santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

Win32/RuKometa.F потенциально нежелательная программа, Помогите с удалением вируса

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.10.2015 11:35:55

лог мбам чистый,

3.сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

5.сделайте проверку в FRST
http://pchelpforum.ru/f26/t24207/2/#post1257991

[ Как создать образ автозапуска? ]

Перейти

ESET Блокирует доступ к жёсткому диску, а также не даёт запустить некоторые программы., ESET блокирует доступ к программам и файлам

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.10.2015 09:46:03

Иван Шишкин,
можно загрузиться со специализированного диска и установить права админа для вашей учетной записи.
пробуйте из DaRT изменить права вашей учетной записи
https://www.wuala.com/al_1963/avirus/Live.CD/DaRT

или с загрузочного диска elcomsoft system recovery поищите в сети

Примеры использования

Elcomsoft System Recovery позволяет не только восстанавливать или сбрасывать пароли, но поможет и при некоторых других проблемах, связанных с доступом в систему. Например, с его помощью также можно:

Цитата
Присвоить привилегии Администратора учётной записи любого пользователя Разблокировать учётную запись (которая была явно заблокирована Администратором, или после нескольких неудачных попыток ввода пароля) Сбросить или поменять пароль к учётной записи пользователя Показать список всех учётных записей в системе, выделив те, у которых есть привилегии Администратора Показать список привилегий пользователя Найти учётные записи с пустым паролем Мгновенно восстановить пароли к некоторым специальным/системным учтным записям (например, IUSR_, HelpAssistant и т.д.) Создать резервные копии файлов SAM/SYSTEM (и при необходимости восстановить из них – например, после входя в систему с новым паролем или после повышения привилегий)

Цитата

Присвоить привилегии Администратора учётной записи любого пользователя
Разблокировать учётную запись (которая была явно заблокирована Администратором, или после нескольких неудачных попыток ввода пароля)
Сбросить или поменять пароль к учётной записи пользователя
Показать список всех учётных записей в системе, выделив те, у которых есть привилегии Администратора
Показать список привилегий пользователя
Найти учётные записи с пустым паролем
Мгновенно восстановить пароли к некоторым специальным/системным учтным записям (например, IUSR_, HelpAssistant и т.д.)
Создать резервные копии файлов SAM/SYSTEM (и при необходимости восстановить из них – например, после входя в систему с новым паролем или после повышения привилегий)

Изменено: santy - 12.10.2015 09:46:22

[ Как создать образ автозапуска? ]

Перейти

зашифровано с расширением *@riseup.net

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.10.2015 06:21:50

там много этих файлов ПРОЧТИ_МЕНЯ.txt
скрипт удалил лишь те, что были в автозапуске.
возможно в каждую зашифрованную папку добавлен этот файлик для напоминания.

по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET
или в другой вирлаб - если не будет расшифровке у нас.

[ Как создать образ автозапуска? ]

Перейти

зашифровано с расширением *@riseup.net

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.10.2015 06:01:40

по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.86.5 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\ПРОЧТИ_МЕНЯ.TXT delall %SystemDrive%\USERS\USR4\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\ПРОЧТИ_МЕНЯ.TXT delall %SystemDrive%\USERS\USR3\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\ПРОЧТИ_МЕНЯ.TXT delall %SystemDrive%\USERS\USR2\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\ПРОЧТИ_МЕНЯ.TXT delall %SystemDrive%\USERS\USR1\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\ПРОЧТИ_МЕНЯ.TXT delall %SystemDrive%\USERS\ALEX\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\ПРОЧТИ_МЕНЯ.TXT ;------------------------autoscript--------------------------- chklst delvir deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\ПРОЧТИ_МЕНЯ.TXT
delall %SystemDrive%\USERS\USR4\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\ПРОЧТИ_МЕНЯ.TXT
delall %SystemDrive%\USERS\USR3\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\ПРОЧТИ_МЕНЯ.TXT
delall %SystemDrive%\USERS\USR2\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\ПРОЧТИ_МЕНЯ.TXT
delall %SystemDrive%\USERS\USR1\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\ПРОЧТИ_МЕНЯ.TXT
delall %SystemDrive%\USERS\ALEX\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\ПРОЧТИ_МЕНЯ.TXT
;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Перейти

зашифровано с расширением *@riseup.net

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.10.2015 05:50:07

добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

по ссылкам у вас зашифрованный файл дважды

[ Как создать образ автозапуска? ]

Перейти

Win32/RuKometa.F потенциально нежелательная программа, Помогите с удалением вируса

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.10.2015 05:45:08

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
czoo ;uVS v3.86.5 [http://dsrt.dyndns.org] ;Target OS: NTv6.3 v385c OFFSGNSAVE zoo %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\LOCAL\SYSTEMDIR\NETHOST.EXE addsgn 1A05B69A5583C58CF42BC4BD0C900C592562457F89FA2C870CBE218F905D044018E0CCC2FE6E5A3C3368508646168EFA6BDFE872BDAC182C2DF46CD02EB22273 8 Win32/RuKometa delref %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GHBMNNJOOEKPMOECNNNILNNBDLOLHKHI\0.5_0\GOOGLE ДОКУМЕНТЫ ОФЛАЙН delall %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\LOCAL\OPERA\OPERA\WIDGETS\EVERYSALE-4.1.0.0.OEX delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGBGNHMFBCIFPKJOFOOJFPLMFKMAIADN%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBPGANGMFFJCOFIKNIBCMFJIONICOHFGJ%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNBIFDKMDOJGMPMOPDEBNJCOBEKGDONCN%26INSTALLSOURCE%3DONDEMAND%26UC ;------------------------autoscript--------------------------- sreg chklst delvir deldirex %SystemDrive%\PROGRAM FILES (X86)\SKINAPP deldirex %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER deldirex %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\ASPACKAGE deldirex %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ASPACKAGE deltmp delnfr areg ;------------------------------------------------------------- restart

Код

czoo

;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\LOCAL\SYSTEMDIR\NETHOST.EXE
addsgn 1A05B69A5583C58CF42BC4BD0C900C592562457F89FA2C870CBE218F905D044018E0CCC2FE6E5A3C3368508646168EFA6BDFE872BDAC182C2DF46CD02EB22273 8 Win32/RuKometa

delref %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GHBMNNJOOEKPMOECNNNILNNBDLOLHKHI\0.5_0\GOOGLE ДОКУМЕНТЫ ОФЛАЙН
delall %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\LOCAL\OPERA\OPERA\WIDGETS\EVERYSALE-4.1.0.0.OEX
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGBGNHMFBCIFPKJOFOOJFPLMFKMAIADN%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBPGANGMFFJCOFIKNIBCMFJIONICOHFGJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNBIFDKMDOJGMPMOPDEBNJCOBEKGDONCN%26INSTALLSOURCE%3DONDEMAND%26UC
;------------------------autoscript---------------------------

sreg

chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES (X86)\SKINAPP

deldirex %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

deldirex %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\ASPACKAGE

deldirex %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ASPACKAGE

deltmp
delnfr
areg

;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Перейти

Жалобы на работу сотрудников технической поддержки

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.10.2015 18:11:47

Алексей Егоров,
расшифровка документов - это не является спецификой работы антивирусных компаний, тем более, что часть шифраторов (работа которых основана на методах стойкой криптографии) из тех что доминируют сейчас вообще не оставляют шанса для расшифровки за конечное время.
--------
вообщем, одной антивирусной защиты недостаточно для противодействия шифраторам.
используйте различные средства для безопасности ваших документов:
- регулярные бэкапы
- локальные политики по ограничению запуска нежелательных программ

Изменено: santy - 11.10.2015 18:14:39

[ Как создать образ автозапуска? ]

Перейти

вирусный сайт

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.10.2015 17:04:59

да пусть там висит, в карантине он безопасен.
если же есть подозрение на то, что что-то осталось в системе, сделайте образ автозапуска системы,
http://forum.esetnod32.ru/forum9/topic2687/

проверим здесь

[ Как создать образ автозапуска? ]

Перейти

Ошибка при обмене данными с ядром, главная

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 10.10.2015 15:44:36

Сергей,
удалите продукты ESET с помощью ремувера
http://download.eset.com/special/avremover/avremover_nt64_enu.exe
и пробуйте еще раз установить актуальную версию антивируса

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 10.10.2015 05:21:37

da da,
по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.86.5 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v385c OFFSGNSAVE zoo %SystemDrive%\PROGRAM FILES\DIG DEEP\BIN\F40A.DLL addsgn 79132211B9E9317E0AA1AB59C5B61205DAFFF47DC4EA942D892B2942AF292811E11BC3EF13DB9F598818769C56D14C668FDCF851D0D8A0EB28D7562CD7D1A671 64 Win32/BrowseFox.M [ESET-NOD32] delall %SystemDrive%\DOCUMENTS AND SETTINGS\VICTORIA. KHAN\APPLICATION DATA\NEWSI_1024\S_INST.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\VICTORIA. KHAN\APPLICATION DATA\NEWSI_1019\S_INST.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\VICTORIA. KHAN\APPLICATION DATA\NEWSI_1008\S_INST.EXE addsgn 4A58FEDB553A288D3ED4AEB164AC9B20258AFCF6BA3A9670588686D33DA6102F5725C3F176D7D64B7E4C719573C53DA6CEE2CBE92FC0B94BC14A1DFFC3D5F1C1 8 Trojan.Encoder.567 [DrWeb] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\VICTORIA. KHAN\LOCAL SETTINGS\TEMP\ОРИГИНАЛ ДОГОВОРА.DOC.EXE ;------------------------autoscript--------------------------- sreg chklst delvir ; McAfee Security Scan Plus exec D:\Program Files\McAfee Security Scan\uninstall.exe ; Utubebario Toolbar exec D:\PROGRA~1\UTUBEB~1\UNWISE.EXE /U D:\PROGRA~1\UTUBEB~1\INSTALL.LOG ; Time tasks exec C:\ProgramData\TimeTasks\uninstall.exe delref %Sys32%\XP_EOS.EXE del %Sys32%\XP_EOS.EXE delref {02478D38-C3F9-4EFB-9B51-7695ECA05670}\[CLSID] delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID] deldirex %SystemDrive%\PROGRAM FILES\ZAXAR delref C:\PROGRAMDATA\TIMETASKS\TIMETASKS.EXE" delref %SystemDrive%\PROGRAM FILES\ОРИГИНАЛ ДОГОВОРА.DOC.EXE del %SystemDrive%\PROGRAM FILES\ОРИГИНАЛ ДОГОВОРА.DOC.EXE delref %Sys32%\DRIVERS\{41CFE62E-E44A-4FAF-B15B-A5CF9F5069F0}GT.SYS del %Sys32%\DRIVERS\{41CFE62E-E44A-4FAF-B15B-A5CF9F5069F0}GT.SYS delref %Sys32%\DRIVERS\{F40AFB5F-D91E-4F36-AFE2-5CEF49FE5411}GT.SYS del %Sys32%\DRIVERS\{F40AFB5F-D91E-4F36-AFE2-5CEF49FE5411}GT.SYS deltmp delnfr areg ;-------------------------------------------------------------

Код


;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES\DIG DEEP\BIN\F40A.DLL
addsgn 79132211B9E9317E0AA1AB59C5B61205DAFFF47DC4EA942D892B2942AF292811E11BC3EF13DB9F598818769C56D14C668FDCF851D0D8A0EB28D7562CD7D1A671 64 Win32/BrowseFox.M [ESET-NOD32]

delall %SystemDrive%\DOCUMENTS AND SETTINGS\VICTORIA. KHAN\APPLICATION DATA\NEWSI_1024\S_INST.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\VICTORIA. KHAN\APPLICATION DATA\NEWSI_1019\S_INST.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\VICTORIA. KHAN\APPLICATION DATA\NEWSI_1008\S_INST.EXE
addsgn 4A58FEDB553A288D3ED4AEB164AC9B20258AFCF6BA3A9670588686D33DA6102F5725C3F176D7D64B7E4C719573C53DA6CEE2CBE92FC0B94BC14A1DFFC3D5F1C1 8 Trojan.Encoder.567 [DrWeb]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\VICTORIA. KHAN\LOCAL SETTINGS\TEMP\ОРИГИНАЛ ДОГОВОРА.DOC.EXE
;------------------------autoscript---------------------------

sreg

chklst
delvir

; McAfee Security Scan Plus
exec D:\Program Files\McAfee Security Scan\uninstall.exe
; Utubebario Toolbar
exec D:\PROGRA~1\UTUBEB~1\UNWISE.EXE   /U D:\PROGRA~1\UTUBEB~1\INSTALL.LOG
; Time tasks
exec C:\ProgramData\TimeTasks\uninstall.exe

delref %Sys32%\XP_EOS.EXE
del %Sys32%\XP_EOS.EXE

delref {02478D38-C3F9-4EFB-9B51-7695ECA05670}\[CLSID]
delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]
deldirex %SystemDrive%\PROGRAM FILES\ZAXAR

delref C:\PROGRAMDATA\TIMETASKS\TIMETASKS.EXE"

delref %SystemDrive%\PROGRAM FILES\ОРИГИНАЛ ДОГОВОРА.DOC.EXE
del %SystemDrive%\PROGRAM FILES\ОРИГИНАЛ ДОГОВОРА.DOC.EXE

delref %Sys32%\DRIVERS\{41CFE62E-E44A-4FAF-B15B-A5CF9F5069F0}GT.SYS
del %Sys32%\DRIVERS\{41CFE62E-E44A-4FAF-B15B-A5CF9F5069F0}GT.SYS

delref %Sys32%\DRIVERS\{F40AFB5F-D91E-4F36-AFE2-5CEF49FE5411}GT.SYS
del %Sys32%\DRIVERS\{F40AFB5F-D91E-4F36-AFE2-5CEF49FE5411}GT.SYS

deltmp
delnfr
areg

;-------------------------------------------------------------

перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Перейти