santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] Уведомления, "адрес заблокирован"

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.04.2015 15:41:06

да, можете обращаться за помощью в лечение заражений на наш форум.

выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Уведомления, "адрес заблокирован"

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.04.2015 13:51:18

6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Код
FF Extension: Favicon Restorer - C:\Users\DEATHAN\AppData\Roaming\Mozilla\Firefox\Profiles\pvdw50yc.default\Extensions\[email protected] [2012-11-16] FF Extension: Ex-Assistance-Pro - C:\Users\DEATHAN\AppData\Roaming\Mozilla\Firefox\Profiles\pvdw50yc.default\Extensions\{0dbda103-5b1e-4059-ac8f-15aeb3862327} [2014-11-27] FF Extension: MEGA - C:\Users\DEATHAN\AppData\Roaming\Mozilla\Firefox\Profiles\pvdw50yc.default\Extensions\[email protected] [2014-06-20] FF Extension: Google Favicon 1998 - C:\Users\DEATHAN\AppData\Roaming\Mozilla\Firefox\Profiles\pvdw50yc.default\Extensions\[email protected] [2014-09-01] FF Extension: SaveFrom.net helper - C:\Users\DEATHAN\AppData\Roaming\Mozilla\Firefox\Profiles\pvdw50yc.default\Extensions\[email protected] [2012-12-11] FF Extension: Imageshack-Clickberry Browser Add-on - C:\Users\DEATHAN\AppData\Roaming\Mozilla\Firefox\Profiles\pvdw50yc.default\Extensions\[email protected] [2013-07-30] FF Extension: Remove Cookie for Google Account Chooser - C:\Users\DEATHAN\AppData\Roaming\Mozilla\Firefox\Profiles\pvdw50yc.default\Extensions\[email protected] [2014-09-01] FF Extension: Social Media Advertisement Blocker - C:\Users\DEATHAN\AppData\Roaming\Mozilla\Firefox\Profiles\pvdw50yc.default\Extensions\[email protected] [2014-11-20] FF Extension: Status-4-Evar - C:\Users\DEATHAN\AppData\Roaming\Mozilla\Firefox\Profiles\pvdw50yc.default\Extensions\[email protected] [2012-11-16] EmptyTemp: Reboot:

Код

FF Extension: Favicon Restorer - C:\Users\DEATHAN\AppData\Roaming\Mozilla\Firefox\Profiles\pvdw50yc.default\Extensions\[email protected] [2012-11-16]
FF Extension: Ex-Assistance-Pro - C:\Users\DEATHAN\AppData\Roaming\Mozilla\Firefox\Profiles\pvdw50yc.default\Extensions\{0dbda103-5b1e-4059-ac8f-15aeb3862327} [2014-11-27]
FF Extension: MEGA - C:\Users\DEATHAN\AppData\Roaming\Mozilla\Firefox\Profiles\pvdw50yc.default\Extensions\[email protected] [2014-06-20]
FF Extension: Google Favicon 1998 - C:\Users\DEATHAN\AppData\Roaming\Mozilla\Firefox\Profiles\pvdw50yc.default\Extensions\[email protected] [2014-09-01]
FF Extension: SaveFrom.net helper - C:\Users\DEATHAN\AppData\Roaming\Mozilla\Firefox\Profiles\pvdw50yc.default\Extensions\[email protected] [2012-12-11]
FF Extension: Imageshack-Clickberry Browser Add-on - C:\Users\DEATHAN\AppData\Roaming\Mozilla\Firefox\Profiles\pvdw50yc.default\Extensions\[email protected] [2013-07-30]
FF Extension: Remove Cookie for Google Account Chooser - C:\Users\DEATHAN\AppData\Roaming\Mozilla\Firefox\Profiles\pvdw50yc.default\Extensions\[email protected] [2014-09-01]
FF Extension: Social Media Advertisement Blocker - C:\Users\DEATHAN\AppData\Roaming\Mozilla\Firefox\Profiles\pvdw50yc.default\Extensions\[email protected] [2014-11-20]
FF Extension: Status-4-Evar - C:\Users\DEATHAN\AppData\Roaming\Mozilla\Firefox\Profiles\pvdw50yc.default\Extensions\[email protected] [2012-11-16]
EmptyTemp:
Reboot:

------
пишем результат, что с проблемой сейчас

Изменено: santy - 12.04.2015 13:51:44

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Уведомления, "адрес заблокирован"

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.04.2015 12:36:43

удалите все найденное в малваребайт,
деинсталлируйте малваребайт из списка программ, поскольку вы установили его с проблным периодом, т.е. с монитором и сканером. (бесплатен только сканер)

далее,

далее,
3.сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

5.сделайте проверку в FRST
http://www.cyberforum.ru/viruses-faq/thread1362245.html

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Уведомления, "адрес заблокирован"

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.04.2015 05:28:00

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.17 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir delref %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER3.DLL delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID] delref HTTP://WWW.APEHA.RU delref %Sys32%\DRIVERS\{55DCE8BA-9DEC-4013-937E-ADBF9317D990}GW64.SYS delref HTTP:\\PLARIUM.COM\PLAY\RU\TOTALDOMINATION\LANDING10_8?ADCAMPAIGN=23168&CLICKID=TC0CYC0FYCYDZYYETAZZ0ATCYETA0A0F&PUBLISHERID=1_0_72 ; StartNow Toolbar exec C:\Program Files (x86)\StartNow Toolbar\StartNowToolbarUninstall.exe deltmp delnfr ;------------------------------------------------------------- restart

Код

;uVS v3.85.17 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER3.DLL

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

delref HTTP://WWW.APEHA.RU

delref %Sys32%\DRIVERS\{55DCE8BA-9DEC-4013-937E-ADBF9317D990}GW64.SYS

delref HTTP:\\PLARIUM.COM\PLAY\RU\TOTALDOMINATION\LANDING10_8?ADCAMPAIGN=23168&CLICKID=TC0CYC0FYCYDZYYETAZZ0ATCYETA0A0F&PUBLISHERID=1_0_72

; StartNow Toolbar
exec  C:\Program Files (x86)\StartNow Toolbar\StartNowToolbarUninstall.exe
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы в Cryakl с расширением *.cbf, Filecoder.CQ,Filecoder.EQ/Encoder.567/Cryakl/ ver 4.0.0.0-8.0.0.0

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.04.2015 19:10:12

по v6.1 можно попробовать обратиться на ВирусИнфо, там есть случаи по расшифровке v 6 и 7.

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы в Cryakl с расширением *.cbf, Filecoder.CQ,Filecoder.EQ/Encoder.567/Cryakl/ ver 4.0.0.0-8.0.0.0

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.04.2015 16:28:58

расшифровки, скорее всего нет.
если заражение свежее,
добавьте образ автозапуска системы, возможно шифратор еще остался в автозапуске.
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы в Cryakl с расширением *.cbf, Filecoder.CQ,Filecoder.EQ/Encoder.567/Cryakl/ ver 4.0.0.0-8.0.0.0

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.04.2015 13:39:40

смотреть по наименованию зашифрованного файла
P1010051_1.jpg.id-{HPUYEJOTYDIMRWBGKPUZEJNSXCGLQVAFKOTX-08.03.2015 12@07@094059404}[email protected]ver-4.0.0.0.cbf

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Страница яндекс - не работает кнопа "найти"

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.04.2015 13:36:20

все найденное в мбам можно удалить и далее по тексту

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Страница яндекс - не работает кнопа "найти"

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.04.2015 11:13:23

выполните все таки проверку в мбам,

если ничего не будет найдено,
выполните рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Страница яндекс - не работает кнопа "найти"

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.04.2015 10:55:46

Код
;uVS v3.85.17 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\MICROSOFT\EXTENSIONS\SAFEBROWSER.EXE delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\MICROSOFT\EXTENSIONS\EXTSETUP.EXE ;------------------------autoscript--------------------------- chklst delvir ; WebSecurity Extension version 16.40 exec C:\Program Files (x86)\Microsoft Data\unins000.exe deltmp delnfr ;------------------------------------------------------------- restart

Код

;uVS v3.85.17 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\MICROSOFT\EXTENSIONS\SAFEBROWSER.EXE
delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\MICROSOFT\EXTENSIONS\EXTSETUP.EXE
;------------------------autoscript---------------------------

chklst
delvir

; WebSecurity Extension version 16.40
exec  C:\Program Files (x86)\Microsoft Data\unins000.exe
deltmp
delnfr
;-------------------------------------------------------------

restart

[ Как создать образ автозапуска? ]

Перейти