2.удалите все найденное в малваребайт
перегрузите систему
далее,
3.сделайте проверку в АдвКлинере
[URL=http://forum.esetnod32.ru/forum9/topic7084/]http://forum.esetnod32.ru/forum9/topic7084/[/URL]

*****
4.в АдвКлинере, после завершения проверки,
в секции [b]Папки[/b] снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке [b]Очистить[/b]
далее,

5. выполните рекомендации:
[URL=http://forum.esetnod32.ru/forum9/topic3998/]http://forum.esetnod32.ru/forum9/topic3998/[/URL]
------------

VAULT. что делать?
[URL=http://forum.esetnod32.ru/forum35/topic11845/]http://forum.esetnod32.ru/forum35/topic11845/[/URL]

если останутся вопросы после чтения этой статьи - спросите.

[URL=http://forum.esetnod32.ru/user/14367/]Anmawe[/URL],
по Касперскому не знаю, а ДрВеб 10 с превентивной защитой (рекомендуемый оптимальный уровень) пропускает последние варианты VAULT.
(при условии, если js не детектируется и запускается в системе, я просто в качестве теста запускал js из папки исключения)
это конечно, не значит, что DrWeb с плохой защитой,
хорошо что ведется работа в направлении предупреждения деструктивных действий шифраторов.

у ESET аналогом превентивной защиты является настраиваемый HIPS.

повторяются уже рассылки:

[QUOTE]Добрый день!

К нам заявились налоговики с проверкой((
Мы уже второй день пытаемся найти некоторые первичные документы, касающиеся нашего сотрудничества.
Но в связи с переездом в новый офис, акты и несколько договоров между нами так и не были найдены.
Я составила список документов (во вложении). Прошу Вас помочь с их поиском...
Скиньте хотя бы скан-копии, а то мы влетим на штрафы.
Заранее большое спасибо!

Прикреплённые файлы:
<u>1. Список документов.zip</u>

--
С Уважением
Сотрудники бухгалтерии
ООО "Город Инструмента"[/QUOTE]


[QUOTE]От кого: НМЦ <[URL=mailto:[email protected]][email protected][/URL]>
Кому: <[URL=mailto:[email protected]][email protected][/URL]>
Дата: Вторник, 31 марта 2015, 7:46 +03:00
Тема: Налоговая проверка
Добрый день,
В понедельник к нам пришла налоговая с внеплановой проверкой...
Вот уже второй день не могу найти отдельные первичные документы по нашей с вами работе.
Видимо, в ходе переезда в новый офис, они были утеряны.
Большая просьба проверить наличие актов и договоров по нашим поставкам (перечень в приложении).
Скиньте хотя бы их сканы, а то нам выпишут штрафы((
--
с ув.
ООО "Научно-методический центр профсоюза работников АПК"

В письме было вложение с именем " Список документов для ФНС.zip" размер файла 699 КБ[/QUOTE]

[SIZE="4"][COLOR="Red"]выполняем скрипт в uVS[/COLOR][/SIZE]
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

[CODE];uVS v3.85.12 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
del %SystemDrive%\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.BAT
del %SystemDrive%\PROGRAM FILES (X86)\OPERA\OPERA.BAT
delall %SystemDrive%\PROGRAMDATA\WINDOWSMANGERPROTECT\PROTECTWINDOW­SMANAGER.EXE
delall %Sys32%\DRIVERS\{A3F28269-AD17-41A8-B032-3E0313EF8979}GW64.SYS
delall %SystemDrive%\USERS\САМОЛЕТ\APPDATA\ROAMING\8D1D6480-1427905393-81E0-27E7-14DAE9CAAAF8\NSNB6DA.TMPFS
delall %SystemDrive%\USERS\САМОЛЕТ\APPDATA\ROAMING\8D1D6480-1427905393-81E0-27E7-14DAE9CAAAF8\VNSN823F.TMP
;------------------------autoscript---------------------------

chklst
delvir

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

delref HTTP://WWW.ISTARTSURF.COM/?TYPE=HP&TS=1427908724&FROM=FACE&UID=WDCXWD3200BPVT-80ZEST0_WD-WXB1A51N882...

delref HTTP://WWW.ISTARTSURF.COM/WEB/?TYPE=DS&TS=1427908724&FROM=FACE&UID=WDCXWD3200BPVT-80ZEST0_WD-WXB1A51...

delref %Sys32%\DRIVERS\QRNFD_1_10_0_12.SYS

regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart
[/CODE]
перезагрузка, пишем о старых и новых проблемах.
----------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
[URL=http://forum.esetnod32.ru/forum9/topic10688/]http://forum.esetnod32.ru/forum9/topic10688/[/URL]

если есть лицензия на антивирус,напишите в техническую поддержку [URL=mailto:[email protected]][email protected][/URL]

здесь, скорее всего импортирован только pubring.gpg

вы же можете посмотреть и сам js и bat-файл.
у вас шифратор на руках + установлена виртуалка. если есть определенный интерес к этой теме, то изучайте все файлы, которые будут найдены в %TEMP%
это будет полезнее для вас, чем "кушать с ложечки" все готовые ответы.

sdelete.exe (но имя может быть другим) затирает secring.gpg, потом еще и обычной системной командой удаляют del.
[URL=http://forum.esetnod32.ru/forum35/topic11845/]http://forum.esetnod32.ru/forum35/topic11845/[/URL]

читаем VAULT. что делать?
[URL=http://forum.esetnod32.ru/forum35/topic11845/]http://forum.esetnod32.ru/forum35/topic11845/[/URL]
если останутся вопросы, спрашиваем.