santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo, Filecoder.Crysis; r/n: info.hta

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.10.2017 13:11:26

@Ксюша Холод,
активных шифраторов уже нет в системе.
по очистке системы выполните
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v4.0.10 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE zoo %SystemDrive%\USERS\1C-12\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA ;---------command-block--------- delall %SystemDrive%\USERS\1C-12\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA delall %SystemDrive%\USERS\1C-12\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-86640510.[[email protected]].ARENA delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIAKDDMMLEDECLCODPBGEBFKHEGAADDGE%26INSTALLSOURCE%3DONDEMAND%26UC apply QUIT

Код


;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
zoo %SystemDrive%\USERS\1C-12\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
;---------command-block---------
delall %SystemDrive%\USERS\1C-12\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
delall %SystemDrive%\USERS\1C-12\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-86640510.[[email protected]].ARENA
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIAKDDMMLEDECLCODPBGEBFKHEGAADDGE%26INSTALLSOURCE%3DONDEMAND%26UC
apply

QUIT

без перезагрузки,
------------
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.

если вы лицензионный пользователь,
пришлите в [email protected] желательно файл шифратора в архиве с паролем infected, несколько зашифрованных файлов, несколько чистых файлов, лог ESET log collector, созданный на пострадавшем от шифрования компьютере.

[ Как создать образ автозапуска? ]

Перейти

Зашифрованы файлы с расширением .e-mail.ID*, возможно, RSAUtil

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.10.2017 11:31:11

Цитата
Андрей Ошарин написал: Файлы для анализа куда предоставить?

[email protected]
если вы лицензионный пользователь,
пришлите желательно файл шифратора в архиве с паролем infected, несколько зашифрованных файлов, несколько чистых файлов, лог ESET log collector, созданный на пострадавшем от шифрования компьютере.

[ Как создать образ автозапуска? ]

Перейти

Зашифрованы файлы с расширением .e-mail.ID*, возможно, RSAUtil

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.10.2017 10:51:43

Цитата
Андрей Ошарин написал: Приветствую, тоже попал. Лицензионный НОД32 молчал аки рыба. Лицензионный Win8.1 pro со всеми обновлениями.

Андрей, вы наверное перепутали форумы. обратились в техподдержку дрвеб, а пишете на форуме eset.

[ Как создать образ автозапуска? ]

Перейти

Не удаляется вирус IMG001.exe

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 03.10.2017 09:25:48

на будущее, вы можете расширить лицензию до business edition.
эта лицензия позволяет ставить ERA server/consloe; ESET File Security ; ESET Endpoint antivirus,
если лицензия будет Smart Security Business Edition,
в этом случае можете ставить все выше перечисленное, + ESET Endpoint Security

[ Как создать образ автозапуска? ]

Перейти

Не удаляется вирус IMG001.exe

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 03.10.2017 08:58:47

если у вас лицензия на антивир корпоративная (business edition), то лучше таки установить ERA сервер, и связать все установленные клиенты из локальной сети с ERA сервером.
в этом случае вам будет проще следить за антивирусной безопасностью в сети.

и соответственно, вы через консоль управления сможете ставить задачи сканирования, обновления, изменения конфигурации и другие для всех компутеров.

[ Как создать образ автозапуска? ]

Перейти

Не удаляется вирус IMG001.exe

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 02.10.2017 15:36:11

1. этот патч надо установить на всех компьютерах в вашей локальной сети.
2. проверьте на всех ли компьютерах в локальной сети установлен антивирус ESET
3. если в локальной сети установлен ERA сервер - через консоль управления запустите на всех компьютерах задачу глубокого сканирования.

[ Как создать образ автозапуска? ]

Перейти

Постоянно пиший что http://zaycev.net/pages/9681/968192.shtml Заблокировано в "черном" списке PUA

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 28.09.2017 15:42:47

Цитата
Alexey Zaitsev написал: Фильтр HTTP файл http://s7.addthis.com/js/300/addthis_widget.js JS/TrojanDownloader.Pegel.BH троянская программа соединение прервано - изолирован

это детект антивируса наблюдается не только у вас.

[ Как создать образ автозапуска? ]

Перейти

Постоянно пиший что http://zaycev.net/pages/9681/968192.shtml Заблокировано в "черном" списке PUA

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 28.09.2017 13:10:40

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.0.10 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 v400c OFFSGNSAVE ;------------------------autoscript--------------------------- deldirex %SystemDrive%\PROGRAM FILES (X86)\MOBOGENIE deldirex %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHEGNEANIPLMFJCMOHOCLABBLBAHCBJOE%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\18WSQM40.MAIN\EXTENSIONS\[email protected] delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDHDGFFKKEBHMKFJOJEJMPBLDMPOBFKFO%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\VTOPE BOT\VTOPE BOT.LNK apply ; Vtope bot, версия 3.0 exec C:\Program Files (x86)\Vtope bot\unins000.exe deltmp delref %SystemRoot%\SYSWOW64\PRINTDISP.EXE delref %SystemDrive%\USERS\TEST\APPDATA\LOCAL\DROPBOX\UPDATE\DROPBOXUPDATE.EXE delref {35EF4182-F900-4632-B072-8639E4478A61}\[CLSID] delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL delref %SystemRoot%\EHOME\EHPRIVJOB.EXE delref %SystemRoot%\EHOME\MCUPDATE delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID] delref %SystemRoot%\EHOME\MCUPDATE.EXE delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID] delref {7FA3A1C3-3C87-40DE-AC16-B6E2815A4CC8}\[CLSID] delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID] delref %SystemRoot%\EHOME\EHREC delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID] delref {06DA0625-9701-43DA-BFD7-FBEEA2180A1E}\[CLSID] delref {EA9155A3-8A39-40B4-8963-D3C761B18371}\[CLSID] delref %SystemRoot%\SYSWOW64\WPCUMI.DLL delref %SystemRoot%\SYSWOW64\WPCMIG.DLL delref {E51DFD48-AA36-4B45-BB52-E831F02E8316}\[CLSID] delref {FF87090D-4A9A-4F47-879B-29A80C355D61}\[CLSID] delref {45F26E9E-6199-477F-85DA-AF1EDFE067B1}\[CLSID] delref {7CCA6768-8373-4D28-8876-83E8B4E3A969}\[CLSID] delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\FIREFOX.EXE delref I:\ЗАГРУЗКИ\NIYOWINS.EXE delref J:\DISTR\ДИСК\PM7\ENPARTITIONMAGIC71.EXE delref F:\ВРЕМ WGET\VSTOR40\VSTOR40_X64.EXE delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {19916E01-B44E-4E31-94A4-4696DF46157B}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref %SystemDrive%\PROGRAM FILES (X86)\MOBOGENIE\DAEMONPROCESS.EXE delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID] delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID] delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\57.0.2987.133\INSTALLER\CHRMSTP.EXE delref %SystemRoot%\SYSWOW64\BLANK.HTM delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID] delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref {6B9228DA-9C15-419E-856C-19E768A13BDC}\[CLSID] delref %Sys32%\DRIVERS\VMBUSR.SYS delref {503739D0-4C5E-4CFD-B3BA-D881334F0DF2}\[CLSID] delref %Sys32%\ALTTAB.DLL delref %Sys32%\QAGENTRT.DLL delref %Sys32%\TBSSVC.DLL delref %Sys32%\LOCATIONNOTIFICATIONS.EXE delref %SystemDrive%\PROGRAM FILES\WINDOWS MEDIA PLAYER\WMPDMCCORE.DLL delref %Sys32%\MCXDRIV.DLL delref %Sys32%\HOTSTARTUSERAGENT.DLL delref %Sys32%\DRIVERS\RDPWD.SYS delref %Sys32%\P2PHOST.EXE delref %Sys32%\NAPIPSEC.DLL delref %Sys32%\OCSETUP.EXE delref %Sys32%\MSSHA.DLL delref %Sys32%\APILOGEN.DLL delref %Sys32%\IPBUSENUM.DLL delref %Sys32%\OOBE\MSOOBEUI.DLL delref %Sys32%\MCTADMIN.EXE delref %SystemDrive%\PROGRAM FILES\WINDOWS SIDEBAR\SIDEBAR.EXE delref %Sys32%\DHCPQEC.DLL delref %Sys32%\WWANADVUI.DLL delref %Sys32%\DSHOWRDPFILTER.DLL delref %SystemRoot%\INF\UNREGMP2.EXE delref %Sys32%\BLANK.HTM delref %SystemRoot%\TEMP\025280~1.EXE delref %SystemDrive%\PROGRAM FILES\TRUEKEY\MCAFEE.TRUEKEY.INSTALLERSERVICE.EXE delref %Sys32%\PSXSS.EXE delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected] delref %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.27.6\PSUSER_64.DLL delref %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.30.3\PSUSER_64.DLL delref %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.31.5\PSUSER_64.DLL delref %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.33.3\PSUSER_64.DLL delref %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.29.5\PSUSER_64.DLL delref %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.32.7\PSUSER_64.DLL delref %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.27.6\PSUSER.DLL delref %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\LOCAL\YANDEX\UPDATER\YUPDATE-EXECUTOR.EXE delref %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.30.3\PSUSER.DLL delref %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.31.5\PSUSER.DLL delref %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.33.3\PSUSER.DLL delref %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.29.5\PSUSER.DLL delref %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.32.7\PSUSER.DLL delref %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.22.3\PSUSER.DLL delref %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\ROAMING\YANDEX\YANDEXDISK\WOW64\YANDEXDISKSHELLEXT-3998.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\BLUESTACKS\BSTKSVC.EXE delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\BLUESTACKS\BSTKC.DLL delref %Sys32%\MSMIRADISP.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.23.9\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE_64.DLL delref %Sys32%\TETHERINGSETTINGHANDLER.DLL delref %Sys32%\QUICKACTIONSPS.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE delref %SystemRoot%\SYSWOW64\TAPILUA.DLL delref %SystemRoot%\SYSWOW64\LOCATIONFRAMEWORK.DLL delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.115\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.22.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL delref %SystemRoot%\SYSWOW64\MAPSCSP.DLL delref %SystemDrive%\USERS\TEST\APPDATA\LOCAL\TEMP\HYDB3D8.TMP.1453925368\HTA\3RDPARTY\OCCOMSDK.DLL delref %SystemRoot%\SYSWOW64\LISTSVC.DLL delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.23.9\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE delref %SystemRoot%\SYSWOW64\GPSVC.DLL delref %SystemRoot%\SYSWOW64\CONNECTEDSTORAGESERVICE.PROXYSTUB.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL delref %SystemRoot%\SYSWOW64\INETSRV\IISRSTAS.EXE delref %SystemDrive%\PROGRAM FILES (X86)\BLUESTACKS\HD-AGENT.EXE delref {00000000-FFFF-FFFF-0000-000000000000}\[CLSID] delref {219C3416-8CB2-491A-A3C7-D9FCDDC9D600}\[CLSID] delref {86A88967-7A20-11D2-8EDA-00600818EDB1}\[CLSID] delref {92780B25-18CC-41C8-B9BE-3C9C571A8263}\[CLSID] delref %SystemDrive%\USERS\АЛЕКСЕЙ\DESKTOP\TOR BROWSER\BROWSER\FIREFOX.EXE ;------------------------------------------------------------- restart

Код


;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

deldirex %SystemDrive%\PROGRAM FILES (X86)\MOBOGENIE

deldirex %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHEGNEANIPLMFJCMOHOCLABBLBAHCBJOE%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\18WSQM40.MAIN\EXTENSIONS\[email protected]
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDHDGFFKKEBHMKFJOJEJMPBLDMPOBFKFO%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\VTOPE BOT\VTOPE BOT.LNK
apply

; Vtope bot, версия 3.0
exec  C:\Program Files (x86)\Vtope bot\unins000.exe
deltmp
delref %SystemRoot%\SYSWOW64\PRINTDISP.EXE
delref %SystemDrive%\USERS\TEST\APPDATA\LOCAL\DROPBOX\UPDATE\DROPBOXUPDATE.EXE
delref {35EF4182-F900-4632-B072-8639E4478A61}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemRoot%\EHOME\EHPRIVJOB.EXE
delref %SystemRoot%\EHOME\MCUPDATE
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref %SystemRoot%\EHOME\MCUPDATE.EXE
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {7FA3A1C3-3C87-40DE-AC16-B6E2815A4CC8}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref %SystemRoot%\EHOME\EHREC
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref {06DA0625-9701-43DA-BFD7-FBEEA2180A1E}\[CLSID]
delref {EA9155A3-8A39-40B4-8963-D3C761B18371}\[CLSID]
delref %SystemRoot%\SYSWOW64\WPCUMI.DLL
delref %SystemRoot%\SYSWOW64\WPCMIG.DLL
delref {E51DFD48-AA36-4B45-BB52-E831F02E8316}\[CLSID]
delref {FF87090D-4A9A-4F47-879B-29A80C355D61}\[CLSID]
delref {45F26E9E-6199-477F-85DA-AF1EDFE067B1}\[CLSID]
delref {7CCA6768-8373-4D28-8876-83E8B4E3A969}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\FIREFOX.EXE
delref I:\ЗАГРУЗКИ\NIYOWINS.EXE
delref J:\DISTR\ДИСК\PM7\ENPARTITIONMAGIC71.EXE
delref F:\ВРЕМ WGET\VSTOR40\VSTOR40_X64.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {19916E01-B44E-4E31-94A4-4696DF46157B}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\MOBOGENIE\DAEMONPROCESS.EXE
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\57.0.2987.133\INSTALLER\CHRMSTP.EXE
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {6B9228DA-9C15-419E-856C-19E768A13BDC}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref {503739D0-4C5E-4CFD-B3BA-D881334F0DF2}\[CLSID]
delref %Sys32%\ALTTAB.DLL
delref %Sys32%\QAGENTRT.DLL
delref %Sys32%\TBSSVC.DLL
delref %Sys32%\LOCATIONNOTIFICATIONS.EXE
delref %SystemDrive%\PROGRAM FILES\WINDOWS MEDIA PLAYER\WMPDMCCORE.DLL
delref %Sys32%\MCXDRIV.DLL
delref %Sys32%\HOTSTARTUSERAGENT.DLL
delref %Sys32%\DRIVERS\RDPWD.SYS
delref %Sys32%\P2PHOST.EXE
delref %Sys32%\NAPIPSEC.DLL
delref %Sys32%\OCSETUP.EXE
delref %Sys32%\MSSHA.DLL
delref %Sys32%\APILOGEN.DLL
delref %Sys32%\IPBUSENUM.DLL
delref %Sys32%\OOBE\MSOOBEUI.DLL
delref %Sys32%\MCTADMIN.EXE
delref %SystemDrive%\PROGRAM FILES\WINDOWS SIDEBAR\SIDEBAR.EXE
delref %Sys32%\DHCPQEC.DLL
delref %Sys32%\WWANADVUI.DLL
delref %Sys32%\DSHOWRDPFILTER.DLL
delref %SystemRoot%\INF\UNREGMP2.EXE
delref %Sys32%\BLANK.HTM
delref %SystemRoot%\TEMP\025280~1.EXE
delref %SystemDrive%\PROGRAM FILES\TRUEKEY\MCAFEE.TRUEKEY.INSTALLERSERVICE.EXE
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.27.6\PSUSER_64.DLL
delref %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.30.3\PSUSER_64.DLL
delref %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.31.5\PSUSER_64.DLL
delref %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.33.3\PSUSER_64.DLL
delref %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.29.5\PSUSER_64.DLL
delref %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.32.7\PSUSER_64.DLL
delref %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.27.6\PSUSER.DLL
delref %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\LOCAL\YANDEX\UPDATER\YUPDATE-EXECUTOR.EXE
delref %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.30.3\PSUSER.DLL
delref %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.31.5\PSUSER.DLL
delref %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.33.3\PSUSER.DLL
delref %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.29.5\PSUSER.DLL
delref %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.32.7\PSUSER.DLL
delref %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.22.3\PSUSER.DLL
delref %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\ROAMING\YANDEX\YANDEXDISK\WOW64\YANDEXDISKSHELLEXT-3998.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\BLUESTACKS\BSTKSVC.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\BLUESTACKS\BSTKC.DLL
delref %Sys32%\MSMIRADISP.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.23.9\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE_64.DLL
delref %Sys32%\TETHERINGSETTINGHANDLER.DLL
delref %Sys32%\QUICKACTIONSPS.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE
delref %SystemRoot%\SYSWOW64\TAPILUA.DLL
delref %SystemRoot%\SYSWOW64\LOCATIONFRAMEWORK.DLL
delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.115\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.22.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL
delref %SystemRoot%\SYSWOW64\MAPSCSP.DLL
delref %SystemDrive%\USERS\TEST\APPDATA\LOCAL\TEMP\HYDB3D8.TMP.1453925368\HTA\3RDPARTY\OCCOMSDK.DLL
delref %SystemRoot%\SYSWOW64\LISTSVC.DLL
delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.23.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemRoot%\SYSWOW64\CONNECTEDSTORAGESERVICE.PROXYSTUB.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL
delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref %SystemRoot%\SYSWOW64\INETSRV\IISRSTAS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\BLUESTACKS\HD-AGENT.EXE
delref {00000000-FFFF-FFFF-0000-000000000000}\[CLSID]
delref {219C3416-8CB2-491A-A3C7-D9FCDDC9D600}\[CLSID]
delref {86A88967-7A20-11D2-8EDA-00600818EDB1}\[CLSID]
delref {92780B25-18CC-41C8-B9BE-3C9C571A8263}\[CLSID]
delref %SystemDrive%\USERS\АЛЕКСЕЙ\DESKTOP\TOR BROWSER\BROWSER\FIREFOX.EXE
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

[ Как создать образ автозапуска? ]

Перейти

Постоянно пиший что http://zaycev.net/pages/9681/968192.shtml Заблокировано в "черном" списке PUA

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 28.09.2017 12:18:58

Цитата

Alexey Zaitsev написал:
Постоянно пишет что

Цитата
http://zaycev.net/pages/9681/968192.shtml Заблокировано в "черном" списке PUA

как узнать кто/что это пытается делать?

добавьте образ автозапуска, посмотрим что там есть
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением *.paycrypt / *.keybtc@gmail_com, bat encoder / GnuPG

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 24.09.2017 15:36:19

если у вас сохранились зашифрованные файлы *.paycrypt@gmail_com в период где то 1-30 июня 2014 года, пришлите на форум (или в почту [email protected])
несколько зашифрованных файлов и файл KEY.PRIVATE (он важен для восстановления ключа)
есть возможность сейчас восстановить ключ и расшифровать файлы.

эти ключи уже доступны.

Цитата
63E66460 DB0E4003 CDB7701B 369AE471 23AE1FA6 F4CF450E

[ Как создать образ автозапуска? ]

Перейти