Выбрать дату в календареВыбрать дату в календаре

Обнаружен вирус C:\Windows\system32\snmpstorsrv.dll (Win64/Vools.L)
вообще-то ESET хорошо детектирует этот тип трояна
https://www.virustotal.com/gui/file/21e1c719da2bd2f3487d4867c683c06b493307dec310227­e4018dcb8aa354507/detection
если можно, расскажите подробнее об этом инциденте
+
добавьте образ автозапуска с одной из машин, где произошла очистка трояна
----------
судя по консоли у вас ERA5, отсюда можно предположить, что и антивирусы на клиентах установлены 5 версии, а возможно и более ранние версии.

кроме того, необходимо установить на клиентские компьютеры и сервера патч MS-17-010, чтобы избежать повторных атак и заражений.
Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da, Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta
[QUOTE]Петр Петрович написал:
Если я сделаю образ автозапуска системы через учетку Администратора, а не взломанной, Вам подойдёт такой образ?[/QUOTE]
да, подойдет.
Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da, Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta
[QUOTE]Петр Петрович написал:
Шифратор .id-7966CC04.[astral771@protonmail.com ].harma Злоумышленник зашёл через RDP и зашифровал штатными средствами Windows все файлы (в кол-ве около 23 тысяч) doc, jpeg, txt, mp3 и прочие расширения. Есть дешифратор для этого типа?[/QUOTE]
зашифровано шифратором Crysis
добавьте образ автозапуска зашифрованной системы, возможно  в системе остались тела шифратора.
файлы зашифрованы с расширением .hccapx; .cap; .xxxx; .crash; .php; .dqb; .save; .kick; .1BTC; .com2; .Acuf2; .nqix; .Q1G; .pdf; .cmd. MGS; RSA; .ebola; .money; .VIVAL; UTC; .CASH; .KRAB; .uta; .bot; .wiki; PBD; one; .xda; .start; .asus: VIRUS, Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta
по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]


;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\INFO.HTA
delall %Sys32%\INFO.HTA
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-F2798ED9.[PAYBUYDAY@AOL.COM].PBD
apply

QUIT
[/code]
без перезагрузки системы, пишем о старых и новых проблемах.
------------
если сохранился файл шифратора, возможно в карантине антивируса,вышлите в почту safety@chklst.ru в архиве, с паролем infected
или выложите на
https://www.hybrid-analysis.com/
для анализа файла, разрешите к нему доступ и дайте ссылку в личные сообщения, или в указанную почту.

по расшифровке документов, к сожалению, решения на текущий момент и ближайшее время нет в антивирусных компаниях.

восстановление документов возможно только из архивных копий.
файлы зашифрованы с расширением .hccapx; .cap; .xxxx; .crash; .php; .dqb; .save; .kick; .1BTC; .com2; .Acuf2; .nqix; .Q1G; .pdf; .cmd. MGS; RSA; .ebola; .money; .VIVAL; UTC; .CASH; .KRAB; .uta; .bot; .wiki; PBD; one; .xda; .start; .asus: VIRUS, Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta
[QUOTE]Adam Raush написал:
Добрый день. На моем компьютере вирус Crysis/Dharma зашифровал все файлы, в том числе рабочие, в расширение .pbd на двух разных винчестерах. Есть ли возможность расшифровать файлы с помощью дешифратора? ПОМОГИТЕ![/QUOTE]
сделайте образ автозапуска из зашифрованной системы.
Как минимум, мы можем помочь вам очистить систему от файлов шифратора
[ Закрыто] Тут может быть вирус?, появление необычного сообщения
добавьте образ автозапуска системы
Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da, Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta
[QUOTE]Алексей Гулак написал:
[QUOTE] santy написал:
с расшифровкой *.harma помочь не сможем.[/QUOTE]а ребята из Др-Шифро знают как. Расшифровали мне один файл.
Что вы о них знаете?[/QUOTE]
Я думаю, вам дорого выйдет помощь Др-Шифро в расшифровке, поскольку они контактируют со злоумышленниками и выкупают у них ключи. Попросите расшифровать их несколько файлов. бесплатно.
Злоумышленники, как правило расшифровывают 1-3 файла не более, для того чтобы показать, что у них есть ваш ключ.
За все остальное придется платить, и немалые деньги.
В нашем случае, мы говорим о возможности (или невозможности) расшифровать файлы бесплатно.
Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da, Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta
[QUOTE]Алексей Гулак написал:
Добрый День!
Файлы зашифровались [ [URL=mailto:bitcoin1@foxmail.com]bitcoin1@foxmail.com[/URL] ].harma
Можете помочь?
[/QUOTE]

с расшифровкой *.harma помочь не сможем.

по очистке системы выполните скрипт в uVS без перезагрузки системы

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv5.2
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\DESKTOP.INI.ID-CC1C99B8.[BITCOIN1@FOXMAIL.COM].HARMA
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\1BITC.EXE
apply

QUIT
[/code]
без перезагрузки системы, пишем о старых и новых проблемах.
------------
поговорить о uVS, Carberp, планете Земля
странно, что в 2012 году отключили, а написали об этом только в 2019 году, возможно что Газпром не заплатил за это оборудование, потому и отключили
проблема с антивирусом
[QUOTE]Арман Григорян написал:
Здравствуйте, у меня проблема с антивирусом. Когда включаю ноутбук, через пару минут ESET выдает ошибку при обмене данных с ядром.Помогите пожалуйста[/QUOTE]
добавьте образ автозапуска системы