Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 576 577 578 579 580 581 582 583 584 585 586 ... 1784 След.
[ Закрыто] Вирус Stantinko и др. Помогите избавиться!, Компьютер начал подвисать, По скайпу просят какие-то левые добавить их в мой список контактов, есть подозрение, что через Скайп мне написали мошенники от имени знакомой (я это выясню!), просят положить денег на телефон 200 или лучше 300 рублей.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 15.04.2015 13:16:01
если все проблемы решены,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/
[ Как создать образ автозапуска? ]
Перейти
Реклама., Теперь реклама везде.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 15.04.2015 13:14:14
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
[ Как создать образ автозапуска? ]
Перейти
зашифровано с расширением *id-*[email protected], возможно, Filecoder.DG
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 15.04.2015 11:53:55
расшифровки по maxcrypt нет.
если нужна помощь в очистке системы, добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/


по восстановлению документов проверьте наличие теневых копий диска, если система у вас выше Vista
Изменено: santy - 03.06.2016 07:31:42
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Помогите, пожалуйста, удалить JS/Spy.Banker.BF, JS/Spy.Banker.BF
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 15.04.2015 06:09:27
если сохранилось письмо, или документ из вложения,
вышлите в почту [email protected] в архиве с паролем Infected
----------

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- закрываем все браузеры перед выполнением скрипта;
- стартуем uVS с помощью файла script.cmd


Код
;uVS v3.85.17 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
delall %Sys32%\DPRSRV32.EXE
delall D:\222\KEYCHANGER.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\QIPGUARD\QIPGUARD.EXE
delall %Sys32%\UKOCAQYXUWLSQM.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://CONFPACS.COM/N7EKMCL/XX8M.URY

delref HTTP://QIP.RU

delref HTTP://SEARCH.QIP.RU
deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\MEDIAGET2

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
Изменено: santy - 15.04.2015 06:11:45
[ Как создать образ автозапуска? ]
Перейти
Реклама., Теперь реклама везде.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 14.04.2015 17:43:43
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"


Код
;uVS v3.85.17 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\COMMANDHOTSTARTSCHED\COMMANDHOTSTARTSCHED.EXE
addsgn 1A4C739A5583FF8FF42BC4A50C109945256220F789FA9C1D79C33AF140AE4BC76E1FE81A32DCD041D4D59074AB9D0C16F49A0CF9103E3B2CA43244A482E6A34B 8 Adw.ZugaraInvestmentsLimited

zoo %SystemDrive%\PROGRAM FILES (X86)\GAMESRS\GUPDATER.EXE
addsgn 1A4C739A55832F8FF42BC4A50C90D445256220F789FA9C1D79C33AF140AE4BC76E1FE81A32DCD041D4D59074AB9D0C16F49A0CF9103E3B2CA43244A482E6A34B 14 AdWare.Pirrit.A [ESET-NOD32]

zoo %SystemRoot%\SYSWOW64\NETHTSRV.EXE
addsgn 1A970F9A5583C58CF42B254E3143FE865882FC82A4056A70EFC33A892CD94C4CDC0207D7025518895E98D277CB3949FAF62F1767715A8C2C7D9F9900C7067BFA 8 Win32/Amonetize.CH [ESET-NOD32]

zoo %SystemDrive%\PROGRAM FILES (X86)\ADVPLUGIN\OZENA52KRU.EXE
addsgn 1A592F9A5583C58CF42B627DA804DE8E71AEF07DC5DE1BFD57B7AC8F905C35682B93032228D467C92B8084ED489574EEE39EE87221DF59367477A4784CFFA189 8 Adware.Downware.10694 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES (X86)\SPEED ANALYSIS 2\SCRIPTHOST.DLL
addsgn 79132211B9E9317E0AA1AB59E2A31205DAFFF47DC4EA942D892B2942AF292811E11BC33D323DC5B72E906C385A16499073379D1F55DAE9AF488BA4A4B20EA93D 64 Besttoolbars.J [ESET-NOD32]

zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\SWVUPDATER\UPDATER.EXE
addsgn 9252772A106AC1CC0BB4544E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 Adware.Downware.1528 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES (X86)\ADVPLUGIN\FASYEUDMN8.EXE
zoo %SystemDrive%\PROGRAM FILES (X86)\ADVPLUGIN\GY5KAK6L0N.EXE
zoo %SystemDrive%\PROGRAM FILES (X86)\ADVPLUGIN\NRGOWE8ENJ.EXE
zoo %SystemRoot%\SYSWOW64\NETUPDSRV.EXE
addsgn 1A869C9A5583D98CF42B254E3143FE86C9AA77B381AC48128D9A7B90159271C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F879F23FE 8 Win32/Amonetize.AZ [ESET-NOD32]

delall %Sys32%\PIRRITDESKTOP.EXE
delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\SCHEDULE\SCHEDULE.EXE
delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\NEWSI_23\S_INST.EXE
delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\NEWSI_2\S_INST.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\ASKPARTNERNETWORK\TOOLBAR\UPDATER\TBNOTIFIER.EXE
delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\MICROSOFT\START MENU\ВOЙТИ В ИНТEРНEТ.EXE
;------------------------autoscript---------------------------

sreg

chklst
delvir

delref %Sys32%\DRIVERS\NETHFDRV.SYS
del %Sys32%\DRIVERS\NETHFDRV.SYS

delref HTTP://HOME.WEBALTA.RU/?LINK
delref HTTP://WINDOWSMAC.RU/?UTM_SOURCE=UOUA03&UTM_CONTENT=E06EE3DCAD9FD1781A76C92FE0BD311D
delref HTTP://YAMDEX.NET/?ZID=134865416&UID=2B9A3D53BA470849F3B257B24C803526&TYPE=5&IV=3
delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=7AA1E873FC5A11FA1EBA88F22E07EC20&TEXT={SEARCHTERMS}
regt 27
; OffersWizard Network System Driver
exec  C:\Program Files (x86)\Common Files\Config\uninstinethnfd.exe
; Java(TM) 6 Update 30
exec  MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216030FF} /quiet

deldirex %SystemDrive%\PROGRAM FILES (X86)\EDEALPOP

deltmp
delnfr
areg

;-------------------------------------------------------------


перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
[ Как создать образ автозапуска? ]
Перейти
Реклама., Теперь реклама везде.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 14.04.2015 16:02:56
добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 14.04.2015 11:13:31
непонятно о чем вы.
база подбора здесь бесполезна, поскольку каждый ключ, созданный с помощью VAULT (а точнее с помощью GnuPG) уникален. дважды не повторится. в ближайшем и отдаленном будущем.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 14.04.2015 10:42:59
gpg: зашифровано 1024-битным ключом RSA с ID 996E88A8, созданным 25.01.2015
     "VaultCrypt (VaultCrypt) <BM-NBJaxrt4riuVrCq5NVcLrFC5CYCYkxpm@Bitmessage>"
gpg: сбой расшифровки: закрытый ключ не найден

File: X:\active\shifr\bat.encoder.vault\34\VAULT.KEY
Time: 14.04.2015 13:39:02 (14.04.2015 7:39:02 UTC)


и

gpg: зашифровано 1024-битным ключом RSA с ID 996E88A8, созданным 25.01.2015
     "VaultCrypt (VaultCrypt) <BM-NBJaxrt4riuVrCq5NVcLrFC5CYCYkxpm@Bitmessage>"
gpg: сбой расшифровки: закрытый ключ не найден

File: X:\active\shifr\bat.encoder.vault\34\04fba9ba_VAULT.KEY
Time: 14.04.2015 13:39:40 (14.04.2015 7:39:40 UTC)
--------------
разницы нет между этими файлами, в обоих зашифрован secring.gpg ключом злоумышленников VaultCrypt (VaultCrypt)
различие лишь в том что по ходу выполнения алгоритма добавлена еще часть инфо.

можете сами по F4 открыть эти файлы, и сравнить что там дописано в конец файла.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 14.04.2015 10:23:44
Цитата
santy написал:
последний, скорее всего копия VAULT.key можете сравнить их по размеру и по хэшу
этот файл выложите здесь, и будет ясно, что это за файл и каким ключом зашифрован.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 14.04.2015 10:21:48
Цитата
Сергей Жигарев написал:
обнаружились файлы "VAULT.KEY, CONFIRMATION.KEY и 04fba9ba_VAULT.KEY" вот что за последний меня и интересует.
последний, скорее всего копия VAULT.key можете сравнить их по размеру и по хэшу
Изменено: santy - 04.06.2016 18:25:58
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 576 577 578 579 580 581 582 583 584 585 586 ... 1784 След.