Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 305 306 307 308 309 310 311 312 313 314 315 ... 1784 След.
зашифровано в Spora
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 09.02.2017 15:08:40
да, в ярлыке прописан запуск шифратора из  %temp%,
хотя в некоторых других ярлыках каталогов может быть прописан запуск шифратор с рабочего стола. (сам файл скрытый, и может быть не виден на рабочем столе).

образы сейчас проверю.
[ Как создать образ автозапуска? ]
Перейти
зашифровано в Spora
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 09.02.2017 11:17:14
Валентина,
ссылка на инструкцию "как создать образ автозапуска" есть в каждом моем сообщении
[ Как создать образ автозапуска? ]
Перейти
зашифровано в Spora
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 09.02.2017 10:41:04
Валентина,
сделайте образы автозапуска системы с зашифрованных ПК. можно из безопасного режима системы.
но только аккуратно на них надо работать, не через проводник, в через файловый менеджер, например через far,
чтобы вы видели скрытые каталоги, и не нажимали на lnk файлы, которые имитируют, что они и есть папки, а на самом деле, это ярлыки, которые так же могут запускать тело шифратора, если оно не было удалено.
[ Как создать образ автозапуска? ]
Перейти
зашифровано в Spora
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 09.02.2017 09:50:37
У Дрвеб, версии 11 вроде должны быть настройки по автоматической архивации данных, т.е. защищенное хранилище документов.
[ Как создать образ автозапуска? ]
Перейти
зашифровано в Spora
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 09.02.2017 09:23:54
Кирилл Титов,
по очистке системы выполните,


выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %SystemDrive%\USERS\ОЛЯ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\RU08D-29OKH-HFTXO-HZTXE-TRRAH-RTREZ-GGTRO-ZGYYY.HTML
delall %SystemDrive%\USERS\ОЛЯ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\RU08D-29OKH-HFTXO-HZTXE-TRRAH-RTREZ-GGTRO-ZGYYY.HTML
delref 2A6B3D08189E9EDE.EXE
delall %SystemDrive%\USERS\521F~1\APPDATA\LOCAL\TEMP\2A6B3D08189E9EDE.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJGGBJBMNFMIPGCANIDAMJFPECHDEEKOI%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\ОЛЯ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NEHAPOFAKGHLJOPFEGJOGPGPELJKHJJN\8.22.5_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
+
поскольку у вас установлен другой антивирус, рекомендуем выполнить проверку он_лайн сканером ESET
после Spora как правило остается несколько тел шифратора.
+
http://download.eset.com/special/eos/ESETOnlineScanner_RUS.exe
+
вопрос: DrWeb у вас в рабочем состоянии или в автозапуске только неудаленные остатки от антивируса?
+
еще вопрос:
пользователь работал под ограниченной учеткой?
если да, то имеет смысл проверить теневые копии, возможно они не были удалены.
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Информационное окно
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 09.02.2017 09:01:24
Можно просто в нижней панели, где отображаются  отрытые окна, закрыть это окно.
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Информационное окно
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 09.02.2017 05:14:40
Цитата
Михаил Г написал:
День добрый! Несколько дней выскакивает информационное окно, иногда вообще без сообщения, без выбора каких либо действий и крестика для закрытия.
Приходится потрудиться ,чтобы его закрыть, иногда вообще не получается его убрать.

Win 10 x64
Smart Security 10.0.390.0 (но так же вела себя на предыдущей версии)

да, есть такое и в Win7x64, появилось в предыдущей версии несколько дней назад (1-2), и после обновления на билд 390.
при нажатии на "дополнительные сведения о..." загружается веб-страница помощи.
закрывается через нижнюю панель.
но смысл этого сообщения непонятен.
может открыться при загрузке системы.
[ Как создать образ автозапуска? ]
Перейти
зашифровано в Spora
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 08.02.2017 19:11:42
Цитата
Питер Дункан написал:
В файлах найдены вредоносные программы
poki3.exe - Trojan-Ransom.Win32.Spora.bn
если нужна помощь в очистке системы, добавьте образ автозапуска.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007, Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 08.02.2017 19:06:44
Елена,
судя по образу автозапуска, файлов шифратора уже нет в системе.

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAMINLPMKFCDIBGPGFAJLGNAMICJCKKJF%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGOJNMEMGACLIIFIHCAGIJAADGPEIOOOA%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHHJMIHALFDOCHHINHFOGCIAAFPPFGPJJ%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIMKMHBBGJGKBKPAJMNFEEBDODFCELMDM%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLBJJFIIHGFEGNIOLCKPHPNFAOKDKBMDM%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLIFBCIBLLHKDHOAFPJFNLHFPFGNPLDFL%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMOFCKLFFFFGBDGNOIPDOKCCLBHOMKPIE%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DODIJCGAFKHPOBJLNFDGIACPDENPMBGME%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPHKDCINMMLJBLPNKOHLIPAIODLONPINF%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPMPOAAHLECCAIBBHFJFIMIGEPMFMMBBK%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB\7.0.25_0\ПОИСК MAIL.RU

delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LALFIODOHDGAEJJCCFGFMMNGGGPPLMHP\8.22.1_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PHKDCINMMLJBLPNKOHLIPAIODLONPINF\11.0.3_0\ПОИСК MAIL.RU

delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\MDPLJNDCMBEIKFNLFLCGGAIPGNHIEDBL\6.80_0\SAVEFROM.NET ПОМОЩНИК

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDHDGFFKKEBHMKFJOJEJMPBLDMPOBFKFO%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFCFENMBOOJPJINHPGGGODEFCCIPIKBPD%26INSTALLSOURCE%3DONDEMAND%26UC

regt 27
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке не поможем.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007, Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 06.02.2017 18:23:42
Цитата
Олег Назаренко написал:
Уважаемый santy!

Если файлов шифратора нет в системе. Я могу пользоваться своим ПК без опаски и ограничений?
да, можете. зашифрованные файлы из важных папок + файлы README*.txt сохраните на отдельный носитель, возможно, когда нибудь будет расшифровка.
и можете продолжать работу.
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 305 306 307 308 309 310 311 312 313 314 315 ... 1784 След.