santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] ВАЖНО! Оперативная память = toolbar.exe (2660) код меняеться, ВАЖНО! Оперативная память = toolbar.exe (2660) код меняеться, антивирус находит проблему и удаляет ее, после перезагрузки системы снова эта же ошибка

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 16.02.2015 13:47:42

лог от малваребайта нужен здесь

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 16.02.2015 12:32:25

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.6 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\USERS\ДРИЖЕНЬКА\APPDATA\LOCAL\MICROSOFT\WINDOWS\TOOLBAR.EXE delall %SystemDrive%\USERS\ДРИЖЕНЬКА\APPDATA\LOCAL\MICROSOFT\WINDOWS\TOOLBAR.EXE ;------------------------autoscript--------------------------- chklst delvir deltmp delnfr ;------------------------------------------------------------- czoo restart

Код

;uVS v3.85.6 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\ДРИЖЕНЬКА\APPDATA\LOCAL\MICROSOFT\WINDOWS\TOOLBAR.EXE
delall %SystemDrive%\USERS\ДРИЖЕНЬКА\APPDATA\LOCAL\MICROSOFT\WINDOWS\TOOLBAR.EXE
;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 16.02.2015 11:27:34

похоже что троян Stantinko связан с работой расширения браузера (добавлено в Хром и Фаерфокс)

Цитата
Column Name Value Threat Id Threat 4683 Client Name *** Computer Name * MAC Address * Primary Server *** Date Received 2015-02-16 10:08:50 Date Occurred 2015-02-13 17:26:45 Level Warning Scanner Real-time file system protection Object file Name C:\users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\bdigkpjbmbdepgpkjeabfghlchdmphke\3.2_0\js\bg.js Threat Win32/Adware.Adstantinko.A application Action cleaned by deleting - quarantined User NT AUTHORITY\система Information Event occurred during an attempt to access the file by the application: C:\Windows\System32\svchost.exe.

Цитата

Column Name Value
Threat Id Threat 4683
Client Name *****
Computer Name *****
MAC Address *****
Primary Server *****
Date Received 2015-02-16 10:08:50
Date Occurred 2015-02-13 17:26:45
Level Warning
Scanner Real-time file system protection
Object file
Name C:\users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\bdigkpjbmbdepgpkjeabfghlchdmphke\3.2_0\js\bg.js
Threat Win32/Adware.Adstantinko.A application
Action cleaned by deleting - quarantined
User NT AUTHORITY\система
Information Event occurred during an attempt to access the file by the application: C:\Windows\System32\svchost.exe.

Цитата
Column Name Value Threat Id Threat 4682 Client Name ** Computer Name * MAC Address * Primary Server *** Date Received 2015-02-16 10:08:50 Date Occurred 2015-02-13 17:26:43 Level Warning Scanner Real-time file system protection Object file Name C:\users\user\AppData\Roaming\Mozilla\Firefox\Profiles\od3iskln.default\extensions\{2A4702A6-63E6-46E4-BEF3-E2769B6774A0}\chrome\content\js\bg.js Threat Win32/Adware.Adstantinko.A application Action cleaned by deleting - quarantined User NT AUTHORITY\система Information Event occurred during an attempt to access the file by the application: C:\Windows\System32\svchost.exe.

Цитата

Column Name Value
Threat Id Threat 4682
Client Name ****
Computer Name *****
MAC Address *****
Primary Server *****
Date Received 2015-02-16 10:08:50
Date Occurred 2015-02-13 17:26:43
Level Warning
Scanner Real-time file system protection
Object file
Name C:\users\user\AppData\Roaming\Mozilla\Firefox\Profiles\od3iskln.default\extensions\{2A4702A6-63E6-46E4-BEF3-E2769B6774A0}\chrome\content\js\bg.js
Threat Win32/Adware.Adstantinko.A application
Action cleaned by deleting - quarantined
User NT AUTHORITY\система
Information Event occurred during an attempt to access the file by the application: C:\Windows\System32\svchost.exe.

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы в Cryakl с расширением *.cbf, Filecoder.CQ,Filecoder.EQ/Encoder.567/Cryakl/ ver 4.0.0.0-8.0.0.0

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 16.02.2015 07:48:31

хорошо, тему закрываю.
посмотрите тему по шифровирусам.
http://chklst.ru/forum/discussion/1474/shifrovirusy-shumnoy-tolpoyu-
будьте внимательны при работе с почтой, но судя по другим фактам некоторые из шифраторов приходят при посещении сайтов, возможно при нажатии определенных ссылок.
расшифровка в настоящее время есть в вирлабах далеко не по всем типам шифраторов.

Изменено: santy - 20.11.2017 10:19:10

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы в Cryakl с расширением *.cbf, Filecoder.CQ,Filecoder.EQ/Encoder.567/Cryakl/ ver 4.0.0.0-8.0.0.0

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 16.02.2015 07:17:01

повезло.
свежая чистая копия документов есть за 5 дней до шифрования. так что процесс восстановления будет вполне успешен.

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы в Cryakl с расширением *.cbf, Filecoder.CQ,Filecoder.EQ/Encoder.567/Cryakl/ ver 4.0.0.0-8.0.0.0

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 16.02.2015 06:42:19

требуется еще и сам тимвьювер запустить

[ Как создать образ автозапуска? ]

Перейти

зашифровано в CTBlocker

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 15.02.2015 17:32:07

кстати, времени с момента шифрования прошло 10 дней, с каждым днем шанс восстановить данные все меньше.

[ Как создать образ автозапуска? ]

Перейти

Glupteba.O, поймал вирус через архив

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 15.02.2015 09:21:50

далее,

сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/
----

в АдвКлинере, после завершения сканирования, в секции [b]Папки[/b] снимите галки с записей mail.ru, yandex

остальное удалите по кнопке [b]Очистить[/b]

далее,

если проблема не решится, добавьте логи расширений браузеров
http://forum.esetnod32.ru/forum9/topic10570/

[ Как создать образ автозапуска? ]

Перейти

зашифровано в CTBlocker

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 15.02.2015 06:32:18

ctblocker. расшифровки по нему нет, но есть возможность восстановить зашифрованные данные.

1. когда были зашифрованы файлы?

2. добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы в Cryakl с расширением *.cbf, Filecoder.CQ,Filecoder.EQ/Encoder.567/Cryakl/ ver 4.0.0.0-8.0.0.0

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 14.02.2015 14:02:51

1. по очистке системы выполните скрипт в uVS

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.6 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-3708740514-4052076479-1772467548-1000\$IVCW3QH.EXE hide %SystemDrive%\USERS\SEKRET\DOWNLOADS\FRST.EXE deltmp delnfr restart

Код

;uVS v3.85.6 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-3708740514-4052076479-1772467548-1000\$IVCW3QH.EXE
hide %SystemDrive%\USERS\SEKRET\DOWNLOADS\FRST.EXE
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
------------
2. по восстановлению данных, проверьте возможность восстановить данные из теневой копии тома.
возможно есть свежие точки, где файлы не зашифрованы.

если нужна будет помощь в восстановлении, напишите в почту [email protected] id и пароль от Тимвьювера, с указанием на тему форума.

[ Как создать образ автозапуска? ]

Перейти