Выбрать дату в календареВыбрать дату в календаре

файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007, Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.1.6 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref HTTP://MY-TOP-APPS.COM/CLIENT/POSTBACK/GUID/9C4BFE40-4185-4A56-A073-37B6146D1623/CREATIVEID/26
zoo %SystemDrive%\USERS\ЕМ-СЕРВІС\APPDATA\ROAMING\MY-TOP-APPS\MY-TOP-APPS.EXE
addsgn A7679B1991CE1F245CE76E38210C9B40E503B95200BFCFF1C00B4CF99C5F­3498AA521BDE7BB9250D2AC184778E5BB6054E1FBD1AEBC4F12C4988944B­4E2611A1 40 Win32/Adware.FotopApps 7

chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES (X86)\ZAXAR

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFHEOGGKFDFCHFPHCEEIFDBEPAOOICAHO%26INSTALLSOURCE%3D­ONDEMAND%26UC
apply

deltmp
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\0F4BB2F7C92EFED92­893CB539FD9A8E3\43081B43F1E729D2F514E242A03AA7B47605EB1A
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\FEBB7AA74B71E60B1­094BA697AB4782D\EAE6564EA3CE23393F1E1D749C6F6A2116F63C47-1
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\150A78BCCDEC0C607­1ADE36AEA4BF430\WINDOWS6.1-KB4019990-X64.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\F402EAD75C171C49E­83605025BAA6A1F\WINDOWS6.1-KB4019990-X64.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\1F90654738BA07BBA­253528217546260\WINDOWS6.1-KB4040980-X64.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\487A9988625BEE247­399E8DE0312A440\AC6D5BDC6FA3C550ABBED7F4AE8E75C3298E2E9F
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\69802998EC51E937D­EBAAA523162B624\WINDOWS6.1-KB4095874-X64.CAB
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref %SystemDrive%\USERS\ЕМ-СЕРВІС\APPDATA\LOCAL\PROGRAMS\OPERA\LAUNCHER.EXE
delref %SystemDrive%\PROGRAMDATA\VKONTAKTEDJ\VKONTAKTEDJ.EXE
delref %SystemDrive%\PROGRAMDATA\VKONTAKTEDJ\UNINSTALL.EXE
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\UMPO.DLL
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {0D012ABD-CEED-11D2-9C76-00105AA73033}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {56A58823-AE99-11D5-B90B-0050DACD1F75}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {E01D1C6A-4F40-11D3-8958-00105A272DCF}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref %SystemDrive%\PROGRAM FILES\MCAFEE\WEBADVISOR\E10SSAFFPLG.XPI
delref %SystemDrive%\PROGRAM FILES (X86)\ZAXAR\ZAXARLOADER.EXE
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {32CFFBE7-8BB7-4BC3-83D8-8197671920D6}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref %Sys32%\BLANK.HTM
delref SLDWORKS SHELL EXTENSION\[CLSID]
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\DISPLAY\NVLICENSINGS.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\ADOBE\ADOBE PREMIERE PRO CC 2018\WMENCODINGHELPER.EXE
delref %SystemDrive%\PROGRAM FILES\SOLIDWORKS CORP\EDRAWINGS\EMODELVIEWER.EXE
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\ACROBAT READER DC\ACRORD32INFO.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\GOOGLEUPDATEBROKER.EXE
delref I:\STARTME.EXE
delref N:\SETUP.EXE
delref I:\LAUNCHU3.EXE
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов не поможем.
Восстановление документов возможно в данный момент только из архивных или теневых копий.
Создание Offline репозитория заканчивается с ошибкой
@Pavel Lavrovich,

напишите о проблеме в support@esetnod32.ru
файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007, Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt
@Михайло Коваленко,
сделайте образ автозапуска из пострадавшей системы, возможно в системе остались еще файлы шифратора,
которые необходимо удалить из системы.
возможно, WannaCash
@Ирина Крицкая
добавьте в ваше сообщение образ автозапуска системы, + несколько зашифрованных файлов в архиве
Сбой синхронизации репозтория
напишите о проблеме в support@esetnod32.ru
Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0da, Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta
Это Crysis. harma.
Расшифровки на текущий момент по этому варианту шифратора нет.
файлы шифруются по сети, антивирус, установленный на рабочем ПК  здесь не может достать источник шифрования, которым видимо заражен один из ПК вашей сети. Искать источник надо в сети.
можно смотреть свойства зашифрованного файла на одном из компьютеров, и определить, кто является владельцем файла, таким образом можно узнать учетную запись под которой выполнено шифрование, и определить источник заражения.

Если на всех ПК установлен антивирус ESET то, он должен определить Crysis.
скорее всего был взлом вашей сети из вне, возможно на нем был отключен антивирус, и затем был запуск шифрования.
Вы можете определить, к каким компьютерам есть доступ из внешней сети. Подключились, скорее всего по RDP

можете так же сделать образы автозапуска подозрительных компов из сети, мы проверим по образу, есть ли реальное заражение на нем или нет.
(или только файлы шифруются по сети)
win32/adware.filetour.FHX, едкий вирус
+
добавьте лог журнала обнаруженных угроз
http://forum.esetnod32.ru/forum9/topic1408/
win32/adware.filetour.FHX, едкий вирус
добавьте образ автозапуска системы
файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007, Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt
[QUOTE]Денис Литвинов написал:
Здравствуйте! Поймал шифровальщика .crypted000007 Пожалуйста помогите, отправляю образ автозапуска....[/QUOTE]
эту программу сами устанавливали?
C:\USERS\САНЯ\DESKTOP\ПРИВАТ КИПЕР\PRIVATE KEEPER.EXE


судя по образу система уже очищена от файлов шифратора.
по расшифровке Ransom.Shade.crypted000007 решения нет
восстановить документы возможно только из архивных копий
Не запускается Антивирус ESET NOD32, rootkit.dark.galaxy
система, скорее всего заражена rootkit.dark.galaxy
с заражением MBR
добавлю, что скрипт из сообщения RP55 необходимо выполнять при отключенной сети,
иначе, после перезагрузки системы, руткит обратно все восстановит в автозапуске и в секции WMI

т.е. предварительно надо скачать патч MS-2017-010 для вашей системы,
(и tdsskiller)
установить патч,
отключить сеть
выполнить скрипт в uVS
перегрузить систему (не включая сеть),
выполнить проверку в tdsskiller,
если будет найден руткит в MBR, выполнить его очистку,
еще раз перегрузить систему,
можно включить сеть
сделать новые образ автозапуска и лог проверки tdsskiller
и добавить эти файлы на форум для проверки