Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 451 452 453 454 455 456 457 458 459 460 461 ... 1784 След.
Обнаружена проблема с безопасностью вашего компьютера, Ваш компьютер осуществляет вирусную сетевую активность с серверами управления Ботнет.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 14.01.2016 13:06:22
по образу нет ничего подозрительного.
если провайдер продолжает сигналить что комп пытается подключиться к серверам ботнета, проверьте диск с помощью Live.CD
http://chklst.ru/forum/discussion/13/eset_sysrescue-na-baze-linux-ot-eset-russia
Изменено: santy - 14.01.2016 13:06:45
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 14.01.2016 12:01:11
Pavel,
это файл удалите
C:\PROGRAMDATA\TENCENT\TSVULFW\TSVULFW.DAT
или можете всю папку
C:\PROGRAMDATA\TENCENT удалить
в остальном все чисто.

по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET
[ Как создать образ автозапуска? ]
Перейти
Шифровирусы шумной толпою
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 14.01.2016 11:58:12
вначале была версия xxx
New TeslaCrypt was released today. It has xxx extension. Build time is 12.01.2016 09:39:43. I am starting with analysis and let you know what they changed.

и чуть позже ttt
Another TeslaCrypt was released. Version number is still 3.0.0., but they changed the extension to .ttt, everything esle except links, extension and agent name is the same as .xxx variant. Currently we can't recover the key for these 2 variants, so if you were infected by these two, please backup all your encrypted files and wait for solution. I do not recommend to pay the ransom, because you would provide another funding for their malicious activity.

+
Another release of TeslaCrypt v3.0.0. Changes are the same as last time and extension changed to .micro.

http://www.bleepingcomputer.com/forums/t/601379/teslacrypt-vvv-ccc-etc-files-decryption-support-requests/page-25#entry3908622
Изменено: santy - 16.01.2016 05:41:06
[ Как создать образ автозапуска? ]
Перейти
Обнаружена проблема с безопасностью вашего компьютера, Ваш компьютер осуществляет вирусную сетевую активность с серверами управления Ботнет.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 14.01.2016 06:17:23
сделайте новый образ автозапуска из безопасного режима системы
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 13.01.2016 18:29:45
Pavel,
да, шифратор по прежнему в автозапуске.

по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.86.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES\1C\ИНФОРМАЦИЯ О СРОКАХ ЗАКРЫТИЯ ЛИНИИ И ИЗМЕНЕНИЙ В ТАРИФНЫХ ПЛАНАХ.EXE
addsgn 1AD6419A5583C58CF42B254E3143FE8E60825FCE4CBB1F2546483AE9DB3AF0A00B14C3579FBD2A082BB3411603EA1A7120D7BFF1AE25C42B7E9F3819C7067BF0 8 Trojan-Ransom.Win32.Cryptor

zoo %SystemDrive%\USERS\ADM\APPDATA\LOCAL\COPROFIT\COPROFIT_STB.EXE
addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6B96B5F78B63503F874C251B33627B3173E3D9CC92B807B8AF26609FA2E20FD0E279AB04625D4FC108506CA7A 21 Win32/TrojanDropper.Addrop

addsgn 1A1ED19A5583C58CF42B5184D0BC5405DA9F74B6CAFA9AB8F1C13A6C3ACF99FB7417C33D3F3F9DA1D5A5849FC5D24513BEFAE87299167CE0E1BB68E30BCAEEBF 64 Win32/Adware.ConvertAd

zoo %SystemDrive%\PROGRAM FILES\D29D3580-1446986256-81E0-21E1-14DAE91896D4\HNSD5400.TMP
addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6E96B5F78B63503F874C251B33627B3173E3D9CC92B807B8AF66609FA2E20FD0E279AB04625D49C108506CA82 8 Win32/ExtenBro.BH [ESET-NOD32]

zoo %SystemDrive%\USERS\ADM\APPDATA\LOCAL\MICROSOFT\EXTENSIONS\SAFEBROWSER.EXE
zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\DISTRIBUTE APPLICATION\APPDISTRIB.EXE
zoo %SystemDrive%\PROGRAMDATA\KBUPDATER UTILITY\KBUPDATER-UTILITY.EXE
zoo %SystemDrive%\USERS\ADM\APPDATA\LOCAL\COPROFIT\UNINSTALL.EXE
zoo %SystemDrive%\PROGRAM FILES\PDF READER\UNINSTALL.EXE
addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6E96B5F78B63503F874C251B33627B3173E3D9CC92B807B8AF66609FA2E20FD0E279AB04625D49C108506CA82 59 Win32/ExtenBro.BH [ESET-NOD32]

;------------------------autoscript---------------------------

hide %SystemDrive%\PROGRAM FILES\COMMON FILES\DISTRIBUTE APPLICATION\APPDISTRIB.EXE
chklst
delvir

delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\MICROSOFT DOWNLOAD MANAGER\MSDOWNLOADMANAGER.EXE
del %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\MICROSOFT DOWNLOAD MANAGER\MSDOWNLOADMANAGER.EXE

deldirex %SystemDrive%\USERS\ADM\APPDATA\LOCAL\SYSTEMDIR

delref %SystemDrive%\PROGRAM FILES\ADVPLUGIN\TOOLBAR32.DLL
del %SystemDrive%\PROGRAM FILES\ADVPLUGIN\TOOLBAR32.DLL

delref %SystemDrive%\PROGRAM FILES\VK DOWNLOADER\TOOLBAR32.DLL
del %SystemDrive%\PROGRAM FILES\VK DOWNLOADER\TOOLBAR32.DLL

deldirex %SystemDrive%\PROGRAM FILES\COMMON FILES\TENCENT\QQPHONEMANAGER\2.0.201.3198

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGBGNHMFBCIFPKJOFOOJFPLMFKMAIADN%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBPGANGMFFJCOFIKNIBCMFJIONICOHFGJ%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNBIFDKMDOJGMPMOPDEBNJCOBEKGDONCN%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\PROGRAM FILES\D29D3580-1446986256-81E0-21E1-14DAE91896D4\KNSI7CAD.TMPFS

delref %SystemDrive%\PROGRAM FILES\D29D3580-1446986256-81E0-21E1-14DAE91896D4\JNSIED6F.TMP

deldirex %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.0.16794.227

delref %Sys32%\TSSK.SYS
del %Sys32%\TSSK.SYS

deldirex %SystemDrive%\PROGRAM FILES\COMMON FILES\TENCENT\QQDOWNLOAD\130

delref %SystemDrive%\USERS\ADM\APPDATA\ROAMING\MYDESKTOP\QWEEECL.EXE
del %SystemDrive%\USERS\ADM\APPDATA\ROAMING\MYDESKTOP\QWEEECL.EXE

delref HTTP:\\MPNL.RU\OFFERS\RU.CSV
delref HTTP:\\HELLO.LIMBBO.RU\OFFERS\RU.CSV
del %SystemDrive%\USERS\ADM\APPDATA\ROAMING\YANDEXDISKSTARTER.BAT

deldirex %SystemDrive%\USERS\ADM\APPDATA\ROAMING\VOPACKAGE

deldirex %SystemDrive%\USERS\ADM\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\VOPACKAGE

del %SystemDrive%\USERS\ADM\APPDATA\ROAMING\YANDEXDISKSCREENSHOTEDITOR.BAT

del %SystemDrive%\USERS\ADM\APPDATA\LOCAL\YANDEX\BROWSER.BAT

del %SystemDrive%\LAUNCHER.BAT

regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------
CZOO
restart

перезагрузка, пишем о старых и новых проблемах.

по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET
[ Как создать образ автозапуска? ]
Перейти
новый вариант VAULT от 2ноября 2015г., Filecoder.FH
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 13.01.2016 17:49:49
POUL UILIAMSON,
здесь надо иметь ввиду следующее:
если зашифровка была в ноябре со 2 по 10 ноября, тогда высокие шансы расшифровать файлы,
если после 10 ноября, тогда практически шансов на расшифровка (пока) нет.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 13.01.2016 16:42:08
Марина,
судя по образу шифратора уже нет в  автозапуске,

по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.86.10 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]

delref %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИН\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GBJEIEKAHKLBGBFCCOHIPINHGAADIJAD\1.0.9.5_0\СТАРТОВАЯ — ЯНДЕКС

deldirex %SystemDrive%\PROGRAM FILES\REIMAGE\REIMAGE EXPRESS

deldirex %SystemDrive%\PROGRAM FILES\REIMAGE\REIMAGE REPAIR

delref HTTP://QIP.RU

delref HTTP://SEARCH.QIP.RU

; McAfee Security Scan Plus
exec C:\Program Files\McAfee Security Scan\uninstall.exe
; Java(TM) 6 Update 14
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216014FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET
[ Как создать образ автозапуска? ]
Перейти
новый вариант VAULT от 2ноября 2015г., Filecoder.FH
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 13.01.2016 16:34:49
опять же, когда стартуете uVS, надо выбрать систему с вашего проблемного диска.
далее, выполняете скрипт.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем систему с вашего проблемного диска, меню - скрипты - выполнить скрипт из буфера обмена;
Код

;uVS v3.86.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.2
v385c
OFFSGNSAVE
delall %SystemRoot%\SYSWOW64\IE5BAKEX\IE5BAKEX.LNK
zoo %SystemDrive%\USERS\СВЕТА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\VAULT.HTA
delall %SystemDrive%\USERS\СВЕТА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\VAULT.HTA
delall %Sys32%\DRIVERS\{C5E48979-BD7F-4CF7-9B73-2482A67A4F37}GW64.SYS
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES (X86)\ANYPROTECTEX

delref %SystemDrive%\USERS\СВЕТА\APPDATA\ROAMING\NEWSI_1801\S_INST.EXE

delref %SystemDrive%\USERS\СВЕТА\APPDATA\ROAMING\NEWSI_21590\S_INST.EXE

deldirex %SystemDrive%\USERS\СВЕТА\APPDATA\ROAMING\SWEET-PAGE

delref HTTP://WWW.SWEET-PAGE.COM/WEB/?TYPE=DS&TS=1410935445&FROM=COR&UID=WDCXWD5000AAKX-08U6AA0_WD-WCC2EAPT5367T5367&Q={SEARCHTERMS}

delref %Sys32%\DRIVERS\SSNFD.SYS

delref %SystemDrive%\USERS\СВЕТА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\СВЕТА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LALFIODOHDGAEJJCCFGFMMNGGGPPLMHP\8.9.0_0\СТАРТОВАЯ — ЯНДЕКС

deldirex %SystemDrive%\PROGRAM FILES (X86)\CLEARTHINK\BIN

deldirex %SystemDrive%\USERS\ADMINV\APPDATA\ROAMING\VOPACKAGE

deldirex %SystemDrive%\USERS\СВЕТА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\VOPACKAGE

deldirex %SystemDrive%\PROGRAM FILES (X86)\ZAXAR

regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

QUIT

без перезагрузки системы, пишем о старых и новых проблемах.
[ Как создать образ автозапуска? ]
Перейти
новый вариант VAULT от 2ноября 2015г., Filecoder.FH
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 13.01.2016 16:27:17
да, сейчас добавлю скрипт.
[ Как создать образ автозапуска? ]
Перейти
новый вариант VAULT от 2ноября 2015г., Filecoder.FH
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 13.01.2016 14:30:18
Владимир, да, в автозапуске прописан запуск шифратора.
Полное имя                  K:\WINDOWS\SYSWOW64\IE5BAKEX\IE5BAKEX.LNK
Имя файла                   IE5BAKEX.LNK
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
RUN.LIST                    (ССЫЛКА ~ POLICIES\EXPLORER\RUN\)(1) [auto (1)]
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер                      1868 байт
Создан                      16.04.2013 в 21:50:49
Изменен                     17.11.2011 в 09:38:39
Атрибуты                    СКРЫТЫЙ  
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Атрибут файла               "Скрытый" или "Системный" [типично для вирусов]
                           
Доп. информация             на момент обновления списка
SHA1                        5321EEEB083E328B802D465DDAEC3D70C847D407
MD5                         0579E0135CFB690D7C04691F9FC55B9A
                           
Ссылки на объект            
Ссылка                      HKLM\uvs_software\Microsoft\Windows\CurrentVersion\Policies\­Explorer\Run\IE5BAKEX
IE5BAKEX                    C:\Windows\SysWOW64\IE5BAKEX\IE5BAKEX.lnk
                           
------------------
сейчас добавлю скрипт для очистки.
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 451 452 453 454 455 456 457 458 459 460 461 ... 1784 След.