файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.* , Filecoder.EQ/Encoder.567/Cryakl

1 2 3 4 5 ... 72 След.
RSS
+ этот файл еще проверьте
Цитата
C:\DOCUMENTS AND SETTINGS\HIMKI\МОИ ДОКУМЕНТЫ\144109.DEVID.INFO.EXE
На вирусинфо не смогли помочь...
Пруф - http://virusinfo.info/showthread.php?t=187143
+ этот файл так же проверьте
Код
C:\DOCUMENTS AND SETTINGS\HIMKI\РАБОЧИЙ СТОЛ\БИЛЕТЫ ПДД РФ. ЭКЗАМЕН ГИБДД РОССИИ 2015.5.2 PRO PORTABLE.EXE
https://www.virustotal.com/ru/file/26f7d73c71d2cfa4807751f2dbc668cb2ca8cba2a20eac09­9f66ef88e679647f/...

Что дальше? Вроде они генерируют ключ по которому все шифруют, а вот где его искать?

Есть еще два файла в папке Program Files ASTXGLJCNM.MXX и TBMKUJTNSF.OZR думаю это часть ключа или что-то подобное.
Изменено: Максим Серебрянский - 24.02.2020 06:33:13
по проверкам на VT просто ссылку добавьте в тему на линки проверки.

по очистке системы

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.85.25 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES\PRICEMETERLIVEUPDATE\UPDATE\PRICEMETERLIVEUPDATE.EXE
addsgn 1AD2539A5583358CF42BC4BD0CD02344256278F689FA940D8D4633C825554CD02F56C3544B16F74DC3A8A29F464FCA9F81DFBE9A05FCB02C74FEE1CB42C6567A 8 Adware.Shopper.363 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES\PRICEMETERLIVEUPDATE\UPDATE\1.3.23.0\NPGOOGLEUPDATE3.DLL
addsgn 79132211B9E9317E0AA1AB5962841205DAFFF47DC4EA942D892B2942AF292811E11BC39BF2995185E74C48538ADA8536B113BDF9B98DE6A7587B2F62D78D5F7B 64 Win32:DealPly-A [PUP]

zoo %SystemDrive%\PROGRAM FILES\PRICEMETERLIVEUPDATE\UPDATE\1.3.23.0\PRICEMETERLIVEUPDATEBROKER.EXE
addsgn 1A24619A5583348CF42B254E3143FE8E7082AA7DFCF648938CA5407524C7330E6551CCE0305A2A4B24377DB48162A3A5235A280F505978D370B4DA2CF4C6622E 8 Adware.Shopper.363 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES\PRICEMETERLIVEUPDATE\UPDATE\1.3.23.0\PSMACHINE.DLL
addsgn 79132211B9E9317E0AA1AB59568E1205DAFFF47DC4EA942D892B2942AF292811E11BC39BF2995185E74C48538ADA1C719188BEF920D63B613DFCD9274CC7A9A2 64 Win32:DealPly-A [PUP]

zoo %SystemDrive%\PROGRAM FILES\PRICEMETERLIVEUPDATE\UPDATE\1.3.23.0\PRICEMETERLIVEUPDATEONDEMAND.EXE
zoo %SystemDrive%\PROGRAM FILES\50 AB 654125\АДМИНИСТРАТИВНОЕ ПОСТАНОВЛЕНИЕ\MESSAGE.EXE
addsgn 1A58D19A5583C58CF42B627DA804DEC9E94677A2ADF69434A1C7406E24BF428CA953E75FBA95E85FAA7A049F46163BF4FEE2E80706DAB058289EB288C70675F8 8 trojanencoder@aol.com v 1.0.0.0

zoo %SystemDrive%\PROGRAM FILES\PRICEMETERLIVEUPDATE\UPDATE\1.3.23.0\PRICEMETERLIVEUPDATEHANDLER.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HIMKI\РАБОЧИЙ СТОЛ\БИЛЕТЫ ПДД РФ. ЭКЗАМЕН ГИБДД РОССИИ 2015.5.2 PRO PORTABLE.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HIMKI\APPLICATION DATA\FLVPLAYER\FLVPLAYERAPP.EXE
addsgn A7679B1991AE1F245CE76E3821389B40F9627A627605F7F5233C3A544C7F8EB3CB440AA8C1BD0780D47F6C56B4E9B6124D2B178D661AE544D1D5E42FA3F91217 8 Win32/InstallCore

hide %SystemDrive%\PROGRAM FILES\XVID\VIDCCLEANER.EXE
;------------------------autoscript---------------------------

sreg

chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES\PRICEMETERLIVEUPDATE\UPDATE\1.3.23.0

deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\HIMKI\LOCAL SETTINGS\APPLICATION DATA\PRICEMETER

delref %Sys32%\DRIVERS\{A3F28269-AD17-41A8-B032-3E0313EF8979}T.SYS
del %Sys32%\DRIVERS\{A3F28269-AD17-41A8-B032-3E0313EF8979}T.SYS

deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\HIMKI\APPLICATION DATA\FLVPLAYER

deltmp
delnfr
areg

;-------------------------------------------------------------


перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту safety@chklst.ru  
------------
по расшифровке, при наличие лицензии на антивирус можно обращаться в support@esetnod32.ru

по восстановлению из теневых копий ничего не получится.
система Windows XP не поддерживает теневое копирование документов.
Цитата
Максим Серебрянский написал:
Есть еще два файла в папке Program Files ASTXGLJCNM.MXX и TBMKUJTNSF.OZR думаю это часть ключа или что-то подобное.
это скорее всего означает, что  шифрование было двумя ключами. возможно часть файлов зашифрована одним ключом, а другие файлы после перезагрузки системы зашифрована другим ключом. т.е. процесс шифрования не завершился, и продолжился после перезагрузки системы.
Изменено: santy - 24.02.2020 06:33:14
Цитата
santy написал:
по расшифровке, при наличие лицензии на антивирус можно обращаться в support@esetnod32.ru
Т.е. лекарство есть?
по расшифровке на текущий момент в вирлабе вам могут ответить только в техподдержке.
у меня нет такой информации.
(не уверен, что есть, поскольку по предыдущей версии CL 0.0.1.0 не было дешифратора)
но расшифровкой занимается только вирлабы, а так же некоторые специалисты на форуме ВирусИнфо, насколько мне известно.
Изменено: santy - 24.02.2020 06:33:14
Как не печально, и не по неизвестным причинам NOD32 пропустил его или по вине пользователя  на организации.. Помогите в расшифровке... И посоветуйте какой фаервол в довесок к ноду установить, также в архиве сам вирус- может быть тот который все это дело зашифровал (ПРИГЛАШЕНИЕ-В-РЕСТОРАН!!!JPG.7z).  Образ Автозагрузки ECO1_2015-07-25_10-09-43.7z,  и сам фаил зашифрованный думаю что это док фаил +)[TABLE][TR][TD]email-help163btc@163.com.ver-CL 0.0.1.0.id-KMNNOPQRSSSTUVWWXXYZABBBDEFGGHIIJKKL-15.07.2015 11@20@226885246.randomname-FHIJKLMNOOPQRSTTUUVWXXYZABCCDE.GGH.cbf[/TD][TD][/TD][/TR][/TABLE]
Изменено: Валентин - 24.02.2020 06:33:14
пароль от архива 111
1 2 3 4 5 ... 72 След.
Читают тему (гостей: 5)