santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

Адрес заблокирован, Адрес заблокирован

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 29.01.2016 16:07:20

добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Адрес заблокирован, иногда в хроме открываются новые вкладки

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 29.01.2016 15:26:52

1. удалите все найденное в малваребайт

2. ссылку на прокси сами удалили? ее уже нет в образе автозапуска

прокси вредоносный судя по детекту из соседней темы
https://www.virustotal.com/ru/url/cde25ae3187c23386a0833b4701e0525577c6b6ce31f5376f33690a76bb8f761/analysis/1454051169/

Цитата
добавлен левый прокси: Цитата BitDefender Malware site ESET Malware site Fortinet Malware site

Изменено: santy - 29.01.2016 15:28:37

[ Как создать образ автозапуска? ]

Перейти

Адрес заблокирован, Появляется всплывающее окно Адрес заблокирован

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 29.01.2016 10:09:06

причина скорее всего в этом:
добавлен левый прокси:
https://www.virustotal.com/ru/url/cde25ae3187c23386a0833b4701e0525577c6b6ce31f5376f33690a76bb8f761/analysis/1454051169/

Цитата
BitDefender Malware site ESET Malware site Fortinet Malware site

по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir delref 0HTTP://UNSTOPP.ME/WPAD.DAT?6865A6AD30BD8C95C508E63267E2331F4319086 delref HTTP://UNSTOPP.ME/WPAD.DAT?6865A6AD30BD8C95C508E63267E2331F4319086 deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

;------------------------autoscript---------------------------

chklst
delvir

delref 0HTTP://UNSTOPP.ME/WPAD.DAT?6865A6AD30BD8C95C508E63267E2331F4319086

delref HTTP://UNSTOPP.ME/WPAD.DAT?6865A6AD30BD8C95C508E63267E2331F4319086

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

+
стоит заменить все важные пароли на вашем компе.

[ Как создать образ автозапуска? ]

Перейти

Вирус, Не могу удалить вирус

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 29.01.2016 06:22:19

добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Перейти

вирус svchost.exe помогите пжл

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 29.01.2016 06:21:35

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\USERS\LENOVO\APPDATA\ROAMING\WINDOWSUPDATE\UPDATER.EXE addsgn 1A995E9A5583348CF42B254E3143FE84C9A2FFF689594F41C0C34CB11CEF344CAA028B6E7B5514546FB9C19FCF2309C338DF614F69E3F52C4BFBB147FE432215 8 BackDoor.IRC.NgrBot.566 [DrWeb] zoo %SystemDrive%\USERS\LENOVO\APPDATA\ROAMING\MICROSOFT\WINDOWS\THEMES\NELKLX.EXE ;------------------------autoscript--------------------------- chklst delvir deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\LENOVO\APPDATA\ROAMING\WINDOWSUPDATE\UPDATER.EXE
addsgn 1A995E9A5583348CF42B254E3143FE84C9A2FFF689594F41C0C34CB11CEF344CAA028B6E7B5514546FB9C19FCF2309C338DF614F69E3F52C4BFBB147FE432215 8 BackDoor.IRC.NgrBot.566 [DrWeb]

zoo %SystemDrive%\USERS\LENOVO\APPDATA\ROAMING\MICROSOFT\WINDOWS\THEMES\NELKLX.EXE
;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
+
добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Адрес заблокирован, иногда в хроме открываются новые вкладки

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 29.01.2016 06:16:19

Код
;uVS v3.87 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE deltmp delnfr restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

+
добавьте лог обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

Изменено: santy - 29.01.2016 06:17:55

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Открываются окна в браузере, на компьютере какие то вирусы, В хроме открываются вкладки с разными сайтами

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 28.01.2016 16:58:46

Код
;uVS v3.87 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir delref 0HTTP://GET-ACCESS.ME/WPAD.DAT?EEA7229C619609D04561CAE3AF41A55E1806121 delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCKJEFCHNFJHJFEDOCCJBHJPBNCIMPPEG%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.0_0\СТАРТОВАЯ — ЯНДЕКС delref HTTP://GET-ACCESS.ME/WPAD.DAT?EEA7229C619609D04561CAE3AF41A55E1806121 ; Ask Toolbar exec MsiExec.exe /X{86D4B82A-ABED-442A-BE86-96357B70F4FE} /quiet deltmp delnfr REGT 28 REGT 29 ;------------------------------------------------------------- restart

Код


;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref 0HTTP://GET-ACCESS.ME/WPAD.DAT?EEA7229C619609D04561CAE3AF41A55E1806121

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCKJEFCHNFJHJFEDOCCJBHJPBNCIMPPEG%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.0_0\СТАРТОВАЯ — ЯНДЕКС

delref HTTP://GET-ACCESS.ME/WPAD.DAT?EEA7229C619609D04561CAE3AF41A55E1806121

; Ask Toolbar
exec  MsiExec.exe /X{86D4B82A-ABED-442A-BE86-96357B70F4FE} /quiet
deltmp
delnfr
REGT 28
REGT 29
;-------------------------------------------------------------

restart

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Не удаляется угроза JS/ExtenBro.Agent.BG

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 28.01.2016 16:55:40

Дмитрий,
tnod используем,
D:\ДИСТР\ЗАЩИТА DEFENCE\ESET_NOD32\TNOD\1.6.0-FINAL\TNOD-1.6.0-FINAL-SETUP.EXE
по правилам форума тема будет закрыта.
обратитесь за помощью на другой форум.

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 28.01.2016 16:53:03

Виталий,

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v385c OFFSGNSAVE delref %Sys32%\SVCH0ST.EXE ;------------------------autoscript--------------------------- chklst delvir delref %SystemDrive%\DOCUMENTS AND SETTINGS\MUHORTOVAEV\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QSTATSRV.DLL delref %SystemDrive%\DOCUMENTS AND SETTINGS\MUHORTOVAEV\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL delref %Sys32%\CSRCS.EXE delref HTTP://WWW.QIP.RU/ regt 27 deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
delref %Sys32%\SVCH0ST.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\DOCUMENTS AND SETTINGS\MUHORTOVAEV\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QSTATSRV.DLL

delref %SystemDrive%\DOCUMENTS AND SETTINGS\MUHORTOVAEV\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL

delref %Sys32%\CSRCS.EXE

delref HTTP://WWW.QIP.RU/

regt 27
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 28.01.2016 14:13:12

Цитата
Александр Мондзалевский написал: Добрый день. Посмотрите файл автозапуска пожалуйста http://rghost.ru/7vMgY57l2 , заразили компьютер шифратором

Александр,

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir delref %SystemDrive%\USERS\ЖКУ\APPDATA\LOCAL\EWRTION\XYZSE.DLL deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\USERS\ЖКУ\APPDATA\LOCAL\EWRTION\XYZSE.DLL

deltmp
delnfr
;-------------------------------------------------------------

restart

[ Как создать образ автозапуска? ]

Перейти