файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.* - Форум технической поддержки ESET NOD32

Цитата
C:\DOCUMENTS AND SETTINGS\HIMKI\МОИ ДОКУМЕНТЫ\144109.DEVID.INFO.EXE

Сообщений: 1

Регистрация: 08.10.2015

Размещено 08.10.2015 12:40:07

Добрый день! Такая же гадость и у меня. Помогите с этой проблемой

Прикрепленные файлы

K209N1_2015-10-08_12-25-49.7z (338.4 КБ)

Сообщений: 1

Регистрация: 08.10.2015

Размещено 08.10.2015 13:23:15

Здравствуйте, я уже писал вам на почту. Я сделала образ автозапуска, вот ссылка: http://rghost.ru/6PHXbjRtX

Изменено: Светлана Бублеева - 22.02.2020 16:33:14

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.10.2015 13:33:34

Александр Копылов,

по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.86.5 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir delref HTTP=127.0.0.1:2080 deldirex %SystemDrive%\USERS\НАТАША\APPDATA\ROAMING\VOPACKAGE deldirex %SystemDrive%\USERS\НАТАША\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\VOPACKAGE deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

;------------------------autoscript---------------------------

chklst
delvir

delref HTTP=127.0.0.1:2080

deldirex %SystemDrive%\USERS\НАТАША\APPDATA\ROAMING\VOPACKAGE

deldirex %SystemDrive%\USERS\НАТАША\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\VOPACKAGE

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET
по восстановлению документов напишите в почту [email protected]

[ Как создать образ автозапуска? ]

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.10.2015 13:39:21

Светлана,

по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.86.5 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\USERS\ЛЕНА\APPDATA\ROAMING\DIGITALSITES\UPDATEPROC\UPDATETASK.EXE addsgn A7679B19919AF4DA8795AE59F877ECFA4F8A94C603BB1F10F94884BC3866FA0D23AE87DA7F55273DA6C18427CA9B08FA9500BB8DAA323681D388A42F38F9DD8C 9 Win32/DealPly.S [ESET-NOD32] zoo %SystemDrive%\USERS\ЛЕНА\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian zoo %SystemDrive%\USERS\ЛЕНА\APPDATA\LOCAL\MEDIAGET2\MEDIAGET.EXE addsgn 1A0E719A55839B8EF42B624E41B0F68B2575D9826D741FF37A964E50AFA365B356073C2232AAE84143A6E319467E55C396DF003452DAB0AFE96FF9ECAD0E9A25 8 mediaget delall %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\EXTENSIONS\{190BC294-C8E5-471C-9466-3EB945B09542}\INSTALL.RDF delall %SystemDrive%\USERS\ЛЕНА\APPDATA\LOCAL\OPERA\OPERA\WIDGETS\SUPERMEGABEST.OEX delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3DONDEMAND%26UC delall %SystemDrive%\USERS\ЛЕНА\APPDATA\LOCAL\TEMP\NKCPOPGGJCJKIICPENIKEOGIOEDNJEAC.CRX ;------------------------autoscript--------------------------- sreg chklst delvir delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID] delref %Sys32%\DRIVERS\CCNFD_1_10_0_2.SYS del %Sys32%\DRIVERS\CCNFD_1_10_0_2.SYS delref %SystemDrive%\PROGRAMDATA\SRTSERV\MSHIMON.EXE del %SystemDrive%\PROGRAMDATA\SRTSERV\MSHIMON.EXE delref HTTP:\\PLARIUM.COM\PLAY\RU\STORMFALL\TOP\?ADCAMPAIGN=34522&CLICKID=TDTDTBYCTCZZ0DYDYDYCTB0FTDYBZYTA&PUBLISHERID=2_72 ; webget exec C:\Program Files\webget\webgetuninstall.exe ; SuperMegaBest version 3.4.5 exec C:\Windows\unins001.exe ; Media Player Packages exec C:\Users\Лена\AppData\Roaming\1H1Q\Media Player Packages\uninstaller.exe /Uninstall /NM="Media Player Packages" /AN="1H1Q" /MBN="Media Player Packages deltmp delnfr areg ;-------------------------------------------------------------

Код


;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\ЛЕНА\APPDATA\ROAMING\DIGITALSITES\UPDATEPROC\UPDATETASK.EXE
addsgn A7679B19919AF4DA8795AE59F877ECFA4F8A94C603BB1F10F94884BC3866FA0D23AE87DA7F55273DA6C18427CA9B08FA9500BB8DAA323681D388A42F38F9DD8C 9 Win32/DealPly.S [ESET-NOD32]

zoo %SystemDrive%\USERS\ЛЕНА\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian

zoo %SystemDrive%\USERS\ЛЕНА\APPDATA\LOCAL\MEDIAGET2\MEDIAGET.EXE
addsgn 1A0E719A55839B8EF42B624E41B0F68B2575D9826D741FF37A964E50AFA365B356073C2232AAE84143A6E319467E55C396DF003452DAB0AFE96FF9ECAD0E9A25 8 mediaget

delall %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\EXTENSIONS\{190BC294-C8E5-471C-9466-3EB945B09542}\INSTALL.RDF
delall %SystemDrive%\USERS\ЛЕНА\APPDATA\LOCAL\OPERA\OPERA\WIDGETS\SUPERMEGABEST.OEX
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3DONDEMAND%26UC
delall %SystemDrive%\USERS\ЛЕНА\APPDATA\LOCAL\TEMP\NKCPOPGGJCJKIICPENIKEOGIOEDNJEAC.CRX
;------------------------autoscript---------------------------

sreg

chklst
delvir

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]
delref %Sys32%\DRIVERS\CCNFD_1_10_0_2.SYS
del %Sys32%\DRIVERS\CCNFD_1_10_0_2.SYS

delref %SystemDrive%\PROGRAMDATA\SRTSERV\MSHIMON.EXE
del %SystemDrive%\PROGRAMDATA\SRTSERV\MSHIMON.EXE

delref HTTP:\\PLARIUM.COM\PLAY\RU\STORMFALL\TOP\?ADCAMPAIGN=34522&CLICKID=TDTDTBYCTCZZ0DYDYDYCTB0FTDYBZYTA&PUBLISHERID=2_72
; webget
exec C:\Program Files\webget\webgetuninstall.exe
; SuperMegaBest version 3.4.5
exec C:\Windows\unins001.exe
; Media Player Packages
exec C:\Users\Лена\AppData\Roaming\1H1Q\Media Player Packages\uninstaller.exe /Uninstall /NM="Media Player Packages" /AN="1H1Q" /MBN="Media Player Packages
deltmp
delnfr
areg

;-------------------------------------------------------------

перезагрузка, пишем о старых и новых проблемах.

по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET
по восстановлению документов напишите в почту [email protected]

[ Как создать образ автозапуска? ]

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.10.2015 13:44:38

Дмитрий,
прокси ваши?

Цитата
хттп://LIMA:8080/CONFIG.SCRIPT хттп://MEXIKO:8080/CONFIG.SCRIPT

Изменено: santy - 22.02.2020 16:33:14

[ Как создать образ автозапуска? ]

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.10.2015 13:47:39

если ваши, то удалите эти строки из скрипта

Цитата
delref HTTP://MEXIKO:8080/CONFIG.SCRIPT delref HTTP://LIMA:8080/CONFIG.SCRIPT

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.86.5 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v385c OFFSGNSAVE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\N_ASTAHOV\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE addsgn 1A7F8B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 16 Praetorian addsgn 4AA8BEDB553A288D3ED4AEB164AC9B20258AFCF6BA3A9670588686D33DA6102F5725C3A15115A9E4E9EF7E7E416EADD92183563BF8D90031726E60693CDF575E 8 Encoder.567 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\G_MALININ\LOCAL SETTINGS\TEMP\RAR$EX02.422\ОРИГИНАЛ ДОГОВОРА.DOC.EXE ;------------------------autoscript--------------------------- chklst delvir delref HTTP://MEXIKO:8080/CONFIG.SCRIPT delref %Sys32%\VVZGGQMTCIRETT.EXE delref %Sys32%\WTDNWBCMIXPQXV.EXE delref HTTP://LIMA:8080/CONFIG.SCRIPT delref %SystemDrive%\PROGRAM FILES\ОРИГИНАЛ ДОГОВОРА.DOC.EXE delref HTTP://SEARCH.QIP.RU/SEARCH?FROM=FF&QUERY= deltmp delnfr ;------------------------------------------------------------- czoo restart

Код


;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\N_ASTAHOV\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1A7F8B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 16 Praetorian

addsgn 4AA8BEDB553A288D3ED4AEB164AC9B20258AFCF6BA3A9670588686D33DA6102F5725C3A15115A9E4E9EF7E7E416EADD92183563BF8D90031726E60693CDF575E 8 Encoder.567
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\G_MALININ\LOCAL SETTINGS\TEMP\RAR$EX02.422\ОРИГИНАЛ ДОГОВОРА.DOC.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://MEXIKO:8080/CONFIG.SCRIPT

delref %Sys32%\VVZGGQMTCIRETT.EXE

delref %Sys32%\WTDNWBCMIXPQXV.EXE

delref HTTP://LIMA:8080/CONFIG.SCRIPT

delref %SystemDrive%\PROGRAM FILES\ОРИГИНАЛ ДОГОВОРА.DOC.EXE

delref HTTP://SEARCH.QIP.RU/SEARCH?FROM=FF&QUERY=

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected]

по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET
по восстановлению документов напишите в почту [email protected]

Изменено: santy - 22.02.2020 16:33:14

[ Как создать образ автозапуска? ]

Сообщений: 4

Баллов: 2

Регистрация: 09.10.2015

Размещено 09.10.2015 08:55:48

Добрый день! Хотя для меня он совсем недобрый. По глупости открыла архив в почтовом сообщении, и все файлы зашифровались :-(

Теперь они выглядят примерно так
[email protected] 1.0.0.0.id-YSUZGTPLVRNJIEAWVRNJJEAWWSOKJFBXWSOD-09.10.2015 8@[email protected]

На расшифровку уже и не надеюсь. Помогите, пожалуйста, хотя бы очистить систему от вируса. Прилагаю полный образ автозапуска..

Буду очень благодарна за помощь...

Прикрепленные файлы

2015-10-09_10-28-28.zip (622.39 КБ)

Сообщений: 2

Баллов: 1

Регистрация: 08.10.2015

Размещено 09.10.2015 09:07:36

Добрый день!

По очистке системы выполнил скрипт с кодом, комп перезагрузился ни чего не изменилось, файлы зашифрованы

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.10.2015 11:40:06

Цитата
Александр Копылов написал: По очистке системы выполнил скрипт с кодом, комп перезагрузился ни чего не изменилось, файлы зашифрованы

Александр,
чуда не бывает в таком виде.
скрипт всего лишь удаляет из системы остатки шифратора, если они есть.
по расшифровке документов отдельная процедура.
расшифровкой на форуме мы не занимаемся. по расшифровке обращайтесь в техподдержку.

Код
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET по восстановлению документов напишите в почту [email protected]

Код

по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET
по восстановлению документов напишите в почту [email protected]

[ Как создать образ автозапуска? ]

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.10.2015 11:46:06

Евгения,

по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.86.5 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v385c OFFSGNSAVE delall K:\VELIKE\MIZELJE.EXE delall G:\URDRIVE.EXE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\PELENEVA\LOCAL SETTINGS\TEMP\ДОГОВОР ПОДПИСАННЫЙ ВАШ ЭКЗЕМПЛЯР.EXE addsgn A7679BCBBD6DB18DF4BEB3593433EDFAA64EF89E61F91F787AD6E57C10D699B1AE17C33FEE529D49D495A45F0616A1678220179A9D5DB02CC5B4232FC7EE9CF4 8 Trojan.Win32.Yakes.mrov [Kaspersky] chklst delvir czoo deltmp delnfr restart

Код


;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
delall K:\VELIKE\MIZELJE.EXE
delall G:\URDRIVE.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\PELENEVA\LOCAL SETTINGS\TEMP\ДОГОВОР ПОДПИСАННЫЙ ВАШ ЭКЗЕМПЛЯР.EXE
addsgn A7679BCBBD6DB18DF4BEB3593433EDFAA64EF89E61F91F787AD6E57C10D699B1AE17C33FEE529D49D495A45F0616A1678220179A9D5DB02CC5B4232FC7EE9CF4 8 Trojan.Win32.Yakes.mrov [Kaspersky]

chklst
delvir

czoo
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected]
------------
по расшифровке документов обращайтесь в [email protected]

[ Как создать образ автозапуска? ]

файлы зашифрованы в Cryakl CL 0.1..-1.3.. , Filecoder.EQ/Encoder.567/Cryakl

Ответы

файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.* , Filecoder.EQ/Encoder.567/Cryakl

Ответы

файлы зашифрованы в Cryakl CL 0.1..-1.3.. , Filecoder.EQ/Encoder.567/Cryakl