файлы зашифрованы с расширением .NO_MORE_RANSOM, .crypted000007 , Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt

RSS

Сообщений: 3

Баллов: 1

Регистрация: 29.11.2016

Размещено 29.11.2016 03:21:13

Здравствуйте, прилетел вирус с почты, открыли и за шифровались файлы, в *no_more_ransom, есть ли дешифровщик, или кто готов помочь с решением данной проблемы? в теле зашифрованный файл

-------------------

расшифровка файлов, зашифрованных данным вариантом шифратора Filecoder.ED / Ransom.Shade:..NO_MORE_RANSOM, * .crypted000007 на текущий момент возможна. Но надо проверять по каждому отдельному случаю есть приватный ключ или нет.
добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.

просьба: при создании сообщений о шифровании *.no_more_ransom/*.crypted000007 оставляйте информацию о коде шифрования,
например:

Цитата
Ваши фaйлы былu зaшифpoвaны. код: 5E5E1BEC5BE045A020AC\|0

или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Прикрепленные файлы

файл.rar (12.05 КБ)

Ответы

Пред. 1 ... 30 31 32 33 34 ... 41 След.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 21.12.2017 12:37:07

Виктор Вайсбург,

расшифровки по данному варианту Ransom.Shade на текущий момент нет.
восстановление документов возможно только с архивных копий (или из теневых копий, если уцелели).
сохраните зашифрованные документы на отдельный носитель,
расшифровка документов возможно станет возможной в будущем.

[ Как создать образ автозапуска? ]

Сообщений: 6

Баллов: 3

Регистрация: 22.12.2014

Размещено 22.02.2018 23:32:17

Приветствую, ноутбук заразился .crypted00007
Можно что-то сделать? Спасибо!
http://rgho.st/697MNnty4

Изменено: Александр Хуснутдинов - 22.02.2018 23:36:52 (замена ссылки)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 23.02.2018 05:10:42

Александр,
судя по образу файлов шифратора уже нет в системе,

расшифровки по данному варианту Ransom.Shade на текущий момент нет.
восстановление документов возможно только с архивных копий (или из теневых копий, если уцелели).
сохраните зашифрованные документы на отдельный носитель,
расшифровка документов возможно станет возможной в будущем.

[ Как создать образ автозапуска? ]

Сообщений: 6

Баллов: 3

Регистрация: 22.12.2014

Размещено 24.02.2018 13:25:18

santy,Примерно по времени сколько ждать придется метода расшифровки? Если попробывать обратиться на другой форум, есть шансы, что там помогут ?
И если появиться способ расшифровки,как я об этом узнаю, повторно здесь обратиться?

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 24.02.2018 13:36:02

Цитата
Александр Хуснутдинов написал: santy ,Примерно по времени сколько ждать придется метода расшифровки? Если попробывать обратиться на другой форум, есть шансы, что там помогут ?И если появиться способ расшифровки,как я об этом узнаю, повторно здесь обратиться?

Цитата

Александр Хуснутдинов написал:
santy ,Примерно по времени сколько ждать придется метода расшифровки? Если попробывать обратиться на другой форум, есть шансы, что там помогут ?И если появиться способ расшифровки,как я об этом узнаю, повторно здесь обратиться?

Александр,
от нас это никак не зависит,
зависит от расторопности кибер_полиции, или от доброй воли злоумышленников, если есть такая.
периодически, хотя и через разные интервалы кто-то из них выкладывает приватные ключи в общий доступ, после чего антивирусные компании добавляют расшифровку для новых вариантов шифраторов.
пробуйте конечно обращаться на разные форумы, возможно кто-то из антивирусных компаний раньше получит эти ключи, и сделает расшифровки.
---------
если расшифровка будет доступна, мы опубликуем информацию об этом на форуме.

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 03.09.2018

Размещено 03.09.2018 00:38:38

Доброго дня!

Прошу проверить образ автозапуска на наличие остатков вирусов. Антивирусом пробежали, но кажется что-то подозрительное там все же осталось

Прикрепленные файлы

COMP_2018-09-03_00-29-51.7z (566.77 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 03.09.2018 05:58:33

Цитата
Виталий Котляров написал: Прошу проверить образ автозапуска на наличие остатков вирусов.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.0.14 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE ;------------------------autoscript--------------------------- deldirex %SystemDrive%\USERS\USER\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER deldirex D:\IQIYI VIDEO\LSTYLE deldirex %SystemDrive%\PROGRAM FILES\COMMON FILES\TENCENT\QQPHONEMANAGER\2.0.201.3192 deldirex %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.3.17202.219 deldirex %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR deldirex %SystemDrive%\PROGRAM FILES\REIMAGE\REIMAGE REPAIR deldirex %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.1.16923.222 deldirex %SystemDrive%\USERS\USER\APPDATA\LOCAL\SWVUPDATER deldirex %SystemDrive%\PROGRAM FILES\COMMON FILES\TENCENT\QQDOWNLOAD\131 deldirex %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.5.15816.217\QMTRAYPLUGIN\QMMOBILETRAYPLUGIN deldirex D:\IQIYI VIDEO\GEEPLAYER delref HTTP://RU.SEARCH.YAHOO.COM/SEARCH?P={SEARCHTERMS}&FR=CHR-DEVICEVM&TYPE=ASRK delall %Sys32%\TSSK.SYS delref {0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2}\[CLSID] delref {8E8F97CD-60B5-456F-A201-73065652D099}\[CLSID] delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAMINLPMKFCDIBGPGFAJLGNAMICJCKKJF%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGNDELHFHCFBDHNDFPCINEBIJFCJPMPEC%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.9.0_0\СТАРТОВАЯ — ЯНДЕКС delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=465AB80214215C05CA56D60F4DFA045D&TEXT={SEARCHTERMS} apply regt 27 deltmp delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\YUPDATE-VERSIONINFO-YABROWSER.XML delref %SystemDrive%\USERS\USER\DOWNLOADS\TESTER251 (2).EXE delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\OFFICE14\MSACCESS.EXE delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\KPNH6IA1\PARTNER_NDFL.EXE delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {5EC7C511-CD0F-42E6-830C-1BD9882F3458}\[CLSID] delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL delref D:\IQIYI VIDEO\LSTYLE\NPWEBPLAYER.DLL delref %SystemDrive%\PROGRAM FILES\COMMON FILES\TENCENT\QQPHONEMANAGER\2.0.201.3192\NPQQPHONEMANAGEREXT.DLL delref %SystemDrive%\PROGRAM FILES\KASPERSKY LAB\KASPERSKY ANTI-VIRUS 2012\FFEXT\[email protected] delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID] delref {5E6A8DA1-5731-465B-B036-B9E16EF26CAC}\[CLSID] delref %Sys32%\BLANK.HTM delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref {DD230880-495A-11D1-B064-008048EC2FC5}\[CLSID] delref APPMGMT\[SERVICE] delref HELPSVC\[SERVICE] delref SACSVR\[SERVICE] delref TBS\[SERVICE] delref VMMS\[SERVICE] delref MESSENGER\[SERVICE] delref RDSESSMGR\[SERVICE] delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\CPUZ134\CPUZ134_X32.SYS delref %Sys32%\DRIVERS\RTKVHDA.SYS delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.3.17202.219\QMUDISK.SYS delref %Sys32%\DRIVERS\SCREENTK.SYS delref %SystemDrive%\PROGRAM FILES\DEVICEVM\SMARTVIEW\SMARTVIEWSERVICE.EXE delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.3.17202.219\SOFTAAL.SYS delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\SREPAIRDRV delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.3.17202.219\TSNETHLP.SYS delref %Sys32%\DRIVERS\TTNFD.SYS delref %Sys32%\PSXSS.EXE delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\V8_51D7_87.TMP delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\V8_D4EB_61.TMP delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\V8_1355_6A.TMP delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\V8_BA68_59.TMP delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\V8_112F_53.TMP delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\V8_492_40.TMP delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\V8_7F3D_52.TMP delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\V8_318B_56.TMP delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\V8_8E7D_56.TMP delref %Sys32%\RTEED32A.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL delref %Sys32%\MBPPLD32.DLL delref %Sys32%\RTKAPOAPI.DLL delref %Sys32%\RTEEP32A.DLL delref %SystemDrive%\BVTBIN\TESTS\INSTALLPACKAGE\CBSTEST\X86\CSITEST.DLL delref %Sys32%\FMAPO.DLL delref %Sys32%\RTKPGEXT.DLL delref %SystemDrive%\PROGRAM FILES\REIMAGE\REIMAGE REPAIR\REI_AXCONTROL.DLL delref %Sys32%\RTCOM\RTCOMDLL.DLL delref %Sys32%\AERTACAP.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.115\PSMACHINE.DLL delref %Sys32%\SRSHP360.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL delref %Sys32%\MAXXAUDIOAPO20.DLL delref %SystemDrive%\PROGRAM FILES\COMMON FILES\COMMON DESKTOP AGENT\CDASRV.EXE delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL delref %Sys32%\AERTAREN.DLL delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE14\MUOPTIN.DLL delref %Sys32%\SRSTSXT.DLL delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.1.16923.222\TAOFRAME.EXE delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE14\OPTINPS.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\SWVUPDATER\UPDATER.EXE delref %Sys32%\MBPPCN32.DLL delref %Sys32%\RTEEG32A.DLL delref %SystemDrive%\PROGRAM FILES\COMMON FILES\TENCENT\QQDOWNLOAD\131\TENCENTDL.EXE delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\LAUNCHER_I1297874358.EXE delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\BROWSERMANAGER\BROWSERMANAGERSHOW.EXE delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.5.15816.217\QMTRAYPLUGIN\QMMOBILETRAYPLUGIN\ANDROIDPOPUP.EXE delref %SystemDrive%\PROGRAM FILES\IOBIT\IOBIT UNINSTALLER\IOBITUNINSTALER.EXE delref %Sys32%\RP3DHT32.DLL delref %Sys32%\MAXXAUDIOAPO.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.3.17202.219\UDISKSHELLEXT.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.23.9\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\ADOBE\ACROBAT READER DC\ACRORD32INFO.EXE delref %SystemDrive%\PROGRAM FILES\KASPERSKY LAB\KASPERSKY ANTI-VIRUS 2013\IEEXT\ONLINEBANKING\ONLINE_BANKING_BHO.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL delref %Sys32%\IGFXCFG.EXE delref %Sys32%\RTEEL32A.DLL delref %Sys32%\RTCOM\RTKCFG.DLL delref %Sys32%\RP3DAA32.DLL delref %Sys32%\SHAREMEDIACPL.CPL delref %SystemDrive%\PROGRAM FILES\COMMON FILES\TENCENT\QQDOWNLOAD\131\DOWNLOADPROXYPS.DLL delref %Sys32%\SRSWOW.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL delref %SystemDrive%\USERS\USER\DOWNLOADS\LED_ZEPELLIN_-_EYE_OF_THE_TIGER_IZ_ROKKI_(IPLAYER.FM).EXE delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL delref %Sys32%\SRSTSHD.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL delref %Sys32%\RTCOM\RTLCPAPI.DLL delref %SystemDrive%\PROGRAM FILES\SAMSUNG\EASY PRINTER MANAGER\IDS.LOCALIZATION.DLL delref {0F3DC9E0-C459-4A40-BCF8-747BD9322E10}\[CLSID] delref {29B6CFD5-0064-411A-8C42-9890C83F9921}\[CLSID] delref {CA5C1DDC-0A10-45C9-B95C-035D1D7BE71C}\[CLSID] delref {FFE66D00-A56A-4F7F-81D7-4A28C5816D6C}\[CLSID] delref %SystemDrive%\PROGRAM FILES\OBNOVI SOFT\UNINSTALL.EXE ;------------------------------------------------------------- restart

Код


;uVS v4.0.14 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

deldirex %SystemDrive%\USERS\USER\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

deldirex D:\IQIYI VIDEO\LSTYLE

deldirex %SystemDrive%\PROGRAM FILES\COMMON FILES\TENCENT\QQPHONEMANAGER\2.0.201.3192

deldirex %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.3.17202.219

deldirex %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR

deldirex %SystemDrive%\PROGRAM FILES\REIMAGE\REIMAGE REPAIR

deldirex %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.1.16923.222

deldirex %SystemDrive%\USERS\USER\APPDATA\LOCAL\SWVUPDATER

deldirex %SystemDrive%\PROGRAM FILES\COMMON FILES\TENCENT\QQDOWNLOAD\131

deldirex %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.5.15816.217\QMTRAYPLUGIN\QMMOBILETRAYPLUGIN

deldirex D:\IQIYI VIDEO\GEEPLAYER

delref HTTP://RU.SEARCH.YAHOO.COM/SEARCH?P={SEARCHTERMS}&FR=CHR-DEVICEVM&TYPE=ASRK
delall %Sys32%\TSSK.SYS
delref {0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2}\[CLSID]
delref {8E8F97CD-60B5-456F-A201-73065652D099}\[CLSID]
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAMINLPMKFCDIBGPGFAJLGNAMICJCKKJF%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGNDELHFHCFBDHNDFPCINEBIJFCJPMPEC%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.9.0_0\СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС
delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=465AB80214215C05CA56D60F4DFA045D&TEXT={SEARCHTERMS}
apply

regt 27
deltmp
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\YUPDATE-VERSIONINFO-YABROWSER.XML
delref %SystemDrive%\USERS\USER\DOWNLOADS\TESTER251 (2).EXE
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\OFFICE14\MSACCESS.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\KPNH6IA1\PARTNER_NDFL.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {5EC7C511-CD0F-42E6-830C-1BD9882F3458}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref D:\IQIYI VIDEO\LSTYLE\NPWEBPLAYER.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\TENCENT\QQPHONEMANAGER\2.0.201.3192\NPQQPHONEMANAGEREXT.DLL
delref %SystemDrive%\PROGRAM FILES\KASPERSKY LAB\KASPERSKY ANTI-VIRUS 2012\FFEXT\[email protected]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {5E6A8DA1-5731-465B-B036-B9E16EF26CAC}\[CLSID]
delref %Sys32%\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {DD230880-495A-11D1-B064-008048EC2FC5}\[CLSID]
delref APPMGMT\[SERVICE]
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\CPUZ134\CPUZ134_X32.SYS
delref %Sys32%\DRIVERS\RTKVHDA.SYS
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.3.17202.219\QMUDISK.SYS
delref %Sys32%\DRIVERS\SCREENTK.SYS
delref %SystemDrive%\PROGRAM FILES\DEVICEVM\SMARTVIEW\SMARTVIEWSERVICE.EXE
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.3.17202.219\SOFTAAL.SYS
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\SREPAIRDRV
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.3.17202.219\TSNETHLP.SYS
delref %Sys32%\DRIVERS\TTNFD.SYS
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\V8_51D7_87.TMP
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\V8_D4EB_61.TMP
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\V8_1355_6A.TMP
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\V8_BA68_59.TMP
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\V8_112F_53.TMP
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\V8_492_40.TMP
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\V8_7F3D_52.TMP
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\V8_318B_56.TMP
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\V8_8E7D_56.TMP
delref %Sys32%\RTEED32A.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
delref %Sys32%\MBPPLD32.DLL
delref %Sys32%\RTKAPOAPI.DLL
delref %Sys32%\RTEEP32A.DLL
delref %SystemDrive%\BVTBIN\TESTS\INSTALLPACKAGE\CBSTEST\X86\CSITEST.DLL
delref %Sys32%\FMAPO.DLL
delref %Sys32%\RTKPGEXT.DLL
delref %SystemDrive%\PROGRAM FILES\REIMAGE\REIMAGE REPAIR\REI_AXCONTROL.DLL
delref %Sys32%\RTCOM\RTCOMDLL.DLL
delref %Sys32%\AERTACAP.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.115\PSMACHINE.DLL
delref %Sys32%\SRSHP360.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %Sys32%\MAXXAUDIOAPO20.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\COMMON DESKTOP AGENT\CDASRV.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
delref %Sys32%\AERTAREN.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE14\MUOPTIN.DLL
delref %Sys32%\SRSTSXT.DLL
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.1.16923.222\TAOFRAME.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE14\OPTINPS.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\SWVUPDATER\UPDATER.EXE
delref %Sys32%\MBPPCN32.DLL
delref %Sys32%\RTEEG32A.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\TENCENT\QQDOWNLOAD\131\TENCENTDL.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\LAUNCHER_I1297874358.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\BROWSERMANAGER\BROWSERMANAGERSHOW.EXE
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.5.15816.217\QMTRAYPLUGIN\QMMOBILETRAYPLUGIN\ANDROIDPOPUP.EXE
delref %SystemDrive%\PROGRAM FILES\IOBIT\IOBIT UNINSTALLER\IOBITUNINSTALER.EXE
delref %Sys32%\RP3DHT32.DLL
delref %Sys32%\MAXXAUDIOAPO.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.3.17202.219\UDISKSHELLEXT.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.23.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\ADOBE\ACROBAT READER DC\ACRORD32INFO.EXE
delref %SystemDrive%\PROGRAM FILES\KASPERSKY LAB\KASPERSKY ANTI-VIRUS 2013\IEEXT\ONLINEBANKING\ONLINE_BANKING_BHO.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL
delref %Sys32%\IGFXCFG.EXE
delref %Sys32%\RTEEL32A.DLL
delref %Sys32%\RTCOM\RTKCFG.DLL
delref %Sys32%\RP3DAA32.DLL
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\TENCENT\QQDOWNLOAD\131\DOWNLOADPROXYPS.DLL
delref %Sys32%\SRSWOW.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\USERS\USER\DOWNLOADS\LED_ZEPELLIN_-_EYE_OF_THE_TIGER_IZ_ROKKI_(IPLAYER.FM).EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %Sys32%\SRSTSHD.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL
delref %Sys32%\RTCOM\RTLCPAPI.DLL
delref %SystemDrive%\PROGRAM FILES\SAMSUNG\EASY PRINTER MANAGER\IDS.LOCALIZATION.DLL
delref {0F3DC9E0-C459-4A40-BCF8-747BD9322E10}\[CLSID]
delref {29B6CFD5-0064-411A-8C42-9890C83F9921}\[CLSID]
delref {CA5C1DDC-0A10-45C9-B95C-035D1D7BE71C}\[CLSID]
delref {FFE66D00-A56A-4F7F-81D7-4A28C5816D6C}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\OBNOVI SOFT\UNINSTALL.EXE
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

[ Как создать образ автозапуска? ]

Сообщений: 5

Баллов: 2

Регистрация: 20.09.2018

Размещено 20.09.2018 13:13:26

Доброго времени суток! На машине WinXP SP3, нод32, лицензия(корпоративные пользователи)
По почте пришел шифратор

Baшu файлы были зaшифровaны.
Чmобы pacшuфpoвать ux, Вaм нeобхoдимо oтпрaвuть код:
7D88552C024FF3C0674F|816|7|2
....
В приложении автозапуск и скриншот экрана
Названия файлов tU03jSI3fWIsnylPagHCaix7Gzl-sobFAbus3GR4V3RwKrQvU9NG3CoLRgUT2Gj+Uu8HJ0MjNE6ViWS-Bm9tDw==.7D88552C024FF3C0674F.crypted000007

Прикрепленные файлы

Безымянный.JPG (131.76 КБ)

KADRI_2018-09-20_16-03-46_v4.0.17.7z (312.48 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 20.09.2018 13:49:14

по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.0.17 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v400c OFFSGNSAVE ;------------------------autoscript--------------------------- deldirex %SystemDrive%\PROGRAM FILES\KINGSOFT\KINGSOFT ANTIVIRUS delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGNDACICECCGAPJHPNIECKNJLMMLANAEM%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJAEAHNNFOHIKJNEJPOKEAAIINIJHPFOP%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLANABBPAHPJNALJEBNPGKJEMCBKEPIAK%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNJABJMHINNDPHFNBJEHDALKPHPDMEPLI%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\DOCUMENTS AND SETTINGS\007\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LANABBPAHPJNALJEBNPGKJEMCBKEPIAK\2.0.25_0\ПОИСК MAIL.RU delref %SystemDrive%\DOCUMENTS AND SETTINGS\007\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NJABJMHINNDPHFNBJEHDALKPHPDMEPLI\1.0.9_0\ПОИСК MAIL.RU delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPBEFKDCNDNGODFEIGFDGIODGNMBGCFHA%26INSTALLSOURCE%3DONDEMAND%26UC apply deltmp delref %SystemDrive%\PROGRAM FILES\KINGSOFT\KINGSOFT ANTIVIRUS\KWANSVC.DLL delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref %SystemDrive%\PROGRAM FILES\KINGSOFT\KINGSOFT ANTIVIRUS\NPKWS.DLL delref {041CA328-918A-4EB9-BBC0-525BB3E5B535}\[CLSID] delref {09E9ABBB-A89B-4882-A476-85B4DD743C77}\[CLSID] delref {1F68F580-774D-4B07-A196-F9D9281B5391}\[CLSID] delref {2A5D2C17-4836-4BBE-897F-64167A9101EB}\[CLSID] delref {416476C7-C961-46EE-BE0B-BB204DCAF596}\[CLSID] delref {4E07908C-D1D0-4FAD-BE4C-6BED34797B3D}\[CLSID] delref {5F546CDD-645F-41A3-848B-C32C11798A1B}\[CLSID] delref {5FAB84B8-F777-45C0-A23A-A7074432A2B9}\[CLSID] delref {6220FB26-353D-4F22-9E8B-2CAA1B1A5211}\[CLSID] delref {6394FDAD-2B29-461E-BC8D-79694B622067}\[CLSID] delref {74693888-597C-474E-AC86-D6BA34F7AA28}\[CLSID] delref {77E65655-CE52-4AA0-B431-1ABED0D9A59C}\[CLSID] delref {7E1ACEA5-E2D1-4EC5-B505-081CE573016C}\[CLSID] delref {8E39EBE3-185C-40DC-88D7-D3285CFF07B2}\[CLSID] delref {9B162141-8C4B-47B8-B0A4-678026ADB884}\[CLSID] delref {AAF93162-F338-41CB-BB5F-4115BDA972FB}\[CLSID] delref {B5B27B9D-BDFC-4645-9AA5-33A8008E3860}\[CLSID] delref {B738032D-77A3-443B-B7FB-BAD755CBB314}\[CLSID] delref {C48BBB53-4641-4209-B2F8-673D664F4905}\[CLSID] delref {C8804369-9983-48B4-ACED-DB6C44418EA4}\[CLSID] delref {CD8F125D-74E3-409B-9C7D-076AED1F304B}\[CLSID] delref {E396752A-64CB-4B32-B984-C4185823819B}\[CLSID] delref {ECC745F2-3829-4188-BF54-A1AB645F8767}\[CLSID] delref {FE341F2F-1296-4C20-82C0-E6EC54F4D8B7}\[CLSID] delref %SystemRoot%\INF\MSNETMTG.INF,NETMTG.INSTALL.PERUSER.NT delref %Sys32%\BLANK.HTM delref {764BF0E1-F219-11CE-972D-00AA00A14F56}\[CLSID] delref {853FE2B1-B769-11D0-9C4E-00C04FB6C6FA}\[CLSID] delref {FAC3CBF6-8697-43D0-BAB9-DCD1FCE19D75}\[CLSID] delref %Sys32%\DRIVERS\CHANGER.SYS delref %Sys32%\DRIVERS\I2OMGMT.SYS delref %Sys32%\DRIVERS\LBRTFDC.SYS delref %Sys32%\DRIVERS\PCIDUMP.SYS delref %Sys32%\DRIVERS\PDCOMP.SYS delref %Sys32%\DRIVERS\PDFRAME.SYS delref %Sys32%\DRIVERS\PDRELI.SYS delref %Sys32%\DRIVERS\PDRFRAME.SYS delref %Sys32%\DRIVERS\WDICA.SYS delref %Sys32%\PSXSS.EXE delref KLFLTDEV\[SERVICE] delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL delref %Sys32%\EAPA3HST.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL delref E:\LENOVO_SUITE.EXE delref %SystemDrive%\DOCUMENTS AND SETTINGS\007\APPLICATION DATA\ROSTELECOM\IFCPLUGIN\3.0.0.0\FIREFOXEXTENTION\INSTALL.RDF delref {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}\[CLSID] delref {6FAF474D-8374-4B9F-6600-3B8B089171A9}\[CLSID] delref %SystemDrive%\PROGRAM FILES\LITEMANAGERFREE - SERVER\ROMSERVER.EXE ;------------------------------------------------------------- restart

Код


;uVS v4.0.17 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

deldirex %SystemDrive%\PROGRAM FILES\KINGSOFT\KINGSOFT ANTIVIRUS

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGNDACICECCGAPJHPNIECKNJLMMLANAEM%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJAEAHNNFOHIKJNEJPOKEAAIINIJHPFOP%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLANABBPAHPJNALJEBNPGKJEMCBKEPIAK%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNJABJMHINNDPHFNBJEHDALKPHPDMEPLI%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\DOCUMENTS AND SETTINGS\007\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LANABBPAHPJNALJEBNPGKJEMCBKEPIAK\2.0.25_0\ПОИСК MAIL.RU
delref %SystemDrive%\DOCUMENTS AND SETTINGS\007\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NJABJMHINNDPHFNBJEHDALKPHPDMEPLI\1.0.9_0\ПОИСК MAIL.RU
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPBEFKDCNDNGODFEIGFDGIODGNMBGCFHA%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemDrive%\PROGRAM FILES\KINGSOFT\KINGSOFT ANTIVIRUS\KWANSVC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\KINGSOFT\KINGSOFT ANTIVIRUS\NPKWS.DLL
delref {041CA328-918A-4EB9-BBC0-525BB3E5B535}\[CLSID]
delref {09E9ABBB-A89B-4882-A476-85B4DD743C77}\[CLSID]
delref {1F68F580-774D-4B07-A196-F9D9281B5391}\[CLSID]
delref {2A5D2C17-4836-4BBE-897F-64167A9101EB}\[CLSID]
delref {416476C7-C961-46EE-BE0B-BB204DCAF596}\[CLSID]
delref {4E07908C-D1D0-4FAD-BE4C-6BED34797B3D}\[CLSID]
delref {5F546CDD-645F-41A3-848B-C32C11798A1B}\[CLSID]
delref {5FAB84B8-F777-45C0-A23A-A7074432A2B9}\[CLSID]
delref {6220FB26-353D-4F22-9E8B-2CAA1B1A5211}\[CLSID]
delref {6394FDAD-2B29-461E-BC8D-79694B622067}\[CLSID]
delref {74693888-597C-474E-AC86-D6BA34F7AA28}\[CLSID]
delref {77E65655-CE52-4AA0-B431-1ABED0D9A59C}\[CLSID]
delref {7E1ACEA5-E2D1-4EC5-B505-081CE573016C}\[CLSID]
delref {8E39EBE3-185C-40DC-88D7-D3285CFF07B2}\[CLSID]
delref {9B162141-8C4B-47B8-B0A4-678026ADB884}\[CLSID]
delref {AAF93162-F338-41CB-BB5F-4115BDA972FB}\[CLSID]
delref {B5B27B9D-BDFC-4645-9AA5-33A8008E3860}\[CLSID]
delref {B738032D-77A3-443B-B7FB-BAD755CBB314}\[CLSID]
delref {C48BBB53-4641-4209-B2F8-673D664F4905}\[CLSID]
delref {C8804369-9983-48B4-ACED-DB6C44418EA4}\[CLSID]
delref {CD8F125D-74E3-409B-9C7D-076AED1F304B}\[CLSID]
delref {E396752A-64CB-4B32-B984-C4185823819B}\[CLSID]
delref {ECC745F2-3829-4188-BF54-A1AB645F8767}\[CLSID]
delref {FE341F2F-1296-4C20-82C0-E6EC54F4D8B7}\[CLSID]
delref %SystemRoot%\INF\MSNETMTG.INF,NETMTG.INSTALL.PERUSER.NT
delref %Sys32%\BLANK.HTM
delref {764BF0E1-F219-11CE-972D-00AA00A14F56}\[CLSID]
delref {853FE2B1-B769-11D0-9C4E-00C04FB6C6FA}\[CLSID]
delref {FAC3CBF6-8697-43D0-BAB9-DCD1FCE19D75}\[CLSID]
delref %Sys32%\DRIVERS\CHANGER.SYS
delref %Sys32%\DRIVERS\I2OMGMT.SYS
delref %Sys32%\DRIVERS\LBRTFDC.SYS
delref %Sys32%\DRIVERS\PCIDUMP.SYS
delref %Sys32%\DRIVERS\PDCOMP.SYS
delref %Sys32%\DRIVERS\PDFRAME.SYS
delref %Sys32%\DRIVERS\PDRELI.SYS
delref %Sys32%\DRIVERS\PDRFRAME.SYS
delref %Sys32%\DRIVERS\WDICA.SYS
delref %Sys32%\PSXSS.EXE
delref KLFLTDEV\[SERVICE]
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %Sys32%\EAPA3HST.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref E:\LENOVO_SUITE.EXE
delref %SystemDrive%\DOCUMENTS AND SETTINGS\007\APPLICATION DATA\ROSTELECOM\IFCPLUGIN\3.0.0.0\FIREFOXEXTENTION\INSTALL.RDF
delref {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}\[CLSID]
delref {6FAF474D-8374-4B9F-6600-3B8B089171A9}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\LITEMANAGERFREE - SERVER\ROMSERVER.EXE
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов не поможем.

расшифровки по данному варианту Ransom.Shade на текущий момент нет.
восстановление документов возможно только с архивных копий (или из теневых копий, если уцелели).
сохраните зашифрованные документы на отдельный носитель,
расшифровка документов возможно станет возможной в будущем.

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 26.12.2015

Размещено 08.11.2018 15:53:07

Добрый день.
Прошу проверить образ автозапуска на наличие остатков вирусов.
Программу uVS запускал под текущим пользователем (Администратор).
Вирус же запустил - пользователь сервера терминалов.
KVRT и drweb cureit отработали, удалил только один файл c:\ProgramData\Windows\csrss.exe
Файлы зашифрованы как-то так - AG0MPGv32ZoumeYtu+sWxK55eVb9-oZktVySYqEaoqws0mewEGOGHk3kaJmWZoHl.583C1D0AE4C766DB69C9.crypted000007
Есть ли дешифратор для восстановления?

Прикрепленные файлы

WIN-SRV_2018-11-08_15-04-46_v4.1.1.7z (540.79 КБ)

Пред. 1 ... 30 31 32 33 34 ... 41 След.

файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007 , Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt

Ответы

файлы зашифрованы с расширением .NO_MORE_RANSOM, .crypted000007 , Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt