santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

Ошибка при обмене данными с ядром, главная

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.05.2015 16:32:52

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.21 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE delall %Sys32%\DRIVERS\360ANTIHACKER64.SYS delall %Sys32%\DRIVERS\360AVFLT.SYS delall %Sys32%\DRIVERS\360BOX64.SYS delall %Sys32%\DRIVERS\360CAMERA64.SYS delall %Sys32%\DRIVERS\360FSFLT.SYS delref HTTP://START.FACEMOODS.COM/?A=FALCO deldirex %SystemDrive%\PROGRAM FILES (X86)\360\TOTAL SECURITY delall %SystemDrive%\PROGRAM FILES (X86)\MOBOGENIE\MOBOGENIE.URL deltmp delnfr exec32 "C:\Program Files (x86)\facemoods.com\facemoods\1.4.17.11\uninstall.exe" restart

Код


;uVS v3.85.21 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

delall %Sys32%\DRIVERS\360ANTIHACKER64.SYS
delall %Sys32%\DRIVERS\360AVFLT.SYS
delall %Sys32%\DRIVERS\360BOX64.SYS
delall %Sys32%\DRIVERS\360CAMERA64.SYS
delall %Sys32%\DRIVERS\360FSFLT.SYS
delref HTTP://START.FACEMOODS.COM/?A=FALCO
deldirex %SystemDrive%\PROGRAM FILES (X86)\360\TOTAL SECURITY
delall %SystemDrive%\PROGRAM FILES (X86)\MOBOGENIE\MOBOGENIE.URL
deltmp
delnfr
exec32 "C:\Program Files (x86)\facemoods.com\facemoods\1.4.17.11\uninstall.exe"
restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Перейти

Ошибка при обмене данными с ядром, главная

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.05.2015 16:05:26

добавьте образ автозапуска системы
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] nextbestgame.org, Вирус

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.05.2015 15:45:25

Код
;uVS v3.85.21 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE hide %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\PLUGINS\EXE\DECRYPTC.EXE ;------------------------autoscript--------------------------- chklst delvir delref HTTP://ZIVLINGAMER.ORG/ setdns Подключение по локальной сети 2\4\{AEC930A8-E426-4B52-996A-24726C5749B7}\8.8.8.8,8.8.4.4 delref HTTP://ZIVLINGAMER.ORG delref HTTP://WWW.SWEET-PAGE.COM/WEB/?TYPE=DS&TS=1401437915&FROM=COR&UID=ST1000DM003-9YN162_W1D0MNYKXXXXW1D0MNYK&Q={SEARCHTERMS} del %SystemDrive%\IEXPLORE.BAT del B:\LAUNCHER.BAT regt 28 regt 29 ; OpenAL exec C:\Program Files (x86)\OpenAL\OpenAL.exe" /U deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.85.21 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

hide %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\PLUGINS\EXE\DECRYPTC.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://ZIVLINGAMER.ORG/

setdns Подключение по локальной сети 2\4\{AEC930A8-E426-4B52-996A-24726C5749B7}\8.8.8.8,8.8.4.4
delref HTTP://ZIVLINGAMER.ORG

delref HTTP://WWW.SWEET-PAGE.COM/WEB/?TYPE=DS&TS=1401437915&FROM=COR&UID=ST1000DM003-9YN162_W1D0MNYKXXXXW1D0MNYK&Q={SEARCHTERMS}

del %SystemDrive%\IEXPLORE.BAT

del B:\LAUNCHER.BAT

regt 28
regt 29
; OpenAL
exec  C:\Program Files (x86)\OpenAL\OpenAL.exe" /U
deltmp
delnfr
;-------------------------------------------------------------

restart

[ Как создать образ автозапуска? ]

Перейти

Автозапуск сайта smartinf.ru

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.05.2015 10:49:11

6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Код
Task: {0C2E7C0B-5663-4672-AE17-171699BEBAFD} - \{D32065ED-9D0F-47C6-8412-E71DBE61557B} No Task File <==== ATTENTION Task: {2F318F05-5E4E-41F6-8CC8-172D5F7CADE5} - \{868E6F80-4C20-4C0E-93EC-941763C8E3E4} No Task File <==== ATTENTION Task: {2F7CA6A8-BCDB-4E0F-93D5-65F0B29AB18C} - \{34AA3152-6391-4F81-BB7E-F37923CCDF64} No Task File <==== ATTENTION Task: {33305863-AE88-4EA8-AEB1-85C30D6A9BF0} - \{F06CD596-2057-44ED-837A-891655EAEED7} No Task File <==== ATTENTION Task: {38C010B8-ED9C-46AC-8C0C-463F5132B9AB} - \{BD3310A8-81A0-43F8-BD1A-277B67D9C97C} No Task File <==== ATTENTION Task: {416118D1-6BBB-421F-9366-34DE258F79AF} - \{FC5B1168-4DA9-489B-85F7-FDC290DFFDA6} No Task File <==== ATTENTION Task: {449DA26E-FA10-44B6-BA83-1BDE10E1F833} - \{A53592C0-6C1C-44D8-BBEC-D1A80AB354E9} No Task File <==== ATTENTION Task: {7B575DA2-C37B-4925-9CDE-EF1D3583E1AB} - \{3ED576AD-5F93-4E24-BF02-806AFB5F18BD} No Task File <==== ATTENTION Task: {89BB0D25-3AE9-4573-A49E-36F7E096C87D} - \{9271386E-0F0E-40D5-9128-7EDF48AF31EB} No Task File <==== ATTENTION Task: {B8F3D65B-76CB-4B78-BFA3-A25E203D8108} - \{7A4A141C-6ED1-42D3-9EC5-E5906D328CF5} No Task File <==== ATTENTION Task: {CBAC45C8-A664-466C-869A-C36DB324E00E} - \{E3665C0A-3C3E-4DAC-86E9-4A708626761D} No Task File <==== ATTENTION Task: {CF18B87E-BD83-4DB5-A242-9D0089885F71} - \{01099F03-DA5B-4999-BCAE-992F363DD2E3} No Task File <==== ATTENTION Task: {F88F5FA0-77DA-4251-9BCD-D21BB1980890} - \{A71901DB-FF00-41DC-85EC-69FF60E7C795} No Task File <==== ATTENTION AlternateDataStreams: C:\ProgramData\TEMP:16CE60FB AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A AlternateDataStreams: C:\ProgramData\TEMP:430C6D84 AlternateDataStreams: C:\ProgramData\TEMP:A064CECC AlternateDataStreams: C:\ProgramData\TEMP:ADF211B1 AlternateDataStreams: C:\ProgramData\TEMP:C31F31E6 AlternateDataStreams: C:\ProgramData\TEMP:DFC5A2B2 CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION CHR HKU\S-1-5-21-732928416-860588168-3219211031-1001\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION FF Extension: No Name - C:\Users\РђРЅРґСЂРµР№\AppData\Roaming\Mozilla\Firefox\Profiles\3mlmcdna.default\extensions\{B100D0FF-0001-8CE4-2790-AACE49B8AE35} [not found] FF Extension: No Name - C:\Users\РђРЅРґСЂРµР№\AppData\Roaming\Mozilla\Firefox\Profiles\3mlmcdna.default\extensions\[email protected] [not found] FF Extension: No Name - C:\Users\РђРЅРґСЂРµР№\AppData\Roaming\Mozilla\Firefox\Profiles\3mlmcdna.default\extensions\[email protected] [not found] FF Extension: No Name - C:\Users\РђРЅРґСЂРµР№\AppData\Roaming\Mozilla\Firefox\Profiles\3mlmcdna.default\extensions\{7b6de06c-7013-4a87-957e-d27d7b977d21} [not found] FF Extension: No Name - C:\Users\Андрей\AppData\Roaming\Mozilla\Firefox\Profiles\3mlmcdna.default\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [not found] FF Extension: No Name - C:\Program Files\Mozilla Firefox\browser\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd} [not found] CHR HKLM\...\Chrome\Extension: [blbkdnmdcafmfhinpmnlhhddbepgkeaa] - https://chrome.google.com/webstore/detail/blbkdnmdcafmfhinpmnlhhddbepgkeaa CHR HKLM\...\Chrome\Extension: [ofjddojcpeoofimcdnkhebklamdnblap] - D:\VkTema\vktema.crx [2011-11-28] CHR HKLM\...\Chrome\Extension: [pgaidlfgjkmeendhknafahppllbniejm] - https://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [phlgogdggphlhmlalgnpffgbekglmopm] - C:\Users\A4F7~1\AppData\Local\Temp\crx14CD.tmp [Not Found] EmptyTemp: Reboot:

Код

Task: {0C2E7C0B-5663-4672-AE17-171699BEBAFD} - \{D32065ED-9D0F-47C6-8412-E71DBE61557B} No Task File <==== ATTENTION
Task: {2F318F05-5E4E-41F6-8CC8-172D5F7CADE5} - \{868E6F80-4C20-4C0E-93EC-941763C8E3E4} No Task File <==== ATTENTION
Task: {2F7CA6A8-BCDB-4E0F-93D5-65F0B29AB18C} - \{34AA3152-6391-4F81-BB7E-F37923CCDF64} No Task File <==== ATTENTION
Task: {33305863-AE88-4EA8-AEB1-85C30D6A9BF0} - \{F06CD596-2057-44ED-837A-891655EAEED7} No Task File <==== ATTENTION
Task: {38C010B8-ED9C-46AC-8C0C-463F5132B9AB} - \{BD3310A8-81A0-43F8-BD1A-277B67D9C97C} No Task File <==== ATTENTION
Task: {416118D1-6BBB-421F-9366-34DE258F79AF} - \{FC5B1168-4DA9-489B-85F7-FDC290DFFDA6} No Task File <==== ATTENTION
Task: {449DA26E-FA10-44B6-BA83-1BDE10E1F833} - \{A53592C0-6C1C-44D8-BBEC-D1A80AB354E9} No Task File <==== ATTENTION
Task: {7B575DA2-C37B-4925-9CDE-EF1D3583E1AB} - \{3ED576AD-5F93-4E24-BF02-806AFB5F18BD} No Task File <==== ATTENTION
Task: {89BB0D25-3AE9-4573-A49E-36F7E096C87D} - \{9271386E-0F0E-40D5-9128-7EDF48AF31EB} No Task File <==== ATTENTION
Task: {B8F3D65B-76CB-4B78-BFA3-A25E203D8108} - \{7A4A141C-6ED1-42D3-9EC5-E5906D328CF5} No Task File <==== ATTENTION
Task: {CBAC45C8-A664-466C-869A-C36DB324E00E} - \{E3665C0A-3C3E-4DAC-86E9-4A708626761D} No Task File <==== ATTENTION
Task: {CF18B87E-BD83-4DB5-A242-9D0089885F71} - \{01099F03-DA5B-4999-BCAE-992F363DD2E3} No Task File <==== ATTENTION
Task: {F88F5FA0-77DA-4251-9BCD-D21BB1980890} - \{A71901DB-FF00-41DC-85EC-69FF60E7C795} No Task File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:16CE60FB
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A
AlternateDataStreams: C:\ProgramData\TEMP:430C6D84
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC
AlternateDataStreams: C:\ProgramData\TEMP:ADF211B1
AlternateDataStreams: C:\ProgramData\TEMP:C31F31E6
AlternateDataStreams: C:\ProgramData\TEMP:DFC5A2B2
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-732928416-860588168-3219211031-1001\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
FF Extension: No Name -  C:\Users\РђРЅРґСЂРµР№\AppData\Roaming\Mozilla\Firefox\Profiles\3mlmcdna.default\extensions\{B100D0FF-0001-8CE4-2790-AACE49B8AE35} [not found]
FF Extension: No Name -  C:\Users\РђРЅРґСЂРµР№\AppData\Roaming\Mozilla\Firefox\Profiles\3mlmcdna.default\extensions\[email protected] [not found]
FF Extension: No Name -  C:\Users\РђРЅРґСЂРµР№\AppData\Roaming\Mozilla\Firefox\Profiles\3mlmcdna.default\extensions\[email protected] [not found]
FF Extension: No Name -  C:\Users\РђРЅРґСЂРµР№\AppData\Roaming\Mozilla\Firefox\Profiles\3mlmcdna.default\extensions\{7b6de06c-7013-4a87-957e-d27d7b977d21} [not found]
FF Extension: No Name -  C:\Users\Андрей\AppData\Roaming\Mozilla\Firefox\Profiles\3mlmcdna.default\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [not found]
FF Extension: No Name -  C:\Program Files\Mozilla Firefox\browser\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd} [not found]
CHR HKLM\...\Chrome\Extension: [blbkdnmdcafmfhinpmnlhhddbepgkeaa] - https://chrome.google.com/webstore/detail/blbkdnmdcafmfhinpmnlhhddbepgkeaa
CHR HKLM\...\Chrome\Extension: [ofjddojcpeoofimcdnkhebklamdnblap] - D:\VkTema\vktema.crx [2011-11-28]
CHR HKLM\...\Chrome\Extension: [pgaidlfgjkmeendhknafahppllbniejm] - https://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [phlgogdggphlhmlalgnpffgbekglmopm] - C:\Users\A4F7~1\AppData\Local\Temp\crx14CD.tmp [Not Found]
EmptyTemp:
Reboot:

[ Как создать образ автозапуска? ]

Перейти

Автозапуск сайта smartinf.ru

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.05.2015 08:21:52

по логу мбам:
2.удалите все найденное в малваребайт
перегрузите систему
далее,
3.сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

5.сделайте проверку в FRST
http://pchelpforum.ru/f26/t24207/2/#post1257991

[ Как создать образ автозапуска? ]

Перейти

CryptoMonitor

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 22.05.2015 13:50:10

Тестируем это продукт, может получится заставить его реагировать на шифрование файлов.

EasySync CryptoMonitor is one of the best prevention measures for an encrypting Ransomware. CryptoMonitor will actually kill an encryption infection, blacklist it from running again, and notify you as soon as the infection starts. Because of the unique way that CryptoMonitor is made, it will effectively stop even the newest of encryption infections and requires no signatures or updates. It will protect you in a way that traditional antiviruses can’t!

https://www.easysyncsolutions.com/products.html

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы в Cryakl с расширением *.cbf, Filecoder.CQ,Filecoder.EQ/Encoder.567/Cryakl/ ver 4.0.0.0-8.0.0.0

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 22.05.2015 05:25:58

Светлана,
взгляните чуть вверх (а теперь и вниз), там написаны первоначальные рекомендации: что делать.

Цитата
1. если письмо еще не удалено, вышлите в почту [email protected] 2. добавьте образ автозапуска системы http://forum.esetnod32.ru/forum9/topic2687/ 3. проверьте наличие теневых копий на дисках

Изменено: santy - 20.11.2017 10:14:13

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы в Cryakl с расширением *.cbf, Filecoder.CQ,Filecoder.EQ/Encoder.567/Cryakl/ ver 4.0.0.0-8.0.0.0

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.05.2015 16:17:31

образ чистый, а вот с восстановлением документов из теневых копий ничего не получится.
поскольку система у вас XP
по расшифровке, если есть лицензия на наш антивирус, обратитесь в [email protected]

[ Как создать образ автозапуска? ]

Перейти

Автозапуск сайта smartinf.ru

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.05.2015 16:12:01

добавьте лог малваребайт по ссылке или через вложение

[ Как создать образ автозапуска? ]

Перейти

Вирус шифровальщик файлов в rar архив [email protected], Вирус шифровальщик файлов в rar архив [email protected]

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.05.2015 14:04:06

это не вирус, раз обычным винраром все пошифровано.
помочь здесь в первую очередь могут только бэкапы.

[ Как создать образ автозапуска? ]

Перейти