Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 544 545 546 547 548 549 550 551 552 553 554 ... 1784 След.
файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.06.2015 17:01:57
6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Цитата
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
BHO: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} ->  No File
FF Extension: Kino-Filmov.Net - C:\Users\Админ\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\kino-filmov.net.xpi [2010-09-19]
FF Extension: madLen.uCoz.coM - C:\Users\Админ\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\madlen.ucoz.com.xpi [2010-09-19]
FF Extension: Podsolnushki.com  - C:\Users\Админ\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\podsolnushki.com.xpi [2012-08-27]
FF Extension: No Name - C:\Program Files (x86)\MediaPlayerV1\MediaPlayerV1alpha220\ff [not found]
FF Extension: No Name - C:\Program Files (x86)\MediaWatchV1\MediaWatchV1home897\ff [not found]
FF Extension: No Name - C:\Program Files (x86)\MediaBuzzV1\MediaBuzzV1mode3770\ff [not found]
FF Extension: No Name - C:\Users\Админ\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6h­a2.default\extensions\{95778f0c-827d-4aba-b416-f07dd840fd6a} [not found]
FF Extension: No Name - C:\Users\Админ\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6h­a2.default\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [not found]
CHR HKLM-x32\...\Chrome\Extension: [gdknicmnhbaajdglbinpahhapghpakch] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pganlglbhgfjfgopijbhemcpbehjnpia] - https://clients2.google.com/service/update2/crx
OPR Extension: (AdBlock) - C:\Users\Админ\AppData\Roaming\Opera Software\Opera Stable\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2015-02-03]
OPR Extension: (Скачивание с Вконтакте) - C:\Users\Админ\AppData\Roaming\Opera Software\Opera Stable\Extensions\kfegjkgamdgpojndjlflplinedgplfdh [2014-07-15]
OPR Extension: (PhoenixGuard - бесплатный антивирусный тулбар) - C:\Users\Админ\AppData\Roaming\Opera Software\Opera Stable\Extensions\pleoihkpdomoijdpaibdciidfoeedamm [2014-08-03]
OPR Extension: (ПромоКупоно) - C:\Users\Админ\AppData\Roaming\Opera Software\Opera Stable\Extensions\dnamklmggdjcdcflcgodfbmcepmbmaii [2014-07-15]
CHR Extension: (Скачивание с Вконтакте) - C:\Users\Админ\AppData\Local\Google\Chrome\User Data\Default\Extensions\kfegjkgamdgpojndjlflplinedgplfdh [2015-03-29]
EmptyTemp:
Reboot:
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.06.2015 16:12:37
лог frst обязательно нужен для контроля очистки политик Хрома, через которые  (в данном случае) активизируется реклама
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.06.2015 15:15:53
да, вот этот блок нужен для контроля.

Цитата
--------------------------------------------------------
regt 27
--------------------------------------------------------
Удаление всех политик Google Chrome...
RegOpenKeyRead (user):  [Не удается найти указанный файл. ]
SavePolicy (user):  [Отказано в доступе. ]
Операция завершена.

продолжайте очистку системы

+
по xtbl нет расшифровки ни у кого. (кроме злоумышленников)
нет по Creakl CL, ctb locker, VAULT возможно по некоторым другим.
поэтому делайте выводы на будущее
(дальше будет хуже, для мошенников это просто очень эффективный метод заработка средств, возможно и развлечение):
1. регулярные копии документов
2. ограничить запуск нежелательных программ через локальные политики
3. включить защиту диска с резервированием пространства под теневые копии,
4. включить  ясное представление об угрозах в сети: браузеры, электронная почта
-------
Изменено: santy - 30.06.2017 06:06:47
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.06.2015 15:09:29
нужен лог выполнения скрипта, не путайте это с образом автозапуска.
лог лежит в папке uVS
его имя формируется от даты выполнения скрипта.
дата_времяlog.txt
он нужен для контроля выполнения некоторых команд скрипта.
-----------------
по логу мбам:

2.удалите все найденное в малваребайт
перегрузите систему
далее,
3.сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

5.сделайте проверку в FRST
http://pchelpforum.ru/f26/t24207/2/#post1257991
Изменено: santy - 30.06.2017 06:06:47
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.06.2015 12:57:39
1. по расшифровке не поможем,

2. по восстановлению документов смотрите чистые теневые копии, возможно сохранились.

3. по очистке системы

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.85.23 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\АДМИН\APPDATA\ROAMING\NEWSI_20117\S_INST.EXE
addsgn A7679B235F6A4C7261D4C4B12DBDEB5476DCAB4EFD0E5D786D9CA441AF5D4C907254C364FE00F5091DC384FBB9262D735D379E0BA8253BDCA881D8678135F9FE 21 Trojan.Fakealert.47029

zoo %SystemDrive%\USERS\АДМИН\APPDATA\LOCAL\SWVUPDATER\UPDATER.EXE
addsgn 9252775A106AC1CC0B84544E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 14 sohanad_vir

deldir %SystemDrive%\PROGRAM FILES (X86)\ANYPROTECTEX
deldir %SystemDrive%\PROGRAM FILES (X86)\BETTER-SURF\IE
deldir %SystemDrive%\PROGRAM FILES (X86)\BETTERSURF\IE
deldir %SystemDrive%\PROGRAM FILES (X86)\MOBOGENIE
deldir %SystemDrive%\PROGRAM FILES (X86)\MEDIABUZZV1\MEDIABUZZV1MODE3770
deldir %SystemDrive%\PROGRAM FILES (X86)\WEBEXPENHANCEDV1\WEBEXPENHANCEDV1ALPHA486
deldir %SystemDrive%\PROGRAM FILES (X86)\BETTERSURF\BETTERSURFPLUS
delall %SystemDrive%\USERS\АДМИН\APPDATA\ROAMING\MICROSOFT\WINDOWS\MSIVDY.EXE
delall %SystemDrive%\USERS\АДМИН\APPDATA\ROAMING\LIBCURL-4.DLL
deldir %SystemDrive%\PROGRAMDATA\SCHEDULE
delall %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER.EXE
hide %SystemDrive%\PROGRAM FILES (X86)\GRETECH\GOMPLAYER\GOMWIZ.EXE
hide %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\PLUGINS\EXE\DECRYPTC.EXE
delall %SystemDrive%\USERS\АДМИН\APPDATA\ROAMING\NEWSI_2149\S_INST.EXE
delall %SystemDrive%\USERS\АДМИН\APPDATA\LOCAL\12512\A15925.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER3.DLL

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]

del %SystemDrive%\USERS\АДМИН\APPDATA\ROAMING\BROWSERS\EXE.EMORHC.BAT

del %SystemDrive%\USERS\АДМИН\APPDATA\ROAMING\BROWSERS\EXE.RESWORB.BAT

del %SystemDrive%\USERS\АДМИН\APPDATA\ROAMING\BROWSERS\EXE.REHCNUAL.BAT

del %SystemDrive%\USERS\АДМИН\APPDATA\ROAMING\BROWSERS\EXE.EROLPXEI.BAT

regt 27
regt 28
regt 29
; Java(TM) 6 Update 25 (64-bit)
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F86416025FF} /quiet
; SmilesExtensions version 2.1
exec  C:\Program Files (x86)\smwdgt\unins000.exe
exec  MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216025FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
+ добавьте лог выполнения скрипта. это файл
дата_времяlog.txt из папки uVS
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.06.2015 12:19:39
добавьте образ автозапуска, возможно шифратор еще активен в системе
http://forum.esetnod32.ru/forum9/topic2687/
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.06.2015 12:18:43
1. по расшифровке xtbl не поможем.

2. по восстановлению тоже плохо. для XP нет теневых копий.

3. по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.85.23 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
zoo %Sys32%\IHCTRL32.DLL
addsgn 79132211B9E9317E0AA1AB592AA61205DAFFF47DC4EA942D892B2942AF292811E11BC3DCC10016A5A0D588C9CD6341AD7269EEFF1D65F6AFD46ED32C44C6027C 64 Stantinko.AM [ESET-NOD32]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetotian

zoo %SystemDrive%\PROGRAM FILES\CONDUIT\COMMUNITY ALERTS\ALERT.DLL
addsgn 79132211B9E9317E0AA1AB59AE4B1205DAFFF47DC4EA942D892B2942AF292811E11BC3DCC10016A5A0C58CF9CD4345117AB9D3B821CBF06C22C0AC4942CF5782 64 Win32/Toolbar.Conduit.Y [ESET-NOD32]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\OPERA\OPERA\TEMPORARY_DOWNLOADS\MMCSETUP185.EXE
addsgn A7679B1991CE1F245CE76E38210C9B40E503B95200BFCFF1C00B4CF99C5F3498AA521BDE7BB925652BC18477AE47B6054E1FBD1ACBC0F12C4988944B4E2611A1 40 Program.Unwanted.285 [DrWeb]

delall %Sys32%\WJQQXDK.DLL
hide %Sys32%\WSAUDIO.DLL
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\NAHD6HA2.DEFAULT\EXTENSIONS\{71238372-3743-33AB-8A9F-93722AF74C97}\INSTALL.RDF
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\108

deldirex %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUSD\2.1.0.3086

del %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\BROWSER.BAT

del %SystemDrive%\IEXPLORE.BAT

del %SystemDrive%\LAUNCHER.BAT

del %SystemDrive%\OPERA.BAT

deldirex %SystemDrive%\PROGRAM FILES\BAIDU

regt 28
regt 29
; Java(TM) 6 Update 18
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216018FF} /quiet

deldir %SystemDrive%\PROGRAM FILES\ANYPROTECTEX
deldir %SystemDrive%\PROGRA~1\SEARCHPROTECT\SEARCHPROTECT\BIN
deldir %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\SWVUPDATER

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.06.2015 10:20:48
добавьте образ автозапуска, возможно шифратор еще активен в системе
http://forum.esetnod32.ru/forum9/topic2687/
[ Как создать образ автозапуска? ]
Перейти
Powered by SkinApp, навязчивая реклама в браузере
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 05.06.2015 16:32:47
по майл.ру сами решайте удалять или нет.
кому мусор, кому майл родной.
лично я не пользуюсь их продуктами, кроме настроенной почты.
обвешают браузер своими поделками, шагу ступить не дадут, обязательно что-то свое откроют прежде чем доберешься до полезной страницы.

6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Код
HKLM-x32\...\Run: [Timestasks] => C:\ProgramData\TimeTasks\timetasks.exe"
CHR HKLM-x32\...\Chrome\Extension: [pgaidlfgjkmeendhknafahppllbniejm] - https://clients2.google.com/service/update2/crx
EmptyTemp:
Reboot:


пишем результат
[ Как создать образ автозапуска? ]
Перейти
Powered by SkinApp, навязчивая реклама в браузере
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 05.06.2015 14:18:13
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.85.23 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v385c
OFFSGNSAVE


sreg

delref %SystemRoot%\SKINAPP.SYS
areg

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
3.сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

5.сделайте проверку в FRST
http://pchelpforum.ru/f26/t24207/2/#post1257991
Изменено: santy - 05.06.2015 14:19:02
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 544 545 546 547 548 549 550 551 552 553 554 ... 1784 След.