 |
|
|
16.10.2015, 13:53
|
#931 (ссылка) |
|
Новичок
Регистрация: 24.01.2012
Сообщений: 544
Репутация: 1
|
0243 http://rghost.ru/8yLr8dvSp
опять при запуске показало start.exe заражен |
|
|
16.10.2015, 14:12
|
#932 (ссылка) |
|
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
файлов вроде немного осталось, но не факт конечно что нет зараженных полезных файлов, которые при запуске системы восстанавливают файловое заражение.
выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код:
;uVS v3.86.5 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v385c OFFSGNSAVE zoo %SystemRoot%\QUGGUU.EXE addsgn 71D053655AEEB68DF42B23D54018728841AED81E49F81F7808BFE140D7C93A4394DC21A958DE44B658BCDD1EAFE8B60502D06B95AA254FADF4E6B52FC777FDF4 21 backdoor zoo %SystemDrive%\PROGRAM FILES\MICROSOFT\DESKTOPLAYER.EXE delall %SystemDrive%\PROGRAM FILES\MICROSOFT\DESKTOPLAYER.EXE delall %SystemRoot%\QUGGUU.EXE delall D:\DHL.EXE delall D:\SET1.EXE deltmp delnfr czoo restart архив (например: ZOO_2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту safety@chklst.ru ---- если при создании нового образа будет опять заражение start.exe тогда надо рассмотреть другие варианты лечения системы: или cureit в безопасном режиме, или полный скан диска (это надежнее) с live.cd (от тоже же ДрВеб) |
|
|
|
19.10.2015, 10:41
|
#934 (ссылка) |
|
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
чисто,
выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код:
;uVS v3.86.5 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v385c OFFSGNSAVE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ZABOTINA_NK\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL deltmp delnfr restart ---------- далее, выполните быстрое сканирование (угроз) в Malwarebytes |
|
|
|
26.10.2015, 07:46
|
#936 (ссылка) |
|
Эксперт
Регистрация: 08.09.2009
Сообщений: 10,716
Репутация: 960
|
pro-pan, Скопируйте код ниже в буфер обмена
Код:
;uVS v3.86.5 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\RARSFX0\MPR_FREADER.SYS ;------------------------autoscript--------------------------- chklst delvir delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\SOUND_BLASTER_X-FI_MB_CLEANUP.0001.DIR.0436\~DF394B.TMP delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\SOUND_BLASTER_X-FI_MB_CLEANUP.0001.DIR.0436\~DE6248.TMP deldirex %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\BROWSERMANAGER delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\RARSFX0\MPR_FREADER.SYS delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\V8_4E46_5.TMP delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\UMMYVIDEODOWNLOADER\UMMYVIDEODOWNLOADER.EXE del %SystemDrive%\USERS\USER\APPDATA\LOCAL\UMMYVIDEODOWNLOADER\UMMYVIDEODOWNLOADER.EXE ;------------------------------------------------------------- deltmp delnfr restart |
|
|
| Ads | |
|
28.10.2015, 12:06
|
#938 (ссылка) |
|
Эксперт
Регистрация: 08.09.2009
Сообщений: 10,716
Репутация: 960
|
pro-pan, Выполните скрипт в UVS
Код:
;uVS v3.86.5 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v385c delall %SystemDrive%\DOCUME~1\ADMIN\LOCALS~1\TEMP\RARSFX0\MPR.EXE delref %SystemDrive%\DOCUME~1\ADMIN\LOCALS~1\TEMP\RARSFX0\MPR_FREADER.SYS delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\OPERA\OPERA\WIDGETS\IANDEKSBAR-2-1.4.383-1.OEX delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\OPERA\OPERA\WIDGETS\IANDEKSFOTKI-1.1.115-1.OEX delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\OPERA\OPERA\WIDGETS\IANDEKSKARTY-1.1.107-1.OEX delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\OPERA\OPERA\WIDGETS\IANDEKSPOCHTA-2-1.1.107-1.OEX delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\OPERA\OPERA\WIDGETS\IANDEKSPOGODA-1.1.106-1.OEX delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\OPERA\OPERA\WIDGETS\IAPEREVODCHIK-1.0.87-1.OEX delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\OPERA\OPERA\WIDGETS\VKONTAKTE-DLIA-EKSPRESS-PANELI-1.1.107-1.OEX ;------------------------autoscript--------------------------- chklst delvir delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\SOUND_BLASTER_X-FI_MB_CLEANUP.0001.DIR.0003\~DF394B.TMP delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\SOUND_BLASTER_X-FI_MB_CLEANUP.0001.DIR.0003\~DE6248.TMP delall %SystemDrive%\DOCUME~1\ADMIN\LOCALS~1\TEMP\RARSFX0\MPR_FREADER.SYS regt 28 regt 29 ;------------------------------------------------------------- deltmp delnfr restart |
|
|
|
03.11.2015, 13:04
|
#939 (ссылка) |
|
Новичок
Регистрация: 24.01.2012
Сообщений: 544
Репутация: 1
|
по всему видно шифровальщика поймали - все вордовские и экселевские файлы с расширение vault
0248 ювс http://rghost.ru/8fgGphKkv |
|
|
|
03.11.2015, 13:46
|
#940 (ссылка) |
|
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
хм. 10ендпойнт пропустил? это новый шифратор ВАУЛТ (со 2 ноября 2015 года - дата начала третьей ваулт волны_войны
 ). пока непонятно какой алгоритм шифрования используют. возможно тот же, но с дополнительной упаковкой зашифрованных файлов.GnuPG v 1.4.19 не распознает зашифрованный файл как пакет OpenPGP проверьте возможность восстановления документов из теневой копии uVS v3.86.5 [http://dsrt.dyndns.org]: Windows 7 Ultimate x86 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS] возможно теневые копии уцелели. скрипт очистки заставок и мусора сейчас добавлю. в ВАУЛТ.key информация по ключу в зашифрованном виде. по нему можно выкупить ключ у мошенников на их сайте. в ВАУЛТ.hta - адрес сайта и общие рекомендации. на сайт заходить с тор браузера. можно оценить сколько запросят за расшифровку всех файлов) |
|
|
|
03.11.2015, 13:48
|
#941 (ссылка) |
|
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код:
;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES\TOOLDEV342\WEATHERBAR\TRACERSTOOLBARBHO_X86.DLL
addsgn A7679B1928664D070E3C08B264C8ED70357589FA768F179082C3C5BCD3127D11E11BC33D2E3DCDC92B906CAB471649C9BD9F6382DCAF541FF6FEF9D34C7B2EFA 64 Trojan.BPlug.116 [DrWeb]
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GHBMNNJOOEKPMOECNNNILNNBDLOLHKHI\0.5_0\GOOGLE*ДОКУМЕНТЫ ОФЛАЙН
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\VAULT.HTA
;------------------------autoscript---------------------------
chklst
delvir
delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\VAULT.HTA
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС
deldirex %SystemDrive%\PROGRAM FILES\NETCRAWL\BIN
; Weatherbar
exec MsiExec.exe /I{BE742AE3-0C95-46CC-B5C8-9F942FDD9360} /quiet
deltmp
delnfr
;-------------------------------------------------------------
restart
---------- далее, выполните сканирование (угроз) в Malwarebytes |
|
|
|
03.11.2015, 16:29
|
#943 (ссылка) |
|
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
т.е. под 20 тыс руб,
вот такие они современные половцы: налетели, зашифровали, все пароли увели, файлы забрали в плен с последующим выкупом + еще и копии резервные все убили. долго же они готовили этот новый набег. проверил: gnupg 2.1.5 тоже не знает этот формат: значит или упакованы дополнительно файлы, или другой алгоритм шифрования |
|
|
|
09.11.2015, 07:52
|
#945 (ссылка) |
|
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код:
;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------
chklst
delvir
delref %SystemDrive%\DOCUMENTS AND SETTINGS\111\LOCAL SETTINGS\APPLICATION DATA\PHOENIXBROWSERUPDATER\PHOENIXBROWSERUPDATER.EXE
delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]
delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]
regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------
restart
---------- далее, выполните сканирование (угроз) в Malwarebytes |
|
|
| Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы
|
||||
| Тема | Автор | Раздел | Ответов | Последнее сообщение |
| Проверка | York30 | Безопасность | 4 | 05.04.2012 20:04 |
| Проверка uVS | ARAFATI | Безопасность | 10 | 27.11.2011 21:54 |
| проверка | Чайка | Безопасность | 22 | 17.01.2011 17:30 |
| ПРОВЕРКА | Tala | Безопасность | 5 | 11.06.2010 23:58 |
| проверка hdd | wadim | Программы | 5 | 24.03.2010 00:03 |
