santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

Помогите, пожалуйста, удалить JS/Spy.Banker.BF

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 16.04.2015 14:08:54

странно что настроек прокси, тех что в логе обнаружения нет.
чуть позже попробуем разобраться.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] JS/Spy.Banker.be, Вирус попал, антивирус блокирует но не лечит

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 16.04.2015 14:06:48

если есть критичные ресурсы, то меняйте пароли.
+
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Перейти

Помогите, пожалуйста, удалить JS/Spy.Banker.BF

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 16.04.2015 12:56:44

добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] JS/Spy.Banker.be, Вирус попал, антивирус блокирует но не лечит

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 16.04.2015 12:31:40

ок, ждем логи мбам,
+
добавьте лог обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

[ Как создать образ автозапуска? ]

Перейти

зашифровано с расширением *id-*[email protected], возможно, Filecoder.DG

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 16.04.2015 12:03:20

папка документы у вас случайно не расширена?
возможно шифрование было по сети.
следов шифратора нет.

1. по очистке системы

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.17 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v385c OFFSGNSAVE delall %Sys32%\SVCHOST.EXE:EXT.EXE ;------------------------autoscript--------------------------- chklst delvir delref HTTP://SEARCH-ALL.NET/ delref {83E915D4-DDDB-4450-B957-7A3240E9CE66}\[CLSID] deltmp delnfr ;------------------------------------------------------------- restart

Код

;uVS v3.85.17 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE

delall %Sys32%\SVCHOST.EXE:EXT.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://SEARCH-ALL.NET/

delref {83E915D4-DDDB-4450-B957-7A3240E9CE66}\[CLSID]

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

по восстановлению документов
1. архивные копии если есть.
2. восстановление из теневых копий невозможно.

по расшифровке документов.
если есть лицензия на антивирус - обращайтесь в техническую поддержку
[email protected]

Изменено: santy - 03.06.2016 07:30:45

[ Как создать образ автозапуска? ]

Перейти

Помогите, пожалуйста, удалить JS/Spy.Banker.BF

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 16.04.2015 11:55:09

добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] JS/Spy.Banker.be, Вирус попал, антивирус блокирует но не лечит

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 16.04.2015 11:35:54

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- закрываем все браузеры перед выполнением скрипта;
- стартуем uVS используя запуск файла script.cmd;

Код
;uVS v3.85.17 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir delref 0HTTP://CONFPACS.COM/VAMAG5K/FNJP.URY delref HTTP://CONFPACS.COM/VAMAG5K/FNJP.URY deltmp delnfr ;------------------------------------------------------------- restart

Код

;uVS v3.85.17 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref 0HTTP://CONFPACS.COM/VAMAG5K/FNJP.URY

delref HTTP://CONFPACS.COM/VAMAG5K/FNJP.URY

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] JS/Spy.Banker.be, Вирус попал, антивирус блокирует но не лечит

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 16.04.2015 11:10:58

добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 15.04.2015 14:29:51

исправил скрипт.

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 15.04.2015 14:26:53

1. по очистке системы

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.17 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\PROGRAM FILES (X86)\CLICKCAPTION_1.10.0.2\SERVICE\CCSVC.EXE addsgn 1A85219A5583378CF42B627DA804DEC9E946303A4536D3B40E8FE1B00753B843A785C3573E03CEC2F20BF0BB52E18FF97DDFE8F929FEA05926B64D2DC883A773 8 Win32/AdWare.Vitruvian.D [ESET-NOD32] zoo %SystemDrive%\PROGRAM FILES\CLICKCAPTION_1.10.0.2\IE\CLICKCAPTIONCLIENTIE.DLL addsgn BA652BBE5D22C5062FC4F9F9E724324CAE72772CC171EEFB7FC2B0B9B805244C235B4890B586D5C2E5C80FC36226017109FBD03AD61E9073C474A42FC7CAEEBF 64 Win64/Adware.Vitruvian.B [ESET-NOD32] zoo %SystemDrive%\PROGRAM FILES (X86)\CLICKCAPTION_1.10.0.2\IE\CLICKCAPTIONCLIENTIE.DLL addsgn A7679B1928664D070E3CD1F464C8ED70357589FA768F179082C3C5BCD3127D11E11BC33D323D55932A906CDA451649C9BD9F6307595F4659214E9187CD04327C 64 AdWare.Vitruvian.D [ESET-NOD32] delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-3499774202-4035039871-3948538757-500\$I11YQBK.EXE delall %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\BAIDU\BDDOWNLOAD\109\BDCOMPROXY.DLL delall %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\BAIDU\BDDOWNLOAD\109\BDDOWNLOADER.EXE zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE delall %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE delall %SystemDrive%\PROGRAM FILES (X86)\KINGSOFT\KINGSOFT ANTIVIRUSKXETRAY.EXE zoo %Sys32%\AENSTNJ.EXE delall %Sys32%\AENSTNJ.EXE ;------------------------autoscript--------------------------- sreg chklst delvir delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID] delref %Sys32%\DRIVERS\BDSAFEBROWSER.SYS del %Sys32%\DRIVERS\BDSAFEBROWSER.SYS delref %Sys32%\DRIVERS\CCNFD_1_10_0_2.SYS del %Sys32%\DRIVERS\CCNFD_1_10_0_2.SYS delref HTTP://FORETUNED.COM/ deltmp delnfr deldirex %SystemDrive%\PROGRAM FILES (X86)\ANYPROTECTEX deldir %SystemDrive%\PROGRAM FILES (X86)\ANYPROTECTEX czoo areg ;-------------------------------------------------------------

Код

;uVS v3.85.17 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES (X86)\CLICKCAPTION_1.10.0.2\SERVICE\CCSVC.EXE
addsgn 1A85219A5583378CF42B627DA804DEC9E946303A4536D3B40E8FE1B00753B843A785C3573E03CEC2F20BF0BB52E18FF97DDFE8F929FEA05926B64D2DC883A773 8 Win32/AdWare.Vitruvian.D [ESET-NOD32]

zoo %SystemDrive%\PROGRAM FILES\CLICKCAPTION_1.10.0.2\IE\CLICKCAPTIONCLIENTIE.DLL
addsgn BA652BBE5D22C5062FC4F9F9E724324CAE72772CC171EEFB7FC2B0B9B805244C235B4890B586D5C2E5C80FC36226017109FBD03AD61E9073C474A42FC7CAEEBF 64 Win64/Adware.Vitruvian.B [ESET-NOD32]

zoo %SystemDrive%\PROGRAM FILES (X86)\CLICKCAPTION_1.10.0.2\IE\CLICKCAPTIONCLIENTIE.DLL
addsgn A7679B1928664D070E3CD1F464C8ED70357589FA768F179082C3C5BCD3127D11E11BC33D323D55932A906CDA451649C9BD9F6307595F4659214E9187CD04327C 64 AdWare.Vitruvian.D [ESET-NOD32]

delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-3499774202-4035039871-3948538757-500\$I11YQBK.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\BAIDU\BDDOWNLOAD\109\BDCOMPROXY.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\BAIDU\BDDOWNLOAD\109\BDDOWNLOADER.EXE
zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
delall %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\KINGSOFT\KINGSOFT ANTIVIRUSKXETRAY.EXE
zoo %Sys32%\AENSTNJ.EXE
delall %Sys32%\AENSTNJ.EXE
;------------------------autoscript---------------------------

sreg

chklst
delvir

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]
delref %Sys32%\DRIVERS\BDSAFEBROWSER.SYS
del %Sys32%\DRIVERS\BDSAFEBROWSER.SYS

delref %Sys32%\DRIVERS\CCNFD_1_10_0_2.SYS
del %Sys32%\DRIVERS\CCNFD_1_10_0_2.SYS

delref HTTP://FORETUNED.COM/
deltmp
delnfr

deldirex %SystemDrive%\PROGRAM FILES (X86)\ANYPROTECTEX
deldir %SystemDrive%\PROGRAM FILES (X86)\ANYPROTECTEX

czoo
areg

;-------------------------------------------------------------

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected]
------------
2. по расшифровке xtbl решения нет.

3. по восстановлению документов проверьте наличие теневых копий на дисках.

Изменено: santy - 30.06.2017 06:02:10

[ Как создать образ автозапуска? ]

Перейти