santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

обнаружена троянская программа и вылетает переодически проводник, обнаружена троянская программа и вылетает переодически проводник

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 02.12.2016 11:39:45

+
добавьте лог журнала обнаружения угроз,
http://forum.esetnod32.ru/forum9/topic1408/

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 02.12.2016 10:23:00

Александр М,
по расшифровке обращайтесь в [email protected]

добавить в сообщение номер лицензии,
несколько зашифрованных файлов в архиве,
соответственно чистые оригиналы этих файлов (если есть) в архиве,
файл шифратора в архиве с паролем infected (если сохранился)
+
лог ESET log collector, сделанный на пострадавшей от шифратора системе.
https://download.eset.com/special/logcollector/ESETLogCollector_rus.exe

[ Как создать образ автозапуска? ]

Перейти

новый вариант VAULT от 2ноября 2015г., Filecoder.FH

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 02.12.2016 07:09:12

Цитата
Vitokhv написал: Значит для старых VAULT программа GnuPG поможет. Посмотрим какие проблемы будут с новыми.

поможет, в том случае если будет найден соответствующий secring.gpg

[ Как создать образ автозапуска? ]

Перейти

новый вариант VAULT от 2ноября 2015г., Filecoder.FH

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 02.12.2016 06:45:59

добавлю, что возможно появление нового шифратора MATRIX, в котором используется шифрование GnuPG
https://twitter.com/rommeljoven17/status/804251901529231360

Цитата
Внимание! Все Вашu файлы были зашифpoваны. Чmoбы раcшифрoвать uх, Вам нeoбхoдимo omnравить код: ID-D31FE624BF22D8AF на электpoнный адрес: [email protected] Далeе в oтвeтнoм пиcьмe вы noлyчите вce нeoбxoдuмые uнстpyкцuu. Пonыmku расшифрoвать самocmoяmeльнo не пpuвeдym ни k чемy, kрoмe безвoзвpатнoй noтeри инфoрмацuи. Ecли вы вcё же xomиme nonыmаmьcя, тo пpедваритeльнo cдeлайтe pезервныe konиu файлoв, uначe в слyчаe ux изменeнuя раcшифрoвка станeт нeвoзмoжнoй ни при каkuх ycлoвuяx. Еcли вы не noлyчuлu oтвета пo вышеykазаннoмy адpecy в течениe 24 чаcoв (и тoльko в этoм случае!), вoспoльзуйmecь резервнoй пoчтoй: [email protected] Аttеntiоn! Аll yоur filеs wаs еnсryрtеd. Tо dесryрt thе filеs, Yоu hаvе to shоuld sеnd thе fоllоwing cоdе: ID-D31FE624BF22D8AF tо е-mаil аddrеss: [email protected] Thеn Yоu will rеciеvе аll nеcеssаry instruсtiоns. Аll thе аttеmpts оf dесryptiоn by yоursеlf will rеsult оnly in irrеvосаble lоss оf yоur dаtа. If yоu still wаnt tо try tо dеcrypt thеm by yоursеlf plеаsе mаkе а bаckup аt first bеcаusе thе dесryptiоn will bеcоmе impоssiblе in cаsе оf аny chаngеs insidе thе filеs. If yоu did nоt rеcеivе thе аnswеr frоm thе аfоrеcitеd еmаil fоr mоrе thоn 24 hеurs (аnd оnly in this cаsе!), usе thе rеsеrvе е-mаil аddrеss: [email protected]

Цитата

Внимание! Все Вашu файлы были зашифpoваны.
Чmoбы раcшифрoвать uх, Вам нeoбхoдимo omnравить код:
ID-D31FE624BF22D8AF
на электpoнный адрес: [email protected]
Далeе в oтвeтнoм пиcьмe вы noлyчите вce нeoбxoдuмые uнстpyкцuu.
Пonыmku расшифрoвать самocmoяmeльнo не пpuвeдym ни k чемy, kрoмe безвoзвpатнoй noтeри инфoрмацuи.
Ecли вы вcё же xomиme nonыmаmьcя, тo пpедваритeльнo cдeлайтe pезервныe konиu файлoв, uначe в слyчаe ux изменeнuя раcшифрoвка станeт нeвoзмoжнoй ни при каkuх ycлoвuяx.
Еcли вы не noлyчuлu oтвета пo вышеykазаннoмy адpecy в течениe 24 чаcoв (и тoльko в этoм случае!), вoспoльзуйmecь резервнoй пoчтoй:
[email protected]

Аttеntiоn! Аll yоur filеs wаs еnсryрtеd.
Tо dесryрt thе filеs, Yоu hаvе to shоuld sеnd thе fоllоwing cоdе:
ID-D31FE624BF22D8AF
tо е-mаil аddrеss: [email protected]
Thеn Yоu will rеciеvе аll nеcеssаry instruсtiоns.
Аll thе аttеmpts оf dесryptiоn by yоursеlf will rеsult оnly in irrеvосаble lоss оf yоur dаtа.
If yоu still wаnt tо try tо dеcrypt thеm by yоursеlf plеаsе mаkе а bаckup аt first bеcаusе thе dесryptiоn will bеcоmе impоssiblе in cаsе оf аny chаngеs insidе thе filеs.
If yоu did nоt rеcеivе thе аnswеr frоm thе аfоrеcitеd еmаil fоr mоrе thоn 24 hеurs (аnd оnly in this cаsе!), usе thе rеsеrvе е-mаil аddrеss:
[email protected]

[ Как создать образ автозапуска? ]

Перейти

новый вариант VAULT от 2ноября 2015г., Filecoder.FH

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 02.12.2016 06:42:08

Виктор,
VAULT не использует шифрование GnuPG начиная со 2 ноября 2015 года,
соответственно ответ - не поможет.

[ Как создать образ автозапуска? ]

Перейти

Самопроизвольное открытие Гуглхром переход на страницу http://news-first.com/veigar, Самопроизвольный запуск браузера Гуглхром, блокировка в Нод32 не работает

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 02.12.2016 04:38:52

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.8 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir delref %SystemDrive%\USERS\9C7C~1\APPDATA\LOCAL\TEMP\CHROME_BITS_3028_31763\EXTENSION_0_54_41_1881.CRX delref HTTP://NEWS-FIRST.COM/VEIGAR deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\USERS\9C7C~1\APPDATA\LOCAL\TEMP\CHROME_BITS_3028_31763\EXTENSION_0_54_41_1881.CRX
delref HTTP://NEWS-FIRST.COM/VEIGAR

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Перейти

Файл ekrn.exe грузит 99% ram после открытия хрома

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 02.12.2016 01:26:48

Код
;uVS v3.87.8 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir deldirex %SystemDrive%\USERS\МАКСИМ\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER deldirex %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAONEDLCHKBICMHEPIMIAHFALHEEDJGBH%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPPOILMFKBPCKODOIFDLKMKEPCAJFJMHL%26INSTALLSOURCE%3DONDEMAND%26UC regt 27 deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\USERS\МАКСИМ\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

deldirex %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAONEDLCHKBICMHEPIMIAHFALHEEDJGBH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPPOILMFKBPCKODOIFDLKMKEPCAJFJMHL%26INSTALLSOURCE%3DONDEMAND%26UC

regt 27
deltmp
delnfr
;-------------------------------------------------------------

restart

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] из за вирусов не стартует explorer.exe

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.12.2016 12:23:29

если проблем сейчас нет, то на этом все.
комп сейчас без антивирусника,
поэтому рекомендуем установить антивирусную программу, и выполнить наши рекомендации
по безопасной работе
https://forum.esetnod32.ru/forum9/topic12354/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] из за вирусов не стартует explorer.exe

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.12.2016 12:16:51

6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Код
GroupPolicy: Restriction ? <======= ATTENTION GroupPolicy\User: Restriction ? <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION CHR Extension: (Smart Browser™) - C:\Users\user\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2\Extensions\iabeihobmhlgpkcgjiloemdbofjbdcic [2016-04-26] CHR Extension: (Smart Browser™) - C:\Users\user\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2\Extensions\ihmgiclibbndffejedjimfjmfoabpcke [2016-04-29] CHR Extension: (Ultimate Discounter) - C:\Users\user\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2\Extensions\ckcmdpmhiekiihmfjffdehhbhgllpapg [2015-05-30] CHR Extension: (blacount) - C:\Users\user\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2\Extensions\ecljapgcebeghdgfjacldomhcnlemkmk [2016-04-14] CHR Extension: (Clipmate media files saver) - C:\Users\user\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2\Extensions\gocgbnckcebedcielkcikcjbmgejaknb [2016-05-16] OPR Extension: (blacount) - C:\Users\user\AppData\Roaming\Opera Software\Opera Stable\Extensions\ecljapgcebeghdgfjacldomhcnlemkmk [2016-02-07] OPR Extension: (Clipmate media files saver) - C:\Users\user\AppData\Roaming\Opera Software\Opera Stable\Extensions\gocgbnckcebedcielkcikcjbmgejaknb [2016-05-16] Task: {3F7067B3-7E56-4E32-8561-49A5B889DAF8} - \SystemMonitor2016 -> No File <==== ATTENTION Task: {67EF4013-AC87-4ED0-9EB0-9B649A4DD498} - System32\Tasks\Microsoft\Windows\Multimedia\FreeVPN => C:\Users\user\AppData\Roaming\FreeVPN\FreeVPN.exe <==== ATTENTION Task: {71D8D5F0-C99D-415B-AB44-8F70DADD41D9} - System32\Tasks\{F768CA74-3C5C-4EFB-9612-A7A1BCD327BA} => pcalua.exe -a "C:\Program Files\Sound+\uninstaller.exe" EmptyTemp: Reboot:

Код

GroupPolicy: Restriction ? <======= ATTENTION
GroupPolicy\User: Restriction ? <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR Extension: (Smart Browser™) - C:\Users\user\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2\Extensions\iabeihobmhlgpkcgjiloemdbofjbdcic [2016-04-26]
CHR Extension: (Smart Browser™) - C:\Users\user\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2\Extensions\ihmgiclibbndffejedjimfjmfoabpcke [2016-04-29]
CHR Extension: (Ultimate Discounter) - C:\Users\user\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2\Extensions\ckcmdpmhiekiihmfjffdehhbhgllpapg [2015-05-30]
CHR Extension: (blacount) - C:\Users\user\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2\Extensions\ecljapgcebeghdgfjacldomhcnlemkmk [2016-04-14]
CHR Extension: (Clipmate media files saver) - C:\Users\user\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2\Extensions\gocgbnckcebedcielkcikcjbmgejaknb [2016-05-16]
OPR Extension: (blacount) - C:\Users\user\AppData\Roaming\Opera Software\Opera Stable\Extensions\ecljapgcebeghdgfjacldomhcnlemkmk [2016-02-07]
OPR Extension: (Clipmate media files saver) - C:\Users\user\AppData\Roaming\Opera Software\Opera Stable\Extensions\gocgbnckcebedcielkcikcjbmgejaknb [2016-05-16]
Task: {3F7067B3-7E56-4E32-8561-49A5B889DAF8} - \SystemMonitor2016 -> No File <==== ATTENTION
Task: {67EF4013-AC87-4ED0-9EB0-9B649A4DD498} - System32\Tasks\Microsoft\Windows\Multimedia\FreeVPN => C:\Users\user\AppData\Roaming\FreeVPN\FreeVPN.exe <==== ATTENTION
Task: {71D8D5F0-C99D-415B-AB44-8F70DADD41D9} - System32\Tasks\{F768CA74-3C5C-4EFB-9612-A7A1BCD327BA} => pcalua.exe -a "C:\Program Files\Sound+\uninstaller.exe"

EmptyTemp:
Reboot:

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] из за вирусов не стартует explorer.exe

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.12.2016 11:06:37

хорошо,
далее это еще сделайте

Цитата
5.сделайте проверку в FRST http://forum.esetnod32.ru/forum9/topic2798/

[ Как создать образ автозапуска? ]

Перейти