santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

Как удалить самоустановившуюся китайскую программу Baidu

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.04.2015 14:58:56

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.16 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v385c OFFSGNSAVE delall %SystemDrive%\DOCUMENTS AND SETTINGS\NADEZHDA.OKULOVA\APPLICATION DATA\SLICK SAVINGS\COUPONS.DLL delall %SystemDrive%\DOCUMENTS AND SETTINGS\NADEZHDA.OKULOVA\APPLICATION DATA\SLICK SAVINGS\COUPONSHELPER.EXE del %SystemDrive%\FIREFOX.BAT del %SystemDrive%\IEXPLORE.BAT hide %SystemDrive%\PROGRAM FILES\IOBIT\ADVANCED SYSTEMCARE 8\ASCINIT.EXE hide D:\ОТЧЕТЫ КНО\ОТНЕСЕННЫЕ В 2014 ГОДУ\!!!!!!_BROWZAR_CRASHBOX.RU\BROWZAR_CRASHBOX.RU.EXE ;------------------------autoscript--------------------------- chklst delvir delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=3B5996680635926235FCC7777BE57A23&TEXT={SEAR...} REGT 27 regt 28 regt 29 ; Surfing Protection exec C:\Program Files\IObit\Surfing Protection\unins000.exe deltmp delnfr ;------------------------------------------------------------- restart

Код

;uVS v3.85.16 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE

delall %SystemDrive%\DOCUMENTS AND SETTINGS\NADEZHDA.OKULOVA\APPLICATION DATA\SLICK SAVINGS\COUPONS.DLL
delall %SystemDrive%\DOCUMENTS AND SETTINGS\NADEZHDA.OKULOVA\APPLICATION DATA\SLICK SAVINGS\COUPONSHELPER.EXE
del %SystemDrive%\FIREFOX.BAT
del %SystemDrive%\IEXPLORE.BAT
hide %SystemDrive%\PROGRAM FILES\IOBIT\ADVANCED SYSTEMCARE 8\ASCINIT.EXE
hide D:\ОТЧЕТЫ КНО\ОТНЕСЕННЫЕ В 2014 ГОДУ\!!!!!!_BROWZAR_CRASHBOX.RU\BROWZAR_CRASHBOX.RU.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=3B5996680635926235FCC7777BE57A23&TEXT={SEAR...}

REGT 27
regt 28
regt 29
; Surfing Protection
exec C:\Program Files\IObit\Surfing Protection\unins000.exe
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] постоянно пытается соединиться, постоянно пытается соединиться по этому адресу. как это прекратить

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.04.2015 13:43:12

Код
;uVS v3.85.16 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\USERS\КОМП\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE addsgn 1A8B7A9B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian delall %SystemDrive%\PROGRAM FILES\MOBOGENIE\DAEMONPROCESS.EXE hide %SystemDrive%\PROGRAM FILES\KYODAI MAHJONGG 2006\KMJ.EXE ;------------------------autoscript--------------------------- chklst delvir delref 0HTTP://CONFIGSPACS.COM/MMFNA7/NJ4N.URU delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID] delref HTTP://CONFIGSPACS.COM/MMFNA7/NJ4N.URU ; Pandora Service exec C:\Program Files\PANDORA.TV\PanService\unins000.exe deltmp delnfr ;------------------------------------------------------------- restart

Код

;uVS v3.85.16 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\КОМП\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1A8B7A9B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian

delall %SystemDrive%\PROGRAM FILES\MOBOGENIE\DAEMONPROCESS.EXE
hide %SystemDrive%\PROGRAM FILES\KYODAI MAHJONGG 2006\KMJ.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref 0HTTP://CONFIGSPACS.COM/MMFNA7/NJ4N.URU

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]

delref HTTP://CONFIGSPACS.COM/MMFNA7/NJ4N.URU

; Pandora Service
exec C:\Program Files\PANDORA.TV\PanService\unins000.exe

deltmp
delnfr
;-------------------------------------------------------------

restart

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.04.2015 12:35:46

добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Перейти

Вирус "NOCHANCE"

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.04.2015 12:02:26

судя по поиску у Касперского есть дешифратор по этим файлам
http://support.kaspersky.ru/viruses/disinfection/10556
вот только работает он или нет, не в курсе. но в списке указано это расширение.

[ Как создать образ автозапуска? ]

Перейти

Вирус "NOCHANCE"

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.04.2015 11:56:45

судя по всему шифратор либо отработал, либо работает в поте лица, и шифрует документы,
посмотрите дату создания этих файлов.
--------
дата вроде старая от 2013 года.
а антивирус случайно не эти зашифрованные файлы (с расширением nochange) вычищает до 0 байт?

Изменено: santy - 08.04.2015 12:00:03

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] js/spy.banker.be троянская программа

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.04.2015 10:46:49

далее,

сделайте дополнительно быструю проверку системы в малваребайт

http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] VAULT. что делать?, bat encoder / CryptVault

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.04.2015 10:17:47

убрали утилитку sdelete.exe
добавили шифрование удаленных файлов средствами самой системы.
с помощью системной программы cipher.exe

Цитата
Cipher.exe является инструментом командной строки (входит в Windows 2000), которые можно использовать для управления зашифрованных данных с помощью шифрованной файловой системы (EFS). По состоянию на июнь 2001 года, Microsoft разработал усовершенствованную версию инструмента Cipher.exe, что обеспечивает возможность постоянно переписывать (или "стереть" все удаленные данные на жестком диске. Эта функция повышает безопасность, гарантируя, что даже злоумышленник, который получил полный физический контроль над компьютером для Windows 2000 не сможет восстановить ранее удаленные данные.

Цитата

Cipher.exe является инструментом командной строки (входит в Windows 2000), которые можно использовать для управления зашифрованных данных с помощью шифрованной файловой системы (EFS). По состоянию на июнь 2001 года, Microsoft разработал усовершенствованную версию инструмента Cipher.exe, что обеспечивает возможность постоянно переписывать (или "стереть" все удаленные данные на жестком диске. Эта функция повышает безопасность, гарантируя, что даже злоумышленник, который получил полный физический контроль над компьютером для Windows 2000 не сможет восстановить ранее удаленные данные.

https://www.virustotal.com/ru/file/b948633b6f3e1a04959cf174beb6116726b951c7a76ccdc171151f157d45a69e/.../1428505266/

раскодировал файл svchost.exe из js шифратора

Цитата
gpg (GnuPG) 1.4.18 Copyright © 2014 Free Software Foundation, Inc. License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html> This is free software: you are free to change and redistribute it. There is NO WARRANTY, to the extent permitted by law. Home: ***** Поддерживаются следующие алгоритмы: С открытым ключом: RSA, RSA-E, RSA-S, ELG-E, DSA Симметричные шифры: IDEA, 3DES, CAST5, BLOWFISH, AES, AES192, AES256, TWOFISH, CAMELLIA128, CAMELLIA192, CAMELLIA256 Хэш-функции: MD5, SHA1, RIPEMD160, SHA256, SHA384, SHA512, SHA224 Алгоритмы сжатия: Без сжатия, ZIP, ZLIB, BZIP2

Цитата

gpg (GnuPG) 1.4.18
Copyright © 2014 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Home: *****
Поддерживаются следующие алгоритмы:
С открытым ключом: RSA, RSA-E, RSA-S, ELG-E, DSA
Симметричные шифры: IDEA, 3DES, CAST5, BLOWFISH, AES, AES192, AES256,
TWOFISH, CAMELLIA128, CAMELLIA192, CAMELLIA256
Хэш-функции: MD5, SHA1, RIPEMD160, SHA256, SHA384, SHA512, SHA224
Алгоритмы сжатия: Без сжатия, ZIP, ZLIB, BZIP2

Изменено: santy - 08.04.2015 19:08:14

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] js/spy.banker.be троянская программа

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.04.2015 10:10:48

Код
;uVS v3.85.16 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir delref 0HTTP://CONFIGPACS.COM/919GG8939/XM4J4.URE delref HTTP://CONFIGPACS.COM/919GG8939/XM4J4.URE ; Surfing Protection exec C:\Program Files (x86)\IObit\Surfing Protection\unins000.exe deltmp delnfr ;------------------------------------------------------------- restart

Код

;uVS v3.85.16 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref 0HTTP://CONFIGPACS.COM/919GG8939/XM4J4.URE

delref HTTP://CONFIGPACS.COM/919GG8939/XM4J4.URE

; Surfing Protection
exec  C:\Program Files (x86)\IObit\Surfing Protection\unins000.exe
deltmp
delnfr
;-------------------------------------------------------------

restart

[ Как создать образ автозапуска? ]

Перейти

троян js/spy.banker.be

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.04.2015 10:08:27

Код
;uVS v3.85.16 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\USERS\PK\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian ;------------------------autoscript--------------------------- chklst delvir delref 0HTTP://COMPACTPACS.COM/SW4LXI/Y9S.URO delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID] delref HTTP://TOP-PAGE.RU/3 delref HTTP://COMPACTPACS.COM/SW4LXI/Y9S.URO deltmp delnfr ;------------------------------------------------------------- restart

Код

;uVS v3.85.16 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\PK\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian


;------------------------autoscript---------------------------

chklst
delvir

delref 0HTTP://COMPACTPACS.COM/SW4LXI/Y9S.URO

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

delref HTTP://TOP-PAGE.RU/3

delref HTTP://COMPACTPACS.COM/SW4LXI/Y9S.URO

deltmp
delnfr
;-------------------------------------------------------------

restart

[ Как создать образ автозапуска? ]

Перейти

Как удалить самоустановившуюся китайскую программу Baidu

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.04.2015 08:20:00

Код
;uVS v3.85.16 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v385c OFFSGNSAVE sreg delref %Sys32%\DRIVERS\BD0001.SYS delref %Sys32%\DRIVERS\BD0002.SYS delref %Sys32%\DRIVERS\BD0003.SYS delref %Sys32%\DRIVERS\BD0004.SYS delref %Sys32%\DRIVERS\BDARKIT.SYS delref %Sys32%\DRIVERS\BDDEFENSE.SYS delref %Sys32%\DRIVERS\BDENHANCEBOOST.SYS delref %Sys32%\DRIVERS\BDFILEDEFEND.SYS delref %Sys32%\DRIVERS\BDMNETMON.SYS delref %Sys32%\DRIVERS\BDMWRENCH.SYS delref %Sys32%\DRIVERS\BDSAFEBROWSER.SYS delref %Sys32%\DRIVERS\BDSANDBOX.SYS areg

Код

;uVS v3.85.16 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE

sreg

delref %Sys32%\DRIVERS\BD0001.SYS
delref %Sys32%\DRIVERS\BD0002.SYS
delref %Sys32%\DRIVERS\BD0003.SYS
delref %Sys32%\DRIVERS\BD0004.SYS
delref %Sys32%\DRIVERS\BDARKIT.SYS
delref %Sys32%\DRIVERS\BDDEFENSE.SYS
delref %Sys32%\DRIVERS\BDENHANCEBOOST.SYS
delref %Sys32%\DRIVERS\BDFILEDEFEND.SYS
delref %Sys32%\DRIVERS\BDMNETMON.SYS
delref %Sys32%\DRIVERS\BDMWRENCH.SYS
delref %Sys32%\DRIVERS\BDSAFEBROWSER.SYS
delref %Sys32%\DRIVERS\BDSANDBOX.SYS
areg

перезагрузка, пишем о старых и новых проблемах.
------------
+
добавьте новый образ автозапуска для очистки системы.

[ Как создать образ автозапуска? ]

Перейти