santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007, Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 29.08.2017 15:27:48

Дмитрий,
судя по образу система уже очищена от тел шифратора,
по расшифровке документов не поможем. нет расшифровки.
сохраните документы на отдельный носитель до лучших времен,
возможно когда-нибудь расшифровка от этого варианта шифратора будет доступна для пострадавших пользователей.

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007, Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 29.08.2017 15:08:06

Цитата
Дмитрий Болотников написал: добрый день, поймал crypted000007 я так понимаю варианта расшифровать вариантов нет ?

если необходима помощь в очистке системы после шифратора,
добавьте образ автозапуска системы.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Шестое поколение продуктов ESET(Бизнес версия), Обсуждение новых функций, настройки, и исправлений 6-й версии продукта.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 29.08.2017 09:08:47

Usage: eRmm context command [options]

Цитата
Contexts: get, start, set Commands for specified contexts with options: get: get information about products application-info: get information about application license-info: get information about license protection-status: get protection status logs: get logs: all, virlog, warnlog, scanlog ... -N [--name] arg=all (retrieve all logs) name of log to retrieve -S [--start-date] arg start time from which logs should be retrieved (YYYY-MM-DD [HH-mm-SS]) -E [--end-date] arg end time until which logs should be retrieved (YYYY-MM-DD [HH-mm-SS]) scan-info: get information about scan -I [--id] arg id of scan to retrieve configuration: get product configuration -F [--file] arg path where configuration file will be saved -O [--format] arg=xml format of configuration: json, xml update-status: get information about update activation-status: get information about last activation start: start task scan: Start on demand scan -P [--profile] arg scanning profile -T [--target] arg scan target activation: Start activation -K [--key] arg activation key -O [--offline] arg path to offline file -T [--token] arg activation token deactivation: start deactivation of product update: start update of product set: set configuration to product configuration: set product configuration -V [--value] arg configuration data (encoded in base64) -F [--file] arg path to configuration xml file -P [--password] arg password for configuration Application parameters: -H [--help] help -L [--log] log application --debug display input json Example: eRmm start scan --target C:\ -p "@Smart scan"

Цитата

Contexts: get, start, set

Commands for specified contexts with options:
get: get information about products
application-info: get information about application
license-info: get information about license
protection-status: get protection status
logs: get logs: all, virlog, warnlog, scanlog ...
-N [--name] arg=all (retrieve all logs) name of log to retrieve
-S [--start-date] arg start time from which logs should be retrieved (YYYY-MM-DD [HH-mm-SS])
-E [--end-date] arg end time until which logs should be retrieved (YYYY-MM-DD [HH-mm-SS])
scan-info: get information about scan
-I [--id] arg id of scan to retrieve
configuration: get product configuration
-F [--file] arg path where configuration file will be saved
-O [--format] arg=xml format of configuration: json, xml
update-status: get information about update
activation-status: get information about last activation

start: start task
scan: Start on demand scan
-P [--profile] arg scanning profile
-T [--target] arg scan target
activation: Start activation
-K [--key] arg activation key
-O [--offline] arg path to offline file
-T [--token] arg activation token
deactivation: start deactivation of product
update: start update of product

set: set configuration to product
configuration: set product configuration
-V [--value] arg configuration data (encoded in base64)
-F [--file] arg path to configuration xml file
-P [--password] arg password for configuration

Application parameters:
-H [--help] help
-L [--log] log application
--debug display input json

Example: eRmm start scan --target C:\ -p "@Smart scan"

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] mysa 1,2,3 и ok, c2.bat вирус обнаруживается на сервере, Майнеры криптовалют используют EternalBlue/DoublePulsar

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 29.08.2017 02:37:56

это все таки сделайте для проверки системы

Цитата
2. создайте образ автозапуска системы.

http://forum.esetnod32.ru/forum9/topic2687/

файл образа добавьте на форум для анализа.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Самопроизвольное открывание вкладок с рекламой ( Казино и различные сайты )

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 27.08.2017 17:19:14

пишем, что с проблемой после очистки в FRST

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Самопроизвольное открывание вкладок с рекламой ( Казино и различные сайты )

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 27.08.2017 16:57:31

они самые.

6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Код
CHR Extension: (Neiron Search Tools) - C:\Users\iskander\AppData\Local\Google\Chrome\User Data\Default\Extensions\ajkpgdiejopejkllbihfkpcbmgclpkij [2017-08-27] CHR Extension: (Steam Inventory Helper) - C:\Users\iskander\AppData\Local\Google\Chrome\User Data\Default\Extensions\cmeakgjggjdlcpncigglobpjbkabhmjl [2017-08-24] CHR Extension: (LetyShops) - C:\Users\iskander\AppData\Local\Google\Chrome\User Data\Default\Extensions\lphicbbhfmllgmomkkhjfkpbdlncafbn [2017-08-20] CHR HKLM\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx [2015-07-20] OPR Extension: (Tampermonkey) - C:\Users\iskander\AppData\Roaming\Opera Software\Opera Stable\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2017-08-26] OPR Extension: (Everysale.Net) - C:\Users\iskander\AppData\Roaming\Opera Software\Opera Stable\Extensions\iapdadaeaebaoigieglfababneoaifnf [2014-12-22] OPR Extension: (Neiron Search Tools) - C:\Users\iskander\AppData\Roaming\Opera Software\Opera Stable\Extensions\oehahoblpagnioelpmminjmlpnabnmok [2014-12-22] OPR Extension: (PhoenixGuard - бесплатный антивирусный тулбар) - C:\Users\iskander\AppData\Roaming\Opera Software\Opera Stable\Extensions\pleoihkpdomoijdpaibdciidfoeedamm [2014-12-22] EmptyTemp: Reboot:

Код

CHR Extension: (Neiron Search Tools) - C:\Users\iskander\AppData\Local\Google\Chrome\User Data\Default\Extensions\ajkpgdiejopejkllbihfkpcbmgclpkij [2017-08-27]
CHR Extension: (Steam Inventory Helper) - C:\Users\iskander\AppData\Local\Google\Chrome\User Data\Default\Extensions\cmeakgjggjdlcpncigglobpjbkabhmjl [2017-08-24]
CHR Extension: (LetyShops) - C:\Users\iskander\AppData\Local\Google\Chrome\User Data\Default\Extensions\lphicbbhfmllgmomkkhjfkpbdlncafbn [2017-08-20]
CHR HKLM\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx [2015-07-20]
OPR Extension: (Tampermonkey) - C:\Users\iskander\AppData\Roaming\Opera Software\Opera Stable\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2017-08-26]
OPR Extension: (Everysale.Net) - C:\Users\iskander\AppData\Roaming\Opera Software\Opera Stable\Extensions\iapdadaeaebaoigieglfababneoaifnf [2014-12-22]
OPR Extension: (Neiron Search Tools) - C:\Users\iskander\AppData\Roaming\Opera Software\Opera Stable\Extensions\oehahoblpagnioelpmminjmlpnabnmok [2014-12-22]
OPR Extension: (PhoenixGuard - бесплатный антивирусный тулбар) - C:\Users\iskander\AppData\Roaming\Opera Software\Opera Stable\Extensions\pleoihkpdomoijdpaibdciidfoeedamm [2014-12-22]
EmptyTemp:
Reboot:

пишем, что с проблемой после очистки в FRST

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Самопроизвольное открывание вкладок с рекламой ( Казино и различные сайты )

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 27.08.2017 16:35:38

дак и логи FRST так же добавьте в сообщение на форуме

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Самопроизвольное открывание вкладок с рекламой ( Казино и различные сайты )

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 27.08.2017 15:53:26

далее,
3.сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

5.сделайте проверку в FRST
http://forum.esetnod32.ru/forum9/topic2798/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Самопроизвольное открывание вкладок с рекламой ( Казино и различные сайты )

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 27.08.2017 15:04:46

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.0.10 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 v400c OFFSGNSAVE ;------------------------autoscript--------------------------- deldirex %SystemDrive%\PROGRAM FILES\UNIBLUE\SPEEDUPMYPC deldirex %SystemDrive%\USERS\ISKANDER\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER deldirex %SystemDrive%\USERS\ISKANDER\APPDATA\LOCAL\MEDIAGET2 deldirex %SystemDrive%\USERS\ISKANDER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\MEDIAGET2 delref %SystemDrive%\USERS\ISKANDER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AJKPGDIEJOPEJKLLBIHFKPCBMGCLPKIJ\6.2.1.3_0\NEIRON SEARCH TOOLS delref %SystemDrive%\USERS\ISKANDER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LPHICBBHFMLLGMOMKKHJFKPBDLNCAFBN\2.1.11_0\LETYSHOPS delref %SystemDrive%\USERS\ISKANDER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CMEAKGJGGJDLCPNCIGGLOBPJBKABHMJL\1.11.4.1_0\STEAM INVENTORY HELPER delall %SystemDrive%\USERS\ISKANDER\APPDATA\LOCAL\OPERA\OPERA\WIDGETS\NEIRON_SEARCH_TOOLS-6.1.2.7.OEX delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCEGDOMHOCAEOEDBDPFOLMGJKJAIJFOMO%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLANABBPAHPJNALJEBNPGKJEMCBKEPIAK%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLIFBCIBLLHKDHOAFPJFNLHFPFGNPLDFL%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\USERS\ISKANDER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CEGDOMHOCAEOEDBDPFOLMGJKJAIJFOMO\1.0.8_0\ПОИСК MAIL.RU delref %SystemDrive%\USERS\ISKANDER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LANABBPAHPJNALJEBNPGKJEMCBKEPIAK\2.0.25_0\ПОИСК MAIL.RU apply ; OpenAL exec C:\Program Files\OpenAL\oalinst.exe" /U ; Java(TM) 6 Update 23 exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216023FF} /quiet deltmp delref %SystemRoot%\SERVICEPROFILES\LOCALSERVICE\APPDATA\LOCAL\FONTCACHE\FONTS\CONFIG-10A91C63-0F72-4422-B950-27C03E013568.XML delref %SystemDrive%\PROGRAM FILES\UNIBLUE\SPEEDUPMYPC\SUMP.EXE delref %SystemDrive%\PROGRAM FILES\UNIBLUE\SPEEDUPMYPC\SPMONITOR.EXE delref %SystemDrive%\QGNA\QGNA.EXE delref {06DA0625-9701-43DA-BFD7-FBEEA2180A1E}\[CLSID] delref {EA9155A3-8A39-40B4-8963-D3C761B18371}\[CLSID] delref {E51DFD48-AA36-4B45-BB52-E831F02E8316}\[CLSID] delref {FF87090D-4A9A-4F47-879B-29A80C355D61}\[CLSID] delref {45F26E9E-6199-477F-85DA-AF1EDFE067B1}\[CLSID] delref {7CCA6768-8373-4D28-8876-83E8B4E3A969}\[CLSID] delref {BF6C1E47-86EC-4194-9CE5-13C15DCB2001}\[CLSID] delref {1B1F472E-3221-4826-97DB-2C2324D389AE}\[CLSID] delref {00CCDDF6-5107-424D-853D-3907AE5502DC}\[CLSID] delref {10F591BE-3C84-418A-86DD-BAA002E2F36E}\[CLSID] delref E:\ISKANDER\TEAMFORTESS 2\STEAMAPPS\COMMON\FALLOUT 3\DOTNETFX\DOTNETFX3.EXE delref %SystemDrive%\PROGRAM FILES\MCAFEE SECURITY SCAN\UNINSTALL.EXE delref E:\ISKANDER\ЗАГРУЗКИ\DOKANINSTALL_0.6.0.EXE delref E:\ISKANDER\ЗАГРУЗКИ\DXWEBSETUP (3).EXE delref %SystemDrive%\PROGRAM FILES\HAMSTER SOFT\HAMSTER FREE ARCHIVER\HAMSTERCONTEXTMENU.DLL delref %Sys32%\DRIVERS\VMBUSR.SYS delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {19916E01-B44E-4E31-94A4-4696DF46157B}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {7AEFE841-DCA1-4A95-80CB-BE935D020104}\[CLSID] delref {7AEFE841-DCA1-4A95-80CB-BE935D020300}\[CLSID] delref %SystemDrive%\PROGRAM FILES\BATTLELOG WEB PLUGINS\2.3.2\BATTLELOGAX.OCX delref {CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA}\[CLSID] delref {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBC}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref %SystemDrive%\PROGRA~1\BATTLE~1\SONAR\070~1.4\SONARAX.OCX delref %Sys32%\ALTTAB.DLL delref %Sys32%\GWX\GWX.EXE delref %Sys32%\WDFRES.DLL delref %Sys32%\IME\IMESC\IMSCCORE.DLL delref %Sys32%\QAGENTRT.DLL delref %SystemRoot%\WINSTORE\WINSTOREUI.DLL delref %Sys32%\SYSTEMSETTINGSDATABASE.DLL delref %Sys32%\LOCATIONNOTIFICATIONS.EXE delref %Sys32%\SYNCENGINE.DLL delref %Sys32%\IME\SHARED\IMEROAMING.DLL delref %Sys32%\HOTSTARTUSERAGENT.DLL delref %SystemDrive%\PROGRAM FILES\INTERNET EXPLORER\IEDVTOOL.DLL delref %Sys32%\NAPIPSEC.DLL delref %Sys32%\KEYBOARDFILTERSVC.DLL delref %SystemRoot%\FILEMANAGER\FILEMANAGERAPP.DLL delref %Sys32%\WINDOWS.DEVICES.GEOLOCATION.DLL delref %SystemRoot%\FILEMANAGER\DATAMODEL.DLL delref %Sys32%\OCSETUP.EXE delref %Sys32%\MSSHA.DLL delref %Sys32%\IME\IMESC\IMSCTIP.DLL delref %Sys32%\GEOFENCEMONITORSERVICE.DLL delref %Sys32%\IME\IMESC\IMSCDICCOMPILER.EXE delref %Sys32%\DRIVERS\UMDF\LOCATIONPROVIDER.DLL delref %Sys32%\DHCPQEC.DLL delref %Sys32%\WWANADVUI.DLL delref %SystemDrive%\PROGRAM FILES\BATTLELOG WEB PLUGINS\2.1.4\NPESNLAUNCH.DLL delref %SystemDrive%\PROGRAM FILES\BATTLELOG WEB PLUGINS\2.3.0\NPESNLAUNCH.DLL delref %SystemDrive%\PROGRAM FILES\BATTLELOG WEB PLUGINS\2.3.2\NPBATTLELOG.DLL delref %SystemDrive%\PROGRAM FILES\POKERSTARS.NET\POKERSTARSUPDATE.EXE delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID] delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID] delref {DFEAF541-F3E1-4C24-ACAC-99C30715084A}\[CLSID] delref %SystemRoot%\INF\UNREGMP2.EXE delref %Sys32%\BLANK.HTM delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID] delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref %SystemDrive%\PROGRAM FILES\YANDEX\YANDEXDISK\BIN\YANDEXDISKOVERLAYS-2398.DLL delref HELPSVC\[SERVICE] delref SACSVR\[SERVICE] delref TBS\[SERVICE] delref VMMS\[SERVICE] delref MESSENGER\[SERVICE] delref RDSESSMGR\[SERVICE] delref E:\ISKANDER\TEAMFORTESS 2\STEAMAPPS\COMMON\HEROES & GENERALS\HNGSERVICE.EXE delref %SystemDrive%\PROGRAM FILES\MEGAFON MODEM\UPDATEDOG\OUC.EXE delref %Sys32%\PSXSS.EXE delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected] delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\EXTENSIONS\{972CE4C6-7E08-4474-A285-3208198CE6FD}.XPI delref %SystemDrive%\USERS\ISKANDER\ФОТОШОП\ADOBE PHOTOSHOP CS3\PHOTOSHOP.EXE delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.145\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.22.5\PSMACHINE.DLL delref %SystemDrive%\USERS\ISKANDER\APPDATA\ROAMING\ZONA\PLUGINS\ZBROADCAST\CODEC\ZCODEC.OCX delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL delref %SystemDrive%\USERS\ISKANDER\APPDATA\ROAMING\ZONA\PLUGINS\ZBROAD~1\ZBROAD~1.OCX delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.89\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.165\PSMACHINE.DLL delref %Sys32%\DFPCOMMON.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.153\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.135\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.23.9\PSMACHINE.DLL delref %Sys32%\WU.UPGRADE.PS.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\INSTALLER2\INSTALLER.{96D2184B-8C7C-449F-B708-74294D7DFD7C}\NVI2.DLL delref %Sys32%\NVCUVENC.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.123\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL delref %SystemRoot%\MEDIAVIEWER\LOCKSCREENCAMERA.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.22.3\PSMACHINE.DLL delref D:\SETUP.EXE delref {7558B7E5-7B26-4201-BEDB-00D5FF534523}\[CLSID] delref E:\ISKANDER\TEAMFORTESS 2\STEAMAPPS\COMMON\HEROES & GENERALS\HEROESANDGENERALSDESKTOP.EXE delref E:\ISKANDER\LEGO THE LORD OF THE RINGS\LEGOLOTR.EXE delref %SystemDrive%\USERS\ISKANDER\APPDATA\LOCAL\MEDIAGET2\MEDIAGET.EXE delref D:\SPORE ANTHOLOGY SETUP.EXE delref %SystemDrive%\USERS\ISKANDER\APPDATA\ROAMING\MAIL.RU\AGENT\MAGENTSETUP.EXE delref %SystemDrive%\USERS\ISKANDER\APPDATA\LOCAL\MAIL.RU\GAMECENTER\[email protected] delref %SystemDrive%\USERS\ISKANDER\APPDATA\LOCAL\MEDIAGET2\MEDIAGET-UNINSTALLER.EXE delref E:\ISKANDER\WARTHUNDER\LAUNCHER.EXE delref E:\ISKANDER\WARTHUNDER\UNINS000.EXE delref E:\ISKANDER\WOW\WOWPLAUNCHER.EXE delref E:\ISKANDER\WOW\UNINS000.EXE delref E:\ISKANDER\TRUCKERSMP\LAUNCHER_ETS2MP.EXE delref E:\THIS IS THE POLICE V1.1.3.0\POLICE.EXE delref E:\ISKANDER\GAMES\UNBLADE.ISU delref E:\ISKANDER\CITIES SKYLINES - DELUXE EDITION\CITIES.EXE delref E:\ISKANDER\SID MEIERS CIVILIZATION BEYOND EARTH\CIVILIZATIONBE_DX11.EXE delref E:\ISKANDER\CITIES SKYLINES - DELUXE EDITION\UNINS000.EXE delref E:\ISKANDER\SID MEIERS CIVILIZATION BEYOND EARTH\UNINS000.EXE delref %SystemDrive%\PROGRAM FILES\MEGAFON MODEM\MEGAFON MODEM.EXE delref %SystemDrive%\PROGRAM FILES\MEGAFON MODEM\UNINST.EXE delref E:\ISKANDER\MOUNT & BLADE - WARBAND\-SUSTEMSETUPIS\FIANNA_MB_KEY_REGISTER.EXE delref E:\ISKANDER\MOUNT & BLADE - WARBAND\MODULES\FIANNA_FEUDAL_WORLD\BIN\MBUPDATER.EXE delref E:\ISKANDER\MOUNT & BLADE - WARBAND\MODULES\FIANNA_MERCENARIES\BIN\MBUPDATER.EXE delref E:\ISKANDER\MOUNT & BLADE - WARBAND\MODULES\FIANNA_NORDINVASION\BIN\MBUPDATER.EXE delref E:\ISKANDER\MOUNT & BLADE - WARBAND\MB_WARBAND.EXE delref E:\ISKANDER\MOUNT & BLADE - WARBAND\UNINS000.EXE delref E:\ISKANDER\LEGO JURASSIC WORLD\LAUNCHER.EXE delref E:\ISKANDER\SOUTH PARK.THE STICK OF TRUTH.V 1.0.1343 + 2 DLC\SOUTH PARK - THE STICK OF TRUTH.EXE delref E:\ISKANDER\SOUTH PARK.THE STICK OF TRUTH.V 1.0.1343 + 2 DLC\UNINSTALL\UNINS000.EXE delref E:\ISKANDER\RFACTOR\RF CONFIG.EXE delref E:\ISKANDER\RFACTOR\RFACTOR DEDICATED.EXE delref E:\ISKANDER\RFACTOR\RFACTOR.EXE delref E:\ISKANDER\RFACTOR\UNINSTALL.EXE ;------------------------------------------------------------- restart

Код


;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

deldirex %SystemDrive%\PROGRAM FILES\UNIBLUE\SPEEDUPMYPC

deldirex %SystemDrive%\USERS\ISKANDER\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

deldirex %SystemDrive%\USERS\ISKANDER\APPDATA\LOCAL\MEDIAGET2

deldirex %SystemDrive%\USERS\ISKANDER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\MEDIAGET2

delref %SystemDrive%\USERS\ISKANDER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AJKPGDIEJOPEJKLLBIHFKPCBMGCLPKIJ\6.2.1.3_0\NEIRON SEARCH TOOLS
delref %SystemDrive%\USERS\ISKANDER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LPHICBBHFMLLGMOMKKHJFKPBDLNCAFBN\2.1.11_0\LETYSHOPS
delref %SystemDrive%\USERS\ISKANDER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CMEAKGJGGJDLCPNCIGGLOBPJBKABHMJL\1.11.4.1_0\STEAM INVENTORY HELPER
delall %SystemDrive%\USERS\ISKANDER\APPDATA\LOCAL\OPERA\OPERA\WIDGETS\NEIRON_SEARCH_TOOLS-6.1.2.7.OEX
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCEGDOMHOCAEOEDBDPFOLMGJKJAIJFOMO%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLANABBPAHPJNALJEBNPGKJEMCBKEPIAK%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLIFBCIBLLHKDHOAFPJFNLHFPFGNPLDFL%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\USERS\ISKANDER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CEGDOMHOCAEOEDBDPFOLMGJKJAIJFOMO\1.0.8_0\ПОИСК MAIL.RU
delref %SystemDrive%\USERS\ISKANDER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LANABBPAHPJNALJEBNPGKJEMCBKEPIAK\2.0.25_0\ПОИСК MAIL.RU
apply

; OpenAL
exec C:\Program Files\OpenAL\oalinst.exe" /U
; Java(TM) 6 Update 23
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216023FF} /quiet
deltmp
delref %SystemRoot%\SERVICEPROFILES\LOCALSERVICE\APPDATA\LOCAL\FONTCACHE\FONTS\CONFIG-10A91C63-0F72-4422-B950-27C03E013568.XML
delref %SystemDrive%\PROGRAM FILES\UNIBLUE\SPEEDUPMYPC\SUMP.EXE
delref %SystemDrive%\PROGRAM FILES\UNIBLUE\SPEEDUPMYPC\SPMONITOR.EXE
delref %SystemDrive%\QGNA\QGNA.EXE
delref {06DA0625-9701-43DA-BFD7-FBEEA2180A1E}\[CLSID]
delref {EA9155A3-8A39-40B4-8963-D3C761B18371}\[CLSID]
delref {E51DFD48-AA36-4B45-BB52-E831F02E8316}\[CLSID]
delref {FF87090D-4A9A-4F47-879B-29A80C355D61}\[CLSID]
delref {45F26E9E-6199-477F-85DA-AF1EDFE067B1}\[CLSID]
delref {7CCA6768-8373-4D28-8876-83E8B4E3A969}\[CLSID]
delref {BF6C1E47-86EC-4194-9CE5-13C15DCB2001}\[CLSID]
delref {1B1F472E-3221-4826-97DB-2C2324D389AE}\[CLSID]
delref {00CCDDF6-5107-424D-853D-3907AE5502DC}\[CLSID]
delref {10F591BE-3C84-418A-86DD-BAA002E2F36E}\[CLSID]
delref E:\ISKANDER\TEAMFORTESS 2\STEAMAPPS\COMMON\FALLOUT 3\DOTNETFX\DOTNETFX3.EXE
delref %SystemDrive%\PROGRAM FILES\MCAFEE SECURITY SCAN\UNINSTALL.EXE
delref E:\ISKANDER\ЗАГРУЗКИ\DOKANINSTALL_0.6.0.EXE
delref E:\ISKANDER\ЗАГРУЗКИ\DXWEBSETUP (3).EXE
delref %SystemDrive%\PROGRAM FILES\HAMSTER SOFT\HAMSTER FREE ARCHIVER\HAMSTERCONTEXTMENU.DLL
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {19916E01-B44E-4E31-94A4-4696DF46157B}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {7AEFE841-DCA1-4A95-80CB-BE935D020104}\[CLSID]
delref {7AEFE841-DCA1-4A95-80CB-BE935D020300}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\BATTLELOG WEB PLUGINS\2.3.2\BATTLELOGAX.OCX
delref {CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA}\[CLSID]
delref {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBC}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemDrive%\PROGRA~1\BATTLE~1\SONAR\070~1.4\SONARAX.OCX
delref %Sys32%\ALTTAB.DLL
delref %Sys32%\GWX\GWX.EXE
delref %Sys32%\WDFRES.DLL
delref %Sys32%\IME\IMESC\IMSCCORE.DLL
delref %Sys32%\QAGENTRT.DLL
delref %SystemRoot%\WINSTORE\WINSTOREUI.DLL
delref %Sys32%\SYSTEMSETTINGSDATABASE.DLL
delref %Sys32%\LOCATIONNOTIFICATIONS.EXE
delref %Sys32%\SYNCENGINE.DLL
delref %Sys32%\IME\SHARED\IMEROAMING.DLL
delref %Sys32%\HOTSTARTUSERAGENT.DLL
delref %SystemDrive%\PROGRAM FILES\INTERNET EXPLORER\IEDVTOOL.DLL
delref %Sys32%\NAPIPSEC.DLL
delref %Sys32%\KEYBOARDFILTERSVC.DLL
delref %SystemRoot%\FILEMANAGER\FILEMANAGERAPP.DLL
delref %Sys32%\WINDOWS.DEVICES.GEOLOCATION.DLL
delref %SystemRoot%\FILEMANAGER\DATAMODEL.DLL
delref %Sys32%\OCSETUP.EXE
delref %Sys32%\MSSHA.DLL
delref %Sys32%\IME\IMESC\IMSCTIP.DLL
delref %Sys32%\GEOFENCEMONITORSERVICE.DLL
delref %Sys32%\IME\IMESC\IMSCDICCOMPILER.EXE
delref %Sys32%\DRIVERS\UMDF\LOCATIONPROVIDER.DLL
delref %Sys32%\DHCPQEC.DLL
delref %Sys32%\WWANADVUI.DLL
delref %SystemDrive%\PROGRAM FILES\BATTLELOG WEB PLUGINS\2.1.4\NPESNLAUNCH.DLL
delref %SystemDrive%\PROGRAM FILES\BATTLELOG WEB PLUGINS\2.3.0\NPESNLAUNCH.DLL
delref %SystemDrive%\PROGRAM FILES\BATTLELOG WEB PLUGINS\2.3.2\NPBATTLELOG.DLL
delref %SystemDrive%\PROGRAM FILES\POKERSTARS.NET\POKERSTARSUPDATE.EXE
delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {DFEAF541-F3E1-4C24-ACAC-99C30715084A}\[CLSID]
delref %SystemRoot%\INF\UNREGMP2.EXE
delref %Sys32%\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\YANDEX\YANDEXDISK\BIN\YANDEXDISKOVERLAYS-2398.DLL
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref E:\ISKANDER\TEAMFORTESS 2\STEAMAPPS\COMMON\HEROES & GENERALS\HNGSERVICE.EXE
delref %SystemDrive%\PROGRAM FILES\MEGAFON MODEM\UPDATEDOG\OUC.EXE
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\EXTENSIONS\{972CE4C6-7E08-4474-A285-3208198CE6FD}.XPI
delref %SystemDrive%\USERS\ISKANDER\ФОТОШОП\ADOBE PHOTOSHOP CS3\PHOTOSHOP.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.145\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.22.5\PSMACHINE.DLL
delref %SystemDrive%\USERS\ISKANDER\APPDATA\ROAMING\ZONA\PLUGINS\ZBROADCAST\CODEC\ZCODEC.OCX
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
delref %SystemDrive%\USERS\ISKANDER\APPDATA\ROAMING\ZONA\PLUGINS\ZBROAD~1\ZBROAD~1.OCX
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.89\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.165\PSMACHINE.DLL
delref %Sys32%\DFPCOMMON.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.153\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.135\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.23.9\PSMACHINE.DLL
delref %Sys32%\WU.UPGRADE.PS.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\INSTALLER2\INSTALLER.{96D2184B-8C7C-449F-B708-74294D7DFD7C}\NVI2.DLL
delref %Sys32%\NVCUVENC.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.123\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemRoot%\MEDIAVIEWER\LOCKSCREENCAMERA.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.22.3\PSMACHINE.DLL
delref D:\SETUP.EXE
delref {7558B7E5-7B26-4201-BEDB-00D5FF534523}\[CLSID]
delref E:\ISKANDER\TEAMFORTESS 2\STEAMAPPS\COMMON\HEROES & GENERALS\HEROESANDGENERALSDESKTOP.EXE
delref E:\ISKANDER\LEGO THE LORD OF THE RINGS\LEGOLOTR.EXE
delref %SystemDrive%\USERS\ISKANDER\APPDATA\LOCAL\MEDIAGET2\MEDIAGET.EXE
delref D:\SPORE ANTHOLOGY SETUP.EXE
delref %SystemDrive%\USERS\ISKANDER\APPDATA\ROAMING\MAIL.RU\AGENT\MAGENTSETUP.EXE
delref %SystemDrive%\USERS\ISKANDER\APPDATA\LOCAL\MAIL.RU\GAMECENTER\[email protected]
delref %SystemDrive%\USERS\ISKANDER\APPDATA\LOCAL\MEDIAGET2\MEDIAGET-UNINSTALLER.EXE
delref E:\ISKANDER\WARTHUNDER\LAUNCHER.EXE
delref E:\ISKANDER\WARTHUNDER\UNINS000.EXE
delref E:\ISKANDER\WOW\WOWPLAUNCHER.EXE
delref E:\ISKANDER\WOW\UNINS000.EXE
delref E:\ISKANDER\TRUCKERSMP\LAUNCHER_ETS2MP.EXE
delref E:\THIS IS THE POLICE V1.1.3.0\POLICE.EXE
delref E:\ISKANDER\GAMES\UNBLADE.ISU
delref E:\ISKANDER\CITIES SKYLINES - DELUXE EDITION\CITIES.EXE
delref E:\ISKANDER\SID MEIERS CIVILIZATION BEYOND EARTH\CIVILIZATIONBE_DX11.EXE
delref E:\ISKANDER\CITIES SKYLINES - DELUXE EDITION\UNINS000.EXE
delref E:\ISKANDER\SID MEIERS CIVILIZATION BEYOND EARTH\UNINS000.EXE
delref %SystemDrive%\PROGRAM FILES\MEGAFON MODEM\MEGAFON MODEM.EXE
delref %SystemDrive%\PROGRAM FILES\MEGAFON MODEM\UNINST.EXE
delref E:\ISKANDER\MOUNT & BLADE - WARBAND\-SUSTEMSETUPIS\FIANNA_MB_KEY_REGISTER.EXE
delref E:\ISKANDER\MOUNT & BLADE - WARBAND\MODULES\FIANNA_FEUDAL_WORLD\BIN\MBUPDATER.EXE
delref E:\ISKANDER\MOUNT & BLADE - WARBAND\MODULES\FIANNA_MERCENARIES\BIN\MBUPDATER.EXE
delref E:\ISKANDER\MOUNT & BLADE - WARBAND\MODULES\FIANNA_NORDINVASION\BIN\MBUPDATER.EXE
delref E:\ISKANDER\MOUNT & BLADE - WARBAND\MB_WARBAND.EXE
delref E:\ISKANDER\MOUNT & BLADE - WARBAND\UNINS000.EXE
delref E:\ISKANDER\LEGO JURASSIC WORLD\LAUNCHER.EXE
delref E:\ISKANDER\SOUTH PARK.THE STICK OF TRUTH.V 1.0.1343 + 2 DLC\SOUTH PARK - THE STICK OF TRUTH.EXE
delref E:\ISKANDER\SOUTH PARK.THE STICK OF TRUTH.V 1.0.1343 + 2 DLC\UNINSTALL\UNINS000.EXE
delref E:\ISKANDER\RFACTOR\RF CONFIG.EXE
delref E:\ISKANDER\RFACTOR\RFACTOR DEDICATED.EXE
delref E:\ISKANDER\RFACTOR\RFACTOR.EXE
delref E:\ISKANDER\RFACTOR\UNINSTALL.EXE
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] mysa 1,2,3 и ok, c2.bat вирус обнаруживается на сервере, Майнеры криптовалют используют EternalBlue/DoublePulsar

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 27.08.2017 13:54:51

1. необходимо установить на сервер для вашей системы критическое обновление MS-2017-010, (и вообще на все ваши рабочие компутеры)
потому что вместо майнера может прилететь и WannaCry

https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

2. создайте образ автозапуска системы.
необходимо вычистить скрипты WMI, которые наверняка есть в системе, и периодически загружают вредоносные программы из сети,
на которые реагирует антивирус.

3. кроме того, если к серверу есть доступ из внешней сети, в этом случае одного функционала File Security недостаточно будет для безопасности ваших данных.
как минимум система должна быть защищена фаерволлом, правила которого разрешают доступ к RDP/SMB только с определенных адресов (IP).
------------
задачи эти известны.
прописываются сетевым червем при эксплуатации уязвимости вашей системы.
заодно вычистим и задачи, потому что они будут восстанавливаться, если мы не выполним пункты 1. и 2.

[ Как создать образ автозапуска? ]

Перейти