Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

зашифровано с расширением id-*[email protected] , возможно, Filecoder.DG

RSS
 
Олег Касьянов
Олег Касьянов
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 18.03.2015
Размещено 18.03.2015 18:47:21
На ноутбук попал вирус шифровщик, переименовывает документы, фото и архивы.
К имени файла добавляет [email protected]

Увидел что Яндекс.Диск начал внезапно синхронизироваться, сначала значения не придал.
Потом комп начал тормозить, и на рабочем столе у ярлыков какие то непонятные названия появились.
Решил перезагрузиться.

Перезагрузился, но названия так и остались с приставкой [email protected]
Завёл сканирование антивирусом.
Ещё windows спрашивал чем открыть файл EA.tmp, я так понял он попал в автозапуск - это видимо и был вирус.

Пример зашифрованного файла во вложении.
...Ан нет, пишет ошибка при сохранении.

Тогда вот ссылка на файл на Я.Диске - https://yadi.sk/d/hucidMS8fLpro

Спасибо!

Ответы

Пред. 1 2 3 4 След.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 23.04.2015 10:49:51
1. добавьте образ автозапуска системы
http://forum.esetnod32.ru/forum9/topic2687/
[ Как создать образ автозапуска? ]
 
толик андреев
толик андреев
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 23.05.2015
Размещено 23.05.2015 17:34:21
помагите не знаю что делать все фотографии не могу открыть формат cab я думаю шифровщик поработал или я ошибаюсь ?
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 23.05.2015 17:46:48
добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/
[ Как создать образ автозапуска? ]
 
толик андреев
толик андреев
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 23.05.2015
Размещено 23.05.2015 19:08:25
сохранился образ автозапуска не могу найти его
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6241
Баллов: 4992
Регистрация: 25.05.2010
Размещено 23.05.2015 19:14:54
Посмотрите в каталоге с uVS
Имя компьютера - дата время.
Например: MICROSOF-8AE2C5_2012-03-05_18-14-47.7z
 
толик андреев
толик андреев
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 23.05.2015
Размещено 25.05.2015 14:52:12
добави
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6241
Баллов: 4992
Регистрация: 25.05.2010
Размещено 25.05.2015 21:42:20
толик андреев

Вы прикрепили саму программу uVS, а нужен образ автозапуска.
------
Повторно прочтите инструкцию: http://forum.esetnod32.ru/forum9/topic2687/
 
толик андреев
толик андреев
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 23.05.2015
Размещено 27.05.2015 14:29:08
вроде получилось
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6241
Баллов: 4992
Регистрация: 25.05.2010
Размещено 27.05.2015 17:44:29
Да.
Сейчас всё выполнено верно.
----------
Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !
На вопросы программы отвечаем: Да !
Код
     

;uVS v3.85.21 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\USERS\ТОЛЯН\APPDATA\LOCAL\AMIGO\APPLICATION

delref HTTP://WWW.YANDEX.RU/?CLID=1993841

bl EEFC4634055F096FCA9D40FEC5166434 5193040
delref \\?\C:\PROGRAM FILES\LOVIMUSIC\LOVIMUSICSERVICE.EXE
del \\?\C:\PROGRAM FILES\LOVIMUSIC\LOVIMUSICSERVICE.EXE

delref HTTP://WWW.YANDEX.RU/?WIN=138&CLID=1949804
bl 7701918E29359D58E39BF0F0AEBFEDDE 688424
delref \\?\C:\USERS\ТОЛЯН\APPDATA\LOCAL\YANDEX\UPDATER2\BROWSERMANAGERSHOW.EXE
del \\?\C:\USERS\ТОЛЯН\APPDATA\LOCAL\YANDEX\UPDATER2\BROWSERMANAGERSHOW.EXE

bl AD497891CCBCDB22C79441B81DB59176 3785448
delref \\?\C:\USERS\ТОЛЯН\APPDATA\LOCAL\MAIL.RU\MAILRUUPDATER.EXE
del \\?\C:\USERS\ТОЛЯН\APPDATA\LOCAL\MAIL.RU\MAILRUUPDATER.EXE

bl 4849211A077C3ED23BD1E2F42DD312B1 4298584
delref \\?\C:\PROGRAM FILES\LOVIMUSIC\LOVIMUSIC.EXE
del \\?\C:\PROGRAM FILES\LOVIMUSIC\LOVIMUSIC.EXE

delref HTTP://R.MAIL.RU/N137257923
delref HTTP://R.MAIL.RU/N137257727
delref HTTP://R.MAIL.RU/N137259054
delref HTTP://R.MAIL.RU/N137259047
;-------------------------------------------------------------

exec "C:\Program Files\LoviMusic\unins000.exe"
exec "C:\Users\Толян\AppData\Local\Amigo\Application\32.0.1723.105\Installer\setup.exe" --uninstall
exec MsiExec.exe /X{42C06229-B704-4375-BF63-3E22FEAC736C}
regt 27
regt 28
regt 29
deltmp
delnfr
restart


-------------
Далее  выполните лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic10688/

Выберите вариант сканирования: Быстрое или Полное сканирование.
Отчет предоставить для анализа ( в своей теме на форуме ).
Отчёт нужно предоставить в .txt ( блокнот )
 
толик андреев
толик андреев
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 23.05.2015
Размещено 28.05.2015 09:48:24
Скопировать текст КОДА - в буфер обмена.
как это сделать
 
Пред. 1 2 3 4 След.
Читают тему