Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 532 533 534 535 536 537 538 539 540 541 542 ... 1784 След.
[ Закрыто] помогите!, скрытый вирус
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 10.07.2015 15:57:57
2.удалите все найденное в малваребайт
перегрузите систему
далее,
3.сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

5.сделайте проверку в FRST
http://pchelpforum.ru/f26/t24207/2/#post1257991
[ Как создать образ автозапуска? ]
Перейти
зашифровано с расширением *[email protected]_*, возможно, Filecoder.NFD
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 10.07.2015 15:56:32
да, получил.
один из них чист, вероятно не относится к шифратору, второй -
это текстовое сообщение от злоумышленников.
https://www.virustotal.com/ru/file/aa432fce3091ae1bd0660932b6dd04cb80a72f040c6d43bf­eb0b9c188ea8823f/analysis/1436532808/

по расшифровке: при наличие лицензии на наш антивирус, напишите в техподдержку [email protected]
[ Как создать образ автозапуска? ]
Перейти
зашифровано с расширением *[email protected]_*, возможно, Filecoder.NFD
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 10.07.2015 14:02:16
+
вот эти файлики скопируйте в архив с паролем infected и вышлите в почту [email protected]

Цитата
2014-10-13 15:54 - 2014-10-13 15:54 - 3428386 _____ () C:\ProgramData\SECDD3F.tmp
2015-07-03 16:01 - 2015-07-03 16:00 - 0002069 _____ () C:\ProgramData\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ
[ Как создать образ автозапуска? ]
Перейти
Win32 Kryptik.DPGT troy, NOD обнаружил вирус, но есть подозрения, что еще есть зараза.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 10.07.2015 13:54:37
если проблема решена, выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/
[ Как создать образ автозапуска? ]
Перейти
зашифровано с расширением *[email protected]_*, возможно, Filecoder.NFD
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 10.07.2015 13:53:30
6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Код
CHR Extension: (WhatsWeb) - C:\Users\АДМИН\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\cebcbiddpikadcfodbjihffmddoohdma [2015-04-05]
CHR Extension: (AdBlock) - C:\Users\АДМИН\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2014-11-14]
DefaultPrefix-x32: => http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=825324a2ba82845128eb92f2d5b7ef67&text= <==== ATTENTION
CHR Extension: (HTML5 location provider) - C:\Users\АДМИН\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\nhgcieglcpdegkhamigiokdphfhhnlhh [2012-08-03]
CHR Extension: (CinemaPlus-3.2cV06.07) - C:\Users\АДМИН\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\papbadoldddalgcjcicnikcfenodpghp [2015-07-07]
CHR Extension: (Please enter your password) - C:\Users\АДМИН\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\bfbmjmiodbnnpllbbbfblcplfjjepjdn [2015-04-02]
CHR Extension: (Angry Birds) - C:\Users\АДМИН\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\aknpkdffaafgjchaibgeefbgmgeghloj [2015-04-02]
CHR Extension: (HTML5 location provider) - C:\Users\АДМИН\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\nhgcieglcpdegkhamigiokdphfhhnlhh [2015-04-02]
CHR Extension: (CinemaPlus-3.2cV06.07) - C:\Users\АДМИН\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\papbadoldddalgcjcicnikcfenodpghp [2015-07-07]
CHR Extension: (Amazon 1Button App for Chrome) - C:\Users\АДМИН\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\pbjikboenpfhbbejgkoklgkhjpfogcam [2015-04-02]
CHR HKU\S-1-5-21-970964006-845550971-1886412459-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [apdfllckaahabafndbhieahigkjlhalf] - C:\Users\0A6A~1\AppData\Local\Google\Drive\apdfllckaahabafndbhieahigkjlhalf_live.crx [Not Found]
EmptyTemp:
Reboot:
[ Как создать образ автозапуска? ]
Перейти
Win32 Kryptik.DPGT troy, NOD обнаружил вирус, но есть подозрения, что еще есть зараза.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 10.07.2015 10:01:56
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.85.25 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE

setdns Подключение по локальной сети 5\4\{9B5A462B-3AB6-4059-B1E3-4376D941C2AB}\8.8.8.8,8.8.4.4
deltmp
delnfr
dnsreset
restart

перезагрузка, пишем о старых и новых проблемах.
------------
[ Как создать образ автозапуска? ]
Перейти
Обновление базы суррогатов!, Помогите настроить обновления для 120 компов из определенной папки
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 10.07.2015 09:54:17
каких еще суррогатов? вы уверены что не перепутали наш сайт с каким то другим?

+
читаем документацию по работе RAS/RAC
https://download.esetnod32.ru/manuals/business/era/eset_remote_administrator_5_userguid­e_rus.pdf
Изменено: santy - 10.07.2015 09:56:57
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] помогите!, скрытый вирус
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 10.07.2015 05:46:23
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.85.25 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

hide %SystemDrive%\USERS\ARSENAL\DESKTOP\ВСЕ  ВСЕ РАЗНЫЕ ПРОГРАММЫ!НЕ УДОЛЯТЬ!\WATCH DOGS\SETUP.EXE
;------------------------autoscript---------------------------

chklst
delvir

setdns Подключение по локальной сети\4\{C1DA434F-B915-4E8E-BC48-CBC81475A646}\8.8.8.8,8.8.4.4
delref %SystemDrive%\PROGRAM FILES\ADTRUSTMEDIA\PRIVDOG\2.1.0.23\TRUSTEDADS.DLL

delref %SystemRoot%\WIN.VBS

delref %SystemDrive%\USERS\ARSENAL\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AAAAAIABCOPKPLHGAEDHBLOEEJHHANKF\111.12_0\SEARCH APP BY ASK V2

delref %SystemDrive%\USERS\ARSENAL\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE

delref %SystemDrive%\PROGRAM FILES\ADTRUSTMEDIA\PRIVDOG\2.1.0.23\TRUSTEDADSSVC.EXE

delref %SystemDrive%\PROGRAM FILES\ADTRUSTMEDIA\PRIVDOG\2.1.0.23\MAGPIE.DLL

delref %SystemDrive%\PROGRAM FILES\ADTRUSTMEDIA\PRIVDOG\2.1.0.23\SCRIPTSERVICE.DLL

delref HTTP://WEBALTA.RU/SEARCH

del %SystemDrive%\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.URL

deldirex %SystemDrive%\USERS\ARSENAL\APPDATA\LOCAL\MEDIAGET2

regt 27
regt 28
regt 29
; desktopy
exec C:\Program Files\desktopy\uninstall.exe
; desktopy.ru
exec C:\Users\Arsenal\AppData\Roaming\desktopy.ru\uninstall.exe
; OpenAL
exec C:\Program Files\OpenAL\oalinst.exe" /U
; Webalta Toolbar
exec C:\Users\Arsenal\AppData\Local\Webalta Toolbar\uninstall.exe
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] помогите!, скрытый вирус
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 09.07.2015 19:00:02
сделайте образ автозапуска из безопасного режима системы
http://forum.esetnod32.ru/forum9/topic2687/
[ Как создать образ автозапуска? ]
Перейти
зашифровано с расширением *[email protected]_*, возможно, Filecoder.NFD
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 09.07.2015 15:57:16
кроме addition.txt нужен и втoрой лог frst.txt
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 532 533 534 535 536 537 538 539 540 541 542 ... 1784 След.