santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] из за вирусов не стартует explorer.exe

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.12.2016 06:11:40

а в безопасный режим загружается рабочий стол?

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] из за вирусов не стартует explorer.exe

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.12.2016 06:02:57

вижу что образ был создан из под winpe.
система так и не грузится после удаления AC(Yet Another Cleaner!)?
от Касперского
Kaspersky Endpoint Security 10 for Windows
похоже здесь остались тольк рожки да ножки .

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] из за вирусов не стартует explorer.exe

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.12.2016 05:21:24

эту программу деинсталлируйте из безопасного режима системы
YAC(Yet Another Cleaner!)
потом добавьте новый образ автозапуска.

[ Как создать образ автозапуска? ]

Перейти

win32/kryptik.fkqa, ESET Smart Security блокирует

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.12.2016 04:30:00

Alan Prost,
логи по FRST добавьте на форум.

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007, Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.12.2016 04:28:40

Цитата
борис Моисеев написал: Попался шифровщик троян . Файл "NO_MORE_RANSOM" (.no_more_ransom). помогите с расшифровкой. есть зараженные и оригинальные файлы

Борис Моисеев,
добавьте образ автозапуска системы,
возможно в системе есть еще тела шифратора.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] много вирусни

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 30.11.2016 12:18:39

да, закрываем.
третий комп после взноса в юанях

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] много вирусни

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 30.11.2016 11:54:49

да, непонятно, что это за сервис, хотя антивирусы молчат по нему.
C:\PROGRAM FILES (X86)\POPAPP\QUARTZMIDIMAPSCHED.EXE

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.8 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE delall %SystemDrive%\PROGRAM FILES (X86)\WALALALA CO\AMULECUSTOM\ED2K.EXE delall %SystemDrive%\PROGRAM FILES (X86)\POPAPP\QUARTZMIDIMAPSCHED.EXE delall %SystemDrive%\PROGRAM FILES (X86)\MYGOYA\KMPFASTER\SERVICEPROVIDER.EXE delall %SystemDrive%\PROGRAM FILES (X86)\MYGOYA\KMPFASTER\KMPFASTER.EXE deltmp delnfr restart

Код


;uVS v3.87.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
delall %SystemDrive%\PROGRAM FILES (X86)\WALALALA CO\AMULECUSTOM\ED2K.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\POPAPP\QUARTZMIDIMAPSCHED.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\MYGOYA\KMPFASTER\SERVICEPROVIDER.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\MYGOYA\KMPFASTER\KMPFASTER.EXE
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
------------

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] много вирусни

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 30.11.2016 11:33:28

добавьте новый образ автозапуска для контроля, посмотрю, может еще что-то осталось.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] много вирусни

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 30.11.2016 11:14:00

6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Код
GroupPolicy: Restriction <======= ATTENTION GroupPolicy\User: Restriction <======= ATTENTION FF Extension: (SimilarWeb) - C:\Users\Кристина\AppData\Roaming\Firefox\Firefox\Profiles\41A66E7E5EE1\Extensions\@DA3566E2-F709-11E5-8E87-A604BC8E7F8B.xpi [2016-10-05] [not signed] FF Extension: (GsearchFinder) - C:\Users\Кристина\AppData\Roaming\Firefox\Firefox\Profiles\41A66E7E5EE1\Extensions\@E9438230-A7DF-4D1F-8F2D-CA1D0F0F7924.xpi [2016-03-01] FF Extension: (FF Adr) - C:\Users\Кристина\AppData\Roaming\Firefox\Firefox\Profiles\41A66E7E5EE1\Extensions\@H99KV4DO-UCCF-9PFO-9ZLK-8RRP4FVOKD9O.xpi [2016-10-05] [not signed] FF Extension: (Advanced SystemCare Surfing Protection) - C:\Users\Кристина\AppData\Roaming\Firefox\Firefox\Profiles\41A66E7E5EE1\Extensions\[email protected] [2016-09-20] [not signed] FF Extension: (No Name) - C:\Program Files (x86)\BetterSurf\BetterSurfPlusV1\ff [not found] FF Extension: (No Name) - C:\Program Files (x86)\VideoPlayerV3\VideoPlayerV3beta1714\ff [not found] FF Extension: (No Name) - C:\Program Files (x86)\MediaViewerV1\MediaViewerV1alpha1854\ff [not found] FF Extension: (No Name) - C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha9148\ff [not found] FF Extension: (No Name) - C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha3577\ff [not found] CHR HKLM\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka CHR HKLM-x32\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka CHR DefaultSearchURL: Default -> hxxp://www.amisites.com/search/?type=ds&ts=1479811693&z=6099462040046d3dfa1dc73gez0m1t6b6g7gaq4t9g&from=che0812&uid=HGSTXHTS545050A7E680_TMA55DTF14VNGR14VNGRX&q={searchTerms} CHR DefaultSearchKeyword: Default -> amisites EmptyTemp: Reboot:

Код

GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
FF Extension: (SimilarWeb) - C:\Users\Кристина\AppData\Roaming\Firefox\Firefox\Profiles\41A66E7E5EE1\Extensions\@DA3566E2-F709-11E5-8E87-A604BC8E7F8B.xpi [2016-10-05] [not signed]
FF Extension: (GsearchFinder) - C:\Users\Кристина\AppData\Roaming\Firefox\Firefox\Profiles\41A66E7E5EE1\Extensions\@E9438230-A7DF-4D1F-8F2D-CA1D0F0F7924.xpi [2016-03-01]
FF Extension: (FF Adr) - C:\Users\Кристина\AppData\Roaming\Firefox\Firefox\Profiles\41A66E7E5EE1\Extensions\@H99KV4DO-UCCF-9PFO-9ZLK-8RRP4FVOKD9O.xpi [2016-10-05] [not signed]
FF Extension: (Advanced SystemCare Surfing Protection) - C:\Users\Кристина\AppData\Roaming\Firefox\Firefox\Profiles\41A66E7E5EE1\Extensions\[email protected] [2016-09-20] [not signed]
FF Extension: (No Name) - C:\Program Files (x86)\BetterSurf\BetterSurfPlusV1\ff [not found]
FF Extension: (No Name) - C:\Program Files (x86)\VideoPlayerV3\VideoPlayerV3beta1714\ff [not found]
FF Extension: (No Name) - C:\Program Files (x86)\MediaViewerV1\MediaViewerV1alpha1854\ff [not found]
FF Extension: (No Name) - C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha9148\ff [not found]
FF Extension: (No Name) - C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha3577\ff [not found]
CHR HKLM\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka
CHR HKLM-x32\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka
CHR DefaultSearchURL: Default -> hxxp://www.amisites.com/search/?type=ds&ts=1479811693&z=6099462040046d3dfa1dc73gez0m1t6b6g7gaq4t9g&from=che0812&uid=HGSTXHTS545050A7E680_TMA55DTF14VNGR14VNGRX&q={searchTerms}
CHR DefaultSearchKeyword: Default -> amisites
EmptyTemp:
Reboot:

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] много вирусни

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 30.11.2016 10:37:20

да, теперь FRST

Цитата
далее, 5.сделайте проверку в FRST http://forum.esetnod32.ru/forum9/topic2798/

[ Как создать образ автозапуска? ]

Перейти