файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.* , Filecoder.EQ/Encoder.567/Cryakl

RSS
+ этот файл еще проверьте
Цитата
C:\DOCUMENTS AND SETTINGS\HIMKI\МОИ ДОКУМЕНТЫ\144109.DEVID.INFO.EXE

Ответы

тест тест,
перешлите в почту safety@chklst.ru  письмо с вредоносной ссылкой, по которой сходили за реквизитами
Добрый день!

поймали заразу, большая часть айлов выглядит как "email-d_madre@aol.com.ver-CL 0.0.1.0.id-LYEQVLTTZVIJHIBDPPNBVYNBMYDXIMNQLZQJ-22.06.2015 10@28@362793794.randomname-TBEUQYNMGTUXMKSQQYJHWGVFKTJSNN.TNH.cbf"

исходное письмо переслать не могу - его потерли,
образ автозапуска тут:http://rghost.ru/download/89W9Qfrnv/8c17e4789dfe9a9e717a021c0567f1caad5e8d­8d/MEDPC_2015-07-29_11-46-...

можете помочь?
Изменено: Лис Венедин - 24.02.2020 06:27:30
Лис,
1. по очистке системы
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.85.25 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE

delall %SystemDrive%\DOCUME~1\9335~1\LOCALS~1\TEMP\027163~1.EXE
delall %SystemDrive%\PROGRAM FILES\АКТЫ И НАКЛАДНЫЕ.EXE
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
------------
2. по расшифровке документов напишите в техническую поддержку support@esetnod32.ru при наличие лицензии на наш антивирус.
Цитата
santy написал:
Лис,
1. по очистке системы
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код
 
;uVS v3.85.25 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE

delall %SystemDrive%\DOCUME~1\9335~1\LOCALS~1\TEMP\027163~1.EXE
delall %SystemDrive%\PROGRAM FILES\АКТЫ И НАКЛАДНЫЕ.EXE
deltmp
delnfr
restart
 

перезагрузка, пишем о старых и новых проблемах.
------------
2. по расшифровке документов напишите в техническую поддержку support@esetnod32.ru при наличие лицензии на наш антивирус.
Спасибо!


Вроде почистил, по восстановлению пишу уже
Выполнил скрипт, собрал логи программой Malwarebytes. Malwarebytes log.txt до удаления вредоносных объектов,  Malwarebytes log 2.txt после удаления вредоносных объектов. Также прилагаю лог после выполнения скрипта uVS: start.exe.
На этом очистку завершим.

1) По расшифровке:

При наличае лицензии ESET
Образцы проблемных файлов поместите в архив.
На архив установите пароль: virus
Прикрепите архив к письму и с описанием проблемы вышлите на адрес support@esetnod32.ru

При наличае лицензии на другой платный продукт/антивирус - можно обратиться  к их службе поддержки.

2) В плане самостоятельного восстановления данных прочтите:
http://pchelpforum.ru/f26/t141222/2/#post1239143
Изменено: RP55 RP55 - 24.02.2020 06:27:30
Подхватил это email-watnik91@aol.com.ver-CL 1.1.0.0.id-XYZABBCCDEFFFGHHIJKKKLMMNOOOPQQRSTTT-31.07.2015 13@35@28378111.randomname-MOPQRSTTUVVWWXYZZAABBCDDEEFFGH.IJJ.cbf

Сделал образ автозагрузки 405ZAVODO_2015-08-04_15-21-41.rar
судя по образу системы - система уже очищена от вирусов.

по расшифровке документов при наличие лицензии на наш антивирус обратитесь в техподдержку support@esetnod32.ru
Добрый день.

Стоит лицензионный NOD, при открытии письма залез вирус.

После этого зашифровались документы в одной папке на компьютере. Имена файлов email-moshiax@aol.com.ver-CL 1.0.0.0.id-JZROLAOMYFTQZMKHGEROXLIWFSGDCAOKKHVS-17.07.2015 9@06@502531983.randomname-BKXVAEDDSHYEFWLSUJQWOVCIAHNUDS.XSS.cbf

Есть какие либо варианты вернуть инфу?

Файл образа автозагрузки http://rghost.ru/8wtKZFjmY
шифрование судя по образу произошло полмесяца назад
16.07.2015 в 21:05:21
однако файлы шифратора так и лежат на диске, хотя и не в автозапуске.

1. по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.86.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v385c
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetotian

zoo %SystemDrive%\PROGRAM FILES\CONDUIT\COMMUNITY ALERTS\ALERT.DLL
addsgn 79132211B9E9317E0AA1AB59AE4B1205DAFFF47DC4EA942D892B2942AF292811E11BC3DCC10016A5A0C58CF9CD4345117AB9D3B821CBF06C22C0AC4942CF5782 64 Win32/Toolbar.Conduit.Y [ESET-NOD32]

zoo %SystemDrive%\PROGRAM FILES\50 AB 654125\АДМИНИСТРАТИВНОЕ ПОСТАНОВЛЕНИЕ\MESSAGE.EXE
addsgn 1A58D19A5583C58CF42B627DA804DEC9E94677A2ADF69434A1C7406E24BF428CA953E75FBA95E85FAA7A049F46163BF4FEE2E80706DAB058289EB288C70675F8 8 trojanencoder@aol.com v 1.0.0.0

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\MESSAGE.EXE
hide %SystemDrive%\PROGRAM FILES\K-LITE CODEC PACK\TOOLS\VOBSUBSTRIP.EXE
;------------------------autoscript---------------------------

chklst
delvir

; FreeOnlineRadioPlayerRecorder V1 Toolbar
exec C:\Program Files\FreeOnlineRadioPlayerRecorder_V1\uninstall.exe toolbar
; McAfee Security Scan Plus
exec C:\Program Files\McAfee Security Scan\uninstall.exe
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

2. по расшифровке документов при наличие лицензии на наш антивируc  обратитесь в support@esetnod32.ru
Читают тему (гостей: 4)