ESET CONNECT

[QUOTE]santy написал:
[QUOTE] Edward Kan написал:
Антивирус не обновлялся с 1.12.2017гЕсли обновлю его он не удалит файлы зараженные?В карантине  MARVEL.EXE отсутствует.[/QUOTE]
обновите антивирусные базы, выполните полное сканирование системы.
активных шифраторов, судя по второму образу в системе нет.

по зашифрованным файлам:
при наличие лицензии на антивирус ESET вы можете сделать запрос по расшифровке в техподдержку [URL=mailto:support@esetnod32.ru]support@esetnod32.ru[/URL]
возможна ли расшифровка в вашем случае - ответить смогут только в вирлабе.

если есть архивные копии документов - восстановите файлы из копии.

проверьте так же наличие теневых копий.

следите за актуальностью баз антивирусов.
Если антивир не обновляется более чем полгода, тогда вероятность того, что он защитит от актуальных угроз близка к 0.[/QUOTE]
Спасибо за помощь.

[QUOTE]santy написал:
проверьте,
возможно этот файл (marwel.exe) попал в карантин антивируса, поскольку ESET его детектирует как Filecoder.NPу
[/QUOTE]
Антивирус не обновлялся с 1.12.2017г
Если обновлю его он не удалит файлы зараженные?
В карантине  MARVEL.EXE отсутствует.

[QUOTE]santy написал:
скрипт в данном случае только удаляет файл шифратора.
к сожалению файл шифратора  в архив не попал.
из за неточности в первом скрипте.

должно было быть так:
[QUOTE]ZOO %SystemDrive%\USERS\IRAIRA1234\APPDATA\ROAMING\MARVEL.EXE
delall %SystemDrive%\USERS\IRAIRA1234\APPDATA\ROAMING\MARVEL.EXE
apply
czoo[/QUOTE]
сделайте новый образ автозапуска для контроля.[/QUOTE]
[URL=http://rgho.st/7KGMTQzYS]http://rgho.st/7KGMTQzYS[/URL] Новый образ.

[QUOTE]santy написал:
по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[CODE]
;uVS v4.0.12 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\USERS\IRAIRA1234\APPDATA\ROAMING\MARVEL.EXE
apply

czoo
restart
[/CODE]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_yyyy-mm-dd_hh-mm-ss.rar/7z)  отправить в почту [URL=mailto:safety@chklst.ru]safety@chklst.ru[/URL], [URL=mailto:support@esetnod32.ru]support@esetnod32.ru[/URL]
------------[/QUOTE]
Спасибо
Данный код не дал не каких изменений.

[QUOTE]santy написал:
судя по образу был активен в момент создания образа.
[QUOTE]Полное имя C:\USERS\IRAIRA1234\APPDATA\ROAMING\MARVEL.EXE
Имя файла                   MARVEL.EXE
Тек. статус                 АКТИВНЫЙ ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
RUN                         (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Процесс                     32-х битный
File_Id                     5B30D956A2000
Linker                      14.11
Размер                      260608 байт
Создан                      17.07.2018 в 03:24:58
Изменен                     25.06.2018 в 21:00:24
                           
TimeStamp                   25.06.2018 в 12:00:22
EntryPoint                  +
OS Version                  5.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                           
Доп. информация             на момент обновления списка
pid = 3616                  IRAS\iraira1234
CmdLine                     "C:\Users\iraira1234\AppData\Roaming\Marvel.exe"
Процесс создан              16:06:12 [2018.07.17]
С момента создания          00:40:12
parentid = 3752            
pid = 3716                  IRAS\iraira1234
CmdLine                     "C:\Users\iraira1234\AppData\Roaming\Marvel.exe"
Процесс создан              16:06:10 [2018.07.17]
С момента создания          00:40:15
parentid = 2684            
SHA1                        A33551836E5284132CC9AEDC28D9EA3450AA0128
MD5                         96C3139F571A36A1E8968208D40A4FC1
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\R­ ­un\MarvelHost
MarvelHost                  C:\Users\iraira1234\AppData\Roaming\Marvel.exe
                           
Ссылка                      HKEY_USERS\S-1-5-21-2137272904-2086164111-3768165105-1001\Software\Microsoft\Windows\CurrentVersion\Run\MarvelHos­ ­t
MarvelHost                  C:\Users\iraira1234\AppData\Roaming\Marvel.exe
                           
Образы                      EXE и DLL
MARVEL.EXE                  C:\USERS\IRAIRA1234\APPDATA\ROAMING
MARVEL.EXE                  C:\USERS\IRAIRA1234\APPDATA\ROAMING
                           [/QUOTE]
линк проверки нужен именно для этого файла.[/QUOTE]
[URL=https://www.virustotal.com/#/file/333ab4a2d64a023ce61d0c2f4ce109b3c08f8e50b34156b7f7613ac575a97cd0/detection]https://www.virustotal.com/#/file/333ab4a2d64a023ce61d0c2f4ce109b3c08f8e50b34156b7f7613ac575a97cd0/d...[/URL] MARVEL.EXE
Нашелся.

[QUOTE]santy написал:
[QUOTE] Edward Kan написал:
[QUOTE] santy написал:
[QUOTE] Edward Kan написал:
Добрый день.2 файла:     [URL=http://rgho.st/8XPhMV4RW]http://rgho.st/8XPhMV4RW[/URL] Требование об оплате: [URL=http://rgho.st/6S7kpfpT5]http://rgho.st/6S7kpfpT5[/URL] [/QUOTE]
нужны:
1. линк проверки на vt указанного выше файла
2. пара чистый - зашифрованный файлы. т.е. чистый файл с состоянием до шифрования. + этот же файл, но уже после шифрования.
3. если есть записка о выкупе в виде файла, то нужен именно такой файл.
--------------
добавлю так же,
что если у вас есть лицензия на продукт ESET, отправьте сообщение  с просьбой о расшифровке файлов в   [URL=mailto:support@esetnod32.ru]support@esetnod32.ru[/URL] [/QUOTE]
1. Что такое VT
2. Чистых файлов нету.
3. Файла нет.[/QUOTE]
1. этот файл вам знаком?
C:\USERS\IRAIRA1234\APPDATA\ROAMING\MARVEL.EXE
если нет, проверьте здесь
[URL=http://virustotal.com]http://virustotal.com[/URL] и дайте нас ссылку проверки в вашем сообщении.

2. проверьте в этой папке есть зашифрованные файлы?
C:\Users\Public\Pictures\Sample Pictures
если есть, тогда добавьте несколько зашифрованных файлов из этой папки

3. можете самостоятельно попытаться идентифицировать шифратор
[URL=https://id-ransomware.malwarehunterteam.com/index.php]https://id-ransomware.malwarehunterteam.com/index.php[/URL]
[/QUOTE]
1. В данном месте нету файла.
[URL=https://www.virustotal.com/#/file/5d0ee7682690a644a2a3de8e2e4c747d135ebba6453b46dee14e01ba80ed7502/detection]https://www.virustotal.com/#/file/5d0ee7682690a644a2a3de8e2e4c747d135ebba6453b46dee14e01ba80ed7502/d...[/URL]
Проверил первый раз показал вирус trojan.Раздел Microsoft.
Проверил второй раз фай чистый, проверил другой файл тоже чистый.
2.В той папке нету файлов.

[QUOTE]santy написал:
[QUOTE] Edward Kan написал:
Добрый день.2 файла:   [URL=http://rgho.st/8XPhMV4RW]http://rgho.st/8XPhMV4RW[/URL] Требование об оплате: [URL=http://rgho.st/6S7kpfpT5]http://rgho.st/6S7kpfpT5[/URL] [/QUOTE]
нужны:
1. линк проверки на vt указанного выше файла
2. пара чистый - зашифрованный файлы. т.е. чистый файл с состоянием до шифрования. + этот же файл, но уже после шифрования.
3. если есть записка о выкупе в виде файла, то нужен именно такой файл.
--------------
добавлю так же,
что если у вас есть лицензия на продукт ESET, отправьте сообщение  с просьбой о расшифровке файлов в [URL=mailto:support@esetnod32.ru]support@esetnod32.ru[/URL][/QUOTE]
1. Что такое VT
2. Чистых файлов нету.
3. Файла нет.

[QUOTE]Edward Kan написал:
[QUOTE] santy написал:
судя но имени файла после шифрования Копия доп.согл.14 ДВК.xls.[ [URL=mailto:castor-troy-restore@protonmail.com]castor-troy-restore@protonmail.com[/URL] ].java
это не Crysis, какой-то другой вариант шифратора.

у Crysis.java друго шаблон шифрованного файла, с добавлением ID:
inf.txt. id-E8F4FE5C .[ [URL=mailto:decrypthelp@qq.com]decrypthelp@qq.com[/URL] ].java

т.е. имя файла+расширение + ID-Hex8+mail+.java

если есть пара: чистый - зашифрованный файл, добавьте на форум оба файла в архиве.
+
добавьте файл записки о выкупе
[/QUOTE]
Хорошо.
Завтра добавлю.
[/QUOTE]
Добрый день.
2 файла: [URL=http://rgho.st/8XPhMV4RW]http://rgho.st/8XPhMV4RW[/URL]
Требование об оплате: [URL=http://rgho.st/6S7kpfpT5]http://rgho.st/6S7kpfpT5[/URL]

[QUOTE]santy написал:
судя но имени файла после шифрования Копия доп.согл.14 ДВК.xls.[[URL=mailto:castor-troy-restore@protonmail.com]castor-troy-restore@protonmail.com[/URL]].java
это не Crysis, какой-то другой вариант шифратора.

у Crysis.java друго шаблон шифрованного файла, с добавлением ID:
inf.txt. id-E8F4FE5C .[[URL=mailto:decrypthelp@qq.com]decrypthelp@qq.com[/URL]].java

т.е. имя файла+расширение + ID-Hex8+mail+.java

если есть пара: чистый - зашифрованный файл, добавьте на форум оба файла в архиве.
+
добавьте файл записки о выкупе

[/QUOTE]
Хорошо.
Завтра добавлю.

[QUOTE]santy написал:
этот файл вам знаком?
C:\USERS\IRAIRA1234\APPDATA\ROAMING\MARVEL.EXE
если нет, проверьте здесь
[URL=http://virustotal.com]http://virustotal.com[/URL] и дайте нас ссылку проверки в вашем сообщении.[/QUOTE]
Хорошо проверю.
спс