santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007, Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 18.12.2017 05:13:35

Цитата
Igor Zh написал: У меня Filecoder.ED, вариантов расшифровки тоже нет?

Filecoder.ED=Ransom.Shade

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007, Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 16.12.2017 16:26:50

файлики шифратора были прибиты скорее всего антивиром.

по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.0.10 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v400c OFFSGNSAVE ;------------------------autoscript--------------------------- delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\WINDOWS\CSRSS.EXE delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\CSRSS\CSRSS.EXE delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\DRIVERS\CSRSS.EXE delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OKMJAIINIEHFKIEDDBEAEGFHPIPFPBME\8.22.1_0\СТАРТОВАЯ — ЯНДЕКС apply deltmp delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA}\[CLSID] delref {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBC}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {42071714-76D4-11D1-8B24-00A0C9068FF3}\[CLSID] delref {764BF0E1-F219-11CE-972D-00AA00A14F56}\[CLSID] delref {853FE2B1-B769-11D0-9C4E-00C04FB6C6FA}\[CLSID] delref {FAC3CBF6-8697-43D0-BAB9-DCD1FCE19D75}\[CLSID] delref %Sys32%\DRIVERS\CHANGER.SYS delref %Sys32%\DRIVERS\ESGSCANNER.SYS delref %Sys32%\DRIVERS\I2OMGMT.SYS delref %Sys32%\DRIVERS\LBRTFDC.SYS delref %Sys32%\DRIVERS\PCIDUMP.SYS delref %Sys32%\DRIVERS\PDCOMP.SYS delref %Sys32%\DRIVERS\PDFRAME.SYS delref %Sys32%\DRIVERS\PDRELI.SYS delref %Sys32%\DRIVERS\PDRFRAME.SYS delref %Sys32%\DRIVERS\WDICA.SYS delref %Sys32%\PSXSS.EXE delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL ;------------------------------------------------------------- restart

Код


;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\WINDOWS\CSRSS.EXE
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\CSRSS\CSRSS.EXE
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\DRIVERS\CSRSS.EXE
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OKMJAIINIEHFKIEDDBEAEGFHPIPFPBME\8.22.1_0\СТАРТОВАЯ — ЯНДЕКС
apply

deltmp
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA}\[CLSID]
delref {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBC}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {42071714-76D4-11D1-8B24-00A0C9068FF3}\[CLSID]
delref {764BF0E1-F219-11CE-972D-00AA00A14F56}\[CLSID]
delref {853FE2B1-B769-11D0-9C4E-00C04FB6C6FA}\[CLSID]
delref {FAC3CBF6-8697-43D0-BAB9-DCD1FCE19D75}\[CLSID]
delref %Sys32%\DRIVERS\CHANGER.SYS
delref %Sys32%\DRIVERS\ESGSCANNER.SYS
delref %Sys32%\DRIVERS\I2OMGMT.SYS
delref %Sys32%\DRIVERS\LBRTFDC.SYS
delref %Sys32%\DRIVERS\PCIDUMP.SYS
delref %Sys32%\DRIVERS\PDCOMP.SYS
delref %Sys32%\DRIVERS\PDFRAME.SYS
delref %Sys32%\DRIVERS\PDRELI.SYS
delref %Sys32%\DRIVERS\PDRFRAME.SYS
delref %Sys32%\DRIVERS\WDICA.SYS
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

расшифровки по данному варианту Ransom.Shade на текущий момент нет.
восстановление документов возможно только с архивных копий.
сохраните зашифрованные документы на отдельный носитель,
расшифровка документов станет возможно станет возможной в будущем.

[ Как создать образ автозапуска? ]

Перейти

Невероятные приключения бат-энкодера в России

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 16.12.2017 14:55:05

Эпидемия бат-энкодера в России бурно протекала в период с марта 2014 года по октябрь 2015 года.

Согласно дате создания приватных ключей

мы можем условно выделить несколько периодов:

1. начиная с 01.03.2014 г. для шифрования *.unblck@gmail_com, *.uncrpt@gmail_com, *.unstyx@gmail_com использовались следующие мастер-ключи:

Код
P-crypt (P-crypt) <[email protected]>0x5C63D713/0x591A1333 создан 01.03.2014 года. passphrase к данному мастер-ключу к сожалению неизвестна. passphrase для сессионных ключей — "P-crypt"

Код

P-crypt (P-crypt) <[email protected]>0x5C63D713/0x591A1333 создан 01.03.2014 года.
passphrase к данному мастер-ключу к сожалению неизвестна.
passphrase для сессионных ключей — "P-crypt"

Код
StyxKey (StyxKey) <[email protected]> 0xF3E75FD0/0x01270FE6 создан 26.05.2014 года passphrase: «HckTeam” passphrase для сессионных ключей: «unstyx»

Код
HckTeam (HckTeam) <[email protected]>0xE578490A/0xF107EA9F создан 01.06.2014 года. Passphrase:”HckTeam” passphrase для сессионных ключей могут быть: «paycrypt», «unblck», «uncrpt» в зависимости от идентификатора сессионного ключа.

Код

HckTeam (HckTeam) <[email protected]>0xE578490A/0xF107EA9F создан 01.06.2014 года.
Passphrase:”HckTeam”
passphrase для сессионных ключей могут быть: «paycrypt», «unblck», «uncrpt» в зависимости от идентификатора сессионного ключа.

т.о. если шифрование данным шифратором происходило в период с 26.05.2014 по 28.06.2014 года, используя известные мастер-ключи StyxKey (StyxKey) и HckTeam (HckTeam) возможно расшифровать ключевой файл KEY.PRIVATE и извлечь сессионный secring.gpg, который необходим для расшифрования документов пользователя.

2. следующий период в истории bat-энкодера начинается с 28 июня 2014г, когда был создан новый ключ

Код
HckTeam (HckTeam) <[email protected]>0x3ED78E85/0xF05CF9EE

с этого момента шифрование документов идет с расширением *.paycrypt@gmail_com
по данному ключу нет в доступе секретной части.

05 августа 2014 г создан новый ключ

Код
keybtc (keybtc) <[email protected]>0xAAB62875/0xA3CE7DBE

с этого момента шифрование документов идет с расширением *.keybtc@gmail_com
по данному ключу нет секретной части.

Сессионные ключи в этот период имеют идентификаторы genesis ([email protected]) <[email protected]> и cryptpay (cryptpay) <[email protected]> создаваемые без парольной фразы.

В период июль 2014 года так же параллельно шло распространение простого энкодера с шифрованием *.PZDC, *.CRYPT, *.GOOD с использованием следующих ключей:

Код
uncrypt <[email protected]>0x6E697C70/0xDF907172 создан 30.06.2014года extension: (.pzdc, .crypt) passphrase: “,tpgfhjkZ”

Код
unlock <[email protected]>0xE71BDC55/0x63D1F277 от 17.07.2014 года extension: (*.good) passphrase: "Jur59ETnqq"

3. с января 2015 года

и по октябрь 2015 года бат-энкодер шифрует файлы пользователей с расширением *.vault

в этот период смена мастер-ключей происходила часто, и неизвестен ни один ключ VaultCrypt для восстановления сессионных secring.gpg из VAULT.KEY

сессионные ключи в этот период имеют идентификатор Cellar и не содержат пассфразу.

В конце декабря 2015 года энкодер из России переместился в Германию, и трижды там отметился как *.xrtn, *.trun, *.xort. Во всех трех случаях был использован ключ kkkkk <[email protected]> (от 15.04.2015г)

©, chklst.ru, forum.esetnod32.ru

[ Как создать образ автозапуска? ]

Перейти

Как создать правило для блокировки сайтов с помощью политик?

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 15.12.2017 15:23:46

Цитата
Элина Кузнецова написал: Вы имеете ввиду "сервис"-"диспетчер политик" ? А как создать политику с блокированием сайтов по их имени, а не ip адресу?

да, просто у меня английская версия 5 консоли.
в конфигураторе в диспетчере политик вам необходимо найти настройки - защита доступа в интернет - управление URL адресами - выбрать в списке лист для блокирования сайтов и добавить в него сайты по именам и маскам.
эта политика распространит в конфигурации блокирующий список на все назначенные для данной политики статические группы.

[ Как создать образ автозапуска? ]

Перейти

Как создать правило для блокировки сайтов с помощью политик?

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 15.12.2017 11:33:38

Элина Кузнецова,
вы можете в консоле, в инструментах, в менеджере политик создать политику с блокированием адресов сайтов, а затем привязать ее к определенных статическим группам.

[ Как создать образ автозапуска? ]

Перейти

подозрение на заражение системы

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 15.12.2017 04:23:46

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.0.10 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 v400c OFFSGNSAVE ;------------------------autoscript--------------------------- delref %SystemDrive%\USERS\FABRE\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\FFDAEEIJBBIJKLFCPAHBGHAHOJGFGEBO\2.8.0_0\GYAZO delall %SystemDrive%\PROGRAM FILES (X86)\GYAZO\GYAZOUPDATE.EXE delref BLUM_MEB_2017\BLUM_MEB_2017.EXE zoo %SystemDrive%\USERS\FABRE\APPDATA\ROAMING\MICROSOFT\MSI.EXE addsgn A7679BF0AA029C624BD4C6D547881261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C7B90C49F75C4C32EF4CA9CE407DA3BE4AC965B2FC706AB7E 8 Trojan.LoadMoney 7 chklst delvir delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\USERS\FABRE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\HFONHGKHIDIHINKNIHHBGAJJMDLCDLLH\8.22.7_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС delref %SystemDrive%\USERS\FABRE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LALFIODOHDGAEJJCCFGFMMNGGGPPLMHP\8.22.1_0\СТАРТОВАЯ — ЯНДЕКС apply deltmp delref %SystemRoot%\TEMP\SKY66BF.TMP delref %SystemDrive%\TMP\WCT623.TMP delref %SystemDrive%\USERS\FABRE\APPDATA\LOCAL\INITWIN\INITWIN.EXE delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE16\OLICENSEHEARTBEAT.EXE delref {35EF4182-F900-4632-B072-8639E4478A61}\[CLSID] delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL delref %SystemRoot%\SYSWOW64\APPVETWCLIENTRES.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS delref %SystemRoot%\SYSWOW64\W32TIME.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\VMBUSR.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL delref %SystemRoot%\SYSWOW64\CSCSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL delref %SystemRoot%\SYSWOW64\LSM.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {444785F1-DE89-4295-863A-D46C3A781394}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID] delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref %SystemRoot%\SYSWOW64\BLANK.HTM delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID] delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref {2C4A5D61-009C-4561-9A33-6AFD542FD237}\[CLSID] delref %Sys32%\DRIVERS\VMBUSR.SYS delref %Sys32%\BLANK.HTM delref {472083B0-C522-11CF-8763-00608CC02F24}\[CLSID] delref HELPSVC\[SERVICE] delref MBAMSERVICE\[SERVICE] delref SACSVR\[SERVICE] delref TBS\[SERVICE] delref VMMS\[SERVICE] delref MESSENGER\[SERVICE] delref RDSESSMGR\[SERVICE] delref %SystemDrive%\PROGRAM FILES (X86)\GIGABYTE\XTREME GAMING ENGINE\ATITOOL\ATILLK64.SYS delref %Sys32%\DRIVERS\PARTIZAN.SYS delref %Sys32%\MSMIRADISP.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL delref %Sys32%\TETHERINGSETTINGHANDLER.DLL delref %Sys32%\QUICKACTIONSPS.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE delref %SystemRoot%\SYSWOW64\TAPILUA.DLL delref %SystemRoot%\SYSWOW64\LOCATIONFRAMEWORK.DLL delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\LISTSVC.DLL delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.169\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE delref %SystemRoot%\SYSWOW64\GPSVC.DLL delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL delref %SystemDrive%\USERS\FABRE\APPDATA\ROAMING\MAIL.RU\AGENT\MAGENT.EXE delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID] delref D:\СТАС РАБОТА\PRO100-5.41\PRO100_545.EXE delref %SystemDrive%\TEAMVIEWER\TEAMVIEWERPORTABLE.EXE delref %SystemDrive%\USERS\FABRE\DESKTOP\TVQS_11.0.65452.EXE delref %SystemDrive%\PROGRAM FILES (X86)\OCAM\UNINSTALL.EXE ;------------------------------------------------------------- restart

Код


;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref %SystemDrive%\USERS\FABRE\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\FFDAEEIJBBIJKLFCPAHBGHAHOJGFGEBO\2.8.0_0\GYAZO
delall %SystemDrive%\PROGRAM FILES (X86)\GYAZO\GYAZOUPDATE.EXE
delref BLUM_MEB_2017\BLUM_MEB_2017.EXE
zoo %SystemDrive%\USERS\FABRE\APPDATA\ROAMING\MICROSOFT\MSI.EXE
addsgn A7679BF0AA029C624BD4C6D547881261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C7B90C49F75C4C32EF4CA9CE407DA3BE4AC965B2FC706AB7E 8 Trojan.LoadMoney 7

chklst
delvir

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\USERS\FABRE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\HFONHGKHIDIHINKNIHHBGAJJMDLCDLLH\8.22.7_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\FABRE\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LALFIODOHDGAEJJCCFGFMMNGGGPPLMHP\8.22.1_0\СТАРТОВАЯ — ЯНДЕКС
apply

deltmp
delref %SystemRoot%\TEMP\SKY66BF.TMP
delref %SystemDrive%\TMP\WCT623.TMP
delref %SystemDrive%\USERS\FABRE\APPDATA\LOCAL\INITWIN\INITWIN.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE16\OLICENSEHEARTBEAT.EXE
delref {35EF4182-F900-4632-B072-8639E4478A61}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\APPVETWCLIENTRES.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
delref %SystemRoot%\SYSWOW64\W32TIME.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBUSR.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL
delref %SystemRoot%\SYSWOW64\LSM.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {444785F1-DE89-4295-863A-D46C3A781394}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {2C4A5D61-009C-4561-9A33-6AFD542FD237}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\BLANK.HTM
delref {472083B0-C522-11CF-8763-00608CC02F24}\[CLSID]
delref HELPSVC\[SERVICE]
delref MBAMSERVICE\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %SystemDrive%\PROGRAM FILES (X86)\GIGABYTE\XTREME GAMING ENGINE\ATITOOL\ATILLK64.SYS
delref %Sys32%\DRIVERS\PARTIZAN.SYS
delref %Sys32%\MSMIRADISP.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
delref %Sys32%\TETHERINGSETTINGHANDLER.DLL
delref %Sys32%\QUICKACTIONSPS.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE
delref %SystemRoot%\SYSWOW64\TAPILUA.DLL
delref %SystemRoot%\SYSWOW64\LOCATIONFRAMEWORK.DLL
delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL
delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\LISTSVC.DLL
delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.169\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL
delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref %SystemDrive%\USERS\FABRE\APPDATA\ROAMING\MAIL.RU\AGENT\MAGENT.EXE
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref D:\СТАС РАБОТА\PRO100-5.41\PRO100_545.EXE
delref %SystemDrive%\TEAMVIEWER\TEAMVIEWERPORTABLE.EXE
delref %SystemDrive%\USERS\FABRE\DESKTOP\TVQS_11.0.65452.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\OCAM\UNINSTALL.EXE
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Перейти

Самопроизвольный запуск браузера с различными сайтами (опять подцепил заразу)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 15.12.2017 04:12:30

посмотрите так же содержимое файла task.bat

Цитата
Полное имя C:\PROGRAM FILES\INTEL\SUR\QUEENCREEK\TASK.VBS Имя файла TASK.VBS Тек. статус в автозапуске Сохраненная информация на момент создания образа Статус в автозапуске Размер 175 байт Создан 21.05.2017 в 02:17:44 Изменен 21.05.2017 в 02:17:44 Цифр. подпись Отсутствует либо ее не удалось проверить Доп. информация на момент обновления списка CmdLine //B //NOLOGO "C:\PROGRAM FILES\INTEL\SUR\QUEENCREEK\TASK.VBS" SHA1 9B4C08036116A2E6666AD0E603F02A9CFBB52050 MD5 3F7550A13CA402923655771967CEEC0D #FILE# Set objShell = CreateObject("WScript.Shell") objShell.Run("C:\Windows\system32\cmd.exe /c ""C:\Program Files\Intel\SUR\QUEENCREEK\task.bat"""), 0 Set objShell = Nothing Ссылки на объект Ссылка C:\WINDOWS\SYSTEM32\TASKS\USER_ESRV_SVC_QUEENCREEK Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E84D324D-5B37-40F6-A1C9-F88A6F8BFBDD}\Actions Actions "C:\Windows\System32\Wscript.exe" //B //NoLogo "C:\Program Files\Intel\SUR\QUEENCREEK\task.vbs" Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{E84D324D-5B37-40F6-A1C9-F88A6F8BFBDD}\

Цитата

Полное имя C:\PROGRAM FILES\INTEL\SUR\QUEENCREEK\TASK.VBS
Имя файла TASK.VBS
Тек. статус в автозапуске

Сохраненная информация на момент создания образа
Статус в автозапуске
Размер 175 байт
Создан 21.05.2017 в 02:17:44
Изменен 21.05.2017 в 02:17:44
Цифр. подпись Отсутствует либо ее не удалось проверить

Доп. информация на момент обновления списка
CmdLine //B //NOLOGO "C:\PROGRAM FILES\INTEL\SUR\QUEENCREEK\TASK.VBS"
SHA1 9B4C08036116A2E6666AD0E603F02A9CFBB52050
MD5 3F7550A13CA402923655771967CEEC0D

#FILE# Set objShell = CreateObject("WScript.Shell")
objShell.Run("C:\Windows\system32\cmd.exe /c ""C:\Program Files\Intel\SUR\QUEENCREEK\task.bat"""), 0
Set objShell = Nothing

Ссылки на объект
Ссылка C:\WINDOWS\SYSTEM32\TASKS\USER_ESRV_SVC_QUEENCREEK

Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E84D324D-5B37-40F6-A1C9-F88A6F8BFBDD}\Actions
Actions "C:\Windows\System32\Wscript.exe" //B //NoLogo "C:\Program Files\Intel\SUR\QUEENCREEK\task.vbs"

Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{E84D324D-5B37-40F6-A1C9-F88A6F8BFBDD}\

возможно, через него выполнялись деструктивные действия.
в образе автозапуска он не виден

+

выполните наши рекомендации по безопасной работе в сети.
https://forum.esetnod32.ru/forum9/topic13764//

[ Как создать образ автозапуска? ]

Перейти

Не открываются сайты, главная

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 14.12.2017 15:43:05

Какая версия продукта ESET установлена? на ESET Endpiont 6.6.*, ESET Internet Security 11.0.154 сайт нормально открывается.

[ Как создать образ автозапуска? ]

Перейти

Самопроизвольный запуск браузера с различными сайтами (опять подцепил заразу)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 14.12.2017 15:38:59

во всех браузерах запускаются эти страницы?
если у вас доступ в сеть через роутер, пробуйте аппаратно сбросить настройки роутера, и заново настроить роутер для работы в сети, + установить надежный пароль к настройкам роутера.

[ Как создать образ автозапуска? ]

Перейти

Самопроизвольный запуск браузера с различными сайтами (опять подцепил заразу)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 14.12.2017 13:30:14

6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Код
GroupPolicy: Restriction <==== ATTENTION CHR HomePage: Default -> hxxp://www.oursurfing.com/?type=hp&ts=1431066552&z=c9f9d52223edcac3b4ca11bgcz0ccg8e5qdq7qfb7g&from=cmi&uid=3219913727_198339_38E3BDF9 CHR StartupUrls: Default -> "hxxps://mail.google.com/mail/ca/u/0/#inbox","hxxp://www.youtube.com/","hxxp://vk.com/feed","hxxp://www.oursurfing.com/?type=hp&ts=1431066552&z=c9f9d52223edcac3b4ca11bgcz0ccg8e5qdq7qfb7g&from=cmi&uid=3219913727_198339_38E3BDF9","hxxp://www.oursurfing.com/?type=hppp&ts=1431066570&z=c5e0fa0417feec8eb14072bg1z6c0g6ecq1q5q5tab&from=cmi&uid=3219913727_198339_38E3BDF9","hxxp://mail.ru/cnt/10445?gp=811138","hxxps://www.google.com/" OPR Extension: (ScriptGate) - C:\Users\idext\AppData\Roaming\Opera Software\Opera Stable\Extensions\eeocknbjpmfgaclencnfjfkklmmfmiie [2017-12-13] CHR Extension: (Browsec VPN - Free and Unlimited VPN) - C:\Users\idext\AppData\Local\Google\Chrome\User Data\Default\Extensions\omghfjlpggmjjaagoclmmobgdodcjboh [2017-12-13] EmptyTemp: Reboot:

Код

GroupPolicy: Restriction <==== ATTENTION
CHR HomePage: Default -> hxxp://www.oursurfing.com/?type=hp&ts=1431066552&z=c9f9d52223edcac3b4ca11bgcz0ccg8e5qdq7qfb7g&from=cmi&uid=3219913727_198339_38E3BDF9
CHR StartupUrls: Default -> "hxxps://mail.google.com/mail/ca/u/0/#inbox","hxxp://www.youtube.com/","hxxp://vk.com/feed","hxxp://www.oursurfing.com/?type=hp&ts=1431066552&z=c9f9d52223edcac3b4ca11bgcz0ccg8e5qdq7qfb7g&from=cmi&uid=3219913727_198339_38E3BDF9","hxxp://www.oursurfing.com/?type=hppp&ts=1431066570&z=c5e0fa0417feec8eb14072bg1z6c0g6ecq1q5q5tab&from=cmi&uid=3219913727_198339_38E3BDF9","hxxp://mail.ru/cnt/10445?gp=811138","hxxps://www.google.com/"
OPR Extension: (ScriptGate) - C:\Users\idext\AppData\Roaming\Opera Software\Opera Stable\Extensions\eeocknbjpmfgaclencnfjfkklmmfmiie [2017-12-13]
CHR Extension: (Browsec VPN - Free and Unlimited VPN) - C:\Users\idext\AppData\Local\Google\Chrome\User Data\Default\Extensions\omghfjlpggmjjaagoclmmobgdodcjboh [2017-12-13]
EmptyTemp:
Reboot:

[ Как создать образ автозапуска? ]

Перейти