Выбрать дату в календареВыбрать дату в календаре

1
WannaCash
[QUOTE]Дмитрий Субботин написал:
[QUOTE] santy написал:
[QUOTE] Дмитрий Субботин написал:
Здравствуйте, аналогичная ситуация, все файлы зашифрованы. Если есть возможность,помогите, пожалуйста,спасибо.[/QUOTE]
по компутеру ВАСИЛИЧ-ПК

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[CODE]
;uVS v4.1.9 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;---------command-block---------
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDJGDGDCFMDKFICBIFBNAACKNBLBKHHOC%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGKDKFNBDDPDPIDBPNLJCOCPJEAAFNGDB%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLDGPJDIADOMHINPIMGCHMEEMBBGOJNJK%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMJMPFDKMPOJOEEMJMFIDDLHKKNDCDPNO%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3D­ONDEMAND%26UC
delall %SystemDrive%\USERS\ВАСИЛИЧ\DOCUMENTS\INFO.EXE
delall %SystemDrive%\USERS\ВАСИЛИЧ\APPDATA\LOCAL\YANDEX\YANDEXBROWS­ER\USER DATA\DEFAULT\EXTENSIONS\HELPER-SIG@SAVEFROM.NET.CRX
apply

QUIT
 [/CODE]
без перезагрузки, пишем о старых и новых проблемах.
------------
по расшифровке файлов при наличие лицензии на продукты ESET напишите в  [URL=mailto:support@esetnod32.ru]support@esetnod32.ru[/URL] [/QUOTE]
спасибо,всё сделал, файл вируса (тело) находится на карантине, но его невозможно
скопировать, упаковать, что бы отправить в eset 32 .[/QUOTE]
WannaCash
[QUOTE]santy написал:
[QUOTE] Дмитрий Субботин написал:
Здравствуйте, аналогичная ситуация, все файлы зашифрованы. Если есть возможность,помогите, пожалуйста,спасибо.[/QUOTE]
по компутеру ВАСИЛИЧ-ПК

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[CODE]
;uVS v4.1.9 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;---------command-block---------
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDJGDGDCFMDKFICBIFBNAACKNBLBKHHOC%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGKDKFNBDDPDPIDBPNLJCOCPJEAAFNGDB%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLDGPJDIADOMHINPIMGCHMEEMBBGOJNJK%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMJMPFDKMPOJOEEMJMFIDDLHKKNDCDPNO%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3D­ONDEMAND%26UC
delall %SystemDrive%\USERS\ВАСИЛИЧ\DOCUMENTS\INFO.EXE
delall %SystemDrive%\USERS\ВАСИЛИЧ\APPDATA\LOCAL\YANDEX\YANDEXBROWS­ER\USER DATA\DEFAULT\EXTENSIONS\HELPER-SIG@SAVEFROM.NET.CRX
apply

QUIT
[/CODE]
без перезагрузки, пишем о старых и новых проблемах.
------------
по расшифровке файлов при наличие лицензии на продукты ESET напишите в [URL=mailto:support@esetnod32.ru]support@esetnod32.ru[/URL][/QUOTE]
спасибо,всё сделал, файл вируса (тело) находится на карантине, но его невозможно
скопировать, упаковать, что бы отправить в eset 32 .
WannaCash
[QUOTE]santy написал:
[QUOTE] Дмитрий Субботин написал:
Здравствуйте, аналогичная ситуация, все файлы зашифрованы. Если есть возможность,помогите, пожалуйста,спасибо.[/QUOTE]
добавьте образ автозапуска и логи FRST[/QUOTE]
Здравствуйте! Во вложенных файлах в первом обращении есть образ автозапуска (если я всё правильно сделал)
Изменено: Дмитрий Субботин - 03.05.2020 04:50:37
WannaCash
Здравствуйте, аналогичная ситуация, все файлы зашифрованы. Если есть возможность,помогите, пожалуйста,спасибо.
Изменено: Дмитрий Субботин - 02.05.2020 13:40:57
1