файлы зашифрованы с расширением .xtbl; .breaking_bad , Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

RSS

Сообщений: 4

Баллов: 2

Регистрация: 27.01.2015

Размещено 27.01.2015 13:44:56

Добрый день!
Мое обращение в службу ТП № 970855, правда оно уже закрыто по истечении 4-х дней.

Возникла такая проблема, у моего знакомого зашифровались данные на компьютере. Ребенок скачивал, со слов, игры и в результате получилась такая проблема.
После этого система была переустановлена два раза.
На экране, со слов, была надпись о шифрованных данных, а так же предлагаемый способ расшифровки (заплатить деньги). Что было точно написано в обращении я не знаю. Есть ли возможность расшифровать данные?

Заранее Вам благодарен, с ув. Алексей.

Пытался отправить письмо с вложенными зашифрованными файлами на вашу почту [email protected], письмо не доставляется к сожалению.
Подскажите пожалуйста как мне отправить архивы в тех поддержку, и есть ли шансы восстановить фалы?

----------------
просьба: при создании сообщений о шифровании *.xtbl оставляйте информацию о коде шифрования,
например:

Цитата
Ваши фaйлы былu зaшифpoвaны. код: 5E5E1BEC5BE045A020AC\|0

или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Ответы

Пред. 1 ... 53 54 55 56 57 ... 61 След.

Сообщений: 2

Баллов: 1

Регистрация: 05.02.2016

Размещено 05.02.2016 09:58:08

Добрый день!
Прошу помочь с очисткой - образ автозапуска во вложении

Прикрепленные файлы

TORBANUK_2016-02-05_09-49-37.rar (539.64 КБ)

Сообщений: 1

Регистрация: 05.02.2016

Размещено 05.02.2016 10:25:49

Добрый день
Помогите с файлами breaking bad. создал образ автозапуска

Прикрепленные файлы

ROMANOVA_2016-02-05_11-13-54.7z (598.52 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 05.02.2016 11:07:04

Артем Владимирович,

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE delall %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE zoo %SystemDrive%\USERS\USER\DESKTOP\СКАН\SCHET.N.10400514-04-02.SCR delall %SystemDrive%\USERS\USER\DESKTOP\СКАН\SCHET.N.10400514-04-02.SCR deltmp delnfr czoo restart

Код


;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
delall %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
zoo %SystemDrive%\USERS\USER\DESKTOP\СКАН\SCHET.N.10400514-04-02.SCR
delall %SystemDrive%\USERS\USER\DESKTOP\СКАН\SCHET.N.10400514-04-02.SCR
deltmp
delnfr
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected]
------------

по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 05.02.2016 11:10:51

Николай Гранков,
по правилам форума мы не оказываем помощь тем, кто работает с ломанными продуктами ESET
C:\PROGRAM FILES\TNOD USER & PASSWORD FINDER\TNODUP.EXE
обратитесь за помощью на другой форум,
и чем быстрее тем лучше, потому что судя по образу,
шифратор до сих пор жив, активен, и контролирует вашу систему.

Изменено: santy - 17.06.2016 10:05:07

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 05.02.2016

Размещено 05.02.2016 11:44:52

Архив ZOO_2016-02-05_11-34-34.rar отправлен. Спасибо.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 06.02.2016 20:22:36

Маргарита Шулаева,
проверьте этот файл на Virustotal.com
C:\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\APPLICATION DATA\OCSDICS\XYZSE.DLL
и дайте ссылку на линк проверки

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 06.02.2016

Размещено 06.02.2016 21:21:51

Цитата
santy написал: Маргарита Шулаева, проверьте этот файл на Virustotal.com C:\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\APPLICATION DATA\OCSDICS\XYZSE.DLL и дайте ссылку на линк проверки

Я начала проверку,ввела файл,как вы сказали на Virustotal.com и вот что мне пишет уже час и загрузка не идет вообще,ничего с места не сдвигается:
Загрузка файла...
Пожалуйста, не закрывайте это окно, и дождитесь окончания загрузки файла.
На время выполнения этой операции влияет размер файла, загруженность сети и скорость подключения.
Вычисление хеш-суммы...

Когда я проверяла утром комп через антивирус нод32,он выявил:
1.Оперативная память = C:\Documents and Settings\Администратор\Local Settings\Application Data\Ocsdics\xyzSE.dll - модифицированный Win32/Boaxxe.CR троянская программа - выбор действия отложен до завершения сканирования
2.Оперативная память = C:\Documents and Settings\Администратор\Local Settings\Application Data\Ocsdics\xyzSE.dll - Win32/Boaxxe.CR троянская программа - выбор действия отложен до завершения сканирования
3.Оперативная память = C:\Documents and Settings\Администратор\Local Settings\Application Data\Ocsdics\xyzSE.dll - модифицированный Win32/Boaxxe.CR троянская программа - выбор действия отложен до завершения сканирования
и застрял на 7%

Сообщений: 2

Баллов: 1

Регистрация: 06.02.2016

Размещено 06.02.2016 22:30:34

добрый день
помогите пожалуйста
http://rghost.ru/76GvXXGnc

образ автозапуска системы

Прикрепленные файлы

Downloads.rar (368.49 КБ)

Изменено: Роза Фус - 28.05.2016 04:13:08

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 07.02.2016 01:23:22

Маргарита Шулаева,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v385c OFFSGNSAVE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\APPLICATION DATA\OCSDICS\XYZSE.DLL addsgn A7679B1BB9E64C720B87F8E635C38F7BDA7503F5FC683CE5FA3C3A43B8A98BB3DCFF59AAC1AA18895F856C0E461649718186B72C0E5155710010A2FDA185E298 12 sdra64_vir zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetotian ;------------------------autoscript--------------------------- chklst delvir deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\APPLICATION DATA\UNITY\WEBPLAYER\LOADER deldirex %SystemDrive%\PROGRAM FILES\CONDUIT\COMMUNITY ALERTS deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\APPLICATION DATA\OCSDICS\XYZSE.DLL
addsgn A7679B1BB9E64C720B87F8E635C38F7BDA7503F5FC683CE5FA3C3A43B8A98BB3DCFF59AAC1AA18895F856C0E461649718186B72C0E5155710010A2FDA185E298 12 sdra64_vir

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetotian

;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\APPLICATION DATA\UNITY\WEBPLAYER\LOADER

deldirex %SystemDrive%\PROGRAM FILES\CONDUIT\COMMUNITY ALERTS

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 07.02.2016 01:29:14

Роза Фукс,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-2457162320-3680074131-2919184338-1001\$RKJQLO9.EXE ;------------------------autoscript--------------------------- chklst delvir delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID] delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\USERS\FUS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.0.7_0\СТАРТОВАЯ — ЯНДЕКС deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-2457162320-3680074131-2919184338-1001\$RKJQLO9.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\FUS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.0.7_0\СТАРТОВАЯ — ЯНДЕКС

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
----------
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Пред. 1 ... 53 54 55 56 57 ... 61 След.