Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 632 633 634 635 636 637 638 639 640 641 642 ... 1784 След.
[ Закрыто] Прицепился к браузеру http://goinf.ru/index32, goinf.ru
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 05.02.2015 10:47:01
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\MEDIA PLAYER\UPDATE CENTER\MEDIAPLAYERUPDATER.EXE
addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6E96B5F78B63503F874C251B33627B3173E3D9CC92B807B8AF66609FA2E20FD0E279AB04625D49C108506CA82 21 Trojan.BPlug.921 [DrWeb]

zoo %SystemDrive%\USERS\PC\APPDATA\LOCAL\BITMASTER\BITMASTER.EXE
addsgn 1AAEAE9A5583C58CF42B254E3143FE8E6082CF3FB2FED2D0D096C5C84397F2B50E6532DA76B81EB03AF78AF54B4E1439F6DB25DE008FB071EE72E0D038F9487D 8 Adware.Downware.2095 [DrWeb]

zoo %SystemDrive%\USERS\PC\APPDATA\LOCAL\WINNERDM\WDM.EXE
delall %SystemDrive%\USERS\PC\APPDATA\LOCAL\KOMETA\PANEL\KOMETALAUNCHPANEL.EXE
delall %SystemDrive%\USERS\PC\APPDATA\LOCAL\KOMETA\PANEL\PANELREMOVE.EXE
hide %SystemDrive%\PROGRAM FILES\VS REVO GROUP\REVO UNINSTALLER\UNINST.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://HOME.WEBALTA.RU/?START

delref HTTP://WEBALTA.RU/SEARCH

delref HTTP:\\HOME.WEBALTA.RU\?START&S=D9E39F14

delhst 204.93.210.52 7538.com ok.ru
delhst 204.93.210.52 8949.ru m.ok.ru
delhst 204.93.210.52 20512.com 
delhst 204.93.210.52 21600.net 

deldirex %SystemDrive%\USERS\PC\APPDATA\LOCAL\WINNERDM

deltmp
delnfr
;-------------------------------------------------------------



restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
[ Как создать образ автозапуска? ]
Перейти
зашифровано с расширением *id-*[email protected], Filecoder.DG
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 05.02.2015 09:57:17
*[email protected] - это скорее всего вариант encoder.741. поскольку у ДрВеб есть успешные расшифровки другого варианта encoder.741 (*[email protected]), то вполне возможно, что они и для этого варианта найдут решение.
[ Как создать образ автозапуска? ]
Перейти
зашифровано с расширением *id-*[email protected], Filecoder.DG
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 05.02.2015 05:40:49
ну, объективно говоря, наставлений читать никто не любит. Так же как и признавать свою часть (или долю) ответственности за инциденты в сети, связанные с безопасностью данных.

по шифраторам можно сказать что случаи с bat.encoder-ом, ctb locker-ом безнадежны для восстановления, хотя прошел уже почти год с момента их запуска в сети.
encoder.741 все зависит от вирлабов, насколько активно они занимаются разбором шифраторов, поскольку основная их работа - это выпускать сигнатуры, и правила для HIPS для предотвращения запуска вредоносных программ.
Изменено: santy - 17.06.2016 10:46:05
[ Как создать образ автозапуска? ]
Перейти
адрес заблокирован
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 04.02.2015 19:52:38
добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

+
добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/
Изменено: santy - 04.02.2015 19:53:19
[ Как создать образ автозапуска? ]
Перейти
зашифровано с расширением *id-*[email protected], Filecoder.DG / Encoder.741
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 04.02.2015 18:57:13
выйдите на сайт ДрВеб, там все найдете. по расшифровке в ESET не могу сказать точно есть расшифровка или нет. Надо уточнить в техподдержке, кто занимается расшифровками файлов.
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Подменв dns , открываются порно-сайты
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 04.02.2015 18:23:16
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код
;uVS v3.85.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
deltmp
delnfr
restart
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
[ Как создать образ автозапуска? ]
Перейти
зашифровано с расширением *id-*[email protected], Filecoder.DG / Encoder.741
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 04.02.2015 17:43:34
1. по очистке системы от банера шифратора выполните скрипт

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\VIKA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\FOXMAIL.BMP
delall %SystemDrive%\USERS\VIKA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\FOXMAIL.BMP
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
------------

2. у вас два установленных антивируса: AVG и корпоративный Касперский. один из них (скорее всего AVG лучше деинсталлировать)

3. обратитесь в любой из трех вирлабов: ESET NOD32, Касперский, Дрвеб.
однако имейте ввиду, что помощь в расшифровке возможно вам будет оказана только при наличии лицензии на антивирус.
по *[email protected] возможно есть расшифровка в DrWeb
[ Как создать образ автозапуска? ]
Перейти
зашифровано с расширением *id-*[email protected], Filecoder.DG / Encoder.741
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 04.02.2015 17:17:14
по очистке системы поможем, сделайте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

по расшифровке нет, с этой проблемой надо обращаться в вирлабы
[ Как создать образ автозапуска? ]
Перейти
зашифровано в CTBlocker
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 04.02.2015 17:12:50
да, след от ctb locker остался.

Цитата
Полное имя                  C:\USERS\2C1D~1\APPDATA\LOCAL\TEMP\XLBWVRG.EXE
Имя файла                   XLBWVRG.EXE
Тек. статус                 ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Инф. о файле                Не удается найти указанный файл.
Цифр. подпись               проверка не производилась
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                           
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\QVJRTGL
расшифровке по ctb locker нет в вирлабах, а система основательно заражена, необходимо очистить скриптом.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

zoo %SystemDrive%\PROGRAM FILES (X86)\BONANZADEALSLIVE\UPDATE\BONANZADEALSLIVE.EXE
addsgn 1AD2539A5583358CF42BC4BD0CD02344256278F689FA940D8D4633C825554CD02F56C3544B16F74DC3A8A29F464FCA9F81DFBE9A05FCB02C74FEE1CB42C6567A 8 Adware.Shopper.363 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES (X86)\BONANZADEALSLIVE\UPDATE\1.3.23.0\NPGOOGLEUPDATE3.DLL
addsgn 79132211B9E9317E0AA1AB5962841205DAFFF47DC4EA942D892B2942AF292811E11BC39BF2995185E74C48538ADA8536B113BDF9B98DE6A7587B2F62D78D5F7B 64 DealPly-A [PUP]

zoo %SystemDrive%\PROGRAM FILES (X86)\BONANZADEALSLIVE\UPDATE\1.3.23.0\BONANZADEALSLIVEONDEMAND.EXE
addsgn 1A24619A5583348CF42B254E3143FE8E7082AA7DFCF648938CA5407524C7330E6551CCE0305A2A4B24377DB48162A3A5235A280F505978D370B4DA2CF4C6622E 8 Adware.Shopper.363 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES (X86)\METACRAWLER\1.8.19.0\METACRAWLERAPP.DLL
addsgn 79132211B9E9317E0AA1AB5973961205DAFFF47DC4EA942D892B2942AF292811E11BC39BF2995185E7D50F731140C28F7154A562DEA7B8A7ECFC752C013DDC05 64 Win32/Toolbar.Montiera.A [ESET-NOD32]

zoo %SystemDrive%\PROGRAM FILES (X86)\BONANZADEALSLIVE\UPDATE\1.3.23.0\BONANZADEALSLIVEBROKER.EXE
zoo %SystemDrive%\PROGRAM FILES (X86)\CONDUIT\COMMUNITY ALERTS\ALERT.DLL
addsgn 79132211B9E9317E0AA1AB59AE4B1205DAFFF47DC4EA942D892B2942AF292811E11BC3DCC10016A5A0C58CF9CD4345117AB9D3B821CBF06C22C0AC4942CF5782 64 Win32/Toolbar.Conduit.Y [ESET-NOD32]

zoo %SystemDrive%\PROGRAM FILES (X86)\METACRAWLER\1.8.19.0\METACRAWLERENG.DLL
addsgn 79132211B9E9317E0AA1AB59C2531205DAFFF47DC4EA942D892B2942AF292811E11BC3DCC10016A5C35FD39F46E93CEAFE1FC822AAAFBCD3587F4C3D5B0622F0 64 Adware.Toolbar.205 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES (X86)\BONANZADEALSLIVE\UPDATE\1.3.23.0\PSMACHINE.DLL
addsgn 79132211B9E9317E0AA1AB59568E1205DAFFF47DC4EA942D892B2942AF292811E11BC39BF2995185E74C48538ADA1C719188BEF920D63B613DFCD9274CC7A9A2 64 DealPly-A [PUP]

zoo %SystemDrive%\PROGRAM FILES (X86)\METACRAWLER\1.8.19.0\METACRAWLERSRV.EXE
addsgn 1A1EFD9A5583C58CF42B254E3143FE86C99AAB09FCEA9235752B215CAF29FA312B923C2219BDA05D2B80439F501649FA9586FF72555ACDD02D03A3A482FEA113 8 Win32/Toolbar.Montiera.A [ESET-NOD32]

zoo %SystemDrive%\PROGRAM FILES (X86)\BONANZADEALSLIVE\UPDATE\1.3.23.0\GOOPDATE.DLL
addsgn 79132211B9E9317E0AA1AB59229C1205DAFFF47DC4EA942D892B2942AF292811E11BC33D323D95EF21986C807B16497108D76D8421AF33118901AF37C4736119 64 Win32/DealPly.L [ESET-NOD32]

zoo %SystemDrive%\PROGRAM FILES (X86)\BONANZADEALSLIVE\UPDATE\1.3.23.0\BONANZADEALSLIVEHANDLER.EXE

del %SystemDrive%\USERS\СЛАВА\APPDATA\ROAMING\BROWSERS\EXE.AREPO.BAT
del %SystemDrive%\USERS\СЛАВА\APPDATA\ROAMING\BROWSERS\EXE.EMORHC.BAT
del %SystemDrive%\USERS\СЛАВА\APPDATA\ROAMING\BROWSERS\EXE.EROLPXEI.BAT
del %SystemDrive%\USERS\СЛАВА\APPDATA\ROAMING\BROWSERS\EXE.REHCNUAL_3DH.BAT
del %SystemDrive%\USERS\СЛАВА\APPDATA\ROAMING\BROWSERS\EXE.RESWORB.BAT
deldirex %SystemDrive%\PROGRAM FILES (X86)\BONANZADEALSLIVE\UPDATE\1.3.23.0
deldirex %SystemDrive%\PROGRAM FILES (X86)\WEBCONNECT
delall %SystemDrive%\USERS\2C1D~1\APPDATA\ROAMING\METACR~1\UPDATE~1\UPDATE~1.EXE
hide %SystemDrive%\TOTAL\SOFT\AIMP\AIMP3.EXE
hide %SystemDrive%\PROGRAM FILES\CORELDRAW 9 SETUP FILES\SETUP32.EXE
hide %SystemDrive%\MP4\UPDATE\KLUPDATER\KASPERSKYUPDATER.EXE
delall %SystemDrive%\USERS\2C1D~1\APPDATA\LOCAL\TEMP\XLBWVRG.EXE
delall %SystemDrive%\USERS\СЛАВА\6130065.EXE
delall %SystemDrive%\USERS\СЛАВА\APPDATA\LOCAL\MICROSOFT\WINDOWS\TOOLBAR.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP:\\LYLL.NET

delref HTTP://WWW.SWEET-PAGE.COM/WEB/?TYPE=DS&TS=1422534499&FROM=COR&UID=ST9500325AS_S2WH85HDXXXXS2WH85HD&Q...

delref HTTP://YAMBLER.NET/?IM

REGT 28
REGT 29

; WebConnect 3.0.0
exec C:\Program Files (x86)\WebConnect\WebConnectuninstall.exe
; Bonanza Deals (remove only)
exec  C:\Program Files (x86)\BonanzaDeals\uninst.exe" /uninstall
; metaCrawler
exec  C:\Program Files (x86)\metaCrawler\1.8.19.0\uninstall.exe
; MetaCrawler
exec C:\Users\2C1D~1\AppData\Roaming\METACR~1\UpdateProc\UpdateTask.exe /Uninstall

deldir %SystemDrive%\PROGRAM FILES (X86)\ANYPROTECTEX
deldir %SystemDrive%\USERS\СЛАВА\APPDATA\LOCAL\SKYMONK2

deltmp
delnfr
;-------------------------------------------------------------

restart
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
Изменено: santy - 27.05.2016 15:16:51
[ Как создать образ автозапуска? ]
Перейти
ошибка при обмене данными с ядром, Help!
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 04.02.2015 17:01:10
поправил скрипт
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 632 633 634 635 636 637 638 639 640 641 642 ... 1784 След.