santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

не является приложением Win32, установил приложение первый раз запустилось на следующий день не запускалось помогите пожалуйсто

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.06.2016 15:37:47

у вас файловое заражение jeffo
Win32/Jeefo.A [ESET-NOD32]
лечите систему из под загрузочного диска
http://chklst.ru/discussion/13/eset-sysrescue-na-baze-linux-ot-eset-russia#latest

после полной проверки и очистки диска, добавьте новый образ автозапуска

Изменено: santy - 08.06.2016 15:38:19

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.06.2016 20:28:42

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.3 [http://dsrt.dyndns.org] ;Target OS: NTv5.2 OFFSGNSAVE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\DIRECTOR\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\USERDATA\DATA\CSRSS.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\DIRECTOR\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\USERDATA\DATA\CSRSS.EXE ;------------------------autoscript--------------------------- chklst delvir delref %SystemDrive%\PROGRAM FILES (X86)\RUBLIK\RUBLIK.EXE delref %SystemDrive%\PROGRAM FILES (X86)\SLIMDRIVERS\SLIMDRIVERS.EXE delref 222.74.34.190:8080 regt 1 regt 2 regt 28 regt 29 ; Java(TM) 6 Update 3 exec MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030} /quiet ; Java(TM) 6 Update 7 exec MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070} /quiet deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.3 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\DIRECTOR\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\USERDATA\DATA\CSRSS.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\DIRECTOR\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\USERDATA\DATA\CSRSS.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAM FILES (X86)\RUBLIK\RUBLIK.EXE

delref %SystemDrive%\PROGRAM FILES (X86)\SLIMDRIVERS\SLIMDRIVERS.EXE

delref 222.74.34.190:8080

regt 1
regt 2
regt 28
regt 29
; Java(TM) 6 Update 3
exec  MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030} /quiet
; Java(TM) 6 Update 7
exec  MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.06.2016 17:21:44

+
добавьте этот файл в архив с паролем infected
C:\Documents and Settings\Director\Application Data\Microsoft\Internet Explorer\UserData\Data\Csrss.exe
и вышлите в почту [email protected]

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.06.2016 17:16:56

добавьте пожалуйста линк проверки на вирустотале по этому файлу

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.06.2016 17:01:39

проверьте этот файл на http://virustotal.com
C:\DOCUMENTS AND SETTINGS\DIRECTOR\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\USERDATA\DATA\CSRSS.EXE
скорее всего одно из оставшихся тел шифратора da_vinci_code,
тем более в автозапуске
HKLM\umtfpxrmq\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Windows Service

Изменено: santy - 07.06.2016 17:03:21

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.06.2016 16:53:52

Михаил,
прокси ваш?
222.74.34.190:8080
https://www.nic.ru/whois/?query=222.74.34.190
country: CN
+
этот софт похоже использовался для майнинга.
C:\PROGRAM FILES (X86)\RUBLIK\RUBLIK.EXE
правда, файла в настоящее время нет
Не удается найти указанный файл.
+
ERA похоже модифицированный
C:\PROGRAM FILES (X86)\ESET\ESET REMOTE ADMINISTRATOR\SERVER\ERA.EXE
НАРУШЕНА, файл модифицирован или заражен

Изменено: santy - 07.06.2016 17:00:16

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.06.2016 15:23:56

Алексей,
шифратора уже нет в системе,
но систему следуют очистить этим скриптом

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.3 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir deldirex %SystemDrive%\USERS\A.GERASKIN\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDKEKDLKMDPIPIHONAPOLEOPFEKMAPADH%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLBJJFIIHGFEGNIOLCKPHPNFAOKDKBMDM%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNECFMKPLPMINFJAGBLFABGGOMDPAAKAN%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPFIGAOAMNNCIJBGOMIFAMKMKIDNNLIKL%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\USERS\A.GERASKIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB\7.0.25_0\ПОИСК MAIL.RU delref %SystemDrive%\USERS\A.GERASKIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\DKEKDLKMDPIPIHONAPOLEOPFEKMAPADH\1.2.9.2_0\СТАРТОВАЯ — ЯНДЕКС delref %SystemDrive%\USERS\A.GERASKIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.0.7_0\СТАРТОВАЯ — ЯНДЕКС delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFCFENMBOOJPJINHPGGGODEFCCIPIKBPD%26INSTALLSOURCE%3DONDEMAND%26UC regt 27 deltmp delnfr ;------------------------------------------------------------- restart

Код

;uVS v3.87.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\USERS\A.GERASKIN\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDKEKDLKMDPIPIHONAPOLEOPFEKMAPADH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLBJJFIIHGFEGNIOLCKPHPNFAOKDKBMDM%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNECFMKPLPMINFJAGBLFABGGOMDPAAKAN%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPFIGAOAMNNCIJBGOMIFAMKMKIDNNLIKL%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\A.GERASKIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB\7.0.25_0\ПОИСК MAIL.RU

delref %SystemDrive%\USERS\A.GERASKIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\DKEKDLKMDPIPIHONAPOLEOPFEKMAPADH\1.2.9.2_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\A.GERASKIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.0.7_0\СТАРТОВАЯ — ЯНДЕКС

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFCFENMBOOJPJINHPGGGODEFCCIPIKBPD%26INSTALLSOURCE%3DONDEMAND%26UC

regt 27
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением *.enigma; *.1txt, enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.06.2016 15:11:18

Цитата
White Capybara написал: White Capybara

добавьте несколько зашифрованных файлов, которые были расшифрованы этим дешифратором и ключом.

Изменено: santy - 14.06.2016 12:43:05

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 03.06.2016 13:13:47

детектирует как подозрительный объект, т.е. исполняемый в архиве.

Цитата
Column Name Value Scanner HTTP filter Object file Name Documents_02-06-2016.rar » RAR » Документация от 02-06-2016 (версия для печати).scr Threat Blocked Object Action connection terminated Information Threat was detected upon access to web by the application: C:\Program Files\Mozilla Firefox\firefox.exe.

установите виртуальную машину для тестов, будет возможность поизучать работу шифраторов без ущерба для физической машины.

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 03.06.2016 12:45:04

при открытии html документа будет предложено скачать архив из сети,
если архив был скачен, и открыт, и запущен файл внутри архива, только в этом случае запустится шифратор.
------
да, архив скачал по ссылке внутри html дока. ESET его детектирует.
блокируем этот адрес:

Цитата
centraljokmobil.com

Изменено: santy - 22.02.2020 14:54:56

[ Как создать образ автозапуска? ]

Перейти