santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

Плохая работа службы поддержки, Видимо компании в условиях кризиса не интересны розничные клиенты если она не реагирует на обращения в течении почти суток

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 02.10.2015 12:29:13

Владимир, кратко опишите проблему и добавьте номер обращения.

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.10.2015 17:56:33

Kirill,
по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.86.5 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE addsgn 4AC836DB553A288D3ED4AEB164AC9B20258AFCF6BA3A9670588686D33DA6102F5725C314F09DF1FDBD462E5212676292401FED4310F725AEA846BEDC228BBB7A 8 Trojan.Encoder.567 [DrWeb] zoo %SystemDrive%\PROGRAM FILES\ДОГОВОР С ПОПРАВКАМИ.DOC.EXE ;------------------------autoscript--------------------------- chklst delvir ; Yahoo! Toolbar exec C:\PROGRA~1\Yahoo!\Common\unyt.exe deltmp delnfr ;------------------------------------------------------------- czoo restart

Код


;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
addsgn 4AC836DB553A288D3ED4AEB164AC9B20258AFCF6BA3A9670588686D33DA6102F5725C314F09DF1FDBD462E5212676292401FED4310F725AEA846BEDC228BBB7A 8 Trojan.Encoder.567 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES\ДОГОВОР С ПОПРАВКАМИ.DOC.EXE
;------------------------autoscript---------------------------

chklst
delvir

; Yahoo! Toolbar
exec C:\PROGRA~1\Yahoo!\Common\unyt.exe
deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected]
------------

по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

по восстановлению документов напишите в почту [email protected]

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Сторонний сайт, не запускаются regedit, AVZ, Игровой сайт при запуске, не запускается regedit

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.10.2015 10:43:20

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.86.5 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 v385c OFFSGNSAVE hide %SystemDrive%\PROGRAM FILES (X86)\CYBERLINK\POWERDVD10\NAVFILTER\KMSVC.EXE hide %SystemDrive%\PROGRAM FILES (X86)\CHECKPRIXAXPSTOPDF\UNINSTALL.EXE hide %SystemRoot%\NCS\SERVICE.EXE ;------------------------autoscript--------------------------- chklst delvir delref HTTP://GANGNAMGAME.ORG delref %Sys32%\IGFXPERS.EXE deltmp delnfr ;------------------------------------------------------------- regt 35 restart

Код


;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v385c
OFFSGNSAVE

hide %SystemDrive%\PROGRAM FILES (X86)\CYBERLINK\POWERDVD10\NAVFILTER\KMSVC.EXE
hide %SystemDrive%\PROGRAM FILES (X86)\CHECKPRIXAXPSTOPDF\UNINSTALL.EXE
hide %SystemRoot%\NCS\SERVICE.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://GANGNAMGAME.ORG

delref %Sys32%\IGFXPERS.EXE

deltmp
delnfr
;-------------------------------------------------------------

regt 35
restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Оперативная память = svchost.exe(3212) - модифицированный Win32/Dorkbot.B червь - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.10.2015 10:12:31

Код
;uVS v3.86.5 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE addsgn 1A31549A5583348CF42B254E3143FE84C9A2FFF689590775C0C34CB144DB344CAA02D35A7B551454278DC19FCF2341F738DF614F51D7F52C4BFBB11FCA432215 8 Win32/Dorkbot.B [ESET-NOD32] zoo %SystemDrive%\USERS\КШЕНСКАЯ АДС\APPDATA\ROAMING\MICROSOFT\WINDOWS\THEMES\MAPIPU.EXE zoo %SystemDrive%\USERS\КШЕНСКАЯ АДС\APPDATA\ROAMING\C731200 hide %SystemDrive%\PROGRAM FILES (X86)\SPRECORD ISDN TERMINALS CONVERTER\UNINST.EXE ;------------------------autoscript--------------------------- chklst delvir delref %SystemDrive%\USERS\КШЕНСКАЯ АДС\APPDATA\ROAMING\WINDOWSUPDATE\UPDATER.EXE delref %SystemDrive%\USERS\КШЕНСКАЯ АДС\APPDATA\ROAMING\MICROSOFT\XAPIPF.EXE deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

addsgn 1A31549A5583348CF42B254E3143FE84C9A2FFF689590775C0C34CB144DB344CAA02D35A7B551454278DC19FCF2341F738DF614F51D7F52C4BFBB11FCA432215 8 Win32/Dorkbot.B [ESET-NOD32]

zoo %SystemDrive%\USERS\КШЕНСКАЯ АДС\APPDATA\ROAMING\MICROSOFT\WINDOWS\THEMES\MAPIPU.EXE
zoo %SystemDrive%\USERS\КШЕНСКАЯ АДС\APPDATA\ROAMING\C731200
hide %SystemDrive%\PROGRAM FILES (X86)\SPRECORD ISDN TERMINALS CONVERTER\UNINST.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\USERS\КШЕНСКАЯ АДС\APPDATA\ROAMING\WINDOWSUPDATE\UPDATER.EXE

delref %SystemDrive%\USERS\КШЕНСКАЯ АДС\APPDATA\ROAMING\MICROSOFT\XAPIPF.EXE

deltmp
delnfr
;-------------------------------------------------------------

restart

[ Как создать образ автозапуска? ]

Перейти

Eset находит угрозу spy.banker.bt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 30.09.2015 16:34:11

да, судя по новому логу угрозы повторились и 30числа

Код
30.09.2015 12:17:44 Фильтр HTTP файл хттп://fsua.dotua.org/player.js?f=kz3TVIlOTk9d2JiKz44LGMpIjk4LGMiPypiJz5iLD8qYyc+IQ4OAB51Ah0aHyo3LCoCFDgrOH4+PgEpPTg/LnoaYn11fQYjNQwvPjcCNwQLYig9eAc5fAAfFD0FJRgvPTs3BgkXKCwgBzkeKy95PBoYCQM6YjgGeR49PDc/GBQleXh5BXokBXwlLwY6fBUeKgwaKBs+dRkvYgcDCzV7KBg9ABogfQYpNXgkD38rGSMZfnsEDwMCNws1ChsGPQcDA3t1OWIEJiAsAQoGKHooJn96Cz8G-JAwCOwkGeRhmFXkfdDsnNCsIO2YJewAoBgcMHx87BgkqPRkfICsgCgV1IiYEBgU4CX0OBw94eQM3eQ87eTcdeS5/Zjs4GAw6fnl9Lg8/DzR8JB8kKxkr JS/Spy.Banker.BT троянская программа соединение прервано - изолирован admin-ПК\admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Program Files (x86)\Opera\32.0.1948.69\opera.exe. 30.09.2015 12:17:44 Фильтр HTTP файл хттп://fsua.dotua.org/player.js?f=az3bnEGGhoeVEFBCB0bD0AKARobD0ABHAlBBB1BDxwJQAQdGl1ZFl9eJV4ANgY7WAIEHQssDV8/VyE9PiohHioqFBolBjo3GwEdCiEeGQUhPyteXQAMG1srGSMKBDo/PyIXGR0NWi8vID1FAzYdDEVcQRs9Fx0fAVcWAgsDIDZcDQZdITxaLF43VwReNCM2JBksWz8HHQ9XCAUZOFoNCiM2BSkWB1lfPzsePileAywBA1cCGxRaHSRYOCQLPB8gWg0JGkUmLTxbHBYlNzRfGik/OVhZOVtdLQJbJB00WApeJAw2I108KRlZNjY3PwAgWgoWAQQ4KF4jCgo4B1xZNDgeBhwAOB4AWgYWVgoDHQEeXhstHFclOAoaIicELz8NLEVYOkEYCQk-YXlYi JS/Spy.Banker.BT троянская программа соединение прервано - изолирован admin-ПК\admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Program Files (x86)\Opera\32.0.1948.69\opera.exe. 30.09.2015 12:17:44 Фильтр HTTP файл хттп://fsua.dotua.org/player.js?f=dN3emUSDg4KQFVVHAkPG1QeFQ4PG-1QVCB1VEAlVGwgdVBAJFTUDPAoYHhFNCik4DjAdIDYoFg08TEMpCkoyL0kdAx09MxMMND45Hz1NPB0eKhhCUUpNSTwrS0IOFwANPRxLPBIpHRsgGTwZPi1RDR0dHjANPhMZQjMYFR1KQz8rT0M3Hy45MD0fNghOOzcWSDwpFz0TVSsVDg82IhICEBkoAgA2NTJLHksoTSMbTjYzFEhKKj9LPSMsQgIQPQk9ICxOEBszFVExAC89TDY9SxA2CBYWSxYZMT5PORVDEBc5TR4/DE8qCgg1IDUQQzgLFwAWTzgQTUsZH0oSPxU8OSwfHUsRSUkLOTM+FFFPMBgrTDM2DRlCLxk4E0M+VVEtHBsSDE9PCRc9Iy8R JS/Spy.Banker.BT троянская программа соединение прервано - изолирован admin-ПК\admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Program Files (x86)\Opera\32.0.1948.69\opera.exe.

Код

30.09.2015 12:17:44   Фильтр HTTP   файл   хттп://fsua.dotua.org/player.js?f=kz3TVIlOTk9d2JiKz44LGMpIjk4LGMiPypiJz5iLD8qYyc+IQ4OAB51Ah0aHyo3LCoCFDgrOH4+PgEpPTg/LnoaYn11fQYjNQwvPjcCNwQLYig9eAc5fAAfFD0FJRgvPTs3BgkXKCwgBzkeKy95PBoYCQM6YjgGeR49PDc/GBQleXh5BXokBXwlLwY6fBUeKgwaKBs+dRkvYgcDCzV7KBg9ABogfQYpNXgkD38rGSMZfnsEDwMCNws1ChsGPQcDA3t1OWIEJiAsAQoGKHooJn96Cz8G-JAwCOwkGeRhmFXkfdDsnNCsIO2YJewAoBgcMHx87BgkqPRkfICsgCgV1IiYEBgU4CX0OBw94eQM3eQ87eTcdeS5/Zjs4GAw6fnl9Lg8/DzR8JB8kKxkr   JS/Spy.Banker.BT троянская программа   соединение прервано - изолирован   admin-ПК\admin   Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Program Files (x86)\Opera\32.0.1948.69\opera.exe.
30.09.2015 12:17:44   Фильтр HTTP   файл   хттп://fsua.dotua.org/player.js?f=az3bnEGGhoeVEFBCB0bD0AKARobD0ABHAlBBB1BDxwJQAQdGl1ZFl9eJV4ANgY7WAIEHQssDV8/VyE9PiohHioqFBolBjo3GwEdCiEeGQUhPyteXQAMG1srGSMKBDo/PyIXGR0NWi8vID1FAzYdDEVcQRs9Fx0fAVcWAgsDIDZcDQZdITxaLF43VwReNCM2JBksWz8HHQ9XCAUZOFoNCiM2BSkWB1lfPzsePileAywBA1cCGxRaHSRYOCQLPB8gWg0JGkUmLTxbHBYlNzRfGik/OVhZOVtdLQJbJB00WApeJAw2I108KRlZNjY3PwAgWgoWAQQ4KF4jCgo4B1xZNDgeBhwAOB4AWgYWVgoDHQEeXhstHFclOAoaIicELz8NLEVYOkEYCQk-YXlYi   JS/Spy.Banker.BT троянская программа   соединение прервано - изолирован   admin-ПК\admin   Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Program Files (x86)\Opera\32.0.1948.69\opera.exe.
30.09.2015 12:17:44   Фильтр HTTP   файл   хттп://fsua.dotua.org/player.js?f=dN3emUSDg4KQFVVHAkPG1QeFQ4PG-1QVCB1VEAlVGwgdVBAJFTUDPAoYHhFNCik4DjAdIDYoFg08TEMpCkoyL0kdAx09MxMMND45Hz1NPB0eKhhCUUpNSTwrS0IOFwANPRxLPBIpHRsgGTwZPi1RDR0dHjANPhMZQjMYFR1KQz8rT0M3Hy45MD0fNghOOzcWSDwpFz0TVSsVDg82IhICEBkoAgA2NTJLHksoTSMbTjYzFEhKKj9LPSMsQgIQPQk9ICxOEBszFVExAC89TDY9SxA2CBYWSxYZMT5PORVDEBc5TR4/DE8qCgg1IDUQQzgLFwAWTzgQTUsZH0oSPxU8OSwfHUsRSUkLOTM+FFFPMBgrTDM2DRlCLxk4E0M+VVEtHBsSDE9PCRc9Iy8R   JS/Spy.Banker.BT троянская программа   соединение прервано - изолирован   admin-ПК\admin   Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Program Files (x86)\Opera\32.0.1948.69\opera.exe.

у других, которых вы называете, так же установлен антивирус ESET?

если можно, дайте ссылку в личные сообщения на сайт, откуда вас перенаправляет таким образом
+
вопрос: DNS ваши?

Код
178.151.211.111,109.86.2.2

Изменено: santy - 30.09.2015 16:38:55

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 30.09.2015 16:30:23

Сергей,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.86.5 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v385c OFFSGNSAVE zoo %SystemDrive%\PROGRAM FILES\XP TWEAKER\XPTWEAKER.EXE addsgn 9252779A076AC1CC0BC4404E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 8 Tool.BtcMine.292 [DrWeb] delall %SystemDrive%\PROGRA~1\SYMANTEC\LIVEUP~1\LUCOMS~1.EXE ;------------------------autoscript--------------------------- chklst delvir delref XBAEKYF.YA deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES\XP TWEAKER\XPTWEAKER.EXE
addsgn 9252779A076AC1CC0BC4404E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 8 Tool.BtcMine.292 [DrWeb]

delall %SystemDrive%\PROGRA~1\SYMANTEC\LIVEUP~1\LUCOMS~1.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref XBAEKYF.YA

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

если сохранился источник заражения: файл, письмо с вложением или ссылкой, перешлите в почту [email protected] в архиве, с паролем infected

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 30.09.2015 14:04:42

Дмитрий,
по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.86.5 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\USERS\DIRMARKT\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE addsgn 1AF67A9B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian ;------------------------autoscript--------------------------- chklst delvir delref SCOLZNU.SA delref (X86)\DEALPLY\DEALPLYUPDATE.EXE delref {5C255C8A-E604-49B4-9D64-90988571CECB}\[CLSID] deldirex %SystemDrive%\PROGRAM FILES (X86)\DEALPLYLIVE\UPDATE\1.3.23.0 deldirex %SystemDrive%\PROGRAM FILES (X86)\DEALPLY regt 27 ; DealPly (remove only) exec C:\Program Files (x86)\DealPly\uninst.exe" /uninstall ; Java(TM) 6 Update 20 exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216020FF} /quiet deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\DIRMARKT\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1AF67A9B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian

;------------------------autoscript---------------------------

chklst
delvir

delref SCOLZNU.SA

delref (X86)\DEALPLY\DEALPLYUPDATE.EXE

delref {5C255C8A-E604-49B4-9D64-90988571CECB}\[CLSID]

deldirex %SystemDrive%\PROGRAM FILES (X86)\DEALPLYLIVE\UPDATE\1.3.23.0

deldirex %SystemDrive%\PROGRAM FILES (X86)\DEALPLY

regt 27
; DealPly (remove only)
exec  C:\Program Files (x86)\DealPly\uninst.exe" /uninstall
; Java(TM) 6 Update 20
exec  MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216020FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

по восстановлению документов напишите в почту [email protected]

[ Как создать образ автозапуска? ]

Перейти

Eset находит угрозу spy.banker.bt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 30.09.2015 13:50:12

образ сейчас не нужен, нужен новый лог журнала обнаружения угроз, для проверки есть ли новые угрозы или нет, по сравнению с предыдущим логм

Изменено: santy - 30.09.2015 13:50:36

[ Как создать образ автозапуска? ]

Перейти

Eset находит угрозу spy.banker.bt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 30.09.2015 12:51:11

да, не помешает новый лог обнаружения угроз
форматировать системный диск не надо, можно для начала удалить браузеры вместе с профилем, и заново установить актуальные версии

Изменено: santy - 30.09.2015 12:52:17

[ Как создать образ автозапуска? ]

Перейти

Eset находит угрозу spy.banker.bt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 30.09.2015 09:34:24

пробуйте очистить кэши браузеров и проверить результат

[ Как создать образ автозапуска? ]

Перейти