santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.12.2015 12:21:34

Роман,
судя по образу система уже очищена от вирусных тел.
по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET

Изменено: santy - 17.06.2016 10:00:01

[ Как создать образ автозапуска? ]

Перейти

Шифровирусы шумной толпою

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.12.2015 11:35:21

Роман,
я тоже заметил (на 9домашней версии, по интерфейсу близкой к 6ке корпоративной), что файлик шифратора (с расширением scr), который не детектировался сигнатурно был удален после копирования в другую папку с детектом Suspicious Object

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.12.2015 11:03:57

по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.86.7 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\PROGRAM FILES (X86)\TORRENT SEARCH\IEEF\7HDUVGQD5A.EXE addsgn 1A19E89A5583C58CF42B254E3143FE86C9AA77B381AC48128D9A7B80689A71C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F879F23FE 8 Toolbar.Neobar zoo %SystemDrive%\PROGRAM FILES (X86)\ANYPROTECTEX\UNINSTALL.EXE addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6B96B5F78B63503F874C251B33627B3173E3D9CC92B807B8AF26609FA2E20FD0E279AB04625D43C08BD06CA7A 64 AdWare.Win32.Vopak ;------------------------autoscript--------------------------- sreg chklst delvir ; AnyProtect exec C:\Program Files (x86)\AnyProtectEx\uninstall.exe ; AnySend exec C:\Users\User01\AppData\Roaming\ASPackage\Uninstall.exe ; CiPlus-4.5vV30.07 exec C:\Program Files (x86)\CiPlus-4.5vV30.07\Uninstall.exe /fcp=1 /runexe='C:\Program Files (x86)\CiPlus-4.5vV30.07\UninstallBrw.exe' /url='http://notif.globalnodemax.com/notf_sys/index.html' /brwtype='uni' /onerrorexe='C:\Program Files (x86)\CiPlus-4.5vV30.07\utils.exe' /crregname='CiPlus-4.5vV30.07' /appid='74261' /srcid='003082' /bic='eb790b8a404b109460af8f774fe44714IE' /verifier='f0f281074e4ecce44ecdc9ca6e844df9' /brwshtoms='15000' /installerversion='1_36_01_22' /statsdomain='http://stats.globalnodemax.com/utility.gif?' /errorsdomain='http://errors.globalnodemax.com/utility.gif?' /monetizationdomain='http://logs.globalnodemax.com/monetization.gif?' ; GamesDesktop 033.005010053 exec C:\Program Files (x86)\gmsd_ru_005010053\unins000.exe ; SmartWeb exec C:\Users\User01\AppData\Local\SmartWeb\__u.exe _?=C:\Users\User01\AppData\Local\SmartWeb ; Time tasks exec C:\ProgramData\TimeTasks\uninstall.exe setdns DNS Server list\8.8.8.8,8.8.4.4 setdns Подключение по локальной сети 2\4\{022C19E8-A469-425A-9B07-DF287E16B9E9}\8.8.8.8,8.8.4.4 deldirex %SystemDrive%\PROGRAM FILES (X86)\MIUITAB delref {6E727987-C8EA-44DA-8749-310C0FBE3C3E}\[CLSID] delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID] deldirex %SystemDrive%\USERS\USER01\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER deldirex %SystemDrive%\PROGRAM FILES (X86)\GLOBALUPDATE\UPDATE\1.3.25.0 delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3DONDEMAND%26UC deldirex %SystemDrive%\IQIYI VIDEO\LSTYLE deldirex %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.7.16066.216 deldirex %SystemDrive%\PROGRAM FILES (X86)\RISING\RAV delref HTTP://WWW.ISTARTSURF.COM/?TYPE=HPPP&TS=1438906810&Z=3CD9461E8ECAC3B066E5DEFG7Z1CCBDT2E2Q0MEC0W&FROM=FACE&UID=3219913727_198313_90690374 delref HTTP://WWW.ISTARTSURF.COM/WEB/?TYPE=DS&TS=1438906663&Z=9735BCA528A824F66AFDAA9GDZEC3BDTEE0QBWCBAT&FROM=FACE&UID=3219913727_198313_90690374&Q={SEARCHTERMS} deldirex %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.7.16066.216\PLUGINS\FILESMASH delref HTTP://WWW.ISTARTSURF.COM/?TYPE=HP&TS=1438906663&Z=9735BCA528A824F66AFDAA9GDZEC3BDTEE0QBWCBAT&FROM=FACE&UID=3219913727_198313_90690374 delref %SystemDrive%\PROGRAM FILES (X86)\03000200-1438771651-0500-0006-000700080009\HNSGFA35.TMP delref %SystemDrive%\PROGRAM FILES (X86)\03000200-1438771651-0500-0006-000700080009\JNSBCADA.TMP delref %Sys32%\DRIVERS\RRFD_VT_1_10_0_21.SYS del %Sys32%\DRIVERS\RRFD_VT_1_10_0_21.SYS deldirex %SystemDrive%\PROGRAM FILES (X86)\RISING\RSD delref %Sys32%\DRIVERS\RSUTILS.SYS del %Sys32%\DRIVERS\RSUTILS.SYS delref %Sys32%\DRIVERS\SYSMON.SYS del %Sys32%\DRIVERS\SYSMON.SYS delref %Sys32%\DRIVERS\TAOACCELERATOR64.SYS del %Sys32%\DRIVERS\TAOACCELERATOR64.SYS delref %Sys32%\DRIVERS\TAOKERNEL64.SYS del %Sys32%\DRIVERS\TAOKERNEL64.SYS delref %Sys32%\DRIVERS\TFSFLTX64.SYS del %Sys32%\DRIVERS\TFSFLTX64.SYS delref %Sys32%\DRIVERS\WSAFD_1_10_0_19.SYS del %Sys32%\DRIVERS\WSAFD_1_10_0_19.SYS deldirex %SystemDrive%\PROGRAM FILES (X86)\WORDSURFER_1.10.0.19\SERVICE delref %SystemDrive%\PROGRAM FILES (X86)\03000200-1438771651-0500-0006-000700080009\KNSY9437.TMP delref %SystemDrive%\USERS\USER01\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BFAOHPMJMHDGNJBLOJEKJLNADHEHIADJ\1.26.57_0\CIPLUS-4.5VV30.07 deldirex %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\TENCENT\QQDOWNLOAD\130 delref HTTP://WWW.ISTARTSURF.COM/WEB/?TYPE=DSPP&TS=1438906810&Z=3CD9461E8ECAC3B066E5DEFG7Z1CCBDT2E2Q0MEC0W&FROM=FACE&UID=3219913727_198313_90690374&Q={SEARCHTERMS} del %SystemDrive%\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.BAT del %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\CHROME.BAT regt 27 REGT 28 REGT 29 deltmp delnfr areg ;-------------------------------------------------------------

Код


;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES (X86)\TORRENT SEARCH\IEEF\7HDUVGQD5A.EXE
addsgn 1A19E89A5583C58CF42B254E3143FE86C9AA77B381AC48128D9A7B80689A71C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F879F23FE 8 Toolbar.Neobar

zoo %SystemDrive%\PROGRAM FILES (X86)\ANYPROTECTEX\UNINSTALL.EXE
addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6B96B5F78B63503F874C251B33627B3173E3D9CC92B807B8AF26609FA2E20FD0E279AB04625D43C08BD06CA7A 64 AdWare.Win32.Vopak

;------------------------autoscript---------------------------

sreg

chklst
delvir

; AnyProtect
exec  C:\Program Files (x86)\AnyProtectEx\uninstall.exe
; AnySend
exec  C:\Users\User01\AppData\Roaming\ASPackage\Uninstall.exe
; CiPlus-4.5vV30.07
exec  C:\Program Files (x86)\CiPlus-4.5vV30.07\Uninstall.exe /fcp=1 /runexe='C:\Program Files (x86)\CiPlus-4.5vV30.07\UninstallBrw.exe' /url='http://notif.globalnodemax.com/notf_sys/index.html' /brwtype='uni' /onerrorexe='C:\Program Files (x86)\CiPlus-4.5vV30.07\utils.exe' /crregname='CiPlus-4.5vV30.07' /appid='74261' /srcid='003082' /bic='eb790b8a404b109460af8f774fe44714IE' /verifier='f0f281074e4ecce44ecdc9ca6e844df9' /brwshtoms='15000' /installerversion='1_36_01_22' /statsdomain='http://stats.globalnodemax.com/utility.gif?' /errorsdomain='http://errors.globalnodemax.com/utility.gif?' /monetizationdomain='http://logs.globalnodemax.com/monetization.gif?'
; GamesDesktop 033.005010053
exec  C:\Program Files (x86)\gmsd_ru_005010053\unins000.exe
; SmartWeb
exec  C:\Users\User01\AppData\Local\SmartWeb\__u.exe _?=C:\Users\User01\AppData\Local\SmartWeb
; Time tasks
exec C:\ProgramData\TimeTasks\uninstall.exe

setdns DNS Server list\8.8.8.8,8.8.4.4
setdns Подключение по локальной сети 2\4\{022C19E8-A469-425A-9B07-DF287E16B9E9}\8.8.8.8,8.8.4.4
deldirex %SystemDrive%\PROGRAM FILES (X86)\MIUITAB

delref {6E727987-C8EA-44DA-8749-310C0FBE3C3E}\[CLSID]
delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]
deldirex %SystemDrive%\USERS\USER01\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

deldirex %SystemDrive%\PROGRAM FILES (X86)\GLOBALUPDATE\UPDATE\1.3.25.0

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3DONDEMAND%26UC

deldirex %SystemDrive%\IQIYI VIDEO\LSTYLE

deldirex %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.7.16066.216

deldirex %SystemDrive%\PROGRAM FILES (X86)\RISING\RAV

delref HTTP://WWW.ISTARTSURF.COM/?TYPE=HPPP&TS=1438906810&Z=3CD9461E8ECAC3B066E5DEFG7Z1CCBDT2E2Q0MEC0W&FROM=FACE&UID=3219913727_198313_90690374
delref HTTP://WWW.ISTARTSURF.COM/WEB/?TYPE=DS&TS=1438906663&Z=9735BCA528A824F66AFDAA9GDZEC3BDTEE0QBWCBAT&FROM=FACE&UID=3219913727_198313_90690374&Q={SEARCHTERMS}
deldirex %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.7.16066.216\PLUGINS\FILESMASH

delref HTTP://WWW.ISTARTSURF.COM/?TYPE=HP&TS=1438906663&Z=9735BCA528A824F66AFDAA9GDZEC3BDTEE0QBWCBAT&FROM=FACE&UID=3219913727_198313_90690374
delref %SystemDrive%\PROGRAM FILES (X86)\03000200-1438771651-0500-0006-000700080009\HNSGFA35.TMP

delref %SystemDrive%\PROGRAM FILES (X86)\03000200-1438771651-0500-0006-000700080009\JNSBCADA.TMP

delref %Sys32%\DRIVERS\RRFD_VT_1_10_0_21.SYS
del %Sys32%\DRIVERS\RRFD_VT_1_10_0_21.SYS

deldirex %SystemDrive%\PROGRAM FILES (X86)\RISING\RSD

delref %Sys32%\DRIVERS\RSUTILS.SYS
del %Sys32%\DRIVERS\RSUTILS.SYS

delref %Sys32%\DRIVERS\SYSMON.SYS
del %Sys32%\DRIVERS\SYSMON.SYS

delref %Sys32%\DRIVERS\TAOACCELERATOR64.SYS
del %Sys32%\DRIVERS\TAOACCELERATOR64.SYS

delref %Sys32%\DRIVERS\TAOKERNEL64.SYS
del %Sys32%\DRIVERS\TAOKERNEL64.SYS

delref %Sys32%\DRIVERS\TFSFLTX64.SYS
del %Sys32%\DRIVERS\TFSFLTX64.SYS

delref %Sys32%\DRIVERS\WSAFD_1_10_0_19.SYS
del %Sys32%\DRIVERS\WSAFD_1_10_0_19.SYS

deldirex %SystemDrive%\PROGRAM FILES (X86)\WORDSURFER_1.10.0.19\SERVICE

delref %SystemDrive%\PROGRAM FILES (X86)\03000200-1438771651-0500-0006-000700080009\KNSY9437.TMP

delref %SystemDrive%\USERS\USER01\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BFAOHPMJMHDGNJBLOJEKJLNADHEHIADJ\1.26.57_0\CIPLUS-4.5VV30.07

deldirex %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\TENCENT\QQDOWNLOAD\130

delref HTTP://WWW.ISTARTSURF.COM/WEB/?TYPE=DSPP&TS=1438906810&Z=3CD9461E8ECAC3B066E5DEFG7Z1CCBDT2E2Q0MEC0W&FROM=FACE&UID=3219913727_198313_90690374&Q={SEARCHTERMS}
del %SystemDrive%\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.BAT

del %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\CHROME.BAT

regt 27
REGT 28
REGT 29

deltmp
delnfr
areg

;-------------------------------------------------------------

перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.12.2015 10:57:39

а эту программу сами ставили?
C:\PROGRAM FILES (X86)\LITEMANAGER PRO - SERVER\FILES\ROMVIEWER.EXE

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.12.2015 10:54:36

этот файл знаком вам?
D:\CONNECTION\ACCOUNER01.VBS

DNS прописан левый
https://www.nic.ru/whois/?query=52.18.92.32

Цитата
OrgName: Amazon Technologies Inc. OrgId: AT-88-Z Address: 410 Terry Ave N. City: Seattle StateProv: WA PostalCode: 98109 Country: US

Изменено: santy - 22.02.2020 15:32:01

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .RDM; *.RKK; *.RAD, Radamant

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.12.2015 10:13:13

Цитата
mike 1 написал: А я вот расшифровал файлик.

да, работает расшифровка

Цитата
Starting decryption ... Encrypted file: E:\distr_temp\soft\decrypt\radamant\otchet2015.docx.RDM Destination file: E:\distr_temp\soft\decrypt\radamant\otchet2015.docx Status: Successfully decrypted! Finished!

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.12.2015 09:56:20

Артур,
добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением *.ecc; *.exx; *.vvv, Teslacrypt / Filecoder.EM /support: .ecc,.ezz, .exx, .xyz, .zzz, .aaa, .abc, .ccc, .vvv, .xxx, .ttt., .micro

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.12.2015 09:54:41

New TeslaCrypt version adds .VVV extension to encrypted filenames

A new version of the TeslaCrypt ransomware has been released that for the most part is identical to previous versions. The most notable difference is that this new version adds the .vvv extension to encrypted filenames. Other changes include new ransom note filenames and different TOR payment site gateways. The new names for the ransom notes are in the format how_recover+abc.html and how_recover+abc.txt.
The .VVV version of TeslaCrypt cannot be decrypted for free

Unfortunately, this version of TeslaCrypt cannot be decrypted for free without the private key that is known only to the TeslaCrypt developers. If you have been infected by this version of TeslaCrypt, at this time the only way to recover your files is through a backup or by paying the ransom.

(К сожалению, эта версия TeslaCrypt не могут быть расшифрованы бесплатно без закрытого ключа, который известен только разработчикам TeslaCrypt. Если вы были заражены этой версии TeslaCrypt, в это время единственный способ восстановить ваши файлы через резервного копирования или заплатив выкуп.)

http://www.bleepingcomputer.com/news/security/new-telsacrypt-version-adds-the-vvv-extension-to-encrypted-files/

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.12.2015 06:35:14

Ирина,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.86.7 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE hide %SystemDrive%\PROGRAM FILES\ADGUARD\NSS\CERTUTIL.EXE ;------------------------autoscript--------------------------- chklst delvir delref %SystemDrive%\PROGRAM FILES\ALTERGEO\HTML5 GEOLOCATION PROVIDER\HTML5LOCSVC.EXE delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID] delref %SystemDrive%\PROGRAMDATA\ALTERGEO\UPDATE FOR HTML5 GEOLOCATION PROVIDER\NPHTML5LOC.DLL delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID] delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBPGANGMFFJCOFIKNIBCMFJIONICOHFGJ%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGDKNICMNHBAAJDGLBINPAHHAPGHPAKCH%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJEDELKHANEFMCNPAPPFHACHBPNLHOMAI%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJGGBJBMNFMIPGCANIDAMJFPECHDEEKOI%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNBIFDKMDOJGMPMOPDEBNJCOBEKGDONCN%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3DONDEMAND%26UC deldirex %SystemDrive%\PROGRAM FILES\CONTENT DEFENDER delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NBIFDKMDOJGMPMOPDEBNJCOBEKGDONCN\4.0.5_0\ПОИСК MAIL.RU delref %SystemDrive%\PROGRAMDATA\ALTERGEO\UPDATE FOR HTML5 GEOLOCATION PROVIDER\HTML5LOCSVC.EXE regt 27 regt 28 regt 29 deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
hide %SystemDrive%\PROGRAM FILES\ADGUARD\NSS\CERTUTIL.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAM FILES\ALTERGEO\HTML5 GEOLOCATION PROVIDER\HTML5LOCSVC.EXE

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

delref %SystemDrive%\PROGRAMDATA\ALTERGEO\UPDATE FOR HTML5 GEOLOCATION PROVIDER\NPHTML5LOC.DLL

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBPGANGMFFJCOFIKNIBCMFJIONICOHFGJ%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGDKNICMNHBAAJDGLBINPAHHAPGHPAKCH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJEDELKHANEFMCNPAPPFHACHBPNLHOMAI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJGGBJBMNFMIPGCANIDAMJFPECHDEEKOI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNBIFDKMDOJGMPMOPDEBNJCOBEKGDONCN%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3DONDEMAND%26UC

deldirex %SystemDrive%\PROGRAM FILES\CONTENT DEFENDER

delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NBIFDKMDOJGMPMOPDEBNJCOBEKGDONCN\4.0.5_0\ПОИСК MAIL.RU

delref %SystemDrive%\PROGRAMDATA\ALTERGEO\UPDATE FOR HTML5 GEOLOCATION PROVIDER\HTML5LOCSVC.EXE

regt 27
regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
+
по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Атака путем подделки записей кэша ARP

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.12.2015 06:31:08

про "мониторят".
сейчас это дело обычное.
если вы подозреваете что мониторит кто-то из ваших колег по работе, то включите брэндмауэр, или попросите администратора настроить защиту.

если же мониторят администраторы, то от админов защиты нет.

в этом случае надо просто делать хорошо свою работу, не засиживаться в соц_сетях и со временем, они переключатся на других сотрудников.

[ Как создать образ автозапуска? ]

Перейти