santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

Вирус скрыт под Svchost.exe

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 10.07.2016 03:06:25

ссылка на инструкцию "как создать образ автозапуска?" добавлена в подписи каждого моего сообщения.

Изменено: santy - 10.07.2016 15:04:32

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением *.enigma; *.1txt, enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 10.07.2016 02:40:37

Виктория,
что конкретно вы ходите удалить?
копии файлов *.enigma.backup_by_eset
которые остались после работы дешифратора?

можно применить такой скрипт:

Код
@ECHO OFF FOR %%f IN (C D E ) DO call :del_copy_enigma %%f goto eof :del_copy_enigma dir /B "%1:\"&& for /r "%1:\" %%i in (.enigma.) do ( echo "%%~fi" >>enigma1.txt del /f /q "%%~fi" ) :eof ECHO. ECHO FINISHED!

Код

@ECHO OFF

FOR %%f IN (C D E ) DO call :del_copy_enigma %%f
goto eof
:del_copy_enigma

dir /B "%1:\"&& for /r "%1:\" %%i in (*.enigma.*) do (
echo "%%~fi" >>enigma1.txt
del /f /q "%%~fi"
)
:eof
ECHO.
ECHO FINISHED!

здесь C D E в командной строке IN (C D E) - это список дисков, локальных и сетевых, на которых вы хотите удалить копии файлов с расширением *.enigma.*
строки кода сохраните в файл del_copy_enigma.bat и запустите его.

Изменено: santy - 10.07.2016 03:01:24

[ Как создать образ автозапуска? ]

Перейти

Вирус скрыт под Svchost.exe

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.07.2016 16:17:22

добавьте образ автозапуска
можно из безопасного режима системы

Изменено: santy - 09.07.2016 16:18:06

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением *.enigma; *.1txt, enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.07.2016 17:08:23

Вадим,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.4 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE zoo %Sys32%\NETUPDSRV.EXE addsgn 1AA3E79A5583D98CF42B254E3143FE86C9AA77B381AC48128D9A7B84B49771C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F879F23FE 8 NetworkUpdate.mbam zoo %Sys32%\NETHTSRV.EXE addsgn 1ABC099A5583D98CF42B254E3143FE86C9AA77B381AC48128D9A7B04549471C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F879F23FE 8 NetworkUpdate.mbam zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ВЛАДЕЛЕЦ\APPLICATION DATA\E53B8451-81DA-4AA3-D1C3-DA5710C770D5\E53B8451-81DA-4AA3-D1C3-DA5710C770D5.EXE addsgn 9252772A106AC1CC0BB4544E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 14 Adware.Downware.1528 [DrWeb] delall %SystemDrive%\DOCUMENTS AND SETTINGS\ВЛАДЕЛЕЦ\LOCAL SETTINGS\TEMP\ENIGMA.HTA ;------------------------autoscript--------------------------- chklst delvir setdns Подключение по локальной сети\4\{194E91AA-07FC-4B37-A19D-D588E524F1AC}\8.8.8.8,8.8.4.4 deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\ВЛАДЕЛЕЦ\LOCAL SETTINGS\APPLICATION DATA\UNITY\WEBPLAYER\LOADER delref HTTPS://ESTANOS.COM/INFORM/RECORD.RGB delref %SystemDrive%\DOCUME~1\7B5C~1\LOCALS~1\TEMP\A0C4A2A7605A88EDFAE1D9292AF3EDAE.EXE ; OffersWizard Network System Driver exec C:\Program Files\Common Files\Config\uninstinethnfd.exe ; Weatherbar exec MsiExec.exe /I{BE742AE3-0C95-46CC-B5C8-9F942FDD9360} /quiet ; etranslator exec C:\Documents and Settings\Владелец\Application Data\etranslator\etranslator.exe" /uninstall deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
zoo %Sys32%\NETUPDSRV.EXE
addsgn 1AA3E79A5583D98CF42B254E3143FE86C9AA77B381AC48128D9A7B84B49771C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F879F23FE 8 NetworkUpdate.mbam

zoo %Sys32%\NETHTSRV.EXE
addsgn 1ABC099A5583D98CF42B254E3143FE86C9AA77B381AC48128D9A7B04549471C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F879F23FE 8 NetworkUpdate.mbam

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ВЛАДЕЛЕЦ\APPLICATION DATA\E53B8451-81DA-4AA3-D1C3-DA5710C770D5\E53B8451-81DA-4AA3-D1C3-DA5710C770D5.EXE
addsgn 9252772A106AC1CC0BB4544E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 14 Adware.Downware.1528 [DrWeb]

delall %SystemDrive%\DOCUMENTS AND SETTINGS\ВЛАДЕЛЕЦ\LOCAL SETTINGS\TEMP\ENIGMA.HTA
;------------------------autoscript---------------------------

chklst
delvir

setdns Подключение по локальной сети\4\{194E91AA-07FC-4B37-A19D-D588E524F1AC}\8.8.8.8,8.8.4.4
deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\ВЛАДЕЛЕЦ\LOCAL SETTINGS\APPLICATION DATA\UNITY\WEBPLAYER\LOADER

delref HTTPS://ESTANOS.COM/INFORM/RECORD.RGB

delref %SystemDrive%\DOCUME~1\7B5C~1\LOCALS~1\TEMP\A0C4A2A7605A88EDFAE1D9292AF3EDAE.EXE

; OffersWizard Network System Driver
exec C:\Program Files\Common Files\Config\uninstinethnfd.exe
; Weatherbar
exec MsiExec.exe /I{BE742AE3-0C95-46CC-B5C8-9F942FDD9360} /quiet
; etranslator
exec C:\Documents and Settings\Владелец\Application Data\etranslator\etranslator.exe" /uninstall
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов, при наличие лицензии на продукт ESET обращайтесь в техподдержку [email protected]

от вас в техподдержку необходима следующая информация:
файл шифратора,
файл ENIGMA_NN.RSA
несколько зашифрованных файлов.

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением *.enigma; *.1txt, enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.07.2016 16:05:54

Цитата
Вадим Вадим написал: как собрать образ для очистки системы??

в моей подписи ссылка на тему "как создать образ автозапуска"

[ Как создать образ автозапуска? ]

Перейти

Защита от вирусов отключена. Ошибка инициализации модуля сканирования, Ошибка инициализации модуля сканирования на наличие вирусов. Большинство модулей ESET Endpiont Antivirus не будет функционировать должным образом.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.07.2016 09:15:10

может ОЗУ не достаточно на этом компьютере? + пробуйте обновить антивирус до 5.0.2260

Изменено: santy - 07.07.2016 09:15:41

[ Как создать образ автозапуска? ]

Перейти

зашифровано в [email protected]

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.07.2016 07:20:44

Цитата
Алекс Дёмин написал: А с расшифровкой что то можно сделать?

ждать, когда будет дешифратор
или за этой темой следите
http://www.bleepingcomputer.com/forums/t/617802/kozyjozy-ransomware-help-support-wjpg-31392e30362e32303136-num-lsbj1/

Изменено: santy - 07.07.2016 07:33:00

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением *.enigma; *.1txt, enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 06.07.2016 18:23:24

Ольга,
судя по образу система уже очищена от тел шифратора, за исключением ссылки на файл шифратора.

Цитата
Полное имя C:\DOCUME~1\WORK\LOCALS~1\TEMP\CBD0D7C4D3051665511BAF4E666172C9.EXE Имя файла CBD0D7C4D3051665511BAF4E666172C9.EXE Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске Удовлетворяет критериям RUN (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)] Сохраненная информация на момент создания образа Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске Инф. о файле Не удается найти указанный файл. Цифр. подпись проверка не производилась Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Путь до файла Типичен для вирусов и троянов Ссылки на объект Ссылка HKEY_USERS\S-1-5-21-484763869-651377827-1417001333-1003\Software\Microsoft\Windows\CurrentVersion\Run\dedbdebfcb dedbdebfcb "C:\DOCUME~1\Work\LOCALS~1\Temp\cbd0d7c4d3051665511baf4e666172c9.exe"

Цитата

Полное имя C:\DOCUME~1\WORK\LOCALS~1\TEMP\CBD0D7C4D3051665511BAF4E666172C9.EXE
Имя файла CBD0D7C4D3051665511BAF4E666172C9.EXE
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Удовлетворяет критериям
RUN (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Инф. о файле Не удается найти указанный файл.
Цифр. подпись проверка не производилась

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла Типичен для вирусов и троянов

Ссылки на объект
Ссылка HKEY_USERS\S-1-5-21-484763869-651377827-1417001333-1003\Software\Microsoft\Windows\CurrentVersion\Run\dedbdebfcb
dedbdebfcb "C:\DOCUME~1\Work\LOCALS~1\Temp\cbd0d7c4d3051665511baf4e666172c9.exe"

---------------
поэтому вам лучше сейчас собрать необходимые файлы и отправить в техподдержку.
(если это еще не сделано)
(при наличие лицензии на продукт ESET)

если же сделано, то я могу добавить скрипт очистки от мусора в системе.

Изменено: santy - 06.07.2016 18:23:43

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением *.enigma; *.1txt, enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 06.07.2016 17:18:14

Ольга Дергунова,

по очистке системы от остатков шифратора добавьте образ автозапуска системы.

по расшифровке документов, при наличие лицензии на продукт ESET обращайтесь в техподдержку [email protected]

от вас в техподдержку необходима следующая информация:
файл шифратора,
файл ENIGMA_NN.RSA
несколько зашифрованных файлов.

Изменено: santy - 07.07.2016 17:08:47

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением *.enigma; *.1txt, enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 06.07.2016 15:32:59

Максим,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.4 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE zoo %SystemDrive%\USERS\ЕВГЕНИЙ\APPDATA\LOCAL\TEMP\ENIGMA.HTA delall %SystemDrive%\USERS\ЕВГЕНИЙ\APPDATA\LOCAL\TEMP\ENIGMA.HTA ;------------------------autoscript--------------------------- chklst delvir delref %SystemDrive%\USERS\ЕВГЕНИЙ\APPDATA\LOCAL\TEMP\891B896834E0694E0E4383F547177D23.EXE deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %SystemDrive%\USERS\ЕВГЕНИЙ\APPDATA\LOCAL\TEMP\ENIGMA.HTA
delall %SystemDrive%\USERS\ЕВГЕНИЙ\APPDATA\LOCAL\TEMP\ENIGMA.HTA
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\USERS\ЕВГЕНИЙ\APPDATA\LOCAL\TEMP\891B896834E0694E0E4383F547177D23.EXE

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке:

от вас в техподдержку необходима следующая информация:
файл шифратора,
файл ENIGMA_NN.RSA
несколько зашифрованных файлов.

в ответ,
ждите декодер и ключ +инструкцию от техподдержки

Изменено: santy - 06.07.2016 16:10:25

[ Как создать образ автозапуска? ]

Перейти