Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

зашифровано с расширением *filesos*; *backyourfiles*; *[email protected]_* , Filecoder.NDE

RSS
 
omsk_mail
omsk_mail
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 05.06.2012
Размещено 18.03.2014 15:17:17
Ваши файлы зашифрованы.
Расшифровать файлы можно купив дешифратор и уникальный для вашего компьютера пароль.
Стоимость дешифратора 5000 рублей, чтобы купить дешифратор напишите нам на email - [email protected]
Если вам нужно убедится в нашей возможности расшифровки файлов, можете приложить к письму любой, кроме баз данных файл и мы вышлем его оригинальную версию.

Теперь все файлы такого типа [email protected]_bM2e8TT

Что нужно предоставить логи что бы мне помогли?

Ответы

Пред. 1 ... 3 4 5 6 7 ... 12 След.
 
Захар
Захар
Пользователь
Сообщений: 11
Баллов: 5
Регистрация: 19.02.2015
Размещено 19.02.2015 11:06:04
вот что получилось
http://rghost.ru/private/67q2FSjWf/2451341693344ad3b6de2d73b98dcd64
Изменено: Захар - 02.06.2016 13:05:39
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 19.02.2015 11:09:09
?
добавьте образ на http://rghost.ru
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 19.02.2015 11:11:42
настройки прокси сами прописывали?

Цитата
Полное имя                  HTTP://ERINOPE.COM/RECFOR/TODAY2.RUY
Имя файла                   HTTP://ERINOPE.COM/RECFOR/TODAY2.RUY
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
AUTOCONFIGURL               (ССЫЛКА ~ AUTOCONFIGURL)(1)   AND   (AUTOCONFIGURL ~ HTTP)(1)
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL
AutoConfigURL               http://erinope.com/recfor/today2.ruy
                           
Ссылка                      HKEY_USERS\S-1-5-21-1659004503-1123561945-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL
AutoConfigURL               http://erinope.com/recfor/today2.ruy
                           
Ссылка                      HKEY_USERS\S-1-5-21-1659004503-1123561945-725345543-1017\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL
AutoConfigURL               http://erinope.com/recfor/today2.ruy

судя по проверке на ВирусТотал, ссылка ведет на сайт злоумышленников
https://www.virustotal.com/ru/url/4c3a55d4ae951063d2cc4399394aa634e961679fa7406d778­3f8271fe6dd628c/a...
Изменено: santy - 02.06.2016 13:05:39
[ Как создать образ автозапуска? ]
 
Denis Z
Denis Z
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 19.02.2015
Размещено 19.02.2015 11:15:31
Здравствуйте!
Образ
http://rghost.ru/private/7nR7r6TLR/4c409d78ecb34bb4980f543e34df8ec7
Пример расширения файла: [email protected]_M4bSdbV
Поможете?
Заранее спасибо!
 
Захар
Захар
Пользователь
Сообщений: 11
Баллов: 5
Регистрация: 19.02.2015
Размещено 19.02.2015 11:18:54
Да
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 19.02.2015 11:24:16
1. восстановление данных из теневой копии невозможно для вашей системы
Цитата
uVS v3.85 [http://dsrt.dyndns.org]: Microsoft Windows XP x86 (NT v5.1) build 2600 Service Pack 3 [C:\WINDOWS]
2. вопрос: файл decoder.exe с рабочего стола помог в расшифровке данных? (судя по цифр. подписи - это файл от Есет)
3. по очистке системы выполните скрипт в uVS
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.6 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ДОРОХОВА\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1AA78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian

delref HTTP://ERINOPE.COM/RECFOR/TODAY2.RUY
delall %SystemDrive%\PROGRAM FILES\DRIVERTOOLKIT\DRIVERTOOLKIT.EXE
chklst
delvir
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
------------
4. по расшифровке данного типа документов (backyourfiles@126) : если нет расшифровке в ESET обратитесь в другие вирлабы, возможно у них есть расшифровка. в частности в компанию DrWeb.
5. если у вас установлена банковская система, то вполне возможно что через этот прокси следили за работой банковского приложения. имеет смысл менять пароль доступа.
Изменено: santy - 02.06.2016 13:05:39
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 19.02.2015 11:30:10
1. по очистке системы выполните скрипт

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.6 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
deldirex %SystemDrive%\USERS\USER\APPDATA\LOCAL\ILIVID
deldir %SystemDrive%\USERS\USER\APPDATA\LOCAL\ILIVID
delall %SystemDrive%\PROGRA~1\MOVIES~1\DATAMNGR\MGRLDR.DLL
delall %SystemDrive%\PROGRAM FILES\MOVIES TOOLBAR\DATAMNGR\X64\APCRTLDR.DLL
delref HTTP://WWW.MYSTART.COM/?PR=VMN&ID=ZGAMETB&V=2_0&UTM_CAMPAIGN=6252&ENT=HP_6252
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
------------
2. по восстановлению зашифрованных данных добавьте в почту [email protected] id и пароль от Тивьювера. + укажите ссылку на эту тему.
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 19.02.2015 11:31:30
времени немного займет. если возможно восстановление, основную работу вы проделаете самостоятельно, я лишь покажу вам как это сделать
можно сейчас, пока я в сети.
Изменено: santy - 02.06.2016 13:09:20
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 19.02.2015 11:45:00
система чистая,

по восстановлению зашифрованных данных добавьте в почту [email protected] id и пароль от Тивьювера. + укажите ссылку на эту тему.
[ Как создать образ автозапуска? ]
 
Виталий Фёдоров
Виталий Фёдоров
Пользователь
Сообщений: 1
Регистрация: 19.02.2015
Размещено 19.02.2015 11:47:05
Добрый день! Такая же проблема, комп от сети отключен, но некоторые файлы на шаре попортил, образ во вложении.
 
Пред. 1 ... 3 4 5 6 7 ... 12 След.
Читают тему