файлы зашифрованы с расширением .xtbl; .breaking_bad , Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

RSS

Сообщений: 4

Баллов: 2

Регистрация: 27.01.2015

Размещено 27.01.2015 13:44:56

Добрый день!
Мое обращение в службу ТП № 970855, правда оно уже закрыто по истечении 4-х дней.

Возникла такая проблема, у моего знакомого зашифровались данные на компьютере. Ребенок скачивал, со слов, игры и в результате получилась такая проблема.
После этого система была переустановлена два раза.
На экране, со слов, была надпись о шифрованных данных, а так же предлагаемый способ расшифровки (заплатить деньги). Что было точно написано в обращении я не знаю. Есть ли возможность расшифровать данные?

Заранее Вам благодарен, с ув. Алексей.

Пытался отправить письмо с вложенными зашифрованными файлами на вашу почту [email protected], письмо не доставляется к сожалению.
Подскажите пожалуйста как мне отправить архивы в тех поддержку, и есть ли шансы восстановить фалы?

----------------
просьба: при создании сообщений о шифровании *.xtbl оставляйте информацию о коде шифрования,
например:

Цитата
Ваши фaйлы былu зaшифpoвaны. код: 5E5E1BEC5BE045A020AC\|0

или добавьте во вложении в архив зашифрованный файл и один из созданных шифратором файлов README*.TXT

Ответы

Пред. 1 ... 44 45 46 47 48 ... 61 След.

Сообщений: 4

Баллов: 2

Регистрация: 21.01.2016

Размещено 22.01.2016 09:30:02

Да все сделал, все работает, спасибо большое! Жаль что файлы не удалось расшифровать.

Удачи Вам.

Сообщений: 1

Регистрация: 22.01.2016

Размещено 22.01.2016 13:51:18

Цитата
Дмитрий Даб написал: От своего сотрудника получил письмо якобы из бухгалтерии. После скачивания большинство файлов на компьютере стали с расширениями breaking_bad и heisenberg. Вся работа встала. Вымогают деньги.

Та же ситуация
Вкладываю файлы, прошу помочь

Прикрепленные файлы

GOD_2016-01-22_13-35-19.7z (724.55 КБ)
README1.txt (843 Б)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 22.01.2016 16:34:45

Александр Баев,

по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\USERS\DOMINATOR\APPDATA\LOCAL\ILIVID\ILIVID.EXE addsgn 1A8B7F9A5583508FF42B25B1E5F07176486A88F5BA3ADC9169CBC5BC3AC2191400B3C3BF04509D49A8E5789FB95B59824754A57A7E97BCA5607F5B7AD3EDCFF8 8 Win64.SearchSuite.d [Kaspersky] zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE addsgn 9AF41FDA5582BC8DF42BAEB164C81205158AFCF6B1FA1F7885C3C5BCA9F23894A5206C1EBBDBB115189D2A5F461649FA7DDFE97255DAB02C2D77A42FAA63431D 8 Win32/Filecoder.ED [ESET-NOD32] zoo %SystemDrive%\USERS\DOMINATOR\APPDATA\ROAMING\DSITE\UPDATEPROC\UPDATETASK.EXE addsgn A7679B19919AF4663F95AE5978DFEDFA4F8A945ABBBB1F10DDF084BC385A420D23AE73637F5527AD1FC18427BA2208FA9558688DAA32F229D288A42F38F9DD8C 9 Adware.Downware.1195 [DrWeb] zoo %SystemDrive%\USERS\DOMINATOR\APPDATA\ROAMING\DEALPLY\UPDATEPROC\UPDATETASK.EXE addsgn A7679B23526A4C7261D4C4B12DBDEB549D06E8B78912614E7A3CF67C05BEE25A6217A7A80E311469C3539560B99389F5F980E9725532B2B2D288296A2BEED44D 18 Adware.Shopper.331 [DrWeb] zoo %SystemDrive%\PROGRAM FILES (X86)\TOOLDEV342\WEATHERBAR\TRACERSTOOLBARBHO_X86.DLL addsgn A7679B1928664D070E3C08B264C8ED70357589FA768F179082C3C5BCD3127D11E11BC33D2E3DCDC92B906CAB471649C9BD9F6382DCAF541FF6FEF9D34C7B2EFA 64 Trojan.BPlug.116 [DrWeb] zoo %SystemDrive%\PROGRAM FILES (X86)\DEALPLY\DEALPLYIE.DLL addsgn A7679B1928664D070E3CA68264C8ED70357589FA768F179082C3C5BCD3127D11E11BC33D323D25562A906CC47E1649C9BD9F6307595F4659214E916FF807327C 64 Adware.Shopper.328 [DrWeb] zoo %SystemDrive%\USERS\DOMINATOR\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetotian zoo %SystemDrive%\PROGRAM FILES (X86)\CONDUIT\COMMUNITY ALERTS\ALERT.DLL addsgn 79132211B9E9317E0AA1AB5937AF1205DAFFF47DC4EA942D892B2942AF292811E11BC3DCC10016A5A0C58CF9CD4345117AB9D3B821CBF06C22C0AC4942CF5782 64 Win32/Toolbar.Conduit zoo %SystemDrive%\USERS\DOMINATOR\APPDATA\ROAMING\CODEC PACK PACKAGES\UNINSTALLER.EXE addsgn A7679B19919AF4468194AE59313DEDFA258AFCF689FA1F7885C3C5BC50D6714C2317C3573E559D492B80849F461649FA7DDFE87255DAB02C2D77A42FC7062273 9 Win32/InstallCore.AZ zoo %SystemDrive%\USERS\DOMINATOR\APPDATA\ROAMING\ASPACKAGE\UNINSTALL.EXE addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6E96B5F78B63503F874C251B33627B3173E3D9CC92B807B8AF66609FA2E20FD0E279AB04625D4BCC38506CA82 59 Win32/Adware.ConvertAd zoo %SystemDrive%\USERS\DOMINATOR\APPDATA\ROAMING\ASPACKAGE\ASPACKAGE.EXE zoo %SystemDrive%\USERS\DOMINATOR\APPDATA\LOCAL\MEDIAGET2\MEDIAGET-UNINSTALLER.EXE addsgn 9252771A116AC1CC0B44554E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 14 Win32:FakeSys-BF [PUP] zoo %SystemDrive%\PROGRAM FILES (X86)\XVID\VIDCCLEANER.EXE addsgn 9252771A156AC1CC0B44514E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 Trojan.Encoder.1214 [DrWeb] zoo %SystemDrive%\PROGRAM FILES (X86)\НОВЫЙ ДИСК\НЭНСИ ДРЮ. ПО СЛЕДУ ТОРНАДО\BONUS\EPLAY-NENSI_DRJU_BELYI_VOLK_LEDYANOGO_USCHELIYA.EXE hide %SystemDrive%\PROGRAM FILES (X86)\НОВЫЙ ДИСК\НЭНСИ ДРЮ. ПО СЛЕДУ ТОРНАДО\BONUS\EPLAY-NENSI_DRJU_BELYI_VOLK_LEDYANOGO_USCHELIYA.EXE ;------------------------autoscript--------------------------- hide %SystemDrive%\PROGRAM FILES (X86)\XVID\VIDCCLEANER.EXE chklst delvir ; Weatherbar exec MsiExec.exe /I{29EA77C2-07D6-44B0-B41D-053380B0C6F4} /quiet ; AnySend exec C:\Users\DOMINATOR\AppData\Roaming\ASPackage\Uninstall.exe ; Conduit Engine exec C:\PROGRA~2\CONDUI~1\ConduitEngineUninstall.exe ; DealPly (remove only) exec C:\Program Files (x86)\DealPly\uninst.exe ; madLen.uCoz.coM Toolbar exec C:\PROGRA~2\MADLEN~1.COM\UNWISE.EXE /U C:\PROGRA~2\MADLEN~1.COM\INSTALL.LOG exec C:\Users\DOMINATOR\AppData\Roaming\DealPly\UpdateProc\UpdateTask.exe /Uninstall delref %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER3.DLL del %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER3.DLL deldirex %SystemDrive%\PROGRAM FILES\REIMAGE\REIMAGE PROTECTOR delref %SystemDrive%\USERS\DOMINATOR\APPDATA\LOCAL\YTMDPACK\19E05956.EXE del %SystemDrive%\USERS\DOMINATOR\APPDATA\LOCAL\YTMDPACK\19E05956.EXE delref %SystemDrive%\USERS\DOMINATOR\APPDATA\LOCAL\YTMDPACK\XYZSE.DLL del %SystemDrive%\USERS\DOMINATOR\APPDATA\LOCAL\YTMDPACK\XYZSE.DLL deldirex %SystemDrive%\USERS\DOMINATOR\APPDATA\LOCAL\MEDIAGET2 deldirex %SystemDrive%\USERS\DOMINATOR\APPDATA\LOCAL\ILIVID\PLATFORMS deldirex %SystemDrive%\USERS\DOMINATOR\APPDATA\LOCAL\ILIVID\IMAGEFORMATS deldirex %SystemDrive%\USERS\DOMINATOR\APPDATA\LOCAL\ILIVID delref (X86)\DEALPLY\DEALPLYUPDATE.EXE deldirex %SystemDrive%\PROGRAM FILES\REIMAGE\REIMAGE REPAIR deldirex %SystemDrive%\USERS\DOMINATOR\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGDKNICMNHBAAJDGLBINPAHHAPGHPAKCH%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGKBEHDIBCCCCAKLBCHJDJKPIFIKJICLO%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJEDELKHANEFMCNPAPPFHACHBPNLHOMAI%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPGANLGLBHGFJFGOPIJBHEMCPBEHJNPIA%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\PROGRAM FILES\TOOLDEV342\WEATHERBAR\\TRACERSTOOLBARBHO_X64.DLL del %SystemDrive%\PROGRAM FILES\TOOLDEV342\WEATHERBAR\\TRACERSTOOLBARBHO_X64.DLL deldirex %SystemDrive%\USERS\DOMINATOR\APPDATA\LOCAL\MEDIA GET LLC\MEDIAGET2 deldirex %SystemDrive%\PROGRAM FILES (X86)\DEALPLY deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\DOMINATOR\APPDATA\LOCAL\ILIVID\ILIVID.EXE
addsgn 1A8B7F9A5583508FF42B25B1E5F07176486A88F5BA3ADC9169CBC5BC3AC2191400B3C3BF04509D49A8E5789FB95B59824754A57A7E97BCA5607F5B7AD3EDCFF8 8 Win64.SearchSuite.d [Kaspersky]

zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
addsgn 9AF41FDA5582BC8DF42BAEB164C81205158AFCF6B1FA1F7885C3C5BCA9F23894A5206C1EBBDBB115189D2A5F461649FA7DDFE97255DAB02C2D77A42FAA63431D 8 Win32/Filecoder.ED [ESET-NOD32]

zoo %SystemDrive%\USERS\DOMINATOR\APPDATA\ROAMING\DSITE\UPDATEPROC\UPDATETASK.EXE
addsgn A7679B19919AF4663F95AE5978DFEDFA4F8A945ABBBB1F10DDF084BC385A420D23AE73637F5527AD1FC18427BA2208FA9558688DAA32F229D288A42F38F9DD8C 9 Adware.Downware.1195 [DrWeb]

zoo %SystemDrive%\USERS\DOMINATOR\APPDATA\ROAMING\DEALPLY\UPDATEPROC\UPDATETASK.EXE
addsgn A7679B23526A4C7261D4C4B12DBDEB549D06E8B78912614E7A3CF67C05BEE25A6217A7A80E311469C3539560B99389F5F980E9725532B2B2D288296A2BEED44D 18 Adware.Shopper.331 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES (X86)\TOOLDEV342\WEATHERBAR\TRACERSTOOLBARBHO_X86.DLL
addsgn A7679B1928664D070E3C08B264C8ED70357589FA768F179082C3C5BCD3127D11E11BC33D2E3DCDC92B906CAB471649C9BD9F6382DCAF541FF6FEF9D34C7B2EFA 64 Trojan.BPlug.116 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES (X86)\DEALPLY\DEALPLYIE.DLL
addsgn A7679B1928664D070E3CA68264C8ED70357589FA768F179082C3C5BCD3127D11E11BC33D323D25562A906CC47E1649C9BD9F6307595F4659214E916FF807327C 64 Adware.Shopper.328 [DrWeb]

zoo %SystemDrive%\USERS\DOMINATOR\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetotian

zoo %SystemDrive%\PROGRAM FILES (X86)\CONDUIT\COMMUNITY ALERTS\ALERT.DLL
addsgn 79132211B9E9317E0AA1AB5937AF1205DAFFF47DC4EA942D892B2942AF292811E11BC3DCC10016A5A0C58CF9CD4345117AB9D3B821CBF06C22C0AC4942CF5782 64 Win32/Toolbar.Conduit

zoo %SystemDrive%\USERS\DOMINATOR\APPDATA\ROAMING\CODEC PACK PACKAGES\UNINSTALLER.EXE
addsgn A7679B19919AF4468194AE59313DEDFA258AFCF689FA1F7885C3C5BC50D6714C2317C3573E559D492B80849F461649FA7DDFE87255DAB02C2D77A42FC7062273 9 Win32/InstallCore.AZ

zoo %SystemDrive%\USERS\DOMINATOR\APPDATA\ROAMING\ASPACKAGE\UNINSTALL.EXE
addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6E96B5F78B63503F874C251B33627B3173E3D9CC92B807B8AF66609FA2E20FD0E279AB04625D4BCC38506CA82 59 Win32/Adware.ConvertAd

zoo %SystemDrive%\USERS\DOMINATOR\APPDATA\ROAMING\ASPACKAGE\ASPACKAGE.EXE
zoo %SystemDrive%\USERS\DOMINATOR\APPDATA\LOCAL\MEDIAGET2\MEDIAGET-UNINSTALLER.EXE
addsgn 9252771A116AC1CC0B44554E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 14 Win32:FakeSys-BF [PUP]

zoo %SystemDrive%\PROGRAM FILES (X86)\XVID\VIDCCLEANER.EXE
addsgn 9252771A156AC1CC0B44514E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 Trojan.Encoder.1214 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES (X86)\НОВЫЙ ДИСК\НЭНСИ ДРЮ. ПО СЛЕДУ ТОРНАДО\BONUS\EPLAY-NENSI_DRJU_BELYI_VOLK_LEDYANOGO_USCHELIYA.EXE
hide %SystemDrive%\PROGRAM FILES (X86)\НОВЫЙ ДИСК\НЭНСИ ДРЮ. ПО СЛЕДУ ТОРНАДО\BONUS\EPLAY-NENSI_DRJU_BELYI_VOLK_LEDYANOGO_USCHELIYA.EXE
;------------------------autoscript---------------------------

hide %SystemDrive%\PROGRAM FILES (X86)\XVID\VIDCCLEANER.EXE
chklst
delvir

; Weatherbar
exec MsiExec.exe /I{29EA77C2-07D6-44B0-B41D-053380B0C6F4} /quiet
; AnySend
exec  C:\Users\DOMINATOR\AppData\Roaming\ASPackage\Uninstall.exe
; Conduit Engine
exec  C:\PROGRA~2\CONDUI~1\ConduitEngineUninstall.exe
; DealPly (remove only)
exec  C:\Program Files (x86)\DealPly\uninst.exe
; madLen.uCoz.coM Toolbar
exec  C:\PROGRA~2\MADLEN~1.COM\UNWISE.EXE   /U C:\PROGRA~2\MADLEN~1.COM\INSTALL.LOG
exec C:\Users\DOMINATOR\AppData\Roaming\DealPly\UpdateProc\UpdateTask.exe /Uninstall

delref %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER3.DLL
del %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER3.DLL

deldirex %SystemDrive%\PROGRAM FILES\REIMAGE\REIMAGE PROTECTOR

delref %SystemDrive%\USERS\DOMINATOR\APPDATA\LOCAL\YTMDPACK\19E05956.EXE
del %SystemDrive%\USERS\DOMINATOR\APPDATA\LOCAL\YTMDPACK\19E05956.EXE

delref %SystemDrive%\USERS\DOMINATOR\APPDATA\LOCAL\YTMDPACK\XYZSE.DLL
del %SystemDrive%\USERS\DOMINATOR\APPDATA\LOCAL\YTMDPACK\XYZSE.DLL

deldirex %SystemDrive%\USERS\DOMINATOR\APPDATA\LOCAL\MEDIAGET2

deldirex %SystemDrive%\USERS\DOMINATOR\APPDATA\LOCAL\ILIVID\PLATFORMS

deldirex %SystemDrive%\USERS\DOMINATOR\APPDATA\LOCAL\ILIVID\IMAGEFORMATS

deldirex %SystemDrive%\USERS\DOMINATOR\APPDATA\LOCAL\ILIVID

delref (X86)\DEALPLY\DEALPLYUPDATE.EXE

deldirex %SystemDrive%\PROGRAM FILES\REIMAGE\REIMAGE REPAIR

deldirex %SystemDrive%\USERS\DOMINATOR\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGDKNICMNHBAAJDGLBINPAHHAPGHPAKCH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGKBEHDIBCCCCAKLBCHJDJKPIFIKJICLO%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJEDELKHANEFMCNPAPPFHACHBPNLHOMAI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPGANLGLBHGFJFGOPIJBHEMCPBEHJNPIA%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\PROGRAM FILES\TOOLDEV342\WEATHERBAR\\TRACERSTOOLBARBHO_X64.DLL
del %SystemDrive%\PROGRAM FILES\TOOLDEV342\WEATHERBAR\\TRACERSTOOLBARBHO_X64.DLL

deldirex %SystemDrive%\USERS\DOMINATOR\APPDATA\LOCAL\MEDIA GET LLC\MEDIAGET2

deldirex %SystemDrive%\PROGRAM FILES (X86)\DEALPLY

deltmp
delnfr
;-------------------------------------------------------------
restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 22.01.2016

Размещено 22.01.2016 19:18:48

Здравствуйте, поймали шифровальщика, но до файла readmi.txt он не доработал (его короче нет)
Помогите справиться.

Прикрепленные файлы

SRV_2016-01-22_18-35-34.7z (484.58 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 23.01.2016 08:33:02

Михаил,
по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir delref %SystemDrive%\USERS\МЕНЕДЖЕР1\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NEHAPOFAKGHLJOPFEGJOGPGPELJKHJJN\8.15.0_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС delref %SystemDrive%\USERS\МЕНЕДЖЕР2\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LALFIODOHDGAEJJCCFGFMMNGGGPPLMHP\8.14.0_0\СТАРТОВАЯ — ЯНДЕКС delref %SystemDrive%\USERS\МЕНЕДЖЕР5\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NEHAPOFAKGHLJOPFEGJOGPGPELJKHJJN\8.15.0_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС delref %SystemDrive%\USERS\МЕНЕДЖЕР7\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LALFIODOHDGAEJJCCFGFMMNGGGPPLMHP\8.15.0_0\СТАРТОВАЯ — ЯНДЕКС delref %SystemDrive%\USERS\БУХГАЛТЕР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LALFIODOHDGAEJJCCFGFMMNGGGPPLMHP\8.14.0_0\СТАРТОВАЯ — ЯНДЕКС delref %SystemDrive%\USERS\БУХГАЛТЕР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NEHAPOFAKGHLJOPFEGJOGPGPELJKHJJN\8.15.0_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС delref %SystemDrive%\USERS\ТЦ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NEHAPOFAKGHLJOPFEGJOGPGPELJKHJJN\8.15.0_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir


delref %SystemDrive%\USERS\МЕНЕДЖЕР1\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NEHAPOFAKGHLJOPFEGJOGPGPELJKHJJN\8.15.0_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\МЕНЕДЖЕР2\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LALFIODOHDGAEJJCCFGFMMNGGGPPLMHP\8.14.0_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\МЕНЕДЖЕР5\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NEHAPOFAKGHLJOPFEGJOGPGPELJKHJJN\8.15.0_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\МЕНЕДЖЕР7\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LALFIODOHDGAEJJCCFGFMMNGGGPPLMHP\8.15.0_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\БУХГАЛТЕР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LALFIODOHDGAEJJCCFGFMMNGGGPPLMHP\8.14.0_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\БУХГАЛТЕР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NEHAPOFAKGHLJOPFEGJOGPGPELJKHJJN\8.15.0_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\ТЦ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NEHAPOFAKGHLJOPFEGJOGPGPELJKHJJN\8.15.0_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС

deltmp
delnfr
;-------------------------------------------------------------

restart

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 23.01.2016

Размещено 23.01.2016 18:49:59

Добрый вечер, та же самая проблема... Много файлов с данным расширением и т.д. Что нужно сделать для того, чтобы исправить все????????!!!!!!!!

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 23.01.2016 18:56:46

сделайте для начала образ автозапуска системы для проверки, чтобы не осталось шифратора в автозапуске
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Сообщений: 2

Баллов: 1

Регистрация: 21.01.2016

Размещено 24.01.2016 11:27:49

уважаемый santy, огромное спасибо за помощь!
можно еще скрипт попросить?

Прикрепленные файлы

ЛЕНА-ПК_2016-01-24_10-09-28.rar (503.15 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 24.01.2016 13:38:42

Vakhtang Akobiya,

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAMINLPMKFCDIBGPGFAJLGNAMICJCKKJF%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3DONDEMAND%26UC REGT 27 REGT 28 REGT 29 ; Java(TM) 6 Update 22 exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216022FF} /quiet deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAMINLPMKFCDIBGPGFAJLGNAMICJCKKJF%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3DONDEMAND%26UC

REGT 27
REGT 28
REGT 29

; Java(TM) 6 Update 22
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216022FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

Изменено: santy - 17.06.2016 10:10:44

[ Как создать образ автозапуска? ]

Сообщений: 25

Баллов: 12

Регистрация: 26.08.2015

Размещено 24.01.2016 17:44:59

всё точно так же как и в случае старого vault только на конце xtbl https://cloud.mail.ru/public/uVKS/KAsTq6pA8 вот закодированные файлы nod вирус увидел ! возможно нет самого вируса !

Пред. 1 ... 44 45 46 47 48 ... 61 След.