santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

зашифровано с расширением *id-*[email protected]*, возможно, Filecoder.DG

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.06.2015 10:00:06

1. судя по системе (XP) восстановление документов из теневой копии невозможно.

2. по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.23 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v385c OFFSGNSAVE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ПОЛЬЗОВАТЕЛЬ\APPLICATION DATA\174.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ПОЛЬЗОВАТЕЛЬ\APPLICATION DATA\TASKHOST.EXE hide %SystemDrive%\PROGRAM FILES\VENTA\VENTAFAX & VOICE\VFMANAGER.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\19887033\19887033.EXE ;------------------------autoscript--------------------------- chklst delvir delref HTTP://BROWSERHELP2.RU delref HTTP://QIP.RU delref HTTP://SEARCH.QIP.RU regt 27 deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.85.23 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE

delall %SystemDrive%\DOCUMENTS AND SETTINGS\ПОЛЬЗОВАТЕЛЬ\APPLICATION DATA\174.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ПОЛЬЗОВАТЕЛЬ\APPLICATION DATA\TASKHOST.EXE
hide %SystemDrive%\PROGRAM FILES\VENTA\VENTAFAX & VOICE\VFMANAGER.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\19887033\19887033.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://BROWSERHELP2.RU

delref HTTP://QIP.RU

delref HTTP://SEARCH.QIP.RU

regt 27
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
+
добавьте лог выполнения скрипта uVS
это файл: дата_времяlog.txt из папки uVS
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

Изменено: santy - 12.06.2016 12:00:54

[ Как создать образ автозапуска? ]

Перейти

зашифровано с расширением *id-*[email protected]*, возможно, Filecoder.DG

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.06.2015 09:36:31

скорее всего вариант encoder.741

1. добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

2. если сохранилось тело шифратора, или ссылка из адрес скачивания, вышлите в почту [email protected]
в архиве, с паролем infected

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] MSIL/Injector.YT, Угроза в оперативной памяти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.06.2015 05:17:26

Станислав,

Цитата
Станислав Михайленко написал: На этот DNS? Не сильно в этом разбираюсь.

этот DNS заменить на DNS от вашего провайдера.
если нет доступа в настройки роутера, аппаратно сбросьте настройки роутера и перенастройте его по настройкам от провайдера.
+ установите надежный пароль на настройки.
если это сложно сделать вам, попросите это сделать специалиста, или человека который умеет настроить роутер для работы в сети.

Цитата
СТАРЫЙ ЛОГ:

старый образ не нужен.
нужен новый образ после выполнения последнего скрипта.

Изменено: santy - 11.06.2015 05:21:44

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] MSIL/Injector.YT, Угроза в оперативной памяти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 10.06.2015 19:50:44

1. перенастройте DNS роутера и установите надежный пароль на доступ к настройкам
https://www.nic.ru/whois/?query=5.104.175.150

Цитата
inetnum: 5.104.175.0 - 5.104.175.255 netname: Verdina descr: Verdina Ltd. org: ORG-VL172-RIPE country: BG

2. по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.23 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\PROGRAM FILES\MSDS\PHOENIX.EXE addsgn 1A97749A5583D38FF42B254E3143FE8E608277F608C27C0BE823B096D3AE614F563348172A68BD4CB899F08A7B374C6964ABE64F77DF23355970992F879F2306 8 Tool.BtcMine.94 [DrWeb] zoo %SystemDrive%\USERS\СТАС\DOWNLOADS\GIT-1.9.5-PREVIEW20150319.EXE addsgn A7679B1991CE1F245CE76E38210C9B40E503B95200BFCFF1C00B4CF99C5F3498AA521BDE7BB925652BC18477AE47B6054E1FBD1ACBC0F12C4988944B4E2611A1 40 Program.Unwanted.285 [DrWeb] addsgn A7679B19919AF4EE9195AE59DC63ECFA9D4E67B7891245A47B3C4EA99870304CAA154842F6F3DC49A0922553E0574912350A178DDECF788A6C772F3D666A8432 8 Win32/BitCoinMiner.AI [ESET-NOD32] zoo %SystemDrive%\PROGRAM FILES\INTEL\INTEL.EXE zoo D:\WINDOWS.OLD\USERS\СТАС\DESKTOP\AIVLIFE_RU_ANTIALAWAR_2013\ALAWAR SMSKEY KEYMAKER.EXE delref %SystemRoot%\AUTOKMS\AUTOKMS.EXE ;------------------------autoscript--------------------------- chklst delvir deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.85.23 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES\MSDS\PHOENIX.EXE
addsgn 1A97749A5583D38FF42B254E3143FE8E608277F608C27C0BE823B096D3AE614F563348172A68BD4CB899F08A7B374C6964ABE64F77DF23355970992F879F2306 8 Tool.BtcMine.94 [DrWeb]

zoo %SystemDrive%\USERS\СТАС\DOWNLOADS\GIT-1.9.5-PREVIEW20150319.EXE
addsgn A7679B1991CE1F245CE76E38210C9B40E503B95200BFCFF1C00B4CF99C5F3498AA521BDE7BB925652BC18477AE47B6054E1FBD1ACBC0F12C4988944B4E2611A1 40 Program.Unwanted.285 [DrWeb]

addsgn A7679B19919AF4EE9195AE59DC63ECFA9D4E67B7891245A47B3C4EA99870304CAA154842F6F3DC49A0922553E0574912350A178DDECF788A6C772F3D666A8432 8 Win32/BitCoinMiner.AI [ESET-NOD32]

zoo %SystemDrive%\PROGRAM FILES\INTEL\INTEL.EXE
zoo D:\WINDOWS.OLD\USERS\СТАС\DESKTOP\AIVLIFE_RU_ANTIALAWAR_2013\ALAWAR SMSKEY KEYMAKER.EXE
delref %SystemRoot%\AUTOKMS\AUTOKMS.EXE
;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
3. добавьте все логи выполнения скриптов uVS
это файлы дата_Времяlog.txt из папки uVS

4. добавьте новый образ автозапуска

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] MSIL/Injector.YT, Угроза в оперативной памяти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 10.06.2015 16:07:43

добавьте новый образ автозапуска,
посмотрим что осталось, заодно и скриптом AutoKMS.exe отключим

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] MSIL/Injector.YT, Угроза в оперативной памяти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 10.06.2015 14:30:32

тогда временно исключите его из автозапуска, посмотрим что будет в результате.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] MSIL/Injector.YT, Угроза в оперативной памяти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 10.06.2015 14:22:14

я думаю, смысл вам понятен,
(как в русской пословице: дурак не заметит, умный заметит не скажет

)

потому нужен ответ по существу:
добавлено это приложение (AutoKMS.exe) в исключение из проверки антивируса или нет.
---------
или временно исключите из автозапуска: посмотрим результат - причина детекта в нем или в чем то другом.

Изменено: santy - 10.06.2015 14:25:30

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] MSIL/Injector.YT, Угроза в оперативной памяти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 10.06.2015 13:59:09

Цитата
zloyDi написал: + Добавьте программу AutoKMS.exe в исключение антивируса, скорее всего реакция на этот файл.

возможно и так, поскольу ESET его детектрует как:
MSIL/HackKMS.A potentially unsafe [ESET-NOD32]

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] MSIL/Injector.YT, Угроза в оперативной памяти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 10.06.2015 13:52:56

т.е. ЕСЕТ по прежнему находит в памяти это

Цитата
10.06.2015 12:34:35 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = mem_3EE0000_1792.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 10.06.2015 12:34:35 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = mem_970000_1792.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 10.06.2015 12:34:35 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = mem_960000_1792.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна

Цитата

10.06.2015 12:34:35 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = mem_3EE0000_1792.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
10.06.2015 12:34:35 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = mem_970000_1792.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
10.06.2015 12:34:35 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = mem_960000_1792.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] MSIL/Injector.YT, Угроза в оперативной памяти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 10.06.2015 13:29:50

ок, добавьте новый лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

[ Как создать образ автозапуска? ]

Перейти