santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] Удаление Win64/GenKryptik.CHRI, как удалить?

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.09.2018 16:18:00

Цитата
Владислав Алексеев написал: Ни старых, ни новых проблем нет. Спасибо!

эту проверку все таки выполните для дальнейшей очистки системы

Цитата
далее, сделайте дополнительно быструю проверку системы в малваребайт http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Удаление Win64/GenKryptik.CHRI, как удалить?

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.09.2018 15:16:05

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.0.15 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 v400c OFFSGNSAVE delall %SystemRoot%\SYSWOW64\XMR64\MOONLIGHT.EXE deldirex %SystemRoot%\SYSWOW64\XMR64 ;------------------------autoscript--------------------------- zoo %SystemRoot%\TEMP\NODA9DA.TMP addsgn A4BC2472546A4C72C78CE638A780EDC56DA7FC96AAFA5755A1ECC9AC18D36A632F07436CF220848F28803F9F5616499282B2382C3D0CC68F1624F4C7CB062273 8 Win64/CoinMiner.CZ 7 chklst delvir deldirex %SystemDrive%\USERS\DENIS\APPDATA\LOCAL\MEDIAGET2 delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBEJNPNKHFGFKCPGIKIINOJLMDCJIMOBI%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMJMPFDKMPOJOEEMJMFIDDLHKKNDCDPNO%26INSTALLSOURCE%3DONDEMAND%26UC apply regt 28 regt 29 deltmp delref %SystemRoot%\SYSTEMNODE\0.0.2.2\SYSNODE C:\WINDOWS\SYSTEMNODE\0.0.2.2\MAIN.JS delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE16\OLICENSEHEARTBEAT.EXE delref {9F2B0085-9218-42A1-88B0-9F0E65851666}\[CLSID] delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID] delref {FE285C8C-5360-41C1-A700-045501C740DE}\[CLSID] delref {9CDA66BE-3271-4723-8D35-DD834C58AD92}\[CLSID] delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL delref {DEF03232-9688-11E2-BE7F-B4B52FD966FF}\[CLSID] delref %Sys32%\NOTIFIER.EXE delref %SystemDrive%\USERS\VLAD\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\ONEDRIVESTANDALONEUPDATER.EXE delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS delref %SystemRoot%\SYSWOW64\APPVETWCLIENTRES.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCLR.SYS delref %SystemRoot%\SYSWOW64\W32TIME.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\DXGMMS2.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\WINNAT.SYS delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\VMBUSR.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL delref %SystemRoot%\SYSWOW64\CSCSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\REFS.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL delref %SystemRoot%\SYSWOW64\LSM.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref %SystemRoot%\SYSWOW64\IE4UINIT.EXE delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID] delref %SystemRoot%\SYSWOW64\BLANK.HTM delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID] delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref %Sys32%\DRIVERS\VMBUSR.SYS delref {A910D941-9DA9-4656-8933-AA1EAE01F76E}\[CLSID] delref %Sys32%\DRIVERS\VNVDIMM.SYS delref %Sys32%\HVSICONTAINERSERVICE.DLL delref %Sys32%\DRIVERS\INVDIMM.SYS delref %Sys32%\DRIVERS\NVDIMMN.SYS delref %Sys32%\DRIVERS\SCMDISK0101.SYS delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL delref %Sys32%\BLANK.HTM delref {472083B0-C522-11CF-8763-00608CC02F24}\[CLSID] delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS delref HELPSVC\[SERVICE] delref SACSVR\[SERVICE] delref TBS\[SERVICE] delref %Sys32%\DRIVERS\USBAUDIO.SYS delref VMMS\[SERVICE] delref MESSENGER\[SERVICE] delref RDSESSMGR\[SERVICE] delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected] delref %SystemDrive%\USERS\VLAD\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.7076.1026\AMD64\FILESYNCSHELL64.DLL delref D:\GAMES\WARGAMING.NET\GAMECENTER\DLLS\WGC_HELPER.EXE delref %SystemDrive%\USERS\VLAD\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.7076.1026\FILESYNCSHELL.DLL delref %SystemDrive%\PROGRAM FILES (X86)\WARGAMING.NET\GAMECENTER\DLLS\PLUGINHOST.EXE delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 18.0.0\X64\MCOUAS.DLL delref %Sys32%\TETHERINGSETTINGHANDLER.DLL delref %Sys32%\WBEM\WEMSAL_WMIPROVIDER (1).DLL delref %Sys32%\QUICKACTIONSPS.DLL delref %Sys32%\CHTADVANCEDDS.DLL delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL delref %SystemRoot%\SYSWOW64\TTLSEXT.DLL delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE delref %SystemRoot%\SYSWOW64\TAPILUA.DLL delref %SystemRoot%\SYSWOW64\WBEM\KEYBOARDFILTERWMI.DLL delref %SystemRoot%\SYSWOW64\LOCATIONFRAMEWORK.DLL delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL delref %SystemRoot%\SYSWOW64\PERCEPTIONSIMULATIONEXTENSIONS.DLL delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL delref %SystemRoot%\SYSWOW64\MAPSCSP.DLL delref D:\GAMES\WARGAMING.NET\GAMECENTER\DLLS\PLUGINHOSTPS.DLL delref %SystemRoot%\SYSWOW64\LISTSVC.DLL delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL delref %SystemRoot%\SYSWOW64\RMSROAMINGSECURITY.DLL delref %SystemRoot%\SYSWOW64\SYSTEMSETTINGSBROKER.EXE delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\ACROBAT DC\ACROBATINFO.EXE delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SAPI_EXTENSIONS.DLL delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE delref D:\GAMES\WARGAMING.NET\GAMECENTER\DLLS\PLUGINHOST.EXE delref %SystemRoot%\SYSWOW64\GPSVC.DLL delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL delref %SystemDrive%\USERS\VLAD\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\ONEDRIVE.EXE ;------------------------------------------------------------- restart

Код


;uVS v4.0.15 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
delall %SystemRoot%\SYSWOW64\XMR64\MOONLIGHT.EXE
deldirex %SystemRoot%\SYSWOW64\XMR64
;------------------------autoscript---------------------------

zoo %SystemRoot%\TEMP\NODA9DA.TMP
addsgn A4BC2472546A4C72C78CE638A780EDC56DA7FC96AAFA5755A1ECC9AC18D36A632F07436CF220848F28803F9F5616499282B2382C3D0CC68F1624F4C7CB062273 8 Win64/CoinMiner.CZ 7

chklst
delvir

deldirex %SystemDrive%\USERS\DENIS\APPDATA\LOCAL\MEDIAGET2

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBEJNPNKHFGFKCPGIKIINOJLMDCJIMOBI%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMJMPFDKMPOJOEEMJMFIDDLHKKNDCDPNO%26INSTALLSOURCE%3DONDEMAND%26UC
apply

regt 28
regt 29
deltmp
delref %SystemRoot%\SYSTEMNODE\0.0.2.2\SYSNODE C:\WINDOWS\SYSTEMNODE\0.0.2.2\MAIN.JS
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE16\OLICENSEHEARTBEAT.EXE
delref {9F2B0085-9218-42A1-88B0-9F0E65851666}\[CLSID]
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {FE285C8C-5360-41C1-A700-045501C740DE}\[CLSID]
delref {9CDA66BE-3271-4723-8D35-DD834C58AD92}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref {DEF03232-9688-11E2-BE7F-B4B52FD966FF}\[CLSID]
delref %Sys32%\NOTIFIER.EXE
delref %SystemDrive%\USERS\VLAD\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\ONEDRIVESTANDALONEUPDATER.EXE
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
delref %SystemRoot%\SYSWOW64\APPVETWCLIENTRES.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCLR.SYS
delref %SystemRoot%\SYSWOW64\W32TIME.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DXGMMS2.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\WINNAT.SYS
delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBUSR.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\REFS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL
delref %SystemRoot%\SYSWOW64\LSM.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemRoot%\SYSWOW64\IE4UINIT.EXE
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref {A910D941-9DA9-4656-8933-AA1EAE01F76E}\[CLSID]
delref %Sys32%\DRIVERS\VNVDIMM.SYS
delref %Sys32%\HVSICONTAINERSERVICE.DLL
delref %Sys32%\DRIVERS\INVDIMM.SYS
delref %Sys32%\DRIVERS\NVDIMMN.SYS
delref %Sys32%\DRIVERS\SCMDISK0101.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref {472083B0-C522-11CF-8763-00608CC02F24}\[CLSID]
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref %Sys32%\DRIVERS\USBAUDIO.SYS
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\USERS\VLAD\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.7076.1026\AMD64\FILESYNCSHELL64.DLL
delref D:\GAMES\WARGAMING.NET\GAMECENTER\DLLS\WGC_HELPER.EXE
delref %SystemDrive%\USERS\VLAD\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.7076.1026\FILESYNCSHELL.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\WARGAMING.NET\GAMECENTER\DLLS\PLUGINHOST.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 18.0.0\X64\MCOUAS.DLL
delref %Sys32%\TETHERINGSETTINGHANDLER.DLL
delref %Sys32%\WBEM\WEMSAL_WMIPROVIDER (1).DLL
delref %Sys32%\QUICKACTIONSPS.DLL
delref %Sys32%\CHTADVANCEDDS.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemRoot%\SYSWOW64\TTLSEXT.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE
delref %SystemRoot%\SYSWOW64\TAPILUA.DLL
delref %SystemRoot%\SYSWOW64\WBEM\KEYBOARDFILTERWMI.DLL
delref %SystemRoot%\SYSWOW64\LOCATIONFRAMEWORK.DLL
delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL
delref %SystemRoot%\SYSWOW64\PERCEPTIONSIMULATIONEXTENSIONS.DLL
delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL
delref %SystemRoot%\SYSWOW64\MAPSCSP.DLL
delref D:\GAMES\WARGAMING.NET\GAMECENTER\DLLS\PLUGINHOSTPS.DLL
delref %SystemRoot%\SYSWOW64\LISTSVC.DLL
delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL
delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL
delref %SystemRoot%\SYSWOW64\RMSROAMINGSECURITY.DLL
delref %SystemRoot%\SYSWOW64\SYSTEMSETTINGSBROKER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\ACROBAT DC\ACROBATINFO.EXE
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SAPI_EXTENSIONS.DLL
delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE
delref D:\GAMES\WARGAMING.NET\GAMECENTER\DLLS\PLUGINHOST.EXE
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL
delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref %SystemDrive%\USERS\VLAD\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\ONEDRIVE.EXE
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Удаление Win64/GenKryptik.CHRI, как удалить?

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.09.2018 13:46:56

добавьте образ автозапуска системы

[ Как создать образ автозапуска? ]

Перейти

Грузит систему ekrn.exe, Грузит сильно ЦП на 60-100% процесс ekrn.exe

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 06.09.2018 17:06:33

добавьте образ автозапуска системы, можно это сделать из безопасного режима системы.
или
антивир можно временно отключить.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Уведомление ЯндексБраузер., отключить уведомления!

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 06.09.2018 14:35:27

@Mr Meyson,

судя по образу, вы используете взлом антивируса,
TNod User & Password Finder
поэтому, помощь и консультация на данном форуме вам не будет оказана

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 06.09.2018 14:25:55

ChronixX CryptoMiner убивает соперников_"партнеров по майнингу"

https://www.bleepingcomputer.com/news/security/cronix-cryptominer-kills-rivals-to-reign-supreme/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Уведомление ЯндексБраузер., отключить уведомления!

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 06.09.2018 08:34:33

сделайте образ автзапуска по одному или двум (из проблемных компутеров), возможно что-то прояснится

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Уведомление ЯндексБраузер., отключить уведомления!

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 06.09.2018 07:29:50

не вижу в настройках такой возможности - отключить сообщение об обнаружении угроз.

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением *.Omerta; *.DD; *.ukrain; *.Scarab; *.Scary; *.frogo; *.bomber; *.BD.Recovery; *.zoro, Scarab/Filecoder.FS

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 05.09.2018 11:57:24

Цитата
vlad postnov написал: Загрузил образ Прикрепленные файлы BUHGALTERIA_2018-09-05_10-48-44.7z (436.96 КБ)

здесь так же не видны следы запуска шифратора

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 05.09.2018 08:53:15

Полное имя C:\WINDOWS\SYSTEM32\MCICDA64.DLL
Имя файла MCICDA64.DLL
Тек. статус АКТИВНЫЙ ?ВИРУС? ВНЕДРЯЕМЫЙ DLL в автозапуске

www.virustotal.com 2018-06-15
Symantec SecurityRisk.gen1
Kaspersky not-a-virus:RiskTool.Win32.BitCoinMiner.jmse
DrWeb Tool.BtcMine.1520
Microsoft Trojan:Win32/CoinMiner.CY
ESET-NOD32 a variant of Win64/CoinMiner.IU potentially unwanted
Avast MacOS:CpuMeaner-C [PUP]

Сохраненная информация на момент создания образа
Статус АКТИВНЫЙ ВНЕДРЯЕМЫЙ DLL в автозапуске
File_Id 5AB603652DE000
Linker 14.11
Размер 2990080 байт
Создан 07.06.2018 в 08:14:53
Изменен 24.03.2018 в 14:51:00

TimeStamp 24.03.2018 в 07:51:01
EntryPoint +
OS Version 0.0
Subsystem Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL +
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла 64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Доп. информация на момент обновления списка
SHA1 75E432278FF28790661C3D68C67FF7CAB11D50CB
MD5 C1C3D7DFF98D82F4418BDB8E5DE37CC8

Процессы на момент обновления списка
Процесс C:\WINDOWS\EXPLORER.EXE

Ссылки на объект
Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{BFD98515-CD74-48A4-98E2-13D209E3EE4F}

Ссылка HKLM\Software\Classes\CLSID\{BFD98515-CD74-48A4-98E2-13D209E3EE4F}\InprocServer32\

Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{BFD98515-CD74-48A4-98E2-13D209E3EE4F}

Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\{BFD98515-CD74-48A4-98E2-13D209E3EE4F}\

[ Как создать образ автозапуска? ]

Перейти