santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

троян js/spy.banker.be

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.04.2015 07:04:10

добавьте образ автозапуска
[URL=http://forum.esetnod32.ru/forum9/topic2687/]http://forum.esetnod32.ru/forum9/topic2687/[/URL]

Перейти

[ Закрыто] JS/Spy.Banker.BE, help needed

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.04.2015 19:50:42

tnod используем. по правилам форума тема будет закрыта.
обратитесь за помощью на другой форум.
[QUOTE]C:\PROGRAM FILES\TNOD USER & PASSWORD FINDER\UNINST-TNOD.EXE[/QUOTE]

Перейти

[ Закрыто] Много всплывающих окон и закладок с рекламой., Много всплывающих окон и закладок с рекламой.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 06.04.2015 19:37:14

да, если проблема решена, выполните наши рекомендации
[URL=http://forum.esetnod32.ru/forum9/topic3998/]http://forum.esetnod32.ru/forum9/topic3998/[/URL]

Перейти

[ Закрыто] Много всплывающих окон и закладок с рекламой., Много всплывающих окон и закладок с рекламой.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 06.04.2015 09:50:16

логи мбам покажите, посмотрим что он нашел и удалил.

Перейти

[ Закрыто] Много всплывающих окон и закладок с рекламой., Много всплывающих окон и закладок с рекламой.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 06.04.2015 06:46:29

смотреть WAN, судя по айпишникам - нормальные адреса.

далее,

сделайте дополнительно быструю проверку системы в малваребайт

[URL=http://forum.esetnod32.ru/forum9/topic10688/]http://forum.esetnod32.ru/forum9/topic10688/[/URL]

Перейти

файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 05.04.2015 19:23:12

пробуйте еще выполнить поиск документов среди удаленных файлов с помощью инструментов восстановления удаленных файлов.

Перейти

файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 05.04.2015 18:36:24

1. по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

[CODE];uVS v3.85.14 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
del %SystemDrive%\USERS\ЛАРИСА\APPDATA\LOCAL\YANDEX\BROWSER.BAT
del %SystemDrive%\USERS\ЛАРИСА\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.BAT
del %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\CHROME.BAT
delall %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\IDENTITIES\GWASAY.EXE
del %SystemDrive%\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.BAT
del %SystemDrive%\IEXPLORE.BAT
del %SystemDrive%\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.BAT
delall %SystemDrive%\USERS\ЛАРИСА\DOWNLOADS\REFS.SU_53718.EXE
delall %SystemDrive%\USERS\4460~1\APPDATA\ROAMING\DSITE\UPDATE~1\UPDATE~1.EXE
delall %SystemDrive%\USERS\4460~1\APPDATA\ROAMING\DIGITA~1\UPDATE~1\UPDATE~1.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref /C ATTRIB -H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS && COPY C:\USERS\4460~1\APPDATA\LOCAL\TEMP\1319581AQ C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS /Y && ATTRIB +H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS

delref /C ATTRIB -H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS && COPY C:\USERS\4460~1\APPDATA\LOCAL\TEMP\2626136AQ C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS /Y && ATTRIB +H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS

delref /C ATTRIB -H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS && COPY C:\USERS\4460~1\APPDATA\LOCAL\TEMP\10838138AQ C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS /Y && ATTRIB +H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS

delref /C ATTRIB -H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS && COPY C:\USERS\4460~1\APPDATA\LOCAL\TEMP\1980261AQ C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS /Y && ATTRIB +H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS

delref /C ATTRIB -H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS && COPY C:\USERS\4460~1\APPDATA\LOCAL\TEMP\213908 C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS /Y && ATTRIB +H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS && ERASE C:\USERS\4460~1\APPDATA\LOCAL\TEMP\5873223.EXE

delref /C ATTRIB -H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS && COPY C:\USERS\4460~1\APPDATA\LOCAL\TEMP\1319581AQ C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS /Y && ATTRIB +H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS

delref /C ATTRIB -H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS && COPY C:\USERS\4460~1\APPDATA\LOCAL\TEMP\10838138AQ C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS /Y && ATTRIB +H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS

delref /C ATTRIB -H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS && COPY C:\USERS\4460~1\APPDATA\LOCAL\TEMP\1980261AQ C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS /Y && ATTRIB +H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS

delref /C ATTRIB -H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS && COPY C:\USERS\4460~1\APPDATA\LOCAL\TEMP\213908 C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS /Y && ATTRIB +H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS && ERASE C:\USERS\4460~1\APPDATA\LOCAL\TEMP\5873223.EXE

delref {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\[CLSID]

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]

delref HTTP://ISTART.WEBSSEARCHES.COM/?TYPE=HP&TS=1408889320&FROM=TUGS&UID=ST1000DM003-9YN162_W1D0CVBXXXXXW...

delref {41564952-412D-5637-4300-7A786E7484D7}\[CLSID]

delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=B07AADD337247E8CC17BE2675B01A26A&TEXT={SEAR...

regt 27
regt 28
regt 29
; Surfing Protection
exec C:\Program Files (x86)\IObit\Surfing Protection\unins000.exe
; Remote Desktop Access (VuuPC)
exec C:\Users\Лариса\AppData\Roaming\VOPackage\uninstall.exe
; webssearches uninstall
exec C:\Users\Лариса\AppData\Roaming\webssearches\UninstallManager.exe -ptid=tugs
; Zaxar Games Browser
exec C:\Program Files (x86)\Zaxar\uninstall.exe
; VTope, версия 1.0
exec C:\Program Files (x86)\VTope\unins000.exe
; Time tasks
exec C:\ProgramData\TimeTasks\uninstall.exe
deltmp
delnfr
;-------------------------------------------------------------

restart
[/CODE]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
[URL=http://forum.esetnod32.ru/forum9/topic10688/]http://forum.esetnod32.ru/forum9/topic10688/[/URL]
---------------
2. по восстановлению документов:
проверьте наличие теневых копий

3. по расшифровке файлов решения нет.

Перейти

Ошибка при обмене данными с ядром, антивирус не запускается

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.04.2015 08:35:20

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

[CODE];uVS v3.85.14 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\НАСТЯ\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetotian

delall %SystemDrive%\USERS\5B3B~1\APPDATA\LOCAL\LINKEY\IEEXTE~1\IEDLL.DLL
delall %SystemDrive%\USERS\5B3B~1\APPDATA\LOCAL\LINKEY\IEEXTE~1\IEDLL64.DLL
hide %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\1C REPETITOR SHARED\FORMULTOOLBAR.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://WEBALTA.RU/SEARCH

regt 27
regt 28
regt 29

; Advanced System Protector
exec C:\Program Files (x86)\Advanced System Protector\unins000.exe
; Mobogenie
exec C:\Program Files (x86)\Mobogenie\uninst.exe
; OpenAL
exec C:\Program Files (x86)\OpenAL\oalinst.exe" /U
; Java™ 6 Update 35
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216035FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

czoo
restart
[/CODE]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
[URL=http://forum.esetnod32.ru/forum9/topic10688/]http://forum.esetnod32.ru/forum9/topic10688/[/URL]

Перейти

[ Закрыто] Много всплывающих окон и закладок с рекламой., Много всплывающих окон и закладок с рекламой.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.04.2015 05:08:21

Перейти

[ Закрыто] Появились проблемы с браузером (Гуглхром)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 03.04.2015 19:44:28

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

[CODE];uVS v3.85.14 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\DEMONWITCH\APPDATA\LOCAL\KOMETA\KOMETAUP.EXE
addsgn 1A79DF9A5583C58CF42B254E3143FE54A6EF00F6DF775A84D53CB0B0AFA379A432BEC357B5A51E8D270572EA5E2F0C0609CC008141DAB0A9ED03AEC72D122273 8 Win32/RuKometa.A [ESET-NOD32]

delall %SystemDrive%\PROGRAM FILES (X86)\DRIVERTOOLKIT\DRIVERTOOLKIT.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://UMNOMA.RU/?UTM_SOURCE=UOUA03

delref HTTP://UMNOMA.RU/?UTM_SOURCE=UOUA03&UTM_CONTENT=F218661D5C731B57C05DF9509BBDAD0B

; OpenAL
exec C:\Program Files (x86)\OpenAL\oalinst.exe" /U
deltmp
delnfr
;-------------------------------------------------------------

restart
[/CODE]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
[URL=http://forum.esetnod32.ru/forum9/topic10688/]http://forum.esetnod32.ru/forum9/topic10688/[/URL]

Перейти