Размещено 24.07.2018 11:32:51
Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
с автоперезагрузкой
3) Выполните FRST:
с автоперезагрузкой
3) Выполните FRST:
Дорогие участники форума!
Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.
Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новые продукты компании PRO32.
PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.
Параметры администратора по умолчанию
[ Закрыто] Оперативная память = explorer.exe(2040),Win64/CoinMiner.DC
[ Закрыто] Запретить автоматическое сканирование FLASH
[ Закрыто] Оперативная память = explorer.exe(2040),Win64/CoinMiner.DC
файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo, Filecoder.Crysis; r/n: info.hta
Размещено 20.07.2018 05:25:35
| Цитата |
|---|
| Edward Kan написал: Антивирус не обновлялся с 1.12.2017гЕсли обновлю его он не удалит файлы зараженные?В карантине MARVEL.EXE отсутствует. |
активных шифраторов, судя по второму образу в системе нет.
по зашифрованным файлам:
при наличие лицензии на антивирус ESET вы можете сделать запрос по расшифровке в техподдержку support@esetnod32.ru
возможна ли расшифровка в вашем случае - ответить смогут только в вирлабе.
если есть архивные копии документов - восстановите файлы из копии.
проверьте так же наличие теневых копий.
следите за актуальностью баз антивирусов.
Если антивир не обновляется более чем полгода, тогда вероятность того, что он защитит от актуальных угроз близка к 0.
файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo, Filecoder.Crysis; r/n: info.hta
файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo, Filecoder.Crysis; r/n: info.hta
Размещено 19.07.2018 07:07:19
скрипт в данном случае только удаляет файл шифратора.
к сожалению файл шифратора в архив не попал.
из за неточности в первом скрипте.
должно было быть так:
сделайте новый образ автозапуска для контроля.
к сожалению файл шифратора в архив не попал.
из за неточности в первом скрипте.
должно было быть так:
| Цитата |
|---|
| ZOO %SystemDrive%\USERS\IRAIRA1234\APPDATA\ROAMING\MARVEL.EXE delall %SystemDrive%\USERS\IRAIRA1234\APPDATA\ROAMING\MARVEL.EXE apply czoo |
файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo, Filecoder.Crysis; r/n: info.hta
Размещено 19.07.2018 06:29:04
по очистке системы:
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_yyyy-mm-dd_hh-mm-ss.rar/7z) отправить в почту safety@chklst.ru, support@esetnod32.ru
------------
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
| Код |
|---|
;uVS v4.0.12 [http://dsrt.dyndns.org] ;Target OS: NTv6.3 v400c OFFSGNSAVE ;---------command-block--------- delall %SystemDrive%\USERS\IRAIRA1234\APPDATA\ROAMING\MARVEL.EXE apply czoo restart |
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_yyyy-mm-dd_hh-mm-ss.rar/7z) отправить в почту safety@chklst.ru, support@esetnod32.ru
------------
[ Закрыто] Оперативная память = explorer.exe(2040),Win64/CoinMiner.DC
файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo, Filecoder.Crysis; r/n: info.hta
Размещено 19.07.2018 05:25:05
судя по образу был активен в момент создания образа.
линк проверки нужен именно для этого файла.
| Цитата |
|---|
| Полное имя C:\USERS\IRAIRA1234\APPDATA\ROAMING\MARVEL.EXE Имя файла MARVEL.EXE Тек. статус АКТИВНЫЙ ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске Удовлетворяет критериям RUN (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)] Сохраненная информация на момент создания образа Статус АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске Процесс 32-х битный File_Id 5B30D956A2000 Linker 14.11 Размер 260608 байт Создан 17.07.2018 в 03:24:58 Изменен 25.06.2018 в 21:00:24 TimeStamp 25.06.2018 в 12:00:22 EntryPoint + OS Version 5.0 Subsystem Windows graphical user interface (GUI) subsystem IMAGE_FILE_DLL - IMAGE_FILE_EXECUTABLE_IMAGE + Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Отсутствует либо ее не удалось проверить Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Путь до файла Типичен для вирусов и троянов Доп. информация на момент обновления списка pid = 3616 IRAS\iraira1234 CmdLine "C:\Users\iraira1234\AppData\Roaming\Marvel.exe" Процесс создан 16:06:12 [2018.07.17] С момента создания 00:40:12 parentid = 3752 pid = 3716 IRAS\iraira1234 CmdLine "C:\Users\iraira1234\AppData\Roaming\Marvel.exe" Процесс создан 16:06:10 [2018.07.17] С момента создания 00:40:15 parentid = 2684 SHA1 A33551836E5284132CC9AEDC28D9EA3450AA0128 MD5 96C3139F571A36A1E8968208D40A4FC1 Ссылки на объект Ссылка HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\R MarvelHost C:\Users\iraira1234\AppData\Roaming\Marvel.exe Ссылка HKEY_USERS\S-1-5-21-2137272904-2086164111-3768165105-1001\Software\Microsoft\Windows\CurrentVersion\Run\MarvelHos MarvelHost C:\Users\iraira1234\AppData\Roaming\Marvel.exe Образы EXE и DLL MARVEL.EXE C:\USERS\IRAIRA1234\APPDATA\ROAMING MARVEL.EXE C:\USERS\IRAIRA1234\APPDATA\ROAMING |
линк проверки нужен именно для этого файла.