Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 574 575 576 577 578 579 580 581 582 583 584 ... 1784 След.
[ Закрыто] Адрес заблокирован
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 17.04.2015 11:10:58
удалите все найденное в малваребайт,
перегрузите систему

далее,

сделайте проверку в АдвКлинере
http://pchelpforum.ru/f26/t24207/2/#post1110672

*****
в АдвКлинере, в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)

остальное удалите по кнопке Очистить

далее,

5.сделайте проверку в FRST
http://www.cyberforum.ru/viruses-faq/thread1362245.html
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы в Cryakl с расширением *.cbf, Filecoder.CQ,Filecoder.EQ/Encoder.567/Cryakl/ ver 4.0.0.0-8.0.0.0
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 16.04.2015 19:06:54
конкретно от меня - нет, не ждите.
по расшифровке или в [email protected] (при условии, что у вас рабочая лицензия на продукт ESET)
или на VI.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 16.04.2015 18:51:23
какое расширение зашифрованных файлов? cbf? какая версия?
[ Как создать образ автозапуска? ]
Перейти
зашифровано с расширением *id-*[email protected], возможно, Filecoder.DG
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 16.04.2015 18:17:38
поищите на других компах файлы с расширением [email protected]

если будут зашифрованы доки с нерасшаренных папок, тогда скорее всего этот комп (или эти компы) был источником заражения для всех расшаренных ресурсов в сети
Изменено: santy - 03.06.2016 07:30:45
[ Как создать образ автозапуска? ]
Перейти
зашифровано в CTBlocker
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 16.04.2015 17:46:00
1. по очистке системы

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"


Код
;uVS v3.85.19 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\ETRANSLATOR\ETRANSLATOR.EXE
addsgn A7679B1991867FB2829142090CCB7405CDC1F72C76C9DF2DED1C05DA50B28E7C479EE3BF46DC44B6AE40F1AFAEF51000825B28077557E5C01EB74CEE4EDFDDF8 13 Trojan.Zadved.42 [DrWeb]

delall %SystemDrive%\PROGRAMDATA\TIMETASKS\TIMETASKSSETUP.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\ZAXAR\ZAXARGAMEBROWSER.BAT
deldir %SystemDrive%\PROGRAM FILES (X86)\ZAXAR
delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\TCAFXAC.EXE
delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ZAXAR GAMES BROWSER\ZАХАR GАMЕS BRОWSЕR.LNK
;------------------------autoscript---------------------------

chklst
delvir

del %SystemDrive%\PROGRAM FILES (X86)\OPERA\LAUNCHER.BAT

del %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\FIREFOX.BAT

del %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\CHROME.BAT

del %SystemDrive%\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.BAT

del %SystemDrive%\PROGRAM FILES (X86)\COREL\CORELDRAW GRAPHICS SUITE X5\SETUP\DOCLAUNCHER.BAT

; etranslator
exec  C:\Users\User\AppData\Roaming\eTranslator\eTranslator.exe" /uninstall
; Time tasks
exec C:\ProgramData\TimeTasks\uninstall.exe
deldirex %SystemDrive%\USERS\USER\APPDATA\LOCAL\MEDIAGET2

REGT 28
REGT 29

deltmp
delnfr
;-------------------------------------------------------------

restart


перезагрузка, пишем о старых и новых проблемах.
------------
2. по расшифровке документов решения нет

3. по восстановлению документов смотрите есть ли чистые теневые копии
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Помогите, пожалуйста, удалить Win32/Qhost.OSU
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 16.04.2015 17:39:16
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"


Код
;uVS v3.85.19 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\VKXCRD55\CHRISTMASSNOWGLOBE[2].EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
regt 14
; Java(TM) 6 Update 23
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216023FF} /quiet
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
[ Как создать образ автозапуска? ]
Перейти
Помогите удалить китайскую дрянь. Теперь и Хром не запускается, Прошу помочь. Сгребла вместо аудиокниги китайский антивирусник. Не удаляется. Отключил хром и все время куда-то лазит.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 16.04.2015 17:32:53
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.19 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\САША\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1AA78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian

zoo %SystemDrive%\PROGRAM FILES\DOLKARUIEPLUGIN\TINYBHO.DLL
addsgn 1B31D398558344210BD4472EB6CE12EC5BE2FDF66013EF7A852AA16550D698938915C3BE44969C49C2CB569946FF093578DF0139F0DBB0C56B4AA72F2E37DB73 64 Adware.Plugin.163 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES\TOOLDEV342\WEATHERBAR\TRACERSTOOLBARBHO_X86.DLL
addsgn A7679B1928664D070E3C08B264C8ED70357589FA768F179082C3C5BCD3127D11E11BC33D2E3DCDC92B906CAB471649C9BD9F6382DCAF541FF6FEF9D34C7B2EFA 64 Trojan.BPlug.116 [DrWeb]

zoo %SystemDrive%\USERS\DOM\APPDATA\ROAMING\00000000-1427439760-0000-0000-001D7DD462D4\JNSEA6B9.TMP
addsgn 1AF5209A5583C58CF42B254E3143FE8E7082AAA10C286B7F0EBEC939AFA362A4ED2FC3575443C3C01B68BDA74616C23C96EC6337455F705929FFA6C4258DD058 64 Trojan.GenericKD.2252574 [BitDefender]

zoo %SystemDrive%\USERS\DOM\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetotian

zoo %SystemDrive%\PROGRAM FILES\DEALPLYLIVE\UPDATE\1.3.23.0\PSMACHINE.DLL
addsgn 79132211B9E9317E0AA1AB59568E1205DAFFF47DC4EA942D892B2942AF292811E11BC39BF2995185E74C48538ADA1C719188BEF920D63B613DFCD9274CC7A9A2 64 Win32:DealPly-A [PUP]

zoo %SystemDrive%\PROGRAM FILES\DEALPLYLIVE\UPDATE\1.3.23.0\DEALPLYLIVEONDEMAND.EXE
addsgn 1A24619A5583348CF42B254E3143FE8E7082AA7DFCF648938CA5407524C7330E6551CCE0305A2A4B24377DB48162A3A5235A280F505978D370B4DA2CF4C6622E 8 Adware.Shopper.363 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES\DEALPLYLIVE\UPDATE\1.3.23.0\DEALPLYLIVEBROKER.EXE
zoo %SystemDrive%\PROGRAM FILES\MOBOGENIE\UPDATEMOBOGENIE.EXE
addsgn 1AB3729A5583FF8FF42B627DA804DEC9E90A05B6FAEF9F81A5B0C3B3F514A2ACE09C1364FED57C56F86247AC86259B39B188BE2166253B680963AFEFBA1265F8 8 demon_process

zoo %SystemDrive%\USERS\DOM\APPDATA\ROAMING\DESKTOPY.RU\DESKTOPY.EXE
addsgn 1A40C19A5583C58CF42B254E3143FE86C99A5DA6A5B01F4B404A8040DB83691F10CC95000586E356A0C590148C5F71E209D7A8499EAF46AFE4882FEDECC76A48 8 Trojan.Triosir.3 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES\ZAXAR\ZAXARGAMEBROWSER.EXE
addsgn 1A69739A55832F8FF42B254E3143FE84C9A2FFF6895927BFCAC34CB164113E4CAA02F390715514540747CB9FCF23613D32DF614F711DFF2C4BFBB17F00492215 11 Win32/ZaxarGames.B [ESET-NOD32]

delall %SystemDrive%\PROGRAM FILES\PPRIUZECOUPON\8ZEKYOV07AKC21.DLL
delall %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUAN\4.0.0.5166\BAIDUANTRAY.EXE
delall %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUSD\3.0.0.4605\BAIDUSDTRAY.EXE
delall %SystemDrive%\PROGRAM FILES\DEALPLYLIVE\UPDATE\DEALPLYLIVE.EXE
delall %SystemDrive%\PROGRAM FILES\KINGSOFT\SHOUJIZHUSHOU\KPHONETRAY.EXE
delall %SystemDrive%\PROGRAM FILES\KINGSOFT\KINGSOFT ANTIVIRUS\KXETRAY.EXE
delall %SystemDrive%\PROGRAM FILES\DEALPLYLIVE\UPDATE\1.3.23.0\NPGOOGLEUPDATE3.DLL
delall %SystemDrive%\USERS\DOM\APPDATA\LOCAL\SWVUPDATER\UPDATER.EXE
delall %SystemDrive%\USERS\DOM\APPDATA\ROAMING\DEALPLY\UPDATE~1\UPDATE~1.EXE
delall %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUSD\3.0.0.4605\WEBSAFE\WEBMONBHO.DLL
;------------------------autoscript---------------------------

sreg

chklst
delvir

delref {AE48ED75-5A56-4C5F-BBCE-6F1AC3875F66}\[CLSID]
delref %Sys32%\DRIVERS\NETHFDRV.SYS
del %Sys32%\DRIVERS\NETHFDRV.SYS

del %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\CHROME.BAT

del %SystemDrive%\PROGRAM FILES\MICROSOFT SILVERLIGHT\SLLAUNCHER.BAT

del %SystemDrive%\USERS\DOM\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.BAT

del %SystemDrive%\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.BAT

del %SystemDrive%\USERS\DOM\APPDATA\LOCAL\XPOM\CHROME.BAT

del %SystemDrive%\PROGRAM FILES\OPERA\OPERA.BAT

del %SystemDrive%\PROGRAM FILES\HP\HP DESKJET 2050 J510 SERIES\BIN\USBSETUPLAUNCHER.BAT

delhst 62.113.243.117 m.odnoklassniki.ru
delhst 62.113.243.117 ok.ru
delhst 62.113.243.117 m.ok.ru
delhst 62.113.243.117 www.odnoklassniki.ru
; DealPly (remove only)
exec C:\Program Files\DealPly\uninst.exe" /uninstall
; desktopy
exec C:\Program Files\desktopy\uninstall.exe
; desktopy.ru
exec C:\Users\Dom\AppData\Roaming\desktopy.ru\uninstall.exe
; Mobogenie
exec C:\Program Files\Mobogenie\uninst.exe
; Mobogenie3
exec C:\Program Files\Mobogenie3\Uninstall.exe
; superpromokody 1.1
exec C:\Program Files\DolkaRuIePlugin\uninst.exe
; Zaxar Games Browser
exec C:\Program Files\Zaxar\uninstall.exe
; Weatherbar
exec MsiExec.exe /I{BE742AE3-0C95-46CC-B5C8-9F942FDD9360} /quiet
; Dealply
exec C:\Users\Dom\AppData\Roaming\Dealply\UpdateProc\UpdateTask.exe /Uninstall

deldirex %SystemDrive%\PROGRAM FILES\DEALPLY
deldirex %SystemDrive%\USERS\DOM\APPDATA\ROAMING\ASPACKAGE
deldir %SystemDrive%\USERS\DOM\APPDATA\LOCAL\MEDIAGET2
deldirex %SystemDrive%\USERS\DOM\APPDATA\LOCAL\SKYMONK2



REGT 28
REGT 29

deltmp
delnfr
areg

;-------------------------------------------------------------

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
Изменено: santy - 16.04.2015 17:35:39
[ Как создать образ автозапуска? ]
Перейти
Помогите, пожалуйста, удалить JS/Spy.Banker.BF
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 16.04.2015 17:23:50
сделайте образ при включенном в ФФ левой настройке прокси.
потому что в предыдущем образе не было этой настройки. скорее всего вы убрали ее из ФФ
потом сделали образ, и передали его нам.
[ Как создать образ автозапуска? ]
Перейти
зашифровано в CTBlocker
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 16.04.2015 14:35:33
добавьте образ автозапуска с машины, на которой было шифрование.
http://forum.esetnod32.ru/forum9/topic2687/

шифратор скорее всего ctb locker
[ Как создать образ автозапуска? ]
Перейти
Помогите, пожалуйста, удалить JS/Spy.Banker.BF
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 16.04.2015 14:10:58
выход в сеть у вас через роутер?
Цитата
Полное имя                  192.168.1.234:3128
Имя файла                   192.168.1.234:3128
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
PROXYSERVER                 (ССЫЛКА ~ \INTERNET SETTINGS\PROXYSERVER)(1)   OR  
                           
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                           
Ссылки на объект            
Ссылка                      HKEY_USERS\S-1-5-21-3041039080-3904581052-472699196-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer
ProxyServer                 192.168.1.234:3128
                           
Ссылка                      HKEY_USERS\S-1-5-21-3041039080-3904581052-472699196-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer
ProxyServer                 192.168.1.234:3128
проверьте настройки прокси в самом браузере Firefox, что там прописано
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 574 575 576 577 578 579 580 581 582 583 584 ... 1784 След.