES\CSRSS.EXE
Имя файла CSRSS.EXE
Тек. статус ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Обнаруженные сигнатуры
Сигнатура Win32/Filecoder.ED (delall) [глубина совпадения 64(64), необх. минимум 8, максимум 64] 2019-01-04

www.virustotal.com 2019-01-03
BitDefender Gen:Trojan.Heur.GZ.JnGfbqG1KGi
Symantec Ransom.Troldesh
ESET-NOD32 a variant of Win32/Filecoder.ED
Kaspersky HEUR:Trojan.Win32.Generic
DrWeb Trojan.DownLoader27.17176
Microsoft Trojan:Win32/Skeeyah.A!rfn
Avast Win32:Trojan-gen

Цитата
Полное имя C:\PROGRAMDATA\WINDOWS\CSRSS.EXE Имя файла CSRSS.EXE Тек. статус ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске Обнаруженные сигнатуры Сигнатура Win32/Filecoder.ED [ESET-NOD32] (delall) [глубина совпадения 24(28), необх. минимум 8, максимум 64] 2018-12-10 www.virustotal.com 2018-12-28 BitDefender Trojan.GenericKD.40871765 Symantec Ransom.Troldesh Avast Win32:Malware-gen Kaspersky Trojan-Ransom.Win32.Shade.phd DrWeb Trojan.Encoder.26818 Microsoft Ransom:Win32/Troldesh.A ESET-NOD32 a variant of Win32/GenKryptik.CVCG

Цитата

Полное имя C:\PROGRAMDATA\WINDOWS\CSRSS.EXE
Имя файла CSRSS.EXE
Тек. статус ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Обнаруженные сигнатуры
Сигнатура Win32/Filecoder.ED [ESET-NOD32] (delall) [глубина совпадения 24(28), необх. минимум 8, максимум 64] 2018-12-10

www.virustotal.com 2018-12-28
BitDefender Trojan.GenericKD.40871765
Symantec Ransom.Troldesh
Avast Win32:Malware-gen
Kaspersky Trojan-Ransom.Win32.Shade.phd
DrWeb Trojan.Encoder.26818
Microsoft Ransom:Win32/Troldesh.A
ESET-NOD32 a variant of Win32/GenKryptik.CVCG

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007, Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.01.2019 13:18:05

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.1.2 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 v400c OFFSGNSAVE zoo %SystemDrive%\PROGRAMDATA\SYSWOW64\DQIMWQ.CMD ;------------------------autoscript--------------------------- delall %SystemDrive%\PROGRAMDATA\SYSWOW64\DQIMWQ.CMD zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE addsgn A7679B1BB9DE4C720B8369F49CC81205254DB90A89FA1F78ED5ED0BC503EFF5D231740933A3D8B4B2B806C1E57164979B9DB80EF40DAB0C45966A42F44C2261B 8 Win32/Filecoder.ED [ESET-NOD32] 7 zoo %SystemDrive%\PROGRAMDATA\DRIVERS\CSRSS.EXE addsgn 9252777A066AC1CC0BE4424EA34FFAB8058A60F4690848F1604E5998D0278DB312D7936EE220660F6DD3ECBA7B3749ADFE1CEC213DFDC4212D2127ECC35572B4 8 Win32/Filecoder.ED [ESET-NOD32] 7 zoo %SystemDrive%\PROGRAMDATA\SERVICES\CSRSS.EXE addsgn 9252774A306AC1CC0B94744EA34F7E361E8A43718B7548F1604E5998D0178EB312D7936EE220660F6DD3EC98D92849ADFE1CEC213D4352342D2127ECC35572B4 8 Win32/Filecoder.ED 7 zoo %SystemDrive%\PROGRAMDATA\RESOURCES\SVCHOST.EXE addsgn 9252773A076AC1CC0BA4434EA34FD614398A7713E1A248F1604E5998D0178EB312D7936EE220660F6DD3ECA2070849ADFE1CEC213D5079272D2127ECC35572B4 8 Win32/Filecoder.ED 7 chklst delvir delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIAKDDMMLEDECLCODPBGEBFKHEGAADDGE%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC apply regt 27 deltmp delref %SystemDrive%\USERS\255AD~1\APPDATA\LOCAL\TEMP\YUPDATE-VERSIONINFO-YABROWSER.XML delref %SystemDrive%\USERS\255AD~1\APPDATA\LOCAL\TEMP\CHROME_BITS_5116_26193\4.10.1196.0_OIMOMPECAGNAJDEJGNNJIJOBEBAEIGEK.CRX delref %SystemDrive%\PROGRAMDATA\ADOBE\ARM\READER_11.0.00\ARM.MSI delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID] delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCLR.SYS delref %SystemRoot%\SYSWOW64\W32TIME.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\DXGMMS2.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\WINNAT.SYS delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\VMBUSR.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\REFS.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL delref %SystemRoot%\SYSWOW64\LSM.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref %SystemRoot%\SYSWOW64\IE4UINIT.EXE delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID] delref %SystemRoot%\SYSWOW64\BLANK.HTM delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID] delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref %Sys32%\DRIVERS\VMBUSR.SYS delref %Sys32%\DRIVERS\VNVDIMM.SYS delref %Sys32%\DRIVERS\INVDIMM.SYS delref %Sys32%\DRIVERS\NVDIMMN.SYS delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL delref %Sys32%\BLANK.HTM delref APPMGMT\[SERVICE] delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS delref HELPSVC\[SERVICE] delref SACSVR\[SERVICE] delref TBS\[SERVICE] delref VMMS\[SERVICE] delref MESSENGER\[SERVICE] delref RDSESSMGR\[SERVICE] delref %SystemDrive%\USERS\ЭЛЬДО2\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\18.065.0329.0002\AMD64\FILESYNCSHELL64.DLL delref %SystemDrive%\USERS\ЭЛЬДО2\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\18.065.0329.0002\FILECOAUTH.EXE delref %SystemDrive%\USERS\ЭЛЬДО2\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\18.065.0329.0002\FILESYNCSHELL.DLL delref %Sys32%\TETHERINGSETTINGHANDLER.DLL delref %Sys32%\QUICKACTIONSPS.DLL delref %Sys32%\CHTADVANCEDDS.DLL delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL delref %SystemRoot%\SYSWOW64\TTLSEXT.DLL delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE delref %SystemRoot%\SYSWOW64\TAPILUA.DLL delref %SystemRoot%\SYSWOW64\LOCATIONFRAMEWORK.DLL delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL delref %SystemRoot%\SYSWOW64\PERCEPTIONSIMULATIONEXTENSIONS.DLL delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL delref %SystemRoot%\SYSWOW64\MAPSCSP.DLL delref %SystemRoot%\SYSWOW64\LISTSVC.DLL delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL delref %SystemRoot%\SYSWOW64\RMSROAMINGSECURITY.DLL delref %SystemRoot%\SYSWOW64\SYSTEMSETTINGSBROKER.EXE delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SAPI_EXTENSIONS.DLL delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE delref %SystemRoot%\SYSWOW64\GPSVC.DLL delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL delref {92780B25-18CC-41C8-B9BE-3C9C571A8263}\[CLSID] ;------------------------------------------------------------- CZOO restart

Код


;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\SYSWOW64\DQIMWQ.CMD
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAMDATA\SYSWOW64\DQIMWQ.CMD
zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
addsgn A7679B1BB9DE4C720B8369F49CC81205254DB90A89FA1F78ED5ED0BC503EFF5D231740933A3D8B4B2B806C1E57164979B9DB80EF40DAB0C45966A42F44C2261B 8 Win32/Filecoder.ED [ESET-NOD32] 7

zoo %SystemDrive%\PROGRAMDATA\DRIVERS\CSRSS.EXE
addsgn 9252777A066AC1CC0BE4424EA34FFAB8058A60F4690848F1604E5998D0278DB312D7936EE220660F6DD3ECBA7B3749ADFE1CEC213DFDC4212D2127ECC35572B4 8 Win32/Filecoder.ED [ESET-NOD32] 7

zoo %SystemDrive%\PROGRAMDATA\SERVICES\CSRSS.EXE
addsgn 9252774A306AC1CC0B94744EA34F7E361E8A43718B7548F1604E5998D0178EB312D7936EE220660F6DD3EC98D92849ADFE1CEC213D4352342D2127ECC35572B4 8 Win32/Filecoder.ED 7

zoo %SystemDrive%\PROGRAMDATA\RESOURCES\SVCHOST.EXE
addsgn 9252773A076AC1CC0BA4434EA34FD614398A7713E1A248F1604E5998D0178EB312D7936EE220660F6DD3ECA2070849ADFE1CEC213D5079272D2127ECC35572B4 8 Win32/Filecoder.ED 7

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIAKDDMMLEDECLCODPBGEBFKHEGAADDGE%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC
apply

regt 27
deltmp
delref %SystemDrive%\USERS\255AD~1\APPDATA\LOCAL\TEMP\YUPDATE-VERSIONINFO-YABROWSER.XML
delref %SystemDrive%\USERS\255AD~1\APPDATA\LOCAL\TEMP\CHROME_BITS_5116_26193\4.10.1196.0_OIMOMPECAGNAJDEJGNNJIJOBEBAEIGEK.CRX
delref %SystemDrive%\PROGRAMDATA\ADOBE\ARM\READER_11.0.00\ARM.MSI
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCLR.SYS
delref %SystemRoot%\SYSWOW64\W32TIME.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DXGMMS2.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\WINNAT.SYS
delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBUSR.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\REFS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL
delref %SystemRoot%\SYSWOW64\LSM.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemRoot%\SYSWOW64\IE4UINIT.EXE
delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\VNVDIMM.SYS
delref %Sys32%\DRIVERS\INVDIMM.SYS
delref %Sys32%\DRIVERS\NVDIMMN.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref APPMGMT\[SERVICE]
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %SystemDrive%\USERS\ЭЛЬДО2\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\18.065.0329.0002\AMD64\FILESYNCSHELL64.DLL
delref %SystemDrive%\USERS\ЭЛЬДО2\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\18.065.0329.0002\FILECOAUTH.EXE
delref %SystemDrive%\USERS\ЭЛЬДО2\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\18.065.0329.0002\FILESYNCSHELL.DLL
delref %Sys32%\TETHERINGSETTINGHANDLER.DLL
delref %Sys32%\QUICKACTIONSPS.DLL
delref %Sys32%\CHTADVANCEDDS.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemRoot%\SYSWOW64\TTLSEXT.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE
delref %SystemRoot%\SYSWOW64\TAPILUA.DLL
delref %SystemRoot%\SYSWOW64\LOCATIONFRAMEWORK.DLL
delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL
delref %SystemRoot%\SYSWOW64\PERCEPTIONSIMULATIONEXTENSIONS.DLL
delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL
delref %SystemRoot%\SYSWOW64\MAPSCSP.DLL
delref %SystemRoot%\SYSWOW64\LISTSVC.DLL
delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL
delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL
delref %SystemRoot%\SYSWOW64\RMSROAMINGSECURITY.DLL
delref %SystemRoot%\SYSWOW64\SYSTEMSETTINGSBROKER.EXE
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SAPI_EXTENSIONS.DLL
delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL
delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref {92780B25-18CC-41C8-B9BE-3C9C571A8263}\[CLSID]
;-------------------------------------------------------------
CZOO
restart

перезагрузка, пишем о старых и новых проблемах.
------------
расшифровки, к сожалению, по этому варианту Fileencoder.ED нет в вирлабе
Восстановление документов возможно в данный момент только из архивных или теневых копий.

[ Как создать образ автозапуска? ]

Перейти