santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

Вирус удалил антивирус, Вирус

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 18.11.2021 17:00:14

по образу uVS:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.11.12 [http://dsrt.dyndns.org:8888] ;Target OS: NTv10.0 v400c OFFSGNSAVE hide %SystemDrive%\USERS\USER\DESKTOP\НОВАЯ ПАПКА (4)\FRST64.EXE ;------------------------autoscript--------------------------- delall %SystemDrive%\PROGRAMDATA\WINDOWSTASK\WINLOGON.EXE apply deltmp delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID] delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL delref %SystemRoot%\SYSWOW64\GPSVC.DLL delref %SystemRoot%\SYSWOW64\VID.DLL delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL delref %SystemRoot%\SYSWOW64\WEVTSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS delref %SystemRoot%\SYSWOW64\APPVETWCLIENTRES.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS delref %SystemRoot%\SYSWOW64\W32TIME.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\DXGMMS2.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\WINNAT.SYS delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\VMBUSR.SYS delref %SystemRoot%\SYSWOW64\BTHSERV.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL delref %SystemRoot%\SYSWOW64\CSCSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\SMBDIRECT.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\REFS.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL delref %SystemRoot%\SYSWOW64\LSM.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {0D012ABD-CEED-11D2-9C76-00105AA73033}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {56A58823-AE99-11D5-B90B-0050DACD1F75}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID] delref {E01D1C6A-4F40-11D3-8958-00105A272DCF}\[CLSID] delref %SystemRoot%\SYSWOW64\IE4USHOWIE.EXE delref %SystemRoot%\SYSWOW64\IE4UINIT.EXE delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID] delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\50.0.2661.94\INSTALLER\CHRMSTP.EXE delref %SystemRoot%\SYSWOW64\BLANK.HTM delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID] delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B}\[CLSID] delref {B298D29A-A6ED-11DE-BA8C-A68E55D89593}\[CLSID] delref %Sys32%\DRIVERS\VMBUSR.SYS delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL delref %Sys32%\BLANK.HTM delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS delref HELPSVC\[SERVICE] delref SACSVR\[SERVICE] delref SWPRV\[SERVICE] delref TBS\[SERVICE] delref VMMS\[SERVICE] delref BROWSER\[SERVICE] delref MESSENGER\[SERVICE] delref RDSESSMGR\[SERVICE] delref %SystemRoot%\TEMP\CPUZ145\CPUZ145_X64.SYS delref IRENUM\[SERVICE] delref %Sys32%\TETHERINGSETTINGHANDLER.DLL delref %Sys32%\QUICKACTIONSPS.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.102\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE delref %SystemRoot%\SYSWOW64\TAPILUA.DLL delref %SystemRoot%\SYSWOW64\LOCATIONFRAMEWORK.DLL delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL delref %SystemRoot%\SYSWOW64\COMPPKGSRV.EXE delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL delref %SystemRoot%\SYSWOW64\LISTSVC.DLL delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL delref %SystemRoot%\SYSWOW64\WPCREFRESHTASK.DLL delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL delref %SystemRoot%\SYSWOW64\RMSROAMINGSECURITY.DLL delref %SystemRoot%\SYSWOW64\SYSTEMSETTINGSBROKER.EXE delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SAPI_EXTENSIONS.DLL delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.102\PSMACHINE.DLL delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL delref %SystemRoot%\SYSWOW64\WIREDNETWORKCSP.DLL delref F:\EPIC GAMES\LAUNCHER\PORTAL\BINARIES\WIN64\EPICGAMESLAUNCHER.EXE delref D:\PROGRAM FILES (X86)\WINDSCRIBE\WINDSCRIBE.EXE delref F:\EPIC GAMES\LAUNCHER\PORTAL\BINARIES\WIN32\EPICGAMESLAUNCHER.EXE delref F:\RED SOLSTICE 2 SURVIVORS\SURVIVORS.EXE delref F:\STEAM\STEAM.EXE delref F:\UBISOFT\UBISOFT GAME LAUNCHER\UPLAY.EXE delref D:\PROGRAM FILES (X86)\WINDSCRIBE\WINDSCRIBELAUNCHER.EXE delref F:\MMDOC_REVIVAL\GAME.EXE delref F:\MMDOC_REVIVAL\UNINS000.EXE delref %SystemDrive%\PROGRAM FILES (X86)\THE KMPLAYER\KMPLAYER.EXE delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE\ASC.EXE delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\DRIVER BOOSTER\8.1.0\DRIVERBOOSTER.EXE delref F:\FOLLAUT ONLINS\FONLINE REQUIEM\FOCONFIG.EXE delref F:\PATHFINDER WRATH OF THE RIGHTEOUS\WRATH.EXE delref F:\VORTEX\VORTEX.EXE ;------------------------------------------------------------- restart

Код


;uVS v4.11.12 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
hide %SystemDrive%\USERS\USER\DESKTOP\НОВАЯ ПАПКА (4)\FRST64.EXE
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAMDATA\WINDOWSTASK\WINLOGON.EXE
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemRoot%\SYSWOW64\VID.DLL
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\WEVTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
delref %SystemRoot%\SYSWOW64\APPVETWCLIENTRES.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
delref %SystemRoot%\SYSWOW64\W32TIME.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DXGMMS2.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\WINNAT.SYS
delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBUSR.SYS
delref %SystemRoot%\SYSWOW64\BTHSERV.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SMBDIRECT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\REFS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL
delref %SystemRoot%\SYSWOW64\LSM.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {0D012ABD-CEED-11D2-9C76-00105AA73033}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {56A58823-AE99-11D5-B90B-0050DACD1F75}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {E01D1C6A-4F40-11D3-8958-00105A272DCF}\[CLSID]
delref %SystemRoot%\SYSWOW64\IE4USHOWIE.EXE
delref %SystemRoot%\SYSWOW64\IE4UINIT.EXE
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\50.0.2661.94\INSTALLER\CHRMSTP.EXE
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B}\[CLSID]
delref {B298D29A-A6ED-11DE-BA8C-A68E55D89593}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref SWPRV\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref BROWSER\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %SystemRoot%\TEMP\CPUZ145\CPUZ145_X64.SYS
delref IRENUM\[SERVICE]
delref %Sys32%\TETHERINGSETTINGHANDLER.DLL
delref %Sys32%\QUICKACTIONSPS.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.102\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE
delref %SystemRoot%\SYSWOW64\TAPILUA.DLL
delref %SystemRoot%\SYSWOW64\LOCATIONFRAMEWORK.DLL
delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL
delref %SystemRoot%\SYSWOW64\COMPPKGSRV.EXE
delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL
delref %SystemRoot%\SYSWOW64\LISTSVC.DLL
delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL
delref %SystemRoot%\SYSWOW64\WPCREFRESHTASK.DLL
delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL
delref %SystemRoot%\SYSWOW64\RMSROAMINGSECURITY.DLL
delref %SystemRoot%\SYSWOW64\SYSTEMSETTINGSBROKER.EXE
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SAPI_EXTENSIONS.DLL
delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.102\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL
delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref %SystemRoot%\SYSWOW64\WIREDNETWORKCSP.DLL
delref F:\EPIC GAMES\LAUNCHER\PORTAL\BINARIES\WIN64\EPICGAMESLAUNCHER.EXE
delref D:\PROGRAM FILES (X86)\WINDSCRIBE\WINDSCRIBE.EXE
delref F:\EPIC GAMES\LAUNCHER\PORTAL\BINARIES\WIN32\EPICGAMESLAUNCHER.EXE
delref F:\RED SOLSTICE 2 SURVIVORS\SURVIVORS.EXE
delref F:\STEAM\STEAM.EXE
delref F:\UBISOFT\UBISOFT GAME LAUNCHER\UPLAY.EXE
delref D:\PROGRAM FILES (X86)\WINDSCRIBE\WINDSCRIBELAUNCHER.EXE
delref F:\MMDOC_REVIVAL\GAME.EXE
delref F:\MMDOC_REVIVAL\UNINS000.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\THE KMPLAYER\KMPLAYER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE\ASC.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\DRIVER BOOSTER\8.1.0\DRIVERBOOSTER.EXE
delref F:\FOLLAUT ONLINS\FONLINE REQUIEM\FOCONFIG.EXE
delref F:\PATHFINDER WRATH OF THE RIGHTEOUS\WRATH.EXE
delref F:\VORTEX\VORTEX.EXE
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

+
вопрос:
статические маршруты у вас для чего используются?:
65.52.100.94,255.255.255.255,0.0.0.0,1

[ Как создать образ автозапуска? ]

Перейти

Вирус удалил антивирус, Вирус

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 18.11.2021 16:52:07

нет такой возможности, логи сейчас проверю

[ Как создать образ автозапуска? ]

Перейти

Вирус удалил антивирус, Вирус

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 18.11.2021 16:14:24

+
выполните скрипт в FRST

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Код
HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ 2021-11-18 07:57 - 2021-09-07 00:53 - 000000000 __SHD C:\rdp 2021-11-18 07:12 - 2021-09-07 00:53 - 000000000 __SHD C:\ProgramData\Windows 2021-11-17 23:42 - 2021-09-07 00:53 - 000000000 __SHD C:\ProgramData\WindowsTask 2021-11-17 23:42 - 2021-09-07 00:53 - 000000000 __SHD C:\ProgramData\install 2021-11-17 23:41 - 2021-09-07 00:53 - 000000000 __SHD C:\ProgramData\Setup 2021-09-07 00:53 C:\AdwCleaner 2021-09-07 00:53 C:\KVRT_Data 2021-09-07 00:53 C:\Program Files\AVAST Software 2021-09-07 00:53 C:\Program Files\AVG 2021-09-07 00:53 C:\Program Files\ByteFence 2021-09-07 00:53 C:\Program Files\Cezurity 2021-09-07 00:53 C:\Program Files\COMODO 2021-09-07 00:53 C:\Program Files\Enigma Software Group 2021-11-18 06:17 C:\Program Files\ESET 2021-09-07 00:53 C:\Program Files\Kaspersky Lab 2021-09-07 00:53 C:\Program Files\Malwarebytes 2021-09-07 00:53 C:\Program Files\SpyHunter 2021-09-07 00:53 C:\Program Files (x86)\360 2021-09-07 00:53 C:\Program Files (x86)\AVAST Software 2021-09-07 00:53 C:\Program Files (x86)\AVG 2021-09-07 00:53 C:\Program Files (x86)\Cezurity 2021-09-07 00:53 C:\Program Files (x86)\GRIZZLY Antivirus 2021-09-07 00:53 C:\Program Files (x86)\Microsoft JDX 2021-09-07 00:53 C:\Program Files (x86)\Panda Security 2021-09-07 00:53 C:\Program Files (x86)\SpyHunter 2021-09-07 00:53 C:\Windows\speechstracing 2020-12-19 10:48 C:\Program Files\Common Files\McAfee 2021-09-07 00:53 C:\ProgramData\360safe 2021-09-07 00:53 C:\ProgramData\AVAST Software 2021-09-07 00:53 C:\ProgramData\Avira 2021-09-07 00:53 C:\ProgramData\Doctor Web 2021-11-18 06:17 C:\ProgramData\ESET 2021-09-07 00:53 C:\ProgramData\grizzly 2021-09-07 00:53 C:\ProgramData\Indus 2021-09-07 00:53 C:\ProgramData\Kaspersky Lab 2021-09-07 00:53 C:\ProgramData\Kaspersky Lab Setup Files 2021-09-07 00:53 C:\ProgramData\Malwarebytes 2021-09-07 00:53 C:\ProgramData\MB3Install 2020-12-19 10:48 C:\ProgramData\McAfee 2021-09-07 00:53 C:\ProgramData\Norton EmptyTemp: Reboot:

Код

HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ

2021-11-18 07:57 - 2021-09-07 00:53 - 000000000 __SHD C:\rdp
2021-11-18 07:12 - 2021-09-07 00:53 - 000000000 __SHD C:\ProgramData\Windows
2021-11-17 23:42 - 2021-09-07 00:53 - 000000000 __SHD C:\ProgramData\WindowsTask
2021-11-17 23:42 - 2021-09-07 00:53 - 000000000 __SHD C:\ProgramData\install
2021-11-17 23:41 - 2021-09-07 00:53 - 000000000 __SHD C:\ProgramData\Setup

2021-09-07 00:53 C:\AdwCleaner
2021-09-07 00:53 C:\KVRT_Data
2021-09-07 00:53 C:\Program Files\AVAST Software
2021-09-07 00:53 C:\Program Files\AVG
2021-09-07 00:53 C:\Program Files\ByteFence
2021-09-07 00:53 C:\Program Files\Cezurity
2021-09-07 00:53 C:\Program Files\COMODO
2021-09-07 00:53 C:\Program Files\Enigma Software Group
2021-11-18 06:17 C:\Program Files\ESET
2021-09-07 00:53 C:\Program Files\Kaspersky Lab
2021-09-07 00:53 C:\Program Files\Malwarebytes
2021-09-07 00:53 C:\Program Files\SpyHunter
2021-09-07 00:53 C:\Program Files (x86)\360
2021-09-07 00:53 C:\Program Files (x86)\AVAST Software
2021-09-07 00:53 C:\Program Files (x86)\AVG
2021-09-07 00:53 C:\Program Files (x86)\Cezurity
2021-09-07 00:53 C:\Program Files (x86)\GRIZZLY Antivirus
2021-09-07 00:53 C:\Program Files (x86)\Microsoft JDX
2021-09-07 00:53 C:\Program Files (x86)\Panda Security
2021-09-07 00:53 C:\Program Files (x86)\SpyHunter
2021-09-07 00:53 C:\Windows\speechstracing
2020-12-19 10:48 C:\Program Files\Common Files\McAfee
2021-09-07 00:53 C:\ProgramData\360safe
2021-09-07 00:53 C:\ProgramData\AVAST Software
2021-09-07 00:53 C:\ProgramData\Avira
2021-09-07 00:53 C:\ProgramData\Doctor Web
2021-11-18 06:17 C:\ProgramData\ESET
2021-09-07 00:53 C:\ProgramData\grizzly
2021-09-07 00:53 C:\ProgramData\Indus
2021-09-07 00:53 C:\ProgramData\Kaspersky Lab
2021-09-07 00:53 C:\ProgramData\Kaspersky Lab Setup Files
2021-09-07 00:53 C:\ProgramData\Malwarebytes
2021-09-07 00:53 C:\ProgramData\MB3Install
2020-12-19 10:48 C:\ProgramData\McAfee
2021-09-07 00:53 C:\ProgramData\Norton

EmptyTemp:
Reboot:

[ Как создать образ автозапуска? ]

Перейти

Вирус удалил антивирус, Вирус

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 18.11.2021 16:02:25

+
нужен образ автозапуска - это основная программа для анализа

Цитата
Создайте образ автозапуска в uVS http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.11.2021 18:08:25

кстати, есть тема на forum.eset.com по эксплуатации уязвимости на серверах с MS Exchange

https://forum.eset.com/topic/30336-exchange-hafniumproxyshell-exploit-malicious-files-submitted-but-no-action-taken/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] запуск майнера на сервере с MS Exchange 2016

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.11.2021 17:34:41

[KB7855] Does ESET protect me from the Hafnium zero-day exploit in Microsoft Exchange?

https://support.eset.com/en/kb7855-does-eset-protect-me-from-hafnium

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] запуск майнера на сервере с MS Exchange 2016

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.11.2021 15:54:25

по найденным файлам:
App_Web_logout.aspx.f5dba9b9.rlmjc4uk.dll
https://www.virustotal.com/gui/file/05447261bafc1159965e6fa448a28c90595c056fe620663cecc48dcce61e18bb?nocache=1
_iisstart._aspx_
https://www.virustotal.com/gui/file/ebdd241f3aa2d900d0f6d51dc865466ba8f03fa99c202d436216cb770c691dff?nocache=1
_Logout._aspx_
https://www.virustotal.com/gui/file/c078a79f233f7d3784ae4d7f4a38f5ac4cd574af7c4d4baffdc3e5d4a1c9cc0c?nocache=1

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Не могу обновить AIMP. Ругается антивирус (ESET Internet Security)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.11.2021 17:27:05

Цитата
vk10952476 написал: Я santy отписал вчера в ЛС. Или спрошу здесь. Как создать лог журнала обнаруженных угроз? Там по ссылке очень старая версия антивируса ESET.. В новой непонятно где это найти..

в новой версии
Сервис - дополнительные средства - файлы журнала - обнаружения.
принцип создания лога остается прежний - надо перейти в функции просмотра журналов, и выбрать из списка нужный журнал.

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.11.2021 07:29:55

Цитата

RP55 RP55 написал:

Цитата
santy написал: C:\WINDOWS\TEMP\RAR.EXE

Есть отчёт по Ростелекому.

более свежий отчет
https://rt-solar.ru/upload/iblock/abb/Naibolee-populyarnye-VPO.PDF

SOC (Security Operations Center) — это команда, состоящая в основном из аналитиков по безопасности, в задачи которой входит обнаружение и анализ инцидентов кибербезопасности, оперативное реагирование, предотвращение их возникновения и составление отчетности.

https://rvision.pro/blog-posts/2-1-chto-takoe-soc-perevod-gajda-mitre/

[ Как создать образ автозапуска? ]

Перейти

Файлы зашифрованы с расширением .Lazarus; Lazarus+; .Angus; .Skynet; .Kronos; .Void; .mifr; .onion; Spade; crypter; .RTX; .ADA; .gts; .help; .Iwan; .killer; .lama; .professor; .zxc; solo; .PAY; MrWhite; .rar; RYKCRYPT; .MRN, VoidCrypt/Filecoder.Ouroboros

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.11.2021 06:58:39

судя по записке о выкупе и ключе, похоже на шифрование вариантом Void Ransomware
вот пример записки о выкупе для Void.onion

#Decrypt-me.txt

Цитата
All Your Files Has Been Encrypted You Have to Pay to Get Your Files Back 1-Go to C:\ProgramData\ folder and send us prvkey.txt.key file , might be a number (like this : prvkey3.txt.key) 2-You can send some file little than 1mb for Decryption test to trust us But the test File should not contain valuable data 3-Payment should be with Bitcoin Our Email:[email protected] in Case of no Answer:[email protected]

Цитата

All Your Files Has Been Encrypted

You Have to Pay to Get Your Files Back

1-Go to C:\ProgramData\ folder and send us prvkey*.txt.key file , * might be a number (like this : prvkey3.txt.key)

2-You can send some file little than 1mb for Decryption test to trust us But the test File should not contain valuable data

3-Payment should be with Bitcoin

Our Email:[email protected]

in Case of no Answer:[email protected]

для сравнения с вашим вариантом .ADA
#read-me.txt

Цитата
All Your Files Has Been Encrypted You Have to Pay to Get Your Files Back 1-Go to C:\ProgramData\ or in Your other Drives and send us prvkey.txt.key file 2-You can send some file little than 1mb for Decryption test to trust us But the test File should not contain valuable data 3-Payment should be with Bitcoin 4-Changing Windows without saving prvkey.txt.key file will cause permanete Data loss Our Email: [email protected] in Case of no Answer: [email protected] Attention! Do not rename encrypted files. Do not try to decrypt your data using third party software, it may cause permanent data loss. Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Цитата

All Your Files Has Been Encrypted

You Have to Pay to Get Your Files Back

1-Go to C:\ProgramData\ or in Your other Drives and send us prvkey.txt.key file

2-You can send some file little than 1mb for Decryption test to trust us But the test File should not contain valuable data

3-Payment should be with Bitcoin

4-Changing Windows without saving prvkey.txt.key file will cause permanete Data loss

Our Email: [email protected]

in Case of no Answer: [email protected]

Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

+
совпадают имена ключей:
prvkey.txt.key
и маски имен зашифрованных файлов
filename.ext.[[email protected]][MJ-JC5304928617](1).ADA
и
fileName.ext.[[email protected]][MJ-VB3406819725].onion

больше информации о VOIDCRYPT здесь
https://id-ransomware.blogspot.com/2020/04/void-voidcrypt-ransomware.html

ESET реагирует записку о выкупе как G:\DATA\shifr\encode_files\Void\ADA\read-me.txt;Win32/Filecoder.Ouroboros троянская программа

если есть такая возможность, сделайте образ автозапуска из зашифрованной системы+ можно добавить лог ESETlogCollector для получения большей информации о зашифрованной системе.

[ Как создать образ автозапуска? ]

Перейти