файлы зашифрованы с расширением .better_call_saul, .da_vinci_code , Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

RSS

Сообщений: 2

Баллов: 1

Регистрация: 19.02.2016

Размещено 19.02.2016 08:53:05

Добрый день. Помогите пожалуйста решить вот такой вопрос: все файлы документов стали зашифрованы.
Имена файлов искажены и расширение стало better_call_saul.
пример файл: GPHnwCWRp0yK5DkAlkkt18wIguwtZiAJfeRdWbefM3VlRjRo4l ff4+tKMwz8eqU-sSEsHk2KZyepIE921Nj+VIu9LmqcNysthULZ+KGu0ccr9chFvr uL9L19917QKEmlnDIdqxR5rF61vpoRLmLssmJX6xO98Y8APFaB ppHXjvo=.50EF5038C45FD9E89C5B.better_call_saul
-----------------------
самый главный вопрос: лечить пк мне не нужно(уже вылечил), реально ли расшифровать эти файлы? пусть даже на платной основе

--------------

расшифровка файлов, зашифрованных данным вариантом шифратора Filecoder.ED / Ransom.Shade:.better_call_saul, .da_vinci_code на текущий момент возможна. Но надо проверять по каждому отдельному случаю, есть приватный ключ или нет.

добавьте на форум в ваше сообщение несколько зашифрованных документов.

если нет архивных копий,
сохраните важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.
просьба: при создании сообщений о шифровании *.better_call_saul, .da_vinci_code оставляйте информацию о коде шифрования,
например:

Цитата
Ваши фaйлы былu зaшифpoвaны. код: 5E5E1BEC5BE045A020AC\|0

или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Ответы

Пред. 1 ... 27 28 29 30 31 ... 60 След.

Сообщений: 17973

Баллов: 28756

Регистрация: 16.03.2010

Размещено 13.08.2016 02:21:07

Данил Иванов,

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.4 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE addsgn 9A5856DA5582A28DF42BAEB164C81205158AFCF6C9FA1F7885C3C5BCD62CF3283DC296118DC0A29CD62C9F4E461649FA7DDFE97255DAB02C2D77A42F96734317 8 Win32/Filecoder.ED [ESET-NOD32] zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE ;------------------------autoscript--------------------------- chklst delvir delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBEJNPNKHFGFKCPGIKIINOJLMDCJIMOBI%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGBJEIEKAHKLBGBFCCOHIPINHGAADIJAD%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJKFBLCBJFOJMGAGIKHLDEPPGMGDPJKPL%26INSTALLSOURCE%3DONDEMAND%26UC deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
addsgn 9A5856DA5582A28DF42BAEB164C81205158AFCF6C9FA1F7885C3C5BCD62CF3283DC296118DC0A29CD62C9F4E461649FA7DDFE97255DAB02C2D77A42F96734317 8 Win32/Filecoder.ED [ESET-NOD32]

zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBEJNPNKHFGFKCPGIKIINOJLMDCJIMOBI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGBJEIEKAHKLBGBFCCOHIPINHGAADIJAD%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJKFBLCBJFOJMGAGIKHLDEPPGMGDPJKPL%26INSTALLSOURCE%3DONDEMAND%26UC

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
дешифраторы есть, но без ключей в вашем случае они бесполезны.

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 15.08.2016

Размещено 15.08.2016 15:39:00

Здравствуйте, кадровик словил((
2016-08-15_15-37-16.TXT

Сообщений: 17973

Баллов: 28756

Регистрация: 16.03.2010

Размещено 15.08.2016 16:19:48

А Касперский у вас там вместо памятника стоит?

выполняем скрипт в uVS (из безопасного режима системы):
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.4 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE zoo %Sys32%\_SSPM\SABER.EXE addsgn 1AFBDA9A5583338CF42B467721C81280E5FFFA4E2DCE5978464005B09383FAA075FF27A8C1AA160423D10D97AE3649FA7D866382BDDFB02C2DFE94719AC5CAE1 8 Win32/ELEX zoo %Sys32%\_SSPM\WPM.EXE addsgn 1AEF769B5583338CF42BFB3A88999160D98A71B375AC4F87F0CF3AC9583E1D4E221748A7BD9191CCDDF59CA603EA3DE995FF328DAA5F7058279FB3F538F9A93E 8 Adware.Mutabaha.1623 [DrWeb] addsgn 4FA4329A55E399B1B64905F479261405FAA75DAF42951F7885C3DE815BE87FFA8428C6C5A838BBD44A80849F46F959BE24C9CE340DE9B346E63D7BA733877157 8 Win32/ELEX zoo %SystemDrive%\PROGRAMDATA\BIRDKISS\BIRDKISS.EXE addsgn 2716109A55D6F1CE967F31C1B9793605CE9235D062A31F7885C3FEB76FDD1785A41EF2F0C0479BE27E80849F46CF6D8B4CB6EE0239DCDB39C60B4F925BF8C16F 8 Win32/ELEX zoo %SystemDrive%\PROGRAM FILES\BIRDKISS\UPDATE\BIRDKISSUPDATE.EXE addsgn 1A24709A5583CC8CF42B5194043B5605AEC7089200F71F7885C39CE30F882AC7C64A92A5FD05F9B61E80849F469B0DDE71F48C565989E67BA45F2FC766768235 8 Wei Liu zoo %SystemDrive%\PROGRAMDATA\BOOKFAT\BOOKFAT.EXE addsgn 1A0C729A5583CC8CF42B5194BC3B5405AEC7089200F71F7885C39CE30F882AC7C64A92A5FD05F9B61E80849F469B0DDE71F48C565989E67BA45F2FC76676E23B 8 Wei Liu zoo %SystemDrive%\PROGRAM FILES\BOOKFAT\UPDATE\BOOKFATUPDATE.EXE delref %SystemDrive%\PROGRAM FILES\GHOKSWA BROWSER\GHOKSWA\BIN\BROWSERSERVER.EXE addsgn 1A0B739A5583008CF42B624E419C614725DF771A76EF3309C7C3AFBDF3B2CF0F23FF10523E55623C2368559A4616CAC71961AB725583E959251DA5C77E032273 8 Adware.Mutabaha.1606 [DrWeb] zoo %SystemDrive%\PROGRAM FILES\UNCHECKIT\CKTSVC.EXE addsgn 1A32759A5583008CF42BFB3A8837072105CAFC9C88594B4BC5C32DF355D671B3561F2B1A3B559DCA16D4B7DF461610A308D78273BDEFB52C2D2ECC26C306E29B 8 Adware.Mutabaha.477 [DrWeb] zoo %SystemDrive%\PROGRAM FILES\ELEX-TECH\YAC\ISAFESVC.EXE zoo %SystemDrive%\PROGRAM FILES\ELEX-TECH\YAC\ISAFESVC2.EXE delref %SystemDrive%\PROGRAM FILES\PICEXA\PICEXASVC.EXE addsgn 1A449C9A5583338CF42BFB3A88999160D98AAA7BCC064F87F0CF3AC9583E7CA1231748A7BD9191CCDDF59CA603EA3DE99530C672555F7058279F4201C706A93E 8 Win32/ELEX zoo %SystemDrive%\PROGRAM FILES\QKSEE\QKSEESVC.EXE addsgn 1A591D9A55834C720BD4C4A50CC8E74425625DE089FAF7FAE9C3C5B3E7261B4ECB5FA9573E0C2504718084F97F1349FA3DDF9C7666015B1F8C4BA46FC7879A73 8 Win32/ELEX zoo %SystemDrive%\PROGRAM FILES\SFK\SSFK.EXE zoo %Sys32%\_SSPM\EVERYTHING.EXE addsgn 393B2B9A55FE83C2D7490AE76B5619058DA553E1478A1F7885C3C79048F56589E528C9D6BA78B6F83D80849F46E642905296D7251EF4A935873D74B421C74C7B 8 Win32/Obfuscated.NHA zoo %SystemDrive%\PROGRAMDATA\TOOLRAIN\TOOLRAIN.EXE addsgn 74E82D9A55C59BC49A5A0EF7EA9D0205C0B657F166B11F7885C3C38069CE7D8FA83BCDC69B43AEFE7080849F46DD5A961F85D3353FCFB133CA2E70A400FCD43B 8 Win32/Obfuscated.NHA zoo %SystemDrive%\PROGRAM FILES\TOOLRAIN\UPDATE\TOOLRAINUPDATE.EXE addsgn 1A6B759A55834F8CF42B51949C3A5305DAAF0004C8FAE05D853084BCAFF375BF62173C7236A6DC49D4A5886C0716B6DF6D2CA972AAFFA4DF6C7768E30BCAEEBF 8 Wenchao Zhang zoo %SystemDrive%\USERS\SKRASAKOVA\APPDATA\ROAMING\SETUP1\TSVR.EXE addsgn 1A09F99A5583338CF42B627DA804DEC9E946307DDDDE13F3C9E7C13982A20E439553E75F31EFB801BFC3849E351BC2B659D3BFF929FEB8DF879CF9A493222EF2 8 Adware.Mutabaha.1606 [DrWeb] zoo %SystemDrive%\PROGRAM FILES\UNCHECKIT\UNCHECKITSVC.EXE addsgn 1A1F779B5583338CF42BFB3A88999160D98A71B375AC4F87F0CF3AC9583E2D4E221748A7BD9191CCDDF59CA603EA3DE995FF328DAA5F7058279FB3F538F9A93E 8 Junyan Li zoo %SystemDrive%\PROGRAMDATA\AWINPA\WFINI.EXE addsgn 1AE9C99A5583338CF42B462F59C81280E5FFFA4EBDAC5978464005B09383FAA075FF27A8C1AA160423D10D97AE3649FA7D866382BDDFB02C2DFE94719AC5CA19 8 Dening Hu zoo %SystemDrive%\PROGRAM FILES\WINSABER\WINSABER.EXE addsgn 1AF3609B5583338CF42BFB3A889E99702D0F0A839A12026F85C3AFAA0E5F41A48701C357B593766D4300849F46E93CEA82AAE49A42DAB02CAEB3A8A6C183E207 8 Win32/ELEX zoo %SystemDrive%\PROGRAM FILES\WINZIPPER\WINZIPERSVC.EXE addsgn 1A57529A55835A8CF42BFB3A884BFE01ACF7007DF4F2943589022CBB36D99E8CC81F4EF31A559D492B10E29039112FF50298F8145AA5F70C4B78DB68F7602D0C 8 Worm:Win32/Dorkbot.I [Microsoft] zoo %SystemDrive%\USERS\SKRASAKOVA\APPDATA\ROAMING\WINDOWS LIVE\CGGARCWJBV.EXE addsgn 7300F39B556A1F275DE775E6ED94361DE2CED8E6196B5F780C9FE19C9692555803E8D6634E159D212A00849FB903558B3DDFBB8D4056C26C2D1DAD8C5F316073 8 Win32/Injector.BTMU [ESET-NOD32] zoo %SystemDrive%\PROGRAM FILES\GORN\GORN\CRYPT.EXE delref HTTP://V9.COM/?TYPE=HP&TS=1450257348&FROM=MYCH123&UID=ST500DM002-1BD142_W2AFEY65XXXXW2AFEY65&Z=2B56DFAB95F6CD7C6977998GEZBWDE4OFW9MBO5CDG delref HTTP://WWW.ATTIRERPAGE.COM/SEARCH/?TYPE=DS&TS=1466143854&Z=726D45357CE872A30527B15GEZ8QAQAGFZACCWAGAB&FROM=WPM0616&UID=ST500DM002-1BD142_W2AFEY65XXXXW2AFEY65&Q={SEARCHTERMS} delref HTTP://WWW.NUESEARCH.COM/SEARCH/?TYPE=DS&TS=1465280779&Z=40ADD4111DF8F463613D65BGBZCQ6W7O5B6EEZEM4G&FROM=WPM0607&UID=ST500DM002-1BD142_W2AFEY65XXXXW2AFEY65&Q={SEARCHTERMS} delref HTTP://WWW.SWEET-PAGE.COM/?TYPE=HP&TS=1416321508&FROM=COR&UID=ST500DM002-1BD142_W2AFEY65XXXXW2AFEY65 addsgn 1AACDB9A55835A8CF42B627DA804DEC9AEDED8FA02B63B7C0011B1D56316FB08071F47974B431CB32B81849F3418CAC79500AC7255AEB5C5D9DBA42F908DDBF0 8 dork zoo %SystemDrive%\USERS\SKRASAKOVA\APPDATA\ROAMING\WINDOWSUPDATE\LIVE.EXE zoo %SystemDrive%\USERS\SKRASAKOVA\APPDATA\ROAMING\WINDOWSUPDATE\UPDATER.EXE zoo %SystemDrive%\USERS\SKRASAKOVA\APPDATA\ROAMING\C731200 zoo %SystemDrive%\USERS\SKRASAKOVA\APPDATA\ROAMING\UPDATE\EXPLORER.EXE zoo %SystemDrive%\USERS\SKRASAKOVA\APPDATA\ROAMING\UPDATE\UPDATE.EXE addsgn 1A3DD79A55835A8CF42B16A9D28C12C6840A4AB0897FDF2EEFD79BC9576E714E231728510593E04EA046271FF0504990798F002149DAB0A9ED2EFD8CA7A06473 8 Worm:Win32/Dorkbot [Microsoft] zoo %SystemDrive%\USERS\SKRASAKOVA\APPDATA\ROAMING\MICROSOFT\WINDOWS\THEMES\VGYEYZ.EXE delref HTTP://DO-SEARCH.COM/WEB/?UTM_SOURCE=B&UTM_MEDIUM=&UTM_CAMPAIGN=INSTALL_IE&UTM_CONTENT=DS&FROM=&UID=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&TS=1420373293&TYPE=DEFAULT&Q={SEARCHTERMS} delref HTTP://WWW.SWEET-PAGE.COM/WEB/?TYPE=DS&TS=1416321508&FROM=COR&UID=ST500DM002-1BD142_W2AFEY65XXXXW2AFEY65&Q={SEARCHTERMS} delref HTTP://WWW.V9.COM/WEB?TYPE=DS&TS=1449471688&FROM=ZZGBKK123&UID=ST500DM002-1BD142_W2AFEY65XXXXW2AFEY65&Z=9C384790C471FA5947A7C16GAZ8ZFT0Z0M2G3W6Z8B&Q={SEARCHTERMS} delref HTTP://YOURSITES123.COM/WEB?TYPE=DS&TS=1450945905&Z=D082E6FB7D95FE390273986G5Z6WDE3T7Z6W8M8Q0W&FROM=WPM07173&UID=ST500DM002-1BD142_W2AFEY65XXXXW2AFEY65&Q={SEARCHTERMS} addsgn 1A4A729A5583008CF42BFB3A88370781F5CBFC9C88593BE3C7C32D2156D671B3561F2BCC38559DCA16A41FDD461610A308D78273BD59B62C2D2ECC26C306E29B 8 Adware.Mutabaha.1606 [DrWeb] zoo %SystemDrive%\PROGRAM FILES\UNCHECKIT\UNCHECKITUPDATE.EXE delref %SystemDrive%\USERS\AVARAB~1\APPDATA\ROAMING\DIGITA~1\UPDATE~1\UPDATE~1.EXE addsgn 1AA42B9A55835A8CF42BFB3A884BFE01ACF7007DF4F2943589022CBB36D99E8CC81F4EF31A559D492B10E29039112FF50298F8145AA5F70C4B78DB68F7602D0C 8 Win32/Injector.DDLX zoo %SystemDrive%\USERS\SKRASAKOVA\APPDATA\ROAMING\WINDOWSUPDATE\MOBSYNC.EXE addsgn 1AEC069A5583338CF42BFB3A8837070184C8FC9C8859B319C6C32D5725D671B3561F2BD74B559DCA162CE5DC461610A308D78273BD0BC52C2D2ECC26C306E29B 8 Trojan:Win32/Chuckenit.A [Microsoft] zoo %SystemDrive%\PROGRAMDATA\UCKT\[email protected] ;------------------------autoscript--------------------------- chklst delvir del %SystemDrive%\PROGRAM FILES\ELEX-TECH\YAC\ISAFEKRNL.SYS delref %SystemDrive%\PROGRAM FILES\ELEX-TECH\YAC\ISAFEKRNL.SYS del %Sys32%\DRIVERS\ISAFEKRNLBOOT.SYS delref %Sys32%\DRIVERS\ISAFEKRNLBOOT.SYS del %SystemDrive%\PROGRAM FILES\ELEX-TECH\YAC\ISAFEKRNLKIT.SYS delref %SystemDrive%\PROGRAM FILES\ELEX-TECH\YAC\ISAFEKRNLKIT.SYS del %SystemDrive%\PROGRAM FILES\ELEX-TECH\YAC\ISAFEKRNLMON.SYS delref %SystemDrive%\PROGRAM FILES\ELEX-TECH\YAC\ISAFEKRNLMON.SYS del %SystemDrive%\PROGRAM FILES\ELEX-TECH\YAC\ISAFEKRNLR3.SYS delref %SystemDrive%\PROGRAM FILES\ELEX-TECH\YAC\ISAFEKRNLR3.SYS del %Sys32%\DRIVERS\ISAFENETFILTER.SYS delref %Sys32%\DRIVERS\ISAFENETFILTER.SYS del %Sys32%\DRIVERS\{E8294A7E-8442-4F3A-8722-CB5C3F67ED67}GW.SYS delref %Sys32%\DRIVERS\{E8294A7E-8442-4F3A-8722-CB5C3F67ED67}GW.SYS deldirex %SystemDrive%\PROGRAM FILES\WINZIPPER delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC deldirex %SystemDrive%\PROGRAM FILES\ELEX-TECH\YAC delref HTTP:\\WWW.NUESEARCH.COM\?TYPE=SC&TS=1469605853&Z=EB43A385559A861D5FB5120G5ZFQ4T5Q6EDWCWBO5C&FROM=IHPM0722&UID=ST500DM002-1BD142_W2AFEY65XXXXW2AFEY65 delref HTTP:\\WWW.OMNIBOXES.COM\?TYPE=SC&TS=1448349528&Z=88B6E8E0D081442B8E663B0G1Z8ZEB3CCZ3T1Z0OEO&FROM=IENT07031&UID=ST500DM002-1BD142_W2AFEY65XXXXW2AFEY65 delhst 104.243.38.251 sotialmonstercookie.ru delhst 104.243.38.251 www.odnoklassniki.ru delhst 104.243.38.251 m.ok.ru delhst 104.243.38.251 ok.ru delhst 104.243.38.251 m.odnoklassniki.ru delhst 104.243.38.251 vk.com delhst 104.243.38.251 odnoklassniki.ru delhst 104.243.38.251 m.vk.com delhst 104.243.38.251 m.my.mail.ru delhst 104.243.38.251 my.mail.ru regt 27 deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %Sys32%\_SSPM\SABER.EXE
addsgn 1AFBDA9A5583338CF42B467721C81280E5FFFA4E2DCE5978464005B09383FAA075FF27A8C1AA160423D10D97AE3649FA7D866382BDDFB02C2DFE94719AC5CAE1 8 Win32/ELEX

zoo %Sys32%\_SSPM\WPM.EXE
addsgn 1AEF769B5583338CF42BFB3A88999160D98A71B375AC4F87F0CF3AC9583E1D4E221748A7BD9191CCDDF59CA603EA3DE995FF328DAA5F7058279FB3F538F9A93E 8 Adware.Mutabaha.1623 [DrWeb]

addsgn 4FA4329A55E399B1B64905F479261405FAA75DAF42951F7885C3DE815BE87FFA8428C6C5A838BBD44A80849F46F959BE24C9CE340DE9B346E63D7BA733877157 8 Win32/ELEX

zoo %SystemDrive%\PROGRAMDATA\BIRDKISS\BIRDKISS.EXE
addsgn 2716109A55D6F1CE967F31C1B9793605CE9235D062A31F7885C3FEB76FDD1785A41EF2F0C0479BE27E80849F46CF6D8B4CB6EE0239DCDB39C60B4F925BF8C16F 8 Win32/ELEX

zoo %SystemDrive%\PROGRAM FILES\BIRDKISS\UPDATE\BIRDKISSUPDATE.EXE
addsgn 1A24709A5583CC8CF42B5194043B5605AEC7089200F71F7885C39CE30F882AC7C64A92A5FD05F9B61E80849F469B0DDE71F48C565989E67BA45F2FC766768235 8 Wei Liu

zoo %SystemDrive%\PROGRAMDATA\BOOKFAT\BOOKFAT.EXE
addsgn 1A0C729A5583CC8CF42B5194BC3B5405AEC7089200F71F7885C39CE30F882AC7C64A92A5FD05F9B61E80849F469B0DDE71F48C565989E67BA45F2FC76676E23B 8 Wei Liu

zoo %SystemDrive%\PROGRAM FILES\BOOKFAT\UPDATE\BOOKFATUPDATE.EXE
delref %SystemDrive%\PROGRAM FILES\GHOKSWA BROWSER\GHOKSWA\BIN\BROWSERSERVER.EXE
addsgn 1A0B739A5583008CF42B624E419C614725DF771A76EF3309C7C3AFBDF3B2CF0F23FF10523E55623C2368559A4616CAC71961AB725583E959251DA5C77E032273 8 Adware.Mutabaha.1606 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES\UNCHECKIT\CKTSVC.EXE
addsgn 1A32759A5583008CF42BFB3A8837072105CAFC9C88594B4BC5C32DF355D671B3561F2B1A3B559DCA16D4B7DF461610A308D78273BDEFB52C2D2ECC26C306E29B 8 Adware.Mutabaha.477 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES\ELEX-TECH\YAC\ISAFESVC.EXE
zoo %SystemDrive%\PROGRAM FILES\ELEX-TECH\YAC\ISAFESVC2.EXE
delref %SystemDrive%\PROGRAM FILES\PICEXA\PICEXASVC.EXE
addsgn 1A449C9A5583338CF42BFB3A88999160D98AAA7BCC064F87F0CF3AC9583E7CA1231748A7BD9191CCDDF59CA603EA3DE99530C672555F7058279F4201C706A93E 8 Win32/ELEX

zoo %SystemDrive%\PROGRAM FILES\QKSEE\QKSEESVC.EXE
addsgn 1A591D9A55834C720BD4C4A50CC8E74425625DE089FAF7FAE9C3C5B3E7261B4ECB5FA9573E0C2504718084F97F1349FA3DDF9C7666015B1F8C4BA46FC7879A73 8 Win32/ELEX

zoo %SystemDrive%\PROGRAM FILES\SFK\SSFK.EXE
zoo %Sys32%\_SSPM\EVERYTHING.EXE
addsgn 393B2B9A55FE83C2D7490AE76B5619058DA553E1478A1F7885C3C79048F56589E528C9D6BA78B6F83D80849F46E642905296D7251EF4A935873D74B421C74C7B 8 Win32/Obfuscated.NHA

zoo %SystemDrive%\PROGRAMDATA\TOOLRAIN\TOOLRAIN.EXE
addsgn 74E82D9A55C59BC49A5A0EF7EA9D0205C0B657F166B11F7885C3C38069CE7D8FA83BCDC69B43AEFE7080849F46DD5A961F85D3353FCFB133CA2E70A400FCD43B 8 Win32/Obfuscated.NHA

zoo %SystemDrive%\PROGRAM FILES\TOOLRAIN\UPDATE\TOOLRAINUPDATE.EXE
addsgn 1A6B759A55834F8CF42B51949C3A5305DAAF0004C8FAE05D853084BCAFF375BF62173C7236A6DC49D4A5886C0716B6DF6D2CA972AAFFA4DF6C7768E30BCAEEBF 8 Wenchao Zhang

zoo %SystemDrive%\USERS\SKRASAKOVA\APPDATA\ROAMING\SETUP1\TSVR.EXE
addsgn 1A09F99A5583338CF42B627DA804DEC9E946307DDDDE13F3C9E7C13982A20E439553E75F31EFB801BFC3849E351BC2B659D3BFF929FEB8DF879CF9A493222EF2 8 Adware.Mutabaha.1606 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES\UNCHECKIT\UNCHECKITSVC.EXE
addsgn 1A1F779B5583338CF42BFB3A88999160D98A71B375AC4F87F0CF3AC9583E2D4E221748A7BD9191CCDDF59CA603EA3DE995FF328DAA5F7058279FB3F538F9A93E 8 Junyan Li

zoo %SystemDrive%\PROGRAMDATA\AWINPA\WFINI.EXE
addsgn 1AE9C99A5583338CF42B462F59C81280E5FFFA4EBDAC5978464005B09383FAA075FF27A8C1AA160423D10D97AE3649FA7D866382BDDFB02C2DFE94719AC5CA19 8 Dening Hu

zoo %SystemDrive%\PROGRAM FILES\WINSABER\WINSABER.EXE
addsgn 1AF3609B5583338CF42BFB3A889E99702D0F0A839A12026F85C3AFAA0E5F41A48701C357B593766D4300849F46E93CEA82AAE49A42DAB02CAEB3A8A6C183E207 8 Win32/ELEX

zoo %SystemDrive%\PROGRAM FILES\WINZIPPER\WINZIPERSVC.EXE
addsgn 1A57529A55835A8CF42BFB3A884BFE01ACF7007DF4F2943589022CBB36D99E8CC81F4EF31A559D492B10E29039112FF50298F8145AA5F70C4B78DB68F7602D0C 8 Worm:Win32/Dorkbot.I [Microsoft]

zoo %SystemDrive%\USERS\SKRASAKOVA\APPDATA\ROAMING\WINDOWS LIVE\CGGARCWJBV.EXE
addsgn 7300F39B556A1F275DE775E6ED94361DE2CED8E6196B5F780C9FE19C9692555803E8D6634E159D212A00849FB903558B3DDFBB8D4056C26C2D1DAD8C5F316073 8 Win32/Injector.BTMU [ESET-NOD32]

zoo %SystemDrive%\PROGRAM FILES\GORN\GORN\CRYPT.EXE
delref HTTP://V9.COM/?TYPE=HP&TS=1450257348&FROM=MYCH123&UID=ST500DM002-1BD142_W2AFEY65XXXXW2AFEY65&Z=2B56DFAB95F6CD7C6977998GEZBWDE4OFW9MBO5CDG
delref HTTP://WWW.ATTIRERPAGE.COM/SEARCH/?TYPE=DS&TS=1466143854&Z=726D45357CE872A30527B15GEZ8QAQAGFZACCWAGAB&FROM=WPM0616&UID=ST500DM002-1BD142_W2AFEY65XXXXW2AFEY65&Q={SEARCHTERMS}
delref HTTP://WWW.NUESEARCH.COM/SEARCH/?TYPE=DS&TS=1465280779&Z=40ADD4111DF8F463613D65BGBZCQ6W7O5B6EEZEM4G&FROM=WPM0607&UID=ST500DM002-1BD142_W2AFEY65XXXXW2AFEY65&Q={SEARCHTERMS}
delref HTTP://WWW.SWEET-PAGE.COM/?TYPE=HP&TS=1416321508&FROM=COR&UID=ST500DM002-1BD142_W2AFEY65XXXXW2AFEY65
addsgn 1AACDB9A55835A8CF42B627DA804DEC9AEDED8FA02B63B7C0011B1D56316FB08071F47974B431CB32B81849F3418CAC79500AC7255AEB5C5D9DBA42F908DDBF0 8 dork

zoo %SystemDrive%\USERS\SKRASAKOVA\APPDATA\ROAMING\WINDOWSUPDATE\LIVE.EXE
zoo %SystemDrive%\USERS\SKRASAKOVA\APPDATA\ROAMING\WINDOWSUPDATE\UPDATER.EXE
zoo %SystemDrive%\USERS\SKRASAKOVA\APPDATA\ROAMING\C731200
zoo %SystemDrive%\USERS\SKRASAKOVA\APPDATA\ROAMING\UPDATE\EXPLORER.EXE
zoo %SystemDrive%\USERS\SKRASAKOVA\APPDATA\ROAMING\UPDATE\UPDATE.EXE
addsgn 1A3DD79A55835A8CF42B16A9D28C12C6840A4AB0897FDF2EEFD79BC9576E714E231728510593E04EA046271FF0504990798F002149DAB0A9ED2EFD8CA7A06473 8 Worm:Win32/Dorkbot [Microsoft]

zoo %SystemDrive%\USERS\SKRASAKOVA\APPDATA\ROAMING\MICROSOFT\WINDOWS\THEMES\VGYEYZ.EXE
delref HTTP://DO-SEARCH.COM/WEB/?UTM_SOURCE=B&UTM_MEDIUM=&UTM_CAMPAIGN=INSTALL_IE&UTM_CONTENT=DS&FROM=&UID=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&TS=1420373293&TYPE=DEFAULT&Q={SEARCHTERMS}
delref HTTP://WWW.SWEET-PAGE.COM/WEB/?TYPE=DS&TS=1416321508&FROM=COR&UID=ST500DM002-1BD142_W2AFEY65XXXXW2AFEY65&Q={SEARCHTERMS}
delref HTTP://WWW.V9.COM/WEB?TYPE=DS&TS=1449471688&FROM=ZZGBKK123&UID=ST500DM002-1BD142_W2AFEY65XXXXW2AFEY65&Z=9C384790C471FA5947A7C16GAZ8ZFT0Z0M2G3W6Z8B&Q={SEARCHTERMS}
delref HTTP://YOURSITES123.COM/WEB?TYPE=DS&TS=1450945905&Z=D082E6FB7D95FE390273986G5Z6WDE3T7Z6W8M8Q0W&FROM=WPM07173&UID=ST500DM002-1BD142_W2AFEY65XXXXW2AFEY65&Q={SEARCHTERMS}
addsgn 1A4A729A5583008CF42BFB3A88370781F5CBFC9C88593BE3C7C32D2156D671B3561F2BCC38559DCA16A41FDD461610A308D78273BD59B62C2D2ECC26C306E29B 8 Adware.Mutabaha.1606 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES\UNCHECKIT\UNCHECKITUPDATE.EXE
delref %SystemDrive%\USERS\AVARAB~1\APPDATA\ROAMING\DIGITA~1\UPDATE~1\UPDATE~1.EXE
addsgn 1AA42B9A55835A8CF42BFB3A884BFE01ACF7007DF4F2943589022CBB36D99E8CC81F4EF31A559D492B10E29039112FF50298F8145AA5F70C4B78DB68F7602D0C 8 Win32/Injector.DDLX

zoo %SystemDrive%\USERS\SKRASAKOVA\APPDATA\ROAMING\WINDOWSUPDATE\MOBSYNC.EXE

addsgn 1AEC069A5583338CF42BFB3A8837070184C8FC9C8859B319C6C32D5725D671B3561F2BD74B559DCA162CE5DC461610A308D78273BD0BC52C2D2ECC26C306E29B 8 Trojan:Win32/Chuckenit.A [Microsoft]

zoo %SystemDrive%\PROGRAMDATA\UCKT\[email protected]

;------------------------autoscript---------------------------

chklst
delvir

del %SystemDrive%\PROGRAM FILES\ELEX-TECH\YAC\ISAFEKRNL.SYS
delref %SystemDrive%\PROGRAM FILES\ELEX-TECH\YAC\ISAFEKRNL.SYS
del %Sys32%\DRIVERS\ISAFEKRNLBOOT.SYS
delref %Sys32%\DRIVERS\ISAFEKRNLBOOT.SYS
del %SystemDrive%\PROGRAM FILES\ELEX-TECH\YAC\ISAFEKRNLKIT.SYS
delref %SystemDrive%\PROGRAM FILES\ELEX-TECH\YAC\ISAFEKRNLKIT.SYS
del %SystemDrive%\PROGRAM FILES\ELEX-TECH\YAC\ISAFEKRNLMON.SYS
delref %SystemDrive%\PROGRAM FILES\ELEX-TECH\YAC\ISAFEKRNLMON.SYS
del %SystemDrive%\PROGRAM FILES\ELEX-TECH\YAC\ISAFEKRNLR3.SYS
delref %SystemDrive%\PROGRAM FILES\ELEX-TECH\YAC\ISAFEKRNLR3.SYS
del %Sys32%\DRIVERS\ISAFENETFILTER.SYS
delref %Sys32%\DRIVERS\ISAFENETFILTER.SYS
del %Sys32%\DRIVERS\{E8294A7E-8442-4F3A-8722-CB5C3F67ED67}GW.SYS
delref %Sys32%\DRIVERS\{E8294A7E-8442-4F3A-8722-CB5C3F67ED67}GW.SYS

deldirex %SystemDrive%\PROGRAM FILES\WINZIPPER

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC

deldirex %SystemDrive%\PROGRAM FILES\ELEX-TECH\YAC

delref HTTP:\\WWW.NUESEARCH.COM\?TYPE=SC&TS=1469605853&Z=EB43A385559A861D5FB5120G5ZFQ4T5Q6EDWCWBO5C&FROM=IHPM0722&UID=ST500DM002-1BD142_W2AFEY65XXXXW2AFEY65

delref HTTP:\\WWW.OMNIBOXES.COM\?TYPE=SC&TS=1448349528&Z=88B6E8E0D081442B8E663B0G1Z8ZEB3CCZ3T1Z0OEO&FROM=IENT07031&UID=ST500DM002-1BD142_W2AFEY65XXXXW2AFEY65

delhst 104.243.38.251 sotialmonstercookie.ru
delhst 104.243.38.251 www.odnoklassniki.ru
delhst 104.243.38.251 m.ok.ru
delhst 104.243.38.251 ok.ru
delhst 104.243.38.251 m.odnoklassniki.ru
delhst 104.243.38.251 vk.com
delhst 104.243.38.251 odnoklassniki.ru
delhst 104.243.38.251 m.vk.com
delhst 104.243.38.251 m.my.mail.ru
delhst 104.243.38.251 my.mail.ru

regt 27
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.

или выполните скрипт из файла script01.txt, поскольку я вижу образ автозапуска сделан из под загрузочного диска.

если система поднимется после скрипта,
сделайте дополнительно проверку в малваребайт с рабочего стола.
http://forum.esetnod32.ru/forum9/topic10688/

Прикрепленные файлы

script01.txt (17.93 КБ)

Изменено: santy - 15.08.2016 16:21:17

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 15.08.2016

Размещено 15.08.2016 17:15:15

Спасибо, комп загрузился, дальше посмотрим)). Понятия не имею почему касперыч не отреагировал. Принесли, сказали выручай.

Сообщений: 1

Регистрация: 16.08.2016

Размещено 16.08.2016 17:20:20

Доброго вечера, Поймали da_vinci_code. Образ автозапуска прилагаю. Проблема не смогли определить с какого компа прилетел. Потому что открытая сетка с шарой, прилагаю образ с файл сервера и со своей машины.

Прикрепленные файлы

DESKTOP-8D88QUD_2016-08-16_16-44-35.7z (855.17 КБ)
FILESERVER_2016-08-16_16-04-56.7z (345.13 КБ)

Сообщений: 17973

Баллов: 28756

Регистрация: 16.03.2010

Размещено 17.08.2016 00:50:57

Алексей Дерягин,
ищите на компах в корне диска файлы README*.TXT,
да и обои рабочего стола для da_vinci_code характерные.
Судя по образам автозапуска здесь нет следов шифратора.

[ Как создать образ автозапуска? ]

Сообщений: 4

Баллов: 2

Регистрация: 17.08.2016

Размещено 17.08.2016 10:47:30

Здравствуйте! Подцепили da_vinci_code на 2 компьютерах. образы прилагаем. есть ли вариант дешифровать файлы?

ПК1 https://cloud.mail.ru/public/M1e1/vApx3HA1D
ПК2 https://cloud.mail.ru/public/BRXQ/CVgQHEVGF

Сообщений: 17973

Баллов: 28756

Регистрация: 16.03.2010

Размещено 17.08.2016 11:02:44

Виктор,
по компу KLIMOVA:
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.4 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE addsgn 73006799556A1F275D83C4915725498C49AEE031CDDE07980183C5353CF261B3362743173E3D9CC92B807B8A869609FA2820FDC6D79AB04625D41C698006CA9B 8 Adware.Mutabaha.708 [DrWeb] zoo %SystemDrive%\USERS\ТАТЬЯНА\DOWNLOADS\MPC_3.2.9227.0121.EXE ;------------------------autoscript--------------------------- chklst delvir delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID] delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGDKNICMNHBAAJDGLBINPAHHAPGHPAKCH%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJEDELKHANEFMCNPAPPFHACHBPNLHOMAI%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPGANLGLBHGFJFGOPIJBHEMCPBEHJNPIA%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\USERS\ТАТЬЯНА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\HFONHGKHIDIHINKNIHHBGAJJMDLCDLLH\8.19.0_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС deldirex %SystemDrive%\USERS\ТАТЬЯНА\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER delref %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE delref %Sys32%\DRIVERS\MPCKPT.SYS ; Java(TM) 6 Update 22 exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216022FF} /quiet deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
addsgn 73006799556A1F275D83C4915725498C49AEE031CDDE07980183C5353CF261B3362743173E3D9CC92B807B8A869609FA2820FDC6D79AB04625D41C698006CA9B 8 Adware.Mutabaha.708 [DrWeb]

zoo %SystemDrive%\USERS\ТАТЬЯНА\DOWNLOADS\MPC_3.2.9227.0121.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGDKNICMNHBAAJDGLBINPAHHAPGHPAKCH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJEDELKHANEFMCNPAPPFHACHBPNLHOMAI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPGANLGLBHGFJFGOPIJBHEMCPBEHJNPIA%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\ТАТЬЯНА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\HFONHGKHIDIHINKNIHHBGAJJMDLCDLLH\8.19.0_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС

deldirex %SystemDrive%\USERS\ТАТЬЯНА\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
delref %Sys32%\DRIVERS\MPCKPT.SYS

; Java(TM) 6 Update 22
exec  MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216022FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

[ Как создать образ автозапуска? ]

Сообщений: 17973

Баллов: 28756

Регистрация: 16.03.2010

Размещено 17.08.2016 11:05:41

по компьтеру POPOVA:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.4 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID] delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\USERS\ВАЛЕНТИНА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.0_0\СТАРТОВАЯ — ЯНДЕКС deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\ВАЛЕНТИНА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.0_0\СТАРТОВАЯ — ЯНДЕКС

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
----------------
расшифровки нет. Неизвестно когда будет.
+
желательно добавить несколько зашифрованных файлов на будущее.
с каждого компьютера.
чтобы была возможность проверки расшифровки.

Изменено: santy - 17.08.2016 11:07:35

[ Как создать образ автозапуска? ]

Сообщений: 4

Баллов: 2

Регистрация: 17.08.2016

Размещено 17.08.2016 11:51:13

сейчас компы работают нормально. не считая зашифрованных документов

Цитата
желательно добавить несколько зашифрованных файлов на будущее.

Куда добавлять файлы, сюда?
Надеемся на дешифровку

Пред. 1 ... 27 28 29 30 31 ... 60 След.