santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

зашифровано с расширением *id-*[email protected], Filecoder.DG / Encoder.741

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 03.07.2015 09:59:59

Цитата
Олег МСК написал: Пытался восстановить файлы на внешнем диске (удаленные вирусом, я так понял он их стирает и пишет поверх новый). В удаленных старых-оригинальных файлов нет, в удаленных если восстанавливать все файлы с расширением как у зараженных.

Цитата

Олег МСК написал:
Пытался восстановить файлы на внешнем диске (удаленные вирусом, я так понял он их стирает и пишет поверх новый). В удаленных старых-оригинальных файлов нет, в удаленных если восстанавливать все файлы с расширением как у зараженных.

файл шифруется, затем зашифрованный файл перемещается на место оригинала, затем уже шифрованный файл с именем оригинала переименовывается так, как это надо злоумышленнику.
в итоге файл оригинала затирается информацией шифрованного файла.

[ Как создать образ автозапуска? ]

Перейти

зашифровано с расширением *id-*[email protected], Filecoder.DG / Encoder.741

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 03.07.2015 05:58:27

да, очистку системы можно завершить,
по этой реплике поясните подробнее, что имеете ввиду

Цитата
но все что было на внешнем диске открываю R-studio .....имена файла как у зашифрованных.

[ Как создать образ автозапуска? ]

Перейти

Заблокирован доступ к рабочему столу Windows

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 02.07.2015 16:14:18

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.25 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v385c OFFSGNSAVE sreg delref %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\ASPACKAGE\ASSRV.EXE delref %SystemDrive%\DOCUMENTS AND SETTINGS\USER\LOCAL SETTINGS\APPLICATION DATA\CONVERTAD\CASRV.EXE delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.10.16434.218\QQPCRTP.EXE delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.10.16434.218\TAOFRAME.EXE delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.10.16434.218\QMIEPROTECT.SYS delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.10.16434.218\QMUDISK.SYS delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.10.16434.218\QQSYSMON.SYS delref %Sys32%\DRIVERS\TAOACCELERATOR.SYS delref %Sys32%\DRIVERS\TAOKERNELXP.SYS delref %Sys32%\DRIVERS\TFSFLT.SYS delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.10.16434.218\TS888.SYS delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.10.16434.218\TSCPM.SYS delref %Sys32%\DRIVERS\TSDEFENSEBT.SYS delref %Sys32%\DRIVERS\TSFLTMGR.SYS delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.10.16434.218\TSKSP.SYS delref %Sys32%\TSSK.SYS delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.10.16434.218\TSSYSKIT.SYS delref %SystemDrive%\DOCUMENTS AND SETTINGS\USER\LOCAL SETTINGS\APPLICATION DATA\AMIGO\APPLICATION\AMIGO.EXE delref %SystemDrive%\PROGRAM FILES\APPLICATION ASSISTANCE\AP.EXE delref %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\ETRANSLATOR\ETRANSLATOR.EXE delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=35391B73824B1D65A68AD5909F83571A&TEXT={SEARCHTERMS} delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.10.16434.218\QQPCTRAY.EXE delref %SystemDrive%\DOCUMENTS AND SETTINGS\USER\LOCAL SETTINGS\APPLICATION DATA\WINCHECK\WINCHECK.EXE delref HTTP://WWW.HAO123.COM/?TN=97951667_HAO_PG delref HTTP://XTEAM.IN/ areg

Код


;uVS v3.85.25 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
sreg

delref %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\ASPACKAGE\ASSRV.EXE
delref %SystemDrive%\DOCUMENTS AND SETTINGS\USER\LOCAL SETTINGS\APPLICATION DATA\CONVERTAD\CASRV.EXE
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.10.16434.218\QQPCRTP.EXE
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.10.16434.218\TAOFRAME.EXE
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.10.16434.218\QMIEPROTECT.SYS
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.10.16434.218\QMUDISK.SYS
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.10.16434.218\QQSYSMON.SYS
delref %Sys32%\DRIVERS\TAOACCELERATOR.SYS
delref %Sys32%\DRIVERS\TAOKERNELXP.SYS
delref %Sys32%\DRIVERS\TFSFLT.SYS
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.10.16434.218\TS888.SYS
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.10.16434.218\TSCPM.SYS
delref %Sys32%\DRIVERS\TSDEFENSEBT.SYS
delref %Sys32%\DRIVERS\TSFLTMGR.SYS
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.10.16434.218\TSKSP.SYS
delref %Sys32%\TSSK.SYS
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.10.16434.218\TSSYSKIT.SYS
delref %SystemDrive%\DOCUMENTS AND SETTINGS\USER\LOCAL SETTINGS\APPLICATION DATA\AMIGO\APPLICATION\AMIGO.EXE
delref %SystemDrive%\PROGRAM FILES\APPLICATION ASSISTANCE\AP.EXE
delref %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\ETRANSLATOR\ETRANSLATOR.EXE
delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=35391B73824B1D65A68AD5909F83571A&TEXT={SEARCHTERMS}
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.10.16434.218\QQPCTRAY.EXE
delref %SystemDrive%\DOCUMENTS AND SETTINGS\USER\LOCAL SETTINGS\APPLICATION DATA\WINCHECK\WINCHECK.EXE
delref HTTP://WWW.HAO123.COM/?TN=97951667_HAO_PG
delref HTTP://XTEAM.IN/
areg

перезагрузка, пишем о старых и новых проблемах.
------------
+
добавьте новый образ автозапуска, но сделайте это актуальной версией uVS
3.85.25
скачать отсюда
https://content.wuala.com/contents/al_1963/avirus/Universal%20Virus%20Sniffer/files/uvs_latest.zip/?dl=1

[ Как создать образ автозапуска? ]

Перейти

"Powered by SkinApp" навязчивая реклама, "Powered by SkinApp" навязчивая реклама

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 02.07.2015 16:05:53

Код
;uVS v3.85.25 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE addsgn 1A5B2B9A5583C58CF42B254E3143FE86C9AA77B381AC48128D9A7B6CA39771C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F879F23FE 64 ConvertAd zoo %SystemDrive%\USERS\56555\APPDATA\ROAMING\2330BC00-1435501281-81E2-3353-4C72B91593D2\HNSG1123.TMP deldir %SystemDrive%\PROGRAM FILES (X86)\GLOBALUPDATE\UPDATE\1.3.25.0 addsgn 1A002F9A5583338CF42B627DA804DE52730188D29971535C9148B9985C5DB0C7F214056CC0239572D38F06F7451649F5C7FA502417DAB15F2A8400C6D0052273 8 skinapp zoo %SystemDrive%\PROGRAM FILES (X86)\SKINAPP\SKINAPP.EXE delall %SystemDrive%\USERS\56555\LOCAL SETTINGS\APPLICATION DATA\EXTENSIONINSTALLER_14\EXTINST.EXE ;------------------------autoscript--------------------------- sreg chklst delvir delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID] delref %SystemRoot%\SKINAPP.SYS del %SystemRoot%\SKINAPP.SYS REGT 27 regt 28 regt 29 ; OpenAL exec C:\Program Files (x86)\OpenAL\OpenAL.exe" /U deltmp delnfr areg ;-------------------------------------------------------------

Код


;uVS v3.85.25 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
addsgn 1A5B2B9A5583C58CF42B254E3143FE86C9AA77B381AC48128D9A7B6CA39771C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F879F23FE 64 ConvertAd

zoo %SystemDrive%\USERS\56555\APPDATA\ROAMING\2330BC00-1435501281-81E2-3353-4C72B91593D2\HNSG1123.TMP
deldir %SystemDrive%\PROGRAM FILES (X86)\GLOBALUPDATE\UPDATE\1.3.25.0
addsgn 1A002F9A5583338CF42B627DA804DE52730188D29971535C9148B9985C5DB0C7F214056CC0239572D38F06F7451649F5C7FA502417DAB15F2A8400C6D0052273 8 skinapp

zoo %SystemDrive%\PROGRAM FILES (X86)\SKINAPP\SKINAPP.EXE
delall %SystemDrive%\USERS\56555\LOCAL SETTINGS\APPLICATION DATA\EXTENSIONINSTALLER_14\EXTINST.EXE
;------------------------autoscript---------------------------

sreg

chklst
delvir

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]
delref %SystemRoot%\SKINAPP.SYS
del %SystemRoot%\SKINAPP.SYS

REGT 27
regt 28
regt 29
; OpenAL
exec  C:\Program Files (x86)\OpenAL\OpenAL.exe" /U
deltmp
delnfr
areg

;-------------------------------------------------------------

[ Как создать образ автозапуска? ]

Перейти

CryptoMonitor

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 02.07.2015 11:40:31

обновился КриптоМонитор до версии 2.0.503.
разработчики изменили подход и добавили во free версию, то что было в версии Pro,
пока не получается с помощью КриптоМонитора задетектировать (и заблокировать) к примеру VAULT.
обещают продолжить работу, возможно в будущем останется бесплатен.
-----------
пока что слаб.
шифратор Encoder.567 зашифровал документы из целевых каталогов КриптоМонитора, реакция монитора нулевая.

Изменено: santy - 14.07.2015 11:12:24

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы в Cryakl с расширением *.cbf, Filecoder.CQ,Filecoder.EQ/Encoder.567/Cryakl/ ver 4.0.0.0-8.0.0.0

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.07.2015 16:38:59

Татьяна,
по очистке системы:
выполните скрипт uVS

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.25 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v385c OFFSGNSAVE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\1\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetotian delall %SystemDrive%\DOCUMENTS AND SETTINGS\1\APPLICATION DATA\EXT\HE6.EXE delall %SystemDrive%\PROGRAM FILES\PROWISE\PROWISE.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\1\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL addsgn A7679B23596A4C7261D4C4B12DBDEB5673DD44269FB91F9061873843DBEB05386017F0976B3D8F1E6880E0607672C0DA95788F8FAA5140A9DB0BEC69F4DDAF26 8 Trojan.Fakealert.47622 [DrWeb] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\1\APPLICATION DATA\NEWSI_620\S_INST.EXE ;------------------------autoscript--------------------------- chklst delvir delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID] delref %SystemDrive%\PROGRAM FILES\DRIVERTOOLKIT\DRIVERTOOLKIT.EXE delref HTTP://SEARCH.QIP.RU deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.85.25 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\1\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetotian

delall %SystemDrive%\DOCUMENTS AND SETTINGS\1\APPLICATION DATA\EXT\HE6.EXE
delall %SystemDrive%\PROGRAM FILES\PROWISE\PROWISE.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\1\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL
addsgn A7679B23596A4C7261D4C4B12DBDEB5673DD44269FB91F9061873843DBEB05386017F0976B3D8F1E6880E0607672C0DA95788F8FAA5140A9DB0BEC69F4DDAF26 8 Trojan.Fakealert.47622 [DrWeb]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\1\APPLICATION DATA\NEWSI_620\S_INST.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

delref %SystemDrive%\PROGRAM FILES\DRIVERTOOLKIT\DRIVERTOOLKIT.EXE

delref HTTP://SEARCH.QIP.RU

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
2. по восстановлению документов. теневых копий нет. восстановить не получится.

3. по расшифровке документов при наличие лицензии на наш антивирус напишите в техподдержку [email protected]

[ Как создать образ автозапуска? ]

Перейти

зашифровано с расширением *id-*[email protected], Filecoder.DG / Encoder.741

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 30.06.2015 16:45:16

по очистке:
6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Код
IFEO\volaro: [Debugger] tasklist.exe IFEO\vonteera: [Debugger] tasklist.exe Toolbar: HKU\S-1-5-21-4133812564-2420411196-1259034592-1004 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File Toolbar: HKU\S-1-5-21-4133812564-2420411196-1259034592-1004 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No File Toolbar: HKU\S-1-5-21-4133812564-2420411196-1259034592-1004 -> No Name - {405DFEAE-1D2F-4649-BE08-C92313C3E1CE} - No File CHR Extension: (No Name) - C:\Users\Олег Гущин\AppData\Local\Google\Chrome\User Data\Default\Extensions\mdefnbcpjeflgggkipfemfckjicceiii [2015-06-25] EmptyTemp: Reboot:

Код

IFEO\volaro: [Debugger] tasklist.exe
IFEO\vonteera: [Debugger] tasklist.exe
Toolbar: HKU\S-1-5-21-4133812564-2420411196-1259034592-1004 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-4133812564-2420411196-1259034592-1004 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -  No File
Toolbar: HKU\S-1-5-21-4133812564-2420411196-1259034592-1004 -> No Name - {405DFEAE-1D2F-4649-BE08-C92313C3E1CE} -  No File
CHR Extension: (No Name) - C:\Users\Олег Гущин\AppData\Local\Google\Chrome\User Data\Default\Extensions\mdefnbcpjeflgggkipfemfckjicceiii [2015-06-25]
EmptyTemp:
Reboot:

по виртуальной машине:
используйте vmware или virtualbox
после установки программы создается виртуальная машина под конкретную систему, затем на эту машину ставится данная операционная система.
после установки системы вы можете на ней экспериментировать как угодно.

[ Как создать образ автозапуска? ]

Перейти

зашифровано с расширением *id-*[email protected], Filecoder.DG / Encoder.741

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 30.06.2015 13:05:40

по очистке системы:
по логу мбам:

2.удалите все найденное в малваребайт
перегрузите систему
далее,
3.сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

5.сделайте проверку в FRST
http://pchelpforum.ru/f26/t24207/2/#post1257991
---------

в данное время в системе не установлен антивирус, поэтому при активной работе в сети, можете наступить на те же грабли,
семейство шифраторов все время пополняется (питаясь образно говоря, денежной кровью беспечных юзеров) и обновляется, адаптируется в средствам защиты,
поэтому если есть лицензия, то надо ее использовать и установить антивирусную программу.

Изменено: santy - 30.06.2015 13:12:09

[ Как создать образ автозапуска? ]

Перейти

зашифровано с расширением *id-*[email protected], Filecoder.DG / Encoder.741

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 30.06.2015 12:11:52

1. по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.25 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\USERS\ОЛЕГ ГУЩИН\APPDATA\ROAMING\DEFAULTTAB\DEFAULTTAB\DTUPDATE.EXE addsgn 1A47239A5583C58CF42B254E3143FE84C9A2FFF6895967DAC4C34CB12474304CAA02B3F57F5514544722C59FCF2321583CDF614F3178F12C4BFBB1BF65472215 8 Adware.Plugin.48 [DrWeb] zoo %SystemDrive%\PROGRAM FILES (X86)\ASSETS MANAGER\SMDMF\SMDMFSERVICE.EXE addsgn 1A48D89A5583C58CF42BC4A10C58896B25625A7289FA2CB80C862535152AF809C79C86B305108D34380BF197CDD8B6AF69DC9D7EDCAFB8D368934FCA0043C272 8 SearchSuite.D [ESET-NOD32] zoo %SystemDrive%\USERS\ALL USERS\DTDATA\R002.EXE addsgn 9204749A556AA5990F89EBE4A7201305258A17AB3217E0877AC0183DBBD6614423947EDF3A559D49A21D0C9B4616467FB6DCE872D85F24282D77F4D052AF2D73 32 adobe zoo %SystemDrive%\PROGRAM FILES (X86)\SMARTERPOWER\SMARTERPOWERBHO.DLL addsgn A7679B1928664D070E3CEF3C64C8ED70357589FA768F179082C3C5BCD3127D11E11BC33D323D0D7928906C22471649C9BD9F6307595F4659214E916BBF05327C 64 Win32/BrowseFox.O [ESET-NOD32] zoo %SystemDrive%\USERS\ALL USERS\DL159\159.DLL addsgn 79132211B9E9317E0AA1AB5990961205DAFFF47DC4EA942D892B2942AF292811E11BC3DCC10016A5A86CA414031E1FAD17D7B1CCCD49B13CA00A44DC628F678B 64 AdWare.Win32.BHO.beso [Kaspersky] zoo %SystemDrive%\USERS\ОЛЕГ ГУЩИН\DOWNLOADS\UNIFI-INSTALLER.EXE addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6E96B5F78B63503F874C251B33627B3173E3D9CC92B807B8AF66609FA2E20FD0E279AB04625D4BCC38506CA82 59 Win32/Adware.ConvertAd.AQ [ESET-NOD32] zoo %SystemDrive%\USERS\ОЛЕГ ГУЩИН\UBIQUITI UNIFI\UNINSTALL.EXE delall %SystemDrive%\USERS\ОЛЕГ ГУЩИН\APPDATA\ROAMING\QIPGUARD\QIPGUARD.EXE delall %SystemDrive%\USERS\ОЛЕГ ГУЩИН\APPDATA\ROAMING\SETTINGS MANAGER\SETTINGSMANAGER.EXE hide M:\00 ЛИЧНОЕ\SETUP_11.0.0.1245.X01_2013_03_14_20_35.EXE hide J:\FREEMAKEVIDEOCONVERTERSETUP.EXE hide %SystemDrive%\USERS\ОЛЕГ ГУЩИН\DOWNLOADS\QIP2012.EXE hide %SystemDrive%\PROGRAM FILES (X86)\DOWNLOAD MASTER\DMASTER.EXE hide %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\PLUGINS\EXE\DECRYPTC.EXE hide %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\UTILS\RANSOMHIDE\RANSOMHIDE.EXE addsgn 9204749A556AA5990F89EBE4A7201305258A17AB3217E0877AC0183DBBD6914D23947EDF3A559D49A21D0C9B4616467FB6DCE872D85F24282D77F4D052AF2D73 8 Adware.Plugin.971 [DrWeb] zoo %SystemDrive%\USERS\ALL USERS\DTDATA\R001.EXE zoo %SystemDrive%\USERS\ALL USERS\DTDATA\R003.EXE ;------------------------autoscript--------------------------- chklst delvir delref %SystemDrive%\PROGRAM FILES (X86)\SMARTSAVER+ 12\SMARTSAVER+ 12-CODEDOWNLOADER.EXE delref STATS.SRVSTATSDATA.COM delref ERRORS.SRVSTATSDATA.COM delref APP-STATIC.CROSSRIDER.COM delref HTTP://UPDATE.SRVSTATSDATA.COM/IE_CODE_AGENT_UPDATES/{CAMP_ID}/UPDATE.JSON' delref %SystemDrive%\PROGRAM FILES (X86)\SMARTSAVER+ 12\SMARTSAVER+ 12-FIREFOXINSTALLER.EXE delref E0F95096-9ACD-4757-84D1-31900A5C8D72@100E8646-48F8-43C0-A36F-583295B2EABE.COM delref HTTPS://W9U6A2P6.SSL.HWCDN.NET/PLUGIN/FF/UPDATE/48930.RDF delref HTTP://UPDATE.SRVSTATSDATA.COM/FF_AGENT_UPDATES/{CAMP_ID}/UPDATE.JSON' delref %SystemDrive%\PROGRAM FILES (X86)\SMARTSAVER+ 12\SMARTSAVER+ 12-UPDATER.EXE delref %SystemDrive%\PROGRAM FILES (X86)\SMARTSAVER+ 12\SMARTSAVER+ 12-VALIDATOR.EXE delref %SystemDrive%\PROGRAM FILES (X86)\SMARTSAVER+ 12\UNINSTALL.EXE delref %SystemDrive%\PROGRAM FILES (X86)\SMARTSAVER+ 12\SMARTSAVER+ 12-BHO64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\SMARTSAVER+ 12\SMARTSAVER+ 12-BHO.DLL deldirex %SystemDrive%\PROGRAM FILES (X86)\MOBOGENIE delref {4D9101D6-5BA0-4048-BDDE-7E2DF54C8C47}\[CLSID] deldirex %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\TENCENT\QQDOWNLOAD\125 delref HTTP://WWW.QIP.RU/ ; Defaulttab exec C:\Windows\system32\config\systemprofile\AppData\Roaming\defaulttab\defaulttab\uninstalldt.exe deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.85.25 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\ОЛЕГ ГУЩИН\APPDATA\ROAMING\DEFAULTTAB\DEFAULTTAB\DTUPDATE.EXE
addsgn 1A47239A5583C58CF42B254E3143FE84C9A2FFF6895967DAC4C34CB12474304CAA02B3F57F5514544722C59FCF2321583CDF614F3178F12C4BFBB1BF65472215 8 Adware.Plugin.48 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES (X86)\ASSETS MANAGER\SMDMF\SMDMFSERVICE.EXE
addsgn 1A48D89A5583C58CF42BC4A10C58896B25625A7289FA2CB80C862535152AF809C79C86B305108D34380BF197CDD8B6AF69DC9D7EDCAFB8D368934FCA0043C272 8 SearchSuite.D [ESET-NOD32]

zoo %SystemDrive%\USERS\ALL USERS\DTDATA\R002.EXE
addsgn 9204749A556AA5990F89EBE4A7201305258A17AB3217E0877AC0183DBBD6614423947EDF3A559D49A21D0C9B4616467FB6DCE872D85F24282D77F4D052AF2D73 32 adobe

zoo %SystemDrive%\PROGRAM FILES (X86)\SMARTERPOWER\SMARTERPOWERBHO.DLL
addsgn A7679B1928664D070E3CEF3C64C8ED70357589FA768F179082C3C5BCD3127D11E11BC33D323D0D7928906C22471649C9BD9F6307595F4659214E916BBF05327C 64 Win32/BrowseFox.O [ESET-NOD32]

zoo %SystemDrive%\USERS\ALL USERS\DL159\159.DLL
addsgn 79132211B9E9317E0AA1AB5990961205DAFFF47DC4EA942D892B2942AF292811E11BC3DCC10016A5A86CA414031E1FAD17D7B1CCCD49B13CA00A44DC628F678B 64 AdWare.Win32.BHO.beso [Kaspersky]

zoo %SystemDrive%\USERS\ОЛЕГ ГУЩИН\DOWNLOADS\UNIFI-INSTALLER.EXE
addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6E96B5F78B63503F874C251B33627B3173E3D9CC92B807B8AF66609FA2E20FD0E279AB04625D4BCC38506CA82 59 Win32/Adware.ConvertAd.AQ [ESET-NOD32]

zoo %SystemDrive%\USERS\ОЛЕГ ГУЩИН\UBIQUITI UNIFI\UNINSTALL.EXE
delall %SystemDrive%\USERS\ОЛЕГ ГУЩИН\APPDATA\ROAMING\QIPGUARD\QIPGUARD.EXE
delall %SystemDrive%\USERS\ОЛЕГ ГУЩИН\APPDATA\ROAMING\SETTINGS MANAGER\SETTINGSMANAGER.EXE
hide M:\00 ЛИЧНОЕ\SETUP_11.0.0.1245.X01_2013_03_14_20_35.EXE
hide J:\FREEMAKEVIDEOCONVERTERSETUP.EXE
hide %SystemDrive%\USERS\ОЛЕГ ГУЩИН\DOWNLOADS\QIP2012.EXE
hide %SystemDrive%\PROGRAM FILES (X86)\DOWNLOAD MASTER\DMASTER.EXE
hide %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\PLUGINS\EXE\DECRYPTC.EXE
hide %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\UTILS\RANSOMHIDE\RANSOMHIDE.EXE
addsgn 9204749A556AA5990F89EBE4A7201305258A17AB3217E0877AC0183DBBD6914D23947EDF3A559D49A21D0C9B4616467FB6DCE872D85F24282D77F4D052AF2D73 8 Adware.Plugin.971 [DrWeb]

zoo %SystemDrive%\USERS\ALL USERS\DTDATA\R001.EXE
zoo %SystemDrive%\USERS\ALL USERS\DTDATA\R003.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAM FILES (X86)\SMARTSAVER+ 12\SMARTSAVER+ 12-CODEDOWNLOADER.EXE

delref STATS.SRVSTATSDATA.COM

delref ERRORS.SRVSTATSDATA.COM

delref APP-STATIC.CROSSRIDER.COM

delref HTTP://UPDATE.SRVSTATSDATA.COM/IE_CODE_AGENT_UPDATES/{CAMP_ID}/UPDATE.JSON'

delref %SystemDrive%\PROGRAM FILES (X86)\SMARTSAVER+ 12\SMARTSAVER+ 12-FIREFOXINSTALLER.EXE

delref E0F95096-9ACD-4757-84D1-31900A5C8D72@100E8646-48F8-43C0-A36F-583295B2EABE.COM

delref HTTPS://W9U6A2P6.SSL.HWCDN.NET/PLUGIN/FF/UPDATE/48930.RDF

delref HTTP://UPDATE.SRVSTATSDATA.COM/FF_AGENT_UPDATES/{CAMP_ID}/UPDATE.JSON'

delref %SystemDrive%\PROGRAM FILES (X86)\SMARTSAVER+ 12\SMARTSAVER+ 12-UPDATER.EXE

delref %SystemDrive%\PROGRAM FILES (X86)\SMARTSAVER+ 12\SMARTSAVER+ 12-VALIDATOR.EXE

delref %SystemDrive%\PROGRAM FILES (X86)\SMARTSAVER+ 12\UNINSTALL.EXE

delref %SystemDrive%\PROGRAM FILES (X86)\SMARTSAVER+ 12\SMARTSAVER+ 12-BHO64.DLL

delref %SystemDrive%\PROGRAM FILES (X86)\SMARTSAVER+ 12\SMARTSAVER+ 12-BHO.DLL

deldirex %SystemDrive%\PROGRAM FILES (X86)\MOBOGENIE

delref {4D9101D6-5BA0-4048-BDDE-7E2DF54C8C47}\[CLSID]

deldirex %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\TENCENT\QQDOWNLOAD\125

delref HTTP://WWW.QIP.RU/

; Defaulttab
exec  C:\Windows\system32\config\systemprofile\AppData\Roaming\defaulttab\defaulttab\uninstalldt.exe
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

2. по расшифровке документов при наличие лицензии на наш антивирус обратитесь в техподдержку на адрес [email protected]

Изменено: santy - 30.06.2015 12:13:27

[ Как создать образ автозапуска? ]

Перейти

Ошибка установки, Протекает наложенное событие ввода/вывода

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 29.06.2015 14:15:21

1. добавьте скриншот ошибки
2. добавьте образ автозапуска системы
http://forum.esetnod32.ru/forum9/topic2687/
3. добавьте лог ESETsysinspector
http://forum.esetnod32.ru/forum9/topic10701/

Изменено: santy - 29.06.2015 14:16:04

[ Как создать образ автозапуска? ]

Перейти