[URL=http://forum.esetnod32.ru/user/19873/]Илья[/URL]



Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !


[CODE];uVS v3.85.3 [[URL=http://dsrt.dyndns.org/]http://dsrt.dyndns.org[/URL]]
;Target OS: NTv6.1
v385c
delref [URL=http://2inf.net/?UTM_SOURCE=STARTPAGE12]HTTP://2INF.NET/?UTM_SOURCE=STARTPAGE12[/URL]
delref [URL=http://go.mail.ru/SEARCH?FR=NTG&Q]HTTP://GO.MAIL.RU/SEARCH?FR=NTG&Q[/URL]=
regt 27
regt 28
regt 29
deltmp
delnfr
restart


[/CODE]

1) Источник скорее всего письмо и общие сетевые ресурсы.
2) Предотвратить _ теоретически можно.
Это работа с HIPS или так: [URL=http://forum.esetnod32.ru/messages/forum8/topic10494/message75282/#message75282]http://forum.esetnod32.ru/messages/forum8/topic10494/message75282/#message75282[/URL]
( XXX.jpg   в  XXX.log )
Но практически вам эти варианты не понравятся.
3) Так же как и 2)
+ Профилактическая работа с персоналом фирмы - объяснить что такое расширение файлов; Включить показ расширений файлов; объяснить какие шаги следует немедленно предпринять если появилось подозрение.
Прежде чем открыть файл письмо проверять его здесь: [URL=https://www.virustotal.com/]https://www.virustotal.com/[/URL] ( если письмо не содержит конфиденциальной информации )
-------
Вирус можно попробовать найти.
Создайте образ автозапуска в uVS
[URL=http://forum.esetnod32.ru/forum9/topic2687/]http://forum.esetnod32.ru/forum9/topic2687/[/URL]
Сделайте образ на двух-трёх проблемных машинах.

Образ: ЛИКУД478_2014-12-18_20-32-17.7z
Абсолютно чист.

В ccleaner

Отключите все расширения кроме: Flash  ( Adobe Systems )
* Если возникнет необходимость потом их можно включить.
Оцените результат.

Далее (даже если проблема решена) выполнить лог программой Malwarebytes
[URL=http://forum.esetnod32.ru/forum9/topic10688/]http://forum.esetnod32.ru/forum9/topic10688/[/URL]
Выбрать Гипер сканирование*. Отчет предоставить для анализа( в своей теме на форуме ) .
*Если Гипер сканирование не запускается:
Выберите первый вариант сканирования ( Угроза сканирования )
- Отчёт по сканированию нужно представить в .txt ( блокнот )

Юрий Никифоров

Подробная инструкция:
[URL=http://www.esetnod32.ru/activation/overview/]http://www.esetnod32.ru/activation/overview/[/URL]

1) В Malwarebytes - всё найденное удалите.
( поместите в карантин )
---------
2 ) Далее: Выполните лог в АdwСleaner
[URL=http://forum.esetnod32.ru/forum9/topic7084/]http://forum.esetnod32.ru/forum9/topic7084/[/URL]
после завершения сканирования:
Записи относящиеся к Mail.Ru можете не удалять ( если пользуетесь программой )
На вкладке:
Папки (Folders) для Mail.Ru  снимите [V]

Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
с автоперезагрузкой.

3) Для гарантии ( чтобы не было ошибок ) удалите антивирус ESET по инструкции:
[URL=http://www.esetnod32.ru/support/knowledge_base/solution/?ELEMENT_ID=852896&sphrase_id=25964]http://www.esetnod32.ru/support/knowledge_base/solution/?ELEMENT_ID=852896&sphrase_id=25964[/URL]


4) Далее для контроля сделайте новый образ в uvs.
Образ прикрепите к теме, или разместите на [URL=http://rghost.ru/]http://rghost.ru[/URL]

Кому как, а кому и серпом...
[URL=http://leg0ner.livejournal.com/1353404.html]http://leg0ner.livejournal.com/1353404.html[/URL]

У вас Уставлен:
C:\PROGRAM FILES\AVAST SOFTWARE\AVAST
C:\Program Files\AVG Secure Search
Их нужно удалить - использование двух и более антивирусных продуктов на одном PC недопустимо.

Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !
На вопросы программы отвечаем: Да !

[code]


;uVS v3.85.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
exec C:\Program Files\AVAST Software\Avast\Setup\Instup.exe /control_panel /instop:uninstall
exec C:\Program Files\AVG\AVG PC TuneUp\TUInstallHelper.exe --Trigger-Uninstall
exec C:\Program Files\AVG Secure Search\UNINSTALL.exe /PROMPT /UNINSTALL
exec C:\Users\my\AppData\Local\MediaGet2\mediaget-uninstaller.exe
exec "C:\Windows\unins001.exe"
exec MsiExec.exe /I{BE742AE3-0C95-46CC-B5C8-9F942FDD9360}
exec "C:\Program Files\Microsoft Data\unins000.exe"
exec MsiExec.exe /X{42C06229-B704-4375-BF63-3E22FEAC736C}
deldirex %SystemDrive%\USERS\MY\APPDATA\LOCAL\MEDIAGET2
bl 5103F2D8EDC9A8A89BBFD8D538230D32 1737024
delall %SystemDrive%\USERS\MY\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORI­AN.EXE
deldirex %SystemDrive%\PROGRAM FILES\ANYPROTECTEX
bl 3EDD315B2310C3F9729B5244C51561E3 526336
delall %SystemDrive%\USERS\MY\APPDATA\LOCAL\19367\UPDATER.EXE
delall %SystemDrive%\USERS\MY\APPDATA\LOCAL\22526\A26701.EXE
delall %SystemDrive%\USERS\MY\APPDATA\LOCAL\SWVUPDATER\UPDATER.EXE
bl FC1FE4F02A2B7A17B982EFCDA1A98CCE 693312
delall %SystemDrive%\USERS\MY\DOWNLOADS\IOBIT.DRIVER.BOOSTER.2.0.3.69.ZIP PROVIDED THROUGH WORK-SOFT.EXE
bl 45592FEFF6696E72F513ADCEB577B69B 493600
delall %SystemDrive%\USERS\MY\DOWNLOADS\MEDIAGET_ID2443532IDS2S.EXE
bl E65551F093AA1290E76EC7D2011D6CE4 669216
delall %SystemDrive%\USERS\MY\DOWNLOADS\MEDIAGET_ID3018480IDS2S.EXE
delall %SystemDrive%\USERS\MY\DOWNLOADS\MEDIAGET_ID825830IDS1S.EXE
delall G:\COOL READER (2.00.52)\COOL READER (2.00.52)\SETUP.EXE
bl 2DD859FEEE797B55047A55B74796D253 1007160
delall %SystemDrive%\USERS\MY\APPDATA\LOCAL\KOMETA\KOMETAUP.EXE
deltmp
delnfr
restart



[/code]

-------------

Далее (даже если проблема решена) выполнить лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic10688/
Выбрать Гипер сканирование*. Отчет предоставить для анализа( в своей теме на форуме ) .
*Если Гипер сканирование не запускается:
Выберите первый вариант сканирования ( Угроза сканирования )
- Отчёт по сканированию нужно представить в .txt ( блокнот )