santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

троян js/spy.banker.be

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.04.2015 07:04:10

добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] JS/Spy.Banker.BE, help needed

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.04.2015 19:50:42

tnod используем. по правилам форума тема будет закрыта.
обратитесь за помощью на другой форум.

Цитата
C:\PROGRAM FILES\TNOD USER & PASSWORD FINDER\UNINST-TNOD.EXE

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Много всплывающих окон и закладок с рекламой., Много всплывающих окон и закладок с рекламой.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 06.04.2015 19:37:14

да, если проблема решена, выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Много всплывающих окон и закладок с рекламой., Много всплывающих окон и закладок с рекламой.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 06.04.2015 09:50:16

логи мбам покажите, посмотрим что он нашел и удалил.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Много всплывающих окон и закладок с рекламой., Много всплывающих окон и закладок с рекламой.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 06.04.2015 06:46:29

смотреть WAN, судя по айпишникам - нормальные адреса.

далее,

сделайте дополнительно быструю проверку системы в малваребайт

http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 05.04.2015 19:23:12

пробуйте еще выполнить поиск документов среди удаленных файлов с помощью инструментов восстановления удаленных файлов.

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 05.04.2015 18:36:24

1. по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.14 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE del %SystemDrive%\USERS\ЛАРИСА\APPDATA\LOCAL\YANDEX\BROWSER.BAT del %SystemDrive%\USERS\ЛАРИСА\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.BAT del %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\CHROME.BAT delall %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\IDENTITIES\GWASAY.EXE del %SystemDrive%\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.BAT del %SystemDrive%\IEXPLORE.BAT del %SystemDrive%\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.BAT delall %SystemDrive%\USERS\ЛАРИСА\DOWNLOADS\REFS.SU_53718.EXE delall %SystemDrive%\USERS\4460~1\APPDATA\ROAMING\DSITE\UPDATE~1\UPDATE~1.EXE delall %SystemDrive%\USERS\4460~1\APPDATA\ROAMING\DIGITA~1\UPDATE~1\UPDATE~1.EXE ;------------------------autoscript--------------------------- chklst delvir delref /C ATTRIB -H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS && COPY C:\USERS\4460~1\APPDATA\LOCAL\TEMP\1319581AQ C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS /Y && ATTRIB +H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS delref /C ATTRIB -H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS && COPY C:\USERS\4460~1\APPDATA\LOCAL\TEMP\2626136AQ C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS /Y && ATTRIB +H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS delref /C ATTRIB -H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS && COPY C:\USERS\4460~1\APPDATA\LOCAL\TEMP\10838138AQ C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS /Y && ATTRIB +H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS delref /C ATTRIB -H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS && COPY C:\USERS\4460~1\APPDATA\LOCAL\TEMP\1980261AQ C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS /Y && ATTRIB +H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS delref /C ATTRIB -H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS && COPY C:\USERS\4460~1\APPDATA\LOCAL\TEMP\213908 C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS /Y && ATTRIB +H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS && ERASE C:\USERS\4460~1\APPDATA\LOCAL\TEMP\5873223.EXE delref /C ATTRIB -H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS &AMP;&AMP; COPY C:\USERS\4460~1\APPDATA\LOCAL\TEMP\1319581AQ C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS /Y &AMP;&AMP; ATTRIB +H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS delref /C ATTRIB -H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS &AMP;&AMP; COPY C:\USERS\4460~1\APPDATA\LOCAL\TEMP\10838138AQ C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS /Y &AMP;&AMP; ATTRIB +H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS delref /C ATTRIB -H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS &AMP;&AMP; COPY C:\USERS\4460~1\APPDATA\LOCAL\TEMP\1980261AQ C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS /Y &AMP;&AMP; ATTRIB +H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS delref /C ATTRIB -H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS &AMP;&AMP; COPY C:\USERS\4460~1\APPDATA\LOCAL\TEMP\213908 C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS /Y &AMP;&AMP; ATTRIB +H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS &AMP;&AMP; ERASE C:\USERS\4460~1\APPDATA\LOCAL\TEMP\5873223.EXE delref {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\[CLSID] delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID] delref HTTP://ISTART.WEBSSEARCHES.COM/?TYPE=HP&TS=1408889320&FROM=TUGS&UID=ST1000DM003-9YN162_W1D0CVBXXXXXW... delref {41564952-412D-5637-4300-7A786E7484D7}\[CLSID] delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=B07AADD337247E8CC17BE2675B01A26A&TEXT={SEAR... regt 27 regt 28 regt 29 ; Surfing Protection exec C:\Program Files (x86)\IObit\Surfing Protection\unins000.exe ; Remote Desktop Access (VuuPC) exec C:\Users\Лариса\AppData\Roaming\VOPackage\uninstall.exe ; webssearches uninstall exec C:\Users\Лариса\AppData\Roaming\webssearches\UninstallManager.exe -ptid=tugs ; Zaxar Games Browser exec C:\Program Files (x86)\Zaxar\uninstall.exe ; VTope, версия 1.0 exec C:\Program Files (x86)\VTope\unins000.exe ; Time tasks exec C:\ProgramData\TimeTasks\uninstall.exe deltmp delnfr ;------------------------------------------------------------- restart

Код

;uVS v3.85.14 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
del %SystemDrive%\USERS\ЛАРИСА\APPDATA\LOCAL\YANDEX\BROWSER.BAT
del %SystemDrive%\USERS\ЛАРИСА\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.BAT
del %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\CHROME.BAT
delall %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\IDENTITIES\GWASAY.EXE
del %SystemDrive%\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.BAT
del %SystemDrive%\IEXPLORE.BAT
del %SystemDrive%\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.BAT
delall %SystemDrive%\USERS\ЛАРИСА\DOWNLOADS\REFS.SU_53718.EXE
delall %SystemDrive%\USERS\4460~1\APPDATA\ROAMING\DSITE\UPDATE~1\UPDATE~1.EXE
delall %SystemDrive%\USERS\4460~1\APPDATA\ROAMING\DIGITA~1\UPDATE~1\UPDATE~1.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref /C ATTRIB -H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS && COPY C:\USERS\4460~1\APPDATA\LOCAL\TEMP\1319581AQ C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS /Y && ATTRIB +H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS

delref /C ATTRIB -H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS && COPY C:\USERS\4460~1\APPDATA\LOCAL\TEMP\2626136AQ C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS /Y && ATTRIB +H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS

delref /C ATTRIB -H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS && COPY C:\USERS\4460~1\APPDATA\LOCAL\TEMP\10838138AQ C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS /Y && ATTRIB +H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS

delref /C ATTRIB -H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS && COPY C:\USERS\4460~1\APPDATA\LOCAL\TEMP\1980261AQ C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS /Y && ATTRIB +H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS

delref /C ATTRIB -H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS && COPY C:\USERS\4460~1\APPDATA\LOCAL\TEMP\213908 C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS /Y && ATTRIB +H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS && ERASE C:\USERS\4460~1\APPDATA\LOCAL\TEMP\5873223.EXE

delref /C ATTRIB -H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS &AMP;&AMP; COPY C:\USERS\4460~1\APPDATA\LOCAL\TEMP\1319581AQ C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS /Y &AMP;&AMP; ATTRIB +H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS

delref /C ATTRIB -H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS &AMP;&AMP; COPY C:\USERS\4460~1\APPDATA\LOCAL\TEMP\10838138AQ C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS /Y &AMP;&AMP; ATTRIB +H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS

delref /C ATTRIB -H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS &AMP;&AMP; COPY C:\USERS\4460~1\APPDATA\LOCAL\TEMP\1980261AQ C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS /Y &AMP;&AMP; ATTRIB +H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS

delref /C ATTRIB -H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS &AMP;&AMP; COPY C:\USERS\4460~1\APPDATA\LOCAL\TEMP\213908 C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS /Y &AMP;&AMP; ATTRIB +H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS &AMP;&AMP; ERASE C:\USERS\4460~1\APPDATA\LOCAL\TEMP\5873223.EXE

delref {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\[CLSID]

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]

delref HTTP://ISTART.WEBSSEARCHES.COM/?TYPE=HP&TS=1408889320&FROM=TUGS&UID=ST1000DM003-9YN162_W1D0CVBXXXXXW...

delref {41564952-412D-5637-4300-7A786E7484D7}\[CLSID]

delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=B07AADD337247E8CC17BE2675B01A26A&TEXT={SEAR...

regt 27
regt 28
regt 29
; Surfing Protection
exec  C:\Program Files (x86)\IObit\Surfing Protection\unins000.exe
; Remote Desktop Access (VuuPC)
exec  C:\Users\Лариса\AppData\Roaming\VOPackage\uninstall.exe
; webssearches uninstall
exec  C:\Users\Лариса\AppData\Roaming\webssearches\UninstallManager.exe  -ptid=tugs
; Zaxar Games Browser
exec  C:\Program Files (x86)\Zaxar\uninstall.exe
; VTope, версия 1.0
exec  C:\Program Files (x86)\VTope\unins000.exe
; Time tasks
exec C:\ProgramData\TimeTasks\uninstall.exe
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
---------------
2. по восстановлению документов:
проверьте наличие теневых копий

3. по расшифровке файлов решения нет.

[ Как создать образ автозапуска? ]

Перейти

Ошибка при обмене данными с ядром, антивирус не запускается

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.04.2015 08:35:20

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.14 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\USERS\НАСТЯ\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetotian delall %SystemDrive%\USERS\5B3B~1\APPDATA\LOCAL\LINKEY\IEEXTE~1\IEDLL.DLL delall %SystemDrive%\USERS\5B3B~1\APPDATA\LOCAL\LINKEY\IEEXTE~1\IEDLL64.DLL hide %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\1C REPETITOR SHARED\FORMULTOOLBAR.EXE ;------------------------autoscript--------------------------- chklst delvir delref HTTP://WEBALTA.RU/SEARCH regt 27 regt 28 regt 29 ; Advanced System Protector exec C:\Program Files (x86)\Advanced System Protector\unins000.exe ; Mobogenie exec C:\Program Files (x86)\Mobogenie\uninst.exe ; OpenAL exec C:\Program Files (x86)\OpenAL\oalinst.exe" /U ; Java(TM) 6 Update 35 exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216035FF} /quiet deltmp delnfr ;------------------------------------------------------------- czoo restart

Код

;uVS v3.85.14 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\НАСТЯ\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetotian

delall %SystemDrive%\USERS\5B3B~1\APPDATA\LOCAL\LINKEY\IEEXTE~1\IEDLL.DLL
delall %SystemDrive%\USERS\5B3B~1\APPDATA\LOCAL\LINKEY\IEEXTE~1\IEDLL64.DLL
hide %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\1C REPETITOR SHARED\FORMULTOOLBAR.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://WEBALTA.RU/SEARCH

regt 27
regt 28
regt 29

; Advanced System Protector
exec  C:\Program Files (x86)\Advanced System Protector\unins000.exe
; Mobogenie
exec  C:\Program Files (x86)\Mobogenie\uninst.exe
; OpenAL
exec  C:\Program Files (x86)\OpenAL\oalinst.exe" /U
; Java(TM) 6 Update 35
exec  MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216035FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Много всплывающих окон и закладок с рекламой., Много всплывающих окон и закладок с рекламой.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.04.2015 05:08:21

Код
;uVS v3.85.14 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE hide %SystemDrive%\PROGRAM FILES (X86)\TAKE TWO\WINGS OF WAR\WOW.EXE ;------------------------autoscript--------------------------- chklst delvir regt 28 regt 29 deltmp delnfr ;------------------------------------------------------------- restart

Код

;uVS v3.85.14 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

hide %SystemDrive%\PROGRAM FILES (X86)\TAKE TWO\WINGS OF WAR\WOW.EXE
;------------------------autoscript---------------------------

chklst
delvir

regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
+
проверьте настройки DNS в роутере, возможно есть левые адреса.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Появились проблемы с браузером (Гуглхром)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 03.04.2015 19:44:28

Код
;uVS v3.85.14 [http://dsrt.dyndns.org] ;Target OS: NTv6.3 v385c OFFSGNSAVE zoo %SystemDrive%\USERS\DEMONWITCH\APPDATA\LOCAL\KOMETA\KOMETAUP.EXE addsgn 1A79DF9A5583C58CF42B254E3143FE54A6EF00F6DF775A84D53CB0B0AFA379A432BEC357B5A51E8D270572EA5E2F0C0609CC008141DAB0A9ED03AEC72D122273 8 Win32/RuKometa.A [ESET-NOD32] delall %SystemDrive%\PROGRAM FILES (X86)\DRIVERTOOLKIT\DRIVERTOOLKIT.EXE ;------------------------autoscript--------------------------- chklst delvir delref HTTP://UMNOMA.RU/?UTM_SOURCE=UOUA03 delref HTTP://UMNOMA.RU/?UTM_SOURCE=UOUA03&UTM_CONTENT=F218661D5C731B57C05DF9509BBDAD0B ; OpenAL exec C:\Program Files (x86)\OpenAL\oalinst.exe" /U deltmp delnfr ;------------------------------------------------------------- restart

Код

;uVS v3.85.14 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\DEMONWITCH\APPDATA\LOCAL\KOMETA\KOMETAUP.EXE
addsgn 1A79DF9A5583C58CF42B254E3143FE54A6EF00F6DF775A84D53CB0B0AFA379A432BEC357B5A51E8D270572EA5E2F0C0609CC008141DAB0A9ED03AEC72D122273 8 Win32/RuKometa.A [ESET-NOD32]

delall %SystemDrive%\PROGRAM FILES (X86)\DRIVERTOOLKIT\DRIVERTOOLKIT.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://UMNOMA.RU/?UTM_SOURCE=UOUA03

delref HTTP://UMNOMA.RU/?UTM_SOURCE=UOUA03&UTM_CONTENT=F218661D5C731B57C05DF9509BBDAD0B

; OpenAL
exec  C:\Program Files (x86)\OpenAL\oalinst.exe" /U
deltmp
delnfr
;-------------------------------------------------------------

restart

[ Как создать образ автозапуска? ]

Перейти