santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

Помогите,вирус или нет?, MBR-сектор физического диска 1. - Ошибка открытия

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 14.03.2015 09:48:12

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.7 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE delall %Sys32%\DRIVERS\KLBG.SYS delall %Sys32%\DRIVERS\KLIM6.SYS delall %Sys32%\DRIVERS\KLKBDFLT.SYS delall %Sys32%\DRIVERS\KLMOUFLT.SYS delall %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY CRYSTAL\X64\KLOEHK.DLL delall %Sys32%\KLOGON.DLL delall %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY CRYSTAL\X64\KLSCAV.DLL delall %Sys32%\DRIVERS\KLTDI.SYS delall %Sys32%\DRIVERS\KNEPS.SYS delall %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY CRYSTAL\X64\SBHOOK64.DLL delall %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY CRYSTAL\X64\SCRCHPG.DLL delall %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY CRYSTAL\X64\SHELLEX.DLL deltmp delnfr restart

Код

;uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

delall %Sys32%\DRIVERS\KLBG.SYS
delall %Sys32%\DRIVERS\KLIM6.SYS
delall %Sys32%\DRIVERS\KLKBDFLT.SYS
delall %Sys32%\DRIVERS\KLMOUFLT.SYS
delall %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY CRYSTAL\X64\KLOEHK.DLL
delall %Sys32%\KLOGON.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY CRYSTAL\X64\KLSCAV.DLL
delall %Sys32%\DRIVERS\KLTDI.SYS
delall %Sys32%\DRIVERS\KNEPS.SYS
delall %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY CRYSTAL\X64\SBHOOK64.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY CRYSTAL\X64\SCRCHPG.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY CRYSTAL\X64\SHELLEX.DLL
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
------------

[ Как создать образ автозапуска? ]

Перейти

Давайте думать вместе.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 14.03.2015 09:41:31

а что вы думаете по поводу компании, которая предлагает расшифровку для xtbl, vault?

[ Как создать образ автозапуска? ]

Перейти

зашифровано с расширением *id-*_keybtc@foxmail2*, возможно, Filecoder.DG

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.03.2015 14:06:49

по расшифровке keybtc@foxmail* обратитесь в ДрВеб (при наличии лицензии), у них есть решение по расшифровке encoder.741

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы в Cryakl с расширением *.cbf, Filecoder.CQ,Filecoder.EQ/Encoder.567/Cryakl/ ver 4.0.0.0-8.0.0.0

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.03.2015 13:28:43

проверьте наличие теневых копий этой программой
http://www.shadowexplorer.com/downloads.html

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы в Cryakl с расширением *.cbf, Filecoder.CQ,Filecoder.EQ/Encoder.567/Cryakl/ ver 4.0.0.0-8.0.0.0

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.03.2015 10:29:30

шифратора нет в автозапуске,

по расшифровке документов обратитесь в техподдержку вирлабов при наличии лицензии на антивирус.

по восстановлению документов - проверьте возможность восстановить документы из теневой копии.

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы в Cryakl с расширением *.cbf, Filecoder.CQ,Filecoder.EQ/Encoder.567/Cryakl/ ver 4.0.0.0-8.0.0.0

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.03.2015 08:09:48

нет, в вашем случае опасности в зашифрованных доках нет. антивирус видимо среагировал на текстовые сообщения о порядке востановления документов и покупке дешифратора от злоумышленников.
-----------
хотя есть уже варианты шифраторов, которые не просто шифруют файлы, но еще и превращают их в свои "сообщники", добавляя исполняемую компоненту, которая при запуске зашифрованного дока будет работать как шифратор.
https://club.esetnod32.ru/news/novosti_eset/verbovka-zalozhnikov/

Изменено: santy - 15.03.2018 10:05:55

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы в Cryakl с расширением *.cbf, Filecoder.CQ,Filecoder.EQ/Encoder.567/Cryakl/ ver 4.0.0.0-8.0.0.0

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.03.2015 07:54:24

Lana Kuz
добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.03.2015 17:35:49

шифратора сейчас нет. удалился скрипом
но судя по первому образу был.

Код
%SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE

такой еще скрипт выполните.

-------------
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.7 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemRoot%\SYSWOW64\SERVICE.EXE addsgn 9252773A106AC1CC0BA4544EA34F0AAF238A42A6131F48F1604E5998D0178EB312D7936EE220660F6DD3ECA66F1E49ADFE1CEC213D961C2E2D2127ECC35572B4 8 Win32/Agent.VZD [ESET-NOD32] delall %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE delall %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\LOCAL\OEBMNRZ.DLL delall %SystemRoot%\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\LOCAL\OEBMNRZ.DLL delall %Sys32%\CONFIG\SYSTEMPROFILE\PLMHGIXJ.EXE delall %SystemRoot%\SYSWOW64\SERVICE.EXE addsgn 925277AA3C6AC1CC0B34784EA34F0A99088A02A79FCF48FB483C2EB2C046E1DCA91185DF39129C925E870F81C5F8B5EBA6AD05CA54DAB02C2CACD1284C18A19D 8 Win32/Wasppacer.A [ESET-NOD32] zoo %SystemDrive%\PROGRAM FILES\WINRAR32\WASPPACER.EXE ;------------------------autoscript--------------------------- chklst delvir deldirex %SystemDrive%\PROGRAM FILES\WINRAR32 deltmp delnfr ;------------------------------------------------------------- restart

Код

;uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemRoot%\SYSWOW64\SERVICE.EXE
addsgn 9252773A106AC1CC0BA4544EA34F0AAF238A42A6131F48F1604E5998D0178EB312D7936EE220660F6DD3ECA66F1E49ADFE1CEC213D961C2E2D2127ECC35572B4 8 Win32/Agent.VZD [ESET-NOD32]

delall %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
delall %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\LOCAL\OEBMNRZ.DLL
delall %SystemRoot%\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\LOCAL\OEBMNRZ.DLL
delall %Sys32%\CONFIG\SYSTEMPROFILE\PLMHGIXJ.EXE
delall %SystemRoot%\SYSWOW64\SERVICE.EXE
addsgn 925277AA3C6AC1CC0B34784EA34F0A99088A02A79FCF48FB483C2EB2C046E1DCA91185DF39129C925E870F81C5F8B5EBA6AD05CA54DAB02C2CACD1284C18A19D 8 Win32/Wasppacer.A [ESET-NOD32]

zoo %SystemDrive%\PROGRAM FILES\WINRAR32\WASPPACER.EXE
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES\WINRAR32

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.

[ Как создать образ автозапуска? ]

Перейти

Как можно вычислить процесс, который шлёт icmp-пакеты

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.03.2015 16:50:17

этот файл проверьте, зачем он здесь

Цитата
Полное имя C:\USERS\RASSKAZOV\APPDATA\ROAMING\MICROSOFT\CTFMON.EXE Имя файла CTFMON.EXE Тек. статус АКТИВНЫЙ ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске Статус ВИРУС Сигнатура ctfmon [глубина совпадения 64(64), необх. минимум 8, максимум 64] www.virustotal.com 2015-03-12 - Файл был чист на момент проверки. Удовлетворяет критериям CURRENTVERSION.RUN (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) Сохраненная информация на момент создания образа Статус АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске Процесс 64-х битный File_Id 546F19715000 Linker 12.0 Размер 3072 байт Создан 09.04.2014 в 16:17:52 Изменен 04.03.2014 в 11:16:17 TimeStamp 21.11.2014 в 10:52:33 EntryPoint + OS Version 0.2 Subsystem Windows graphical user interface (GUI) subsystem IMAGE_FILE_DLL - IMAGE_FILE_EXECUTABLE_IMAGE + Тип файла 64-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Отсутствует либо ее не удалось проверить Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Путь до файла Типичен для вирусов и троянов Путь до файла Не_типичен для этого файла [имя этого файла есть в известных] Доп. информация на момент обновления списка pid = 3296 HELIOS\rasskazov Процесс создан 14:03:49 [2015.03.12] С момента создания 00:14:52 parentid = 3860 SHA1 DA6CA57FA1A4B655626630091A7525A78A9111E3 MD5 9D2AB1B66B4C40792246B918A2BD24EC Ссылки на объект Ссылка HKEY_USERS\S-1-5-21-3907708775-245259275-1662875392-2214\Software\Microsoft\Windows\CurrentVersion\Run\CTFMON CTFMON C:\Users\rasskazov\AppData\Roaming\Microsoft\ctfmon.exe u Образы EXE и DLL CTFMON.EXE C:\USERS\RASSKAZOV\APPDATA\ROAMING\MICROSOFT Загруженные DLL НЕИЗВЕСТНЫЕ MSVCRX.DLL C:\USERS\RASSKAZOV\APPDATA\ROAMING\MICROSOFT

Цитата

Полное имя C:\USERS\RASSKAZOV\APPDATA\ROAMING\MICROSOFT\CTFMON.EXE
Имя файла CTFMON.EXE
Тек. статус АКТИВНЫЙ ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Статус ВИРУС
Сигнатура ctfmon [глубина совпадения 64(64), необх. минимум 8, максимум 64]

www.virustotal.com 2015-03-12
- Файл был чист на момент проверки.

Удовлетворяет критериям
CURRENTVERSION.RUN (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1)

Сохраненная информация на момент создания образа
Статус АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Процесс 64-х битный
File_Id 546F19715000
Linker 12.0
Размер 3072 байт
Создан 09.04.2014 в 16:17:52
Изменен 04.03.2014 в 11:16:17

TimeStamp 21.11.2014 в 10:52:33
EntryPoint +
OS Version 0.2
Subsystem Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла 64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла Типичен для вирусов и троянов
Путь до файла Не_типичен для этого файла [имя этого файла есть в известных]

Доп. информация на момент обновления списка
pid = 3296 HELIOS\rasskazov
Процесс создан 14:03:49 [2015.03.12]
С момента создания 00:14:52
parentid = 3860
SHA1 DA6CA57FA1A4B655626630091A7525A78A9111E3
MD5 9D2AB1B66B4C40792246B918A2BD24EC

Ссылки на объект
Ссылка HKEY_USERS\S-1-5-21-3907708775-245259275-1662875392-2214\Software\Microsoft\Windows\CurrentVersion\Run\CTFMON
CTFMON C:\Users\rasskazov\AppData\Roaming\Microsoft\ctfmon.exe u

Образы EXE и DLL
CTFMON.EXE C:\USERS\RASSKAZOV\APPDATA\ROAMING\MICROSOFT

Загруженные DLL НЕИЗВЕСТНЫЕ
MSVCRX.DLL C:\USERS\RASSKAZOV\APPDATA\ROAMING\MICROSOFT

[ Как создать образ автозапуска? ]

Перейти

Как можно вычислить процесс, который шлёт icmp-пакеты

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.03.2015 16:41:52

давайте по каждому отдельному компу в отдельной теме разбираться. иначе путаница возникнет.

для самостоятельного изучения работы с uVS
http://pchelpforum.ru/f26/t94635/

Изменено: santy - 12.03.2015 16:42:31

[ Как создать образ автозапуска? ]

Перейти