santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 06.04.2016 15:51:15

Илья Ураков,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.2 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE ;------------------------autoscript--------------------------- hide %SystemDrive%\USERS\PUBLIC\[ЭКОНОМИСТ]\DOWNLOADS\RAMBLERFIREFOX.EXE chklst delvir delref HTTP://WEBALTA.RU/SEARCH delref %SystemDrive%\USERS\E.MOSKOVKINA\APPDATA\LOCAL\TEMP\924B4A38.EXE delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFLLIILNDJEOHCHALPBBCDEKJKLBDGFKK%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\USERS\АВИАБАЗА\APPDATA\LOCAL\WEBALTA TOOLBAR\UNINSTALL.EXE del %SystemDrive%\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.URL del %SystemDrive%\USERS\ЭКОНОМИСТ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.URL del %SystemDrive%\USERS\E.MOSKOVKINA\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.URL regt 28 regt 29 deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

hide %SystemDrive%\USERS\PUBLIC\[ЭКОНОМИСТ]\DOWNLOADS\RAMBLERFIREFOX.EXE
chklst
delvir

delref HTTP://WEBALTA.RU/SEARCH

delref %SystemDrive%\USERS\E.MOSKOVKINA\APPDATA\LOCAL\TEMP\924B4A38.EXE

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFLLIILNDJEOHCHALPBBCDEKJKLBDGFKK%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\АВИАБАЗА\APPDATA\LOCAL\WEBALTA TOOLBAR\UNINSTALL.EXE

del %SystemDrive%\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.URL

del %SystemDrive%\USERS\ЭКОНОМИСТ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.URL

del %SystemDrive%\USERS\E.MOSKOVKINA\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.URL

regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Перейти

ошибка при обмене даннами с ядром, ошибка при обмене даннами с ядром

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 06.04.2016 04:37:03

по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.2 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\МОЗИЛА\FIREFOXSETUP.EXE addsgn 925277EA146AC1CC0B74504E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 Trojan.Carberp.12 [DrWeb] ;------------------------autoscript--------------------------- chklst delvir delref 0HTTP://CONFIGSPACS.COM/MMFNA7/NJ4N.URU delref HTTP://CONFIGSPACS.COM/MMFNA7/NJ4N.URU ; McAfee Security Scan Plus exec C:\Program Files\McAfee Security Scan\uninstall.exe deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\МОЗИЛА\FIREFOXSETUP.EXE
addsgn 925277EA146AC1CC0B74504E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 Trojan.Carberp.12 [DrWeb]

;------------------------autoscript---------------------------

chklst
delvir

delref 0HTTP://CONFIGSPACS.COM/MMFNA7/NJ4N.URU

delref HTTP://CONFIGSPACS.COM/MMFNA7/NJ4N.URU

; McAfee Security Scan Plus
exec C:\Program Files\McAfee Security Scan\uninstall.exe
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Перейти

Шифровирусы шумной толпою

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 05.04.2016 11:06:38

да, и расширение архивов стали использовать: xz, arj, ace... при том, что winrar нормально их открывает.

Изменено: santy - 05.04.2016 11:13:20

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 05.04.2016 11:04:19

ГБУЗ Самарская,
по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.2 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v385c OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJGGBJBMNFMIPGCANIDAMJFPECHDEEKOI%26INSTALLSOURCE%3DONDEMAND%26UC deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE

;------------------------autoscript---------------------------

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJGGBJBMNFMIPGCANIDAMJFPECHDEEKOI%26INSTALLSOURCE%3DONDEMAND%26UC

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Перейти

зашифровано с расширением id-*[email protected], возможно, Filecoder.DG

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.04.2016 16:51:51

похоже на Filecoder.DG
.id-\d{10}_%EmailAddress%

добавьте образ автозапуска системы

Изменено: santy - 16.06.2016 07:53:32

[ Как создать образ автозапуска? ]

Перейти

Атака путем подделки записей кеша DNS, атака сканирования портов, При попытках перехода по ссылкам прерывается доступ к интернету, NOD32 обнаруживает атаки путем подделки записей кеша DNS

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.04.2016 09:21:54

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.2 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir delref %SystemDrive%\USERS\АФ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AOJOECKCMJGHLCHNNENFKBFLNDBEPJPK\8.17.1_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС ; Java(TM) 6 Update 16 exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216016FF} /quiet deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\USERS\АФ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AOJOECKCMJGHLCHNNENFKBFLNDBEPJPK\8.17.1_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС

; Java(TM) 6 Update 16
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216016FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.04.2016 09:18:14

Цитата

Денис Щелкунов написал:

Цитата
Денис Щелкунов написал: Здравствуйте. Нужна помощь в очистке системы. better_call_caul Образ автозапуска приложил

Прошу отписаться, возможно ли моём случае что-нибудь сделать. Лицензия на Нод есть.

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.2 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\AXWORKS\C7D8DA30.EXE ;------------------------autoscript--------------------------- hide %SystemDrive%\PROGRAM FILES\ADOBE\READER 11.0\READER\ACROEXT\ACROEXT.EXE chklst delvir delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL delref HTTP://SEARCH.QIP.RU deldirex %SystemDrive%\PROGRAM FILES\MOBOGENIE deldirex %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\MOBOGENIE ; Mobogenie exec C:\Program Files\Mobogenie\uninst.exe ; Java(TM) 6 Update 15 exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216015FF} /quiet deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\AXWORKS\C7D8DA30.EXE
;------------------------autoscript---------------------------

hide %SystemDrive%\PROGRAM FILES\ADOBE\READER 11.0\READER\ACROEXT\ACROEXT.EXE
chklst
delvir

delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL

delref HTTP://SEARCH.QIP.RU

deldirex %SystemDrive%\PROGRAM FILES\MOBOGENIE

deldirex %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\MOBOGENIE

; Mobogenie
exec C:\Program Files\Mobogenie\uninst.exe
; Java(TM) 6 Update 15
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216015FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart

[ Как создать образ автозапуска? ]

Перейти

Не получается избавиться от вирусов

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.04.2016 06:15:59

Оксана,
у вас похоже в системе файловый вирус, т.е. вылечить систему из нормального или безопасного режима не получится
добавьте, как детектирует антивирус сейчас то что он находит и удаляет.

надо лечить систему с загрузочного диска.

пролечите зараженную систему с помощью Live.CD
DrWeb
http://chklst.ru/discussion/26/dr-web-livecd#latest
или ESET rescue
http://chklst.ru/discussion/13/eset-sysrescue-na-baze-linux-ot-eset-russia#latest
после полной проверки и очистки системы из под загрузочного диска
можно сделать новые логи по правилам для дальнейшей проверки

Изменено: santy - 04.04.2016 06:23:53

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 02.04.2016 14:32:08

Алексей Геннадьевич,
выполните скрипт по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.2 [http://dsrt.dyndns.org] ;Target OS: NTv6.2 v385c OFFSGNSAVE addsgn 1A57F89A5583348CF42B627DA804DEC9AEC6D8F27E3B1C7885C3B198DAD7F28D2293032370A25C4A2B8084EAA91349FA7DDF65D671DAB02C2DFA000BC7062273 8 Filecoder.ED zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE delall %SystemDrive%\USERS\ALEKSEY\APPDATA\LOCAL\EKBTION\SYMMON2.DLL delall %SystemDrive%\USERS\ALEKSEY\APPDATA\LOCAL\EHTION\SYMMON2.DLL ;------------------------autoscript--------------------------- chklst delvir delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLBJJFIIHGFEGNIOLCKPHPNFAOKDKBMDM%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC deltmp delnfr ;------------------------------------------------------------- czoo restart

Код


;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.2
v385c
OFFSGNSAVE
addsgn 1A57F89A5583348CF42B627DA804DEC9AEC6D8F27E3B1C7885C3B198DAD7F28D2293032370A25C4A2B8084EAA91349FA7DDF65D671DAB02C2DFA000BC7062273 8 Filecoder.ED

zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
delall %SystemDrive%\USERS\ALEKSEY\APPDATA\LOCAL\EKBTION\SYMMON2.DLL
delall %SystemDrive%\USERS\ALEKSEY\APPDATA\LOCAL\EHTION\SYMMON2.DLL
;------------------------autoscript---------------------------

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLBJJFIIHGFEGNIOLCKPHPNFAOKDKBMDM%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

Изменено: santy - 30.06.2017 11:46:17

[ Как создать образ автозапуска? ]

Перейти

зашифровано с расширением *@riseup.net

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 02.04.2016 07:01:22

Evgeniy,
добавьте образ автозапуска системы

[ Как создать образ автозапуска? ]

Перейти