Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Шифровальщики файлов и подбор дешифраторов

зашифровано с расширением *.zcrypt, *xenos , unlock92;MSI/Filecoder.AC

1
RSS
 
Никита Чумак
Никита Чумак
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 20.06.2015
Размещено 20.06.2015 00:20:23
Сегодня случился инцидент. Мне на почту пришло сообщение мол с налоговой, мол судовое постановление и прочее, а я дурак попался. Скачал архив, включил файл cmd, и понеслась. Через 5 минут рабочий стол поменялся, выскочила картинка, мол "Баба яга украла все файлы, пенсия у не маленькая, но надо купить карточку какую то за 100$ и отправить всю нужную инфу на такой то сайт"
Я сразу же восстановление системы - файлы ещё зашифрованы. Сканирую - нахожу вирусняки - удаляю - файлы ещё зашифрованы. Облазил Интернет, в Автозагрузке убрал ААR - новая штука вылезла - как раз этот вирус. И в Диспетчере задач появились 2 левых процесса, которые закрыть было невозможно! Короче все файлы зашифрованы, по работе, учёбе, и личные! Что делать, подскажите? Одно знаю точно, что все файлы сменили расширение на "docxxenos", "jpgxenos", "pdfxenos".
Подскажите чем можете! Увы лицензии нет, но я прошу помочь мне![img]file:///C:/Users/user/Desktop[/img]
Так ещё прикол в том, что он зацепил файлы только на Рабочем столе, дальше он не полез!
2015-06-20_001512.jpg (125.98 КБ)
2015-06-20_001534.jpg (148.22 КБ)
 
mike 1
mike 1
Пользователь
Сообщений: 142
Баллов: 113
Регистрация: 10.06.2011
Размещено 20.06.2015 00:50:33
Выполните http://forum.esetnod32.ru/forum6/topic5713/
Михаил
 
Никита Чумак
Никита Чумак
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 20.06.2015
Размещено 20.06.2015 11:30:27
Хорошо!) Вот! И ещё + пара скриншотов - это нормально когда так?
     
5.jpg (56.77 КБ)
2.jpg (64.05 КБ)
4.jpg (52.72 КБ)
6.jpg (42.65 КБ)
3.jpg (64.45 КБ)
1.jpg (45.32 КБ)
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 20.06.2015 12:15:02
Никита Чумак,

1. по очистке системы выполните это

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.85.25 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\5RS0HTV1.DEFAULT\SEARCHPLUGINS\DELTA-HOMES.XML
delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\5RS0HTV1.DEFAULT\EXTENSIONS\[email protected]\INSTALL.RDF
hide %SystemDrive%\PROGRAM FILES\WINDJVIEW\UNINSTALL.EXE
hide %SystemDrive%\PROGRAM FILES (X86)\INTERNET DOWNLOAD MANAGER\IDMSHELLEXT64.DLL
delref HTTP://WWW.LUCKYSEARCHES.COM/?TYPE=HP&TS=1428742831&FROM=EXP&UID=HITACHIXHDS721010CLA332_JP2940HQ36K0PH36K0PHX
delref HTTP://WWW.LUCKYSEARCHES.COM/WEB/?TYPE=DS&TS=1428742831&FROM=EXP&UID=HITACHIXHDS721010CLA332_JP2940HQ36K0PH36K0PHX&Q={SEARCHTERMS}
delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\5RS0HTV1.DEFAULT\SEARCHPLUGINS\LUCKYSEARCHES.XML
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://WWW.DELTA-HOMES.COM/NEWTAB/?TYPE=NT&TS=1432145526&Z=5F5A9FAA8DD17521C472ADFG3Z0C5ODGCZBW4W4Z6M&FROM=WPM05203&UID=HITACHIXHDS721010CLA332_JP2940HQ36K0PH36K0PHX

delref HTTP://SEARCH.DELTA-HOMES.COM/WEB/?TYPE=DS&TS=1432145526&Z=5F5A9FAA8DD17521C472ADFG3Z0C5ODGCZBW4W4Z6M&FROM=WPM05203&UID=HITACHIXHDS721010CLA332_JP2940HQ36K0PH36K0PHX&Q={SEARCHTERMS}

regt 28
regt 29
; OpenAL
exec  C:\Program Files (x86)\OpenAL\OpenALwEAX.exe" /U /S
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
2. восстановлению зашифрованных документов проверьте наличие чистых теневых копий.

3. по расшифровке документов (если необходима) при наличии лицензии на наш антивирус обратитесь в техподдержку [email protected]
[ Как создать образ автозапуска? ]
 
omsk_mail
omsk_mail
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 05.06.2012
Размещено 22.03.2016 06:50:57
Сегодня по почте пришло письмо со зло вредом MSIL/Filecoder.AC
Зашифровал все документы.
Перед! тем как обратиться сюда почистили все с помощью UVS и другого софта для чистки реестра и временных файлов.
Антивирусники больше ни на что не реагировали (проверяли разными) в  почте письма не осталось. Походу Маил,ру грохнул его самостоятельно  (раньше не мог что ли грохнуть).
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 22.03.2016 07:42:37
по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET
[ Как создать образ автозапуска? ]
 
1
Читают тему