файлы зашифрованы с расширением f***** - Форум технической поддержки ESET NOD32

Сообщений: 1

Регистрация: 11.01.2016

Размещено 11.01.2016 23:42:16

Здравствуйте, сегодня включил компьютер и обомлел. Большинство файлов под замком. Вид файлов стал <имя_файла>.<оригинальное_расширение>.<fc5c9642>
А на рабочем столе странное письмо, в котором сказано:

Здравствуйте, все ваши файлы зашифрованы, свяжитесь с нами для их восстановления.
Для этого откройте ярлык 'Онлайн консультант', который находится на рабочем столе или кликните два раза левой кнопкой мыши на любой зашифрованный файл.

--------------------------------------------------------------

Если по каким-то причинам вы не можете связаться с нами через 'Онлайн чат', свяжитесь с нами через оффлайн контакты:
1) Загрузите 'Tor Browser for Windows', скачать можно тут https://www.torproject.org/download/download-easy.html.en
2) Установите и запустите 'Tor Browser'
3) Перейдите по ссылке 'http://2hscl4fwxetqdiml.onion/?id=fc5c9642&HashID=bddca1c0476c99872db60acbdf4bf2d0' в 'Tor Browser' - (ВНИМАНИЕ, САЙТ ДОСТУПЕН ТОЛЬКО ЧЕРЕЗ 'Tor Browser')
4) Следуйте инструкциям на сайте

--------------------------------------------------------------

ID: fc5c9642
HashID: bddca1c0476c99872db60acbdf4bf2d0

--------------------------------------------------------------

1) Внимание, 'переустановка/откат' windows не поможет восстановить файлы но может окончательно их повредить и тогда даже мы не сможем их восстановить.
2) Антивирусы nod32, drweb, kaspersky и т.д вам не помогут расшифровать файлы, даже если вы купите у них лицензию на 10 лет, они вам все равно не восстановят файлы.
3) Для шифрования файлов используется AES который был создан в 1998г, за 17 лет никто на планете земля не смог взломать алгоритм шифрования, даже АНБ.
4) Ключ других пользователей вам не подойдет, так как у каждого пользователя уникальный ключ, поэтому не ждите что кто-то оплатит и выложит ключ для расшифровки файлов.

--------------------------------------------------------------

Коротко о шифрование 'AES256' на примере 'Winrar', каждый файл помешается в архив 'Winrar', на архив 'Winrar' ставится пароль из 256 символов:
1) Открыть архив можно только введя пароль
2) Удалив 'Winrar' файл остается в архиве и открыть его нельзя.
3) Даже если перенести архив на другой windows, он все еще будет требовать пароль для открытия.
4) Если вы 'переустановите/откатите' windows, архив 'Winrar' останется архивом и для его открытия все еще потребуется 'Winrar' и пароль из 256 символов.

--------------------------------------------------------------

Вы можете ждать пока кто-то через лет 60 взломает алгоритм шифрования AES256 и через 60 лет восстановить файлы или же оплатить ключ и восстановить файлы за пару часов, выбор за вами!
https://ru.wikipedia.org/wiki/Advanced_Encryption_Standard

Прошу помощи
система Win7 64
21:36:08.0834 0x1bdc Trojan-Ransom.Win32.Rakhni decryption tool 1.14.13.3 Dec 4 2015 19:00:15
21:36:09.0287 0x1bdc ============================================================
21:36:09.0287 0x1bdc Current date / time: 2016/01/11 21:36:09.0287
21:36:09.0287 0x1bdc SystemInfo:
21:36:09.0287 0x1bdc
21:36:09.0287 0x1bdc OS Version: 6.1.7601 ServicePack: 1.0

21:36:09.0288 0x1bdc ============================================================
21:36:09.0289 0x1bdc Initialize success
21:36:12.0042 0x1bfc Number of worker threads: 8
21:36:31.0964 0x1bfc Can't get file path
22:18:37.0878 0x1bd4 Deinitialize success

Прикрепленные файлы

АНДРЕЙ-ПК_2016-01-12_01-19-03.7z (617.01 КБ)

Изменено: макс Сок - 30.04.2023 05:23:47

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 12.01.2016 06:48:07

хорошо.
по расшифровке напишите в техподдержку [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 12.01.2016 06:49:34

Александр,
добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/
+
не используйте чужие скрипты с форума. все скрипты сугубо индивидуальные.

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 12.01.2016 07:04:57

1. заархивируйте эту папку с паролем infected и вышлите в почту [email protected]
C:\USERS\АНДРЕЙ\APPDATA\ROAMING\ODNUQNXVQTACMFPQ4N

2. по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.86.10 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE dirzoo %SystemDrive%\USERS\АНДРЕЙ\APPDATA\ROAMING\ODNUQNXVQTACMFPQ4N deldirex %SystemDrive%\USERS\АНДРЕЙ\APPDATA\ROAMING\ODNUQNXVQTACMFPQ4N ;------------------------autoscript--------------------------- chklst delvir setdns Подключение по локальной сети\4\{04B03789-F773-4378-84AF-4BB6D806C013}\8.8.8.8,8.8.4.4 deldirex %SystemDrive%\PROGRAM FILES (X86)\CIPLUS-4.5VV16.07 delref %SystemDrive%\USERS\������\APPDATA\ROAMING\5PWWKBIQSHYLZ5XCYTMEGM9FC1.EXE deldirex %SystemDrive%\PROGRAM FILES (X86)\CIPLUS-4.5VV17.07 deldirex %SystemDrive%\PROGRAM FILES (X86)\ANYPROTECTEX deldirex %SystemDrive%\PROGRAM FILES (X86)\SHOP AND SAVE UP delref %SystemDrive%\USERS\������\APPDATA\ROAMING\JHQBHORR5PX2O.EXE delref %SystemDrive%\USERS\������\APPDATA\ROAMING\NNVZWLOPFYQMIW9RRPC82FRQB.EXE deldirex %SystemDrive%\PROGRAM FILES (X86)\WORDSURFER_1.10.0.19\UPDATE deldirex %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIFLPPBJNPNEIIGCBDFJPNKEBIDMKJMOI%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPPOILMFKBPCKODOIFDLKMKEPCAJFJMHL%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://WWW.MYSTARTSEARCH.COM/WEB/?TYPE=DS&TS=1437066801&Z=942524997D6419CB25C6185G5Z4C4M4EEQ7Q8M4B7B&FROM=CMI&UID=ST2000DM001-9YN164_S240B9YQXXXXS240B9YQ&Q={SEARCHTERMS} delref HTTP://WWW.MYSTARTSEARCH.COM/WEB/?TYPE=DS&TS=1437152427&Z=1AD59A6931D097A33261B46G3Z4CAM2G5W9O5Z9G4W&FROM=CMI&UID=ST2000DM001-9YN164_S240B9YQXXXXS240B9YQ&Q={SEARCHTERMS} delref HTTP://WWW.MYSTARTSEARCH.COM/NEWTAB/?TYPE=NT&TS=1437152427&Z=1AD59A6931D097A33261B46G3Z4CAM2G5W9O5Z9G4W&FROM=CMI&UID=ST2000DM001-9YN164_S240B9YQXXXXS240B9YQ delref %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\EIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO\5.0.1_0\ПОИСК MAIL.RU delref %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.0_0\СТАРТОВАЯ — ЯНДЕКС delref %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LALFIODOHDGAEJJCCFGFMMNGGGPPLMHP\8.14.0_0\СТАРТОВАЯ — ЯНДЕКС deldirex %SystemDrive%\PROGRAM FILES (X86)\GLOBALUPDATE\UPDATE\1.3.25.0 delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMJBEPBHONBOJPOAENHCKJOCCHGFIAOFO%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://WWW.MYSTARTSEARCH.COM/?TYPE=HP&TS=1437152427&Z=1AD59A6931D097A33261B46G3Z4CAM2G5W9O5Z9G4W&FROM=CMI&UID=ST2000DM001-9YN164_S240B9YQXXXXS240B9YQ delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=51A28F199AD93F8FD8EB22964A6DE445&TEXT={SEARCHTERMS} deldirex %SystemDrive%\PROGRAM FILES (X86)\GMSD_RU_005010037 regt 27 regt 28 regt 29 ; GamesDesktop 033.005010035 exec C:\Program Files (x86)\gmsd_ru_005010035\unins000.exe ; GamesDesktop 033.005010036 exec C:\Program Files (x86)\gmsd_ru_005010036\unins000.exe ; GamesDesktop 033.005010037 exec C:\Program Files (x86)\gmsd_ru_005010037\unins000.exe ; Time tasks exec C:\ProgramData\TimeTasks\uninstall.exe deltmp delnfr ;------------------------------------------------------------- czoo restart

Код


;uVS v3.86.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

dirzoo %SystemDrive%\USERS\АНДРЕЙ\APPDATA\ROAMING\ODNUQNXVQTACMFPQ4N
deldirex %SystemDrive%\USERS\АНДРЕЙ\APPDATA\ROAMING\ODNUQNXVQTACMFPQ4N
;------------------------autoscript---------------------------

chklst
delvir

setdns Подключение по локальной сети\4\{04B03789-F773-4378-84AF-4BB6D806C013}\8.8.8.8,8.8.4.4
deldirex %SystemDrive%\PROGRAM FILES (X86)\CIPLUS-4.5VV16.07

delref %SystemDrive%\USERS\&#65533;&#65533;&#65533;&#65533;&#65533;&#65533;\APPDATA\ROAMING\5PWWKBIQSHYLZ5XCYTMEGM9FC1.EXE

deldirex %SystemDrive%\PROGRAM FILES (X86)\CIPLUS-4.5VV17.07

deldirex %SystemDrive%\PROGRAM FILES (X86)\ANYPROTECTEX

deldirex %SystemDrive%\PROGRAM FILES (X86)\SHOP AND SAVE UP

delref %SystemDrive%\USERS\&#65533;&#65533;&#65533;&#65533;&#65533;&#65533;\APPDATA\ROAMING\JHQBHORR5PX2O.EXE

delref %SystemDrive%\USERS\&#65533;&#65533;&#65533;&#65533;&#65533;&#65533;\APPDATA\ROAMING\NNVZWLOPFYQMIW9RRPC82FRQB.EXE

deldirex %SystemDrive%\PROGRAM FILES (X86)\WORDSURFER_1.10.0.19\UPDATE

deldirex %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIFLPPBJNPNEIIGCBDFJPNKEBIDMKJMOI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPPOILMFKBPCKODOIFDLKMKEPCAJFJMHL%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://WWW.MYSTARTSEARCH.COM/WEB/?TYPE=DS&TS=1437066801&Z=942524997D6419CB25C6185G5Z4C4M4EEQ7Q8M4B7B&FROM=CMI&UID=ST2000DM001-9YN164_S240B9YQXXXXS240B9YQ&Q={SEARCHTERMS}

delref HTTP://WWW.MYSTARTSEARCH.COM/WEB/?TYPE=DS&TS=1437152427&Z=1AD59A6931D097A33261B46G3Z4CAM2G5W9O5Z9G4W&FROM=CMI&UID=ST2000DM001-9YN164_S240B9YQXXXXS240B9YQ&Q={SEARCHTERMS}

delref HTTP://WWW.MYSTARTSEARCH.COM/NEWTAB/?TYPE=NT&TS=1437152427&Z=1AD59A6931D097A33261B46G3Z4CAM2G5W9O5Z9G4W&FROM=CMI&UID=ST2000DM001-9YN164_S240B9YQXXXXS240B9YQ

delref %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\EIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO\5.0.1_0\ПОИСК MAIL.RU

delref %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.0_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LALFIODOHDGAEJJCCFGFMMNGGGPPLMHP\8.14.0_0\СТАРТОВАЯ — ЯНДЕКС

deldirex %SystemDrive%\PROGRAM FILES (X86)\GLOBALUPDATE\UPDATE\1.3.25.0

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMJBEPBHONBOJPOAENHCKJOCCHGFIAOFO%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://WWW.MYSTARTSEARCH.COM/?TYPE=HP&TS=1437152427&Z=1AD59A6931D097A33261B46G3Z4CAM2G5W9O5Z9G4W&FROM=CMI&UID=ST2000DM001-9YN164_S240B9YQXXXXS240B9YQ

delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=51A28F199AD93F8FD8EB22964A6DE445&TEXT={SEARCHTERMS}

deldirex %SystemDrive%\PROGRAM FILES (X86)\GMSD_RU_005010037

regt 27
regt 28
regt 29
; GamesDesktop 033.005010035
exec  C:\Program Files (x86)\gmsd_ru_005010035\unins000.exe
; GamesDesktop 033.005010036
exec  C:\Program Files (x86)\gmsd_ru_005010036\unins000.exe
; GamesDesktop 033.005010037
exec  C:\Program Files (x86)\gmsd_ru_005010037\unins000.exe
; Time tasks
exec C:\ProgramData\TimeTasks\uninstall.exe
deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Размещено 12.01.2016 09:47:53

Цитата
santy написал: хорошо. по расшифровке напишите в техподдержку [email protected] при наличие лицензии на антивирус ESET

Все получилось с очисткой или стоит еще раз запустить? Папку как Вы говорили прислать, заблокировал с паролем infected и теперь сам ее разблокировать не могу, как-то так: "corrupt file or wrong password"

Изменено: Кирилл Грацианский - 28.05.2016 03:16:24

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 12.01.2016 10:29:50

тогда посмотрите этот архив в папке uVS

Цитата
архив из каталога uVS (по формату: ZOO_2016-01-dd_hh-mm-ss.rar/7z) отправить в почту [email protected]

и вышлите его в почту

[ Как создать образ автозапуска? ]

Сообщений: 3

Баллов: 1

Регистрация: 12.01.2016

Размещено 12.01.2016 17:08:15

Прошу помочь! 11.01.2016 сын поймал на комп вирус- шифровальщик. Зашифровал всё, включая cdr, jpeg (фото детей за 10 лет (((((...
В архиве приложен файл для информативности...

Прикрепленные файлы

KNOPKA-ПК_2016-01-12_18-39-08.rar (1.3 МБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 12.01.2016 19:56:36

Zanozka.
по очистке системы выполните:
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.86.10 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\PROGRAM FILES (X86)\TORRENT SEARCH\BWAEOSW.EXE addsgn 1AD1419A5583338CF42B627DA804DEC972DC7782ADEA9434A1D74EC074DAFA8DA8C6C09105ABEB4110788B1D2E1549FA7265CDEA1C98B02D5E70578B2E112173 8 WebToolbar.Win32.Neobar zoo %SystemDrive%\PROGRAM FILES (X86)\TORRENT SEARCH\IEEF\JMDCADFC9KG0.DLL addsgn BA652BBE5D22C5062FC4F9F9E724324CAE72772CC171EEFB7FC2B0B9B8110D4C235B4890B586D5C2E5C80FC36226017109FBD03AD61E9073C474A42FC7CAEEBF 64 WebToolbar.Win32.Neobar zoo %SystemDrive%\PROGRAM FILES (X86)\TORRENT SEARCH\IEEF\J9XXFYKVQ7YT.DLL addsgn A7679B1928664D070E3C7ECF64C8ED70357589FA768F179082C3C5BCD3127D11E11BC33D323D3D1F2F906C70411649C9BD9F6307595F4659214E9163F503327C 64 Adware.Plugin.1265 [DrWeb] zoo %SystemDrive%\PROGRAM FILES (X86)\GENIE SOFT\GENIE WIFI\GENIEWIFISERVICE.EXE addsgn 1A0F749A5583278FF42B624E41A4B345250103A302169E94ADC0C5BCF3CEA70C239ECE43E8159DC03E9052DF469F54F6AB9FE8FB60D2666C2DFE992B11462215 8 Win32/Adware.Mobogenie zoo %SystemDrive%\PROGRAM FILES (X86)\TORRENT SEARCH\IEEF\9S2TBREGP5WB.EXE addsgn 1A95DC9A5583338CF42BFB3A884347098436ECBD890DCDF3C8CBE66C739B7D47F29ED6EB2E1E9D14E868D2DB4616CC3A09D78264BDAEF42C2D2E522A7B166973 8 WebToolbar.Win32.Neobar hide %SystemDrive%\PROGRAM FILES (X86)\GENIE SOFT\GENIE WIFI\GENIEWIFISERVICE.EXE deldirex %SystemDrive%\USERS\KNOPKA\APPDATA\ROAMING\WINDOWSUPDATER delall %SystemDrive%\USERS\KNOPKA\APPDATA\ROAMING\WINDOWSUPDATER\UPDATER.EXE dirzoo %SystemDrive%\USERS\KNOPKA\APPDATA\ROAMING\ODNUQNXVQTACMFPQ4N zoo %SystemDrive%\USERS\KNOPKA\APPDATA\LOCAL\TEMP\AMISETUP9220__10017.EXE delall %SystemDrive%\USERS\KNOPKA\APPDATA\LOCAL\TEMP\AMISETUP9220__10017.EXE deldirex %SystemDrive%\USERS\KNOPKA\APPDATA\ROAMING\ODNUQNXVQTACMFPQ4N ;------------------------autoscript--------------------------- chklst delvir deldirex %SystemDrive%\USERS\KNOPKA\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT UNINSTALLER\UNINSTALLEXPLORER64.DLL del %SystemDrive%\USERS\KNOPKA\APPDATA\ROAMING\BROWSERS\EXE.RESWORBOEDIV.BAT ; Mobogenie3 exec C:\Program Files (x86)\Mobogenie3\Uninstall.exe deltmp delnfr ;------------------------------------------------------------- czoo restart

Код


;uVS v3.86.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES (X86)\TORRENT SEARCH\BWAEOSW.EXE
addsgn 1AD1419A5583338CF42B627DA804DEC972DC7782ADEA9434A1D74EC074DAFA8DA8C6C09105ABEB4110788B1D2E1549FA7265CDEA1C98B02D5E70578B2E112173 8 WebToolbar.Win32.Neobar

zoo %SystemDrive%\PROGRAM FILES (X86)\TORRENT SEARCH\IEEF\JMDCADFC9KG0.DLL
addsgn BA652BBE5D22C5062FC4F9F9E724324CAE72772CC171EEFB7FC2B0B9B8110D4C235B4890B586D5C2E5C80FC36226017109FBD03AD61E9073C474A42FC7CAEEBF 64 WebToolbar.Win32.Neobar

zoo %SystemDrive%\PROGRAM FILES (X86)\TORRENT SEARCH\IEEF\J9XXFYKVQ7YT.DLL
addsgn A7679B1928664D070E3C7ECF64C8ED70357589FA768F179082C3C5BCD3127D11E11BC33D323D3D1F2F906C70411649C9BD9F6307595F4659214E9163F503327C 64 Adware.Plugin.1265 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES (X86)\GENIE SOFT\GENIE WIFI\GENIEWIFISERVICE.EXE
addsgn 1A0F749A5583278FF42B624E41A4B345250103A302169E94ADC0C5BCF3CEA70C239ECE43E8159DC03E9052DF469F54F6AB9FE8FB60D2666C2DFE992B11462215 8 Win32/Adware.Mobogenie

zoo %SystemDrive%\PROGRAM FILES (X86)\TORRENT SEARCH\IEEF\9S2TBREGP5WB.EXE
addsgn 1A95DC9A5583338CF42BFB3A884347098436ECBD890DCDF3C8CBE66C739B7D47F29ED6EB2E1E9D14E868D2DB4616CC3A09D78264BDAEF42C2D2E522A7B166973 8 WebToolbar.Win32.Neobar

hide %SystemDrive%\PROGRAM FILES (X86)\GENIE SOFT\GENIE WIFI\GENIEWIFISERVICE.EXE
deldirex %SystemDrive%\USERS\KNOPKA\APPDATA\ROAMING\WINDOWSUPDATER
delall %SystemDrive%\USERS\KNOPKA\APPDATA\ROAMING\WINDOWSUPDATER\UPDATER.EXE
dirzoo %SystemDrive%\USERS\KNOPKA\APPDATA\ROAMING\ODNUQNXVQTACMFPQ4N
zoo %SystemDrive%\USERS\KNOPKA\APPDATA\LOCAL\TEMP\AMISETUP9220__10017.EXE
delall %SystemDrive%\USERS\KNOPKA\APPDATA\LOCAL\TEMP\AMISETUP9220__10017.EXE
deldirex %SystemDrive%\USERS\KNOPKA\APPDATA\ROAMING\ODNUQNXVQTACMFPQ4N
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\USERS\KNOPKA\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT UNINSTALLER\UNINSTALLEXPLORER64.DLL

del %SystemDrive%\USERS\KNOPKA\APPDATA\ROAMING\BROWSERS\EXE.RESWORBOEDIV.BAT

; Mobogenie3
exec  C:\Program Files (x86)\Mobogenie3\Uninstall.exe
deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected]
------------
по расшифровке придется обращаться в [email protected] при наличие лицензии на антивирус ESET

Изменено: santy - 12.01.2016 19:57:03

[ Как создать образ автозапуска? ]

Сообщений: 1

Регистрация: 12.01.2016

Размещено 12.01.2016 21:14:50

Добрый вечер, santy!
Поймал вирус-шифровальщик. Проделал описанное выше.
Так и не понял что он делает и помогло ли в моей ситуации, но никаких изменений не произошло.
Направьте по нужным действиям, пожалуйста.

Скрытый текст

Прикрепленные файлы

LENOVO_2016-01-12_20-45-22.7z (621 КБ)
LENOVO_2016-01-12_21-15-43.7z (612.6 КБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 13.01.2016 05:56:35

Kwaku Atta,
скрипт очистки написан не для вас, поэтому вам он бесполезен, а может случиться и вреден.
для вас скрипт очистки будет написан по вашему образу автозапуска
это первое, что нужно понять.

второе - это то, что скрипт не поможет в расшифровке документов, а только в очистке системы от вредоносных программ

[ Как создать образ автозапуска? ]

файлы зашифрованы с расширением f***** , Filecoder.AO/ на рабочем столе Онлайн консультант

Ответы