santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] Сообщение на китайском и незакрываемое окно

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 17.03.2017 16:49:26

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.9 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v388c OFFSGNSAVE zoo %SystemDrive%\PROGRAM FILES (X86)\THINKSKY\ITOOLS 3\ITOOLSDAEMON.EXE addsgn 1A0C749A5583278FF42B5194747A5305AE75A97D657BF35086C3C51F40BB334CAA1ACF3A7C55145C23EDC69FCF0B4D973FDF614755B7F22CA44A5843850644FF 8 Adware.Mutabaha.904 [DrWeb] ;------------------------autoscript--------------------------- chklst delvir delref %SystemDrive%\PROGRAM FILES (X86)\THINKSKY\ITOOLS 3\EXTENSIONS\ITOOLSBHO64.DLL del %SystemDrive%\PROGRAM FILES (X86)\THINKSKY\ITOOLS 3\EXTENSIONS\ITOOLSBHO64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\THINKSKY\ITOOLS 3\EXTENSIONS\ITOOLSBHO.DLL del %SystemDrive%\PROGRAM FILES (X86)\THINKSKY\ITOOLS 3\EXTENSIONS\ITOOLSBHO.DLL deldirex %SystemDrive%\USERS\USER\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDLJDACFOJGIKOGLDJFFNKDCIELNKLKCE%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DICANJJKADCEEBMHANPEKKOFDHCLNOIJL%26INSTALLSOURCE%3DONDEMAND%26UC del D:\GOOGLE CHROME\CHROME.BAT regt 28 regt 29 ; Mobogenie3 exec C:\Program Files (x86)\Mobogenie3\Uninstall.exe deltmp delnfr ;------------------------------------------------------------- regt 27 restart

Код


;uVS v3.87.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v388c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES (X86)\THINKSKY\ITOOLS 3\ITOOLSDAEMON.EXE
addsgn 1A0C749A5583278FF42B5194747A5305AE75A97D657BF35086C3C51F40BB334CAA1ACF3A7C55145C23EDC69FCF0B4D973FDF614755B7F22CA44A5843850644FF 8 Adware.Mutabaha.904 [DrWeb]

;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAM FILES (X86)\THINKSKY\ITOOLS 3\EXTENSIONS\ITOOLSBHO64.DLL
del %SystemDrive%\PROGRAM FILES (X86)\THINKSKY\ITOOLS 3\EXTENSIONS\ITOOLSBHO64.DLL

delref %SystemDrive%\PROGRAM FILES (X86)\THINKSKY\ITOOLS 3\EXTENSIONS\ITOOLSBHO.DLL
del %SystemDrive%\PROGRAM FILES (X86)\THINKSKY\ITOOLS 3\EXTENSIONS\ITOOLSBHO.DLL

deldirex %SystemDrive%\USERS\USER\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDLJDACFOJGIKOGLDJFFNKDCIELNKLKCE%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DICANJJKADCEEBMHANPEKKOFDHCLNOIJL%26INSTALLSOURCE%3DONDEMAND%26UC

del D:\GOOGLE CHROME\CHROME.BAT

regt 28
regt 29
; Mobogenie3
exec  C:\Program Files (x86)\Mobogenie3\Uninstall.exe
deltmp
delnfr
;-------------------------------------------------------------

regt 27
restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Сообщение на китайском и незакрываемое окно

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 17.03.2017 14:08:51

Максим,
добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/
+
добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007, Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 17.03.2017 14:07:21

Алексей,
добавьте образ автозапуска, возможно в системе еще есть файлы шифратора.
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Перейти

Адрес заблокирован

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 17.03.2017 03:53:41

6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Код
GroupPolicy: Restriction <======= ATTENTION GroupPolicy\User: Restriction <======= ATTENTION FirewallRules: [{503156E7-70B9-4EBC-8306-3EB062B14EEC}] => (Allow) C:\Program Files\UBar\ubar.exe EmptyTemp: Reboot:

Код

GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
FirewallRules: [{503156E7-70B9-4EBC-8306-3EB062B14EEC}] => (Allow) C:\Program Files\UBar\ubar.exe
EmptyTemp:
Reboot:

[ Как создать образ автозапуска? ]

Перейти

подскажите

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 16.03.2017 05:03:00

https://forum.esetnod32.ru/forum9/topic8267/
https://forum.esetnod32.ru/forum9/topic11235/

[ Как создать образ автозапуска? ]

Перейти

Адрес заблокирован

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 16.03.2017 04:32:55

Все логи сразу не нужны, в стартовой теме нужен только образ автозапуска,
остальные логи запрашиваются по мере необходимости, и для контроля хода очистки системы.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.9 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEHFJIHAHBPHDPLJPIADBKMGMHNFEHHGI%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://NON-BLOCK.NET/WPAD.DAT?2B36AB6D1C4BD6F26D39BE3D03188ACD16717189 delref H:\STARTME.EXE delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLMJEGMLICAMNIMMFHCMPKCLMIGMMCBEH%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP:\\TECH-CONNECT.BIZ\?SSID=1474207761&A=1054667&SRC=SH&UUID=35EDFF3D-1CE7-4C4F-9A46-7F96DCD5C2DA,1474207718343 deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEHFJIHAHBPHDPLJPIADBKMGMHNFEHHGI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://NON-BLOCK.NET/WPAD.DAT?2B36AB6D1C4BD6F26D39BE3D03188ACD16717189

delref H:\STARTME.EXE

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLMJEGMLICAMNIMMFHCMPKCLMIGMMCBEH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP:\\TECH-CONNECT.BIZ\?SSID=1474207761&A=1054667&SRC=SH&UUID=35EDFF3D-1CE7-4C4F-9A46-7F96DCD5C2DA,1474207718343

deltmp
delnfr
;-------------------------------------------------------------

restart

[ Как создать образ автозапуска? ]

Перейти

Заблокирован жесткий диск

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 15.03.2017 12:49:43

добавьте образ автозапуска вашей системы
http://forum.esetnod32.ru/forum9/topic2687/

+
на диск D пока ничего не пишите, если файлы были перемещены, то возможно их можно будет восстановить из удаленных.

[ Как создать образ автозапуска? ]

Перейти

Заблокирован жесткий диск

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 15.03.2017 12:40:06

откуда перенесены данные: с системного раздела, или с других разделов или дисков?

[ Как создать образ автозапуска? ]

Перейти

ESS5 заблокировал доступ к сайту http://etprf.ru как потенциально опасному

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 15.03.2017 09:49:37

Цитата
Электронная торговая площадка ETPRF, специализирующая на торгово-закупочных процедурах юридических лиц, осуществляющихся в соответствии с 223-ФЗ, начала свое сотрудничество с Ассоциацией Электронных Торговых Площадок (АЭТП).

Цитата

Электронная торговая площадка ETPRF, специализирующая на торгово-закупочных процедурах юридических лиц, осуществляющихся в соответствии с 223-ФЗ, начала свое сотрудничество с Ассоциацией Электронных Торговых Площадок (АЭТП).

Если есть контакт с сотрудниками данной площадки, напишите им в электронную почту, возможно был взлом сайта.

[ Как создать образ автозапуска? ]

Перейти

не загружается система, главная

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 15.03.2017 04:48:09

проверить жесткий диск на ошибки:
https://support.microsoft.com/ru-ru/help/2641432/check-your-hard-disk-for-errors-in-windows-7

проверка памяти на ошибки:
http://netler.ru/ikt/windows7-mdsched.htm

[ Как создать образ автозапуска? ]

Перейти