Форум esetnod32.ru [тема: зашифровано с расширением *id-*_maxcrypt@foxmail2.com] http://forum.esetnod32.ru Новое в теме зашифровано с расширением *id-*_maxcrypt@foxmail2.com форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Thu, 16 Apr 2026 09:51:27 +0300 зашифровано с расширением *id-*_maxcrypt@foxmail2.com зашифровано с расширением *id-*_maxcrypt@foxmail2.com возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
Александр,
по очистке все.
по расшифровке обращайтесь в техподдержку
29.09.2015 09:55:11, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic13301/message88117/ http://forum.esetnod32.ru/messages/forum35/topic13301/message88117/ Tue, 29 Sep 2015 09:55:11 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *id-*_maxcrypt@foxmail2.com зашифровано с расширением *id-*_maxcrypt@foxmail2.com возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
FRST fixlog
Fixlog.txt
29.09.2015 09:16:10, Александр Александров.]]> http://forum.esetnod32.ru/messages/forum35/topic13301/message88113/ http://forum.esetnod32.ru/messages/forum35/topic13301/message88113/ Tue, 29 Sep 2015 09:16:10 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *id-*_maxcrypt@foxmail2.com зашифровано с расширением *id-*_maxcrypt@foxmail2.com возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


====quote====
HKU\S-1-5-21-448539723-362288127-725345543-1003\...\Run: [] => [X]
FF Extension: Desktopy - C:\Documents and Settings\Кирилл\Application Data\Mozilla\Firefox\Profiles\yandex.default\Extensions\{71238372-3743-33ab-8a9f-93722af74c97} [2013-04-10]
CHR HKU\S-1-5-21-448539723-362288127-725345543-1003\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx
EmptyTemp:
Reboot:
=============

28.09.2015 16:37:22, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic13301/message88100/ http://forum.esetnod32.ru/messages/forum35/topic13301/message88100/ Mon, 28 Sep 2015 16:37:22 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *id-*_maxcrypt@foxmail2.com зашифровано с расширением *id-*_maxcrypt@foxmail2.com возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
Узнал от куда всё это началось, с эл. почты , на нее прислали сообщение и кто то взорвал его на моём ПК....
28.09.2015 15:03:41, Александр Александров.]]> http://forum.esetnod32.ru/messages/forum35/topic13301/message88095/ http://forum.esetnod32.ru/messages/forum35/topic13301/message88095/ Mon, 28 Sep 2015 15:03:41 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *id-*_maxcrypt@foxmail2.com зашифровано с расширением *id-*_maxcrypt@foxmail2.com возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
Получилась вот такая картина
Addition.txt
FRST.txt
28.09.2015 14:54:48, Александр Александров.]]> http://forum.esetnod32.ru/messages/forum35/topic13301/message88094/ http://forum.esetnod32.ru/messages/forum35/topic13301/message88094/ Mon, 28 Sep 2015 14:54:48 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *id-*_maxcrypt@foxmail2.com зашифровано с расширением *id-*_maxcrypt@foxmail2.com возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

5.сделайте проверку в FRST
http://pchelpforum.ru/f26/t24207/2/#post1257991
28.09.2015 14:19:38, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic13301/message88093/ http://forum.esetnod32.ru/messages/forum35/topic13301/message88093/ Mon, 28 Sep 2015 14:19:38 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *id-*_maxcrypt@foxmail2.com зашифровано с расширением *id-*_maxcrypt@foxmail2.com возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
АдвКлинер, какие дальнейшие действия?)
AdwCleaner[S1].txt
28.09.2015 12:30:27, Александр Александров.]]> http://forum.esetnod32.ru/messages/forum35/topic13301/message88088/ http://forum.esetnod32.ru/messages/forum35/topic13301/message88088/ Mon, 28 Sep 2015 12:30:27 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *id-*_maxcrypt@foxmail2.com зашифровано с расширением *id-*_maxcrypt@foxmail2.com возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
icq не надо удалять
PUP.Optional.ICQToolbar, C:\Documents and Settings\All Users\Application Data\ICQ\ICQToolbar\XML\Configuration.xml, , [5ae748ed8efd86b00a3ffc239d66ef11],

остальное удалите, перегрузите систему,
далее,

далее,
3.сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/
28.09.2015 11:15:33, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic13301/message88083/ http://forum.esetnod32.ru/messages/forum35/topic13301/message88083/ Mon, 28 Sep 2015 11:15:33 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *id-*_maxcrypt@foxmail2.com зашифровано с расширением *id-*_maxcrypt@foxmail2.com возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
сделал все по инструкиции) в малваребайте надено 168 подозрительных файлов, удалять все? Оо
COMP4_2015-09-28_13-27-23.7z
малваребайт.txt
28.09.2015 11:05:48, Александр Александров.]]> http://forum.esetnod32.ru/messages/forum35/topic13301/message88082/ http://forum.esetnod32.ru/messages/forum35/topic13301/message88082/ Mon, 28 Sep 2015 11:05:48 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *id-*_maxcrypt@foxmail2.com зашифровано с расширением *id-*_maxcrypt@foxmail2.com возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
====code==== 

;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
zoo %Sys32%\NETUPDSRV.EXE
addsgn 1AA3E79A5583D98CF42B254E3143FE86C9AA77B381AC48128D9A7B84B49771C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F879F23FE 8 NetworkUpdate.mbam

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\КИРИЛЛ\APPLICATION DATA\20577\A30813.EXE
addsgn 1AADCB9A5583C58CF42B627DA804DEC9E946303A4536942CA1CF4EF074D2F49E577EF097B411B941AF40F189C7ECC9FA7DDF9A7CD6E738F06577A45BC2EFBDCF 8 Win32/Amonetize.BE [ESET-NOD32]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\КИРИЛЛ\APPLICATION DATA\BABSOLUTION\SHARED\BABMAINT.EXE
addsgn A7679B1BB95244720BE76ED7ED4DEAF8DA75CF3FEF7392887E3C3A8F82B0F8D9CBEE3CA8B3D065B4D47FD4F5467C499067B5E88D409E906C2DFA29D73AF9DD22 8 Adware.Babylon.12 [DrWeb]

zoo %Sys32%\NETHTSRV.EXE
addsgn 1ABC099A5583D98CF42B254E3143FE86C9AA77B381AC48128D9A7B04549471C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F879F23FE 8 NetUpdate.mbam

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\КИРИЛЛ\APPLICATION DATA\SWVUPDATER\UPDATER.EXE
addsgn 925277FA136AC1CC0B64574E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 a variant of Win32/Amonetize.I

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\КИРИЛЛ\РАБОЧИЙ СТОЛ\OFFICE ACTIVATION 2010.EXE
addsgn A7679B2355684C728A38AEB264C8AA51258AFCA7DE79F37C0CF7E1EB0685F2A0279EEF73079592CD2A81849FFCE996B97D9DBA439C5B790C98875BAE1606697C 8 BackDoor.Ddoser.131 [DrWeb]

hide %SystemDrive%\DOCUMENTS AND SETTINGS\КИРИЛЛ\РАБОЧИЙ СТОЛ\CCLEANER.EXE
czoo
restart
;------------------------autoscript---------------------------

chklst
delvir

; Better Surf Plus
exec C:\Program Files\BetterSurf\BetterSurfPlus\uninstall.exe
; Delta Chrome Toolbar
exec C:\Documents and Settings\Кирилл\Application Data\BabSolution\Shared\GUninstaller.exe" -key "Delta Chrome Toolbar" -rmkey -ask -rmbus "Delta Chrome Toolbar
; OffersWizard Network System Driver
exec C:\Program Files\Common Files\Config\uninstinethnfd.exe

delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER3.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\КИРИЛЛ\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GHBMNNJOOEKPMOECNNNILNNBDLOLHKHI\0.5_0\GOOGLE ДОКУМЕНТЫ ОФЛАЙН
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER.EXE

deldirex %SystemDrive%\PROGRAM FILES\BETTERSURF\FF

deldirex %SystemDrive%\PROGRAM FILES\BETTERSURF\BETTERSURFPLUS\FF

delref %SystemDrive%\DOCUMENTS AND SETTINGS\КИРИЛЛ\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\EOONCJEJNPPFJJKLAPAAMHCDMJBILMDE\1.5.1_0\DELTA TOOLBAR

deltmp
delnfr
;-------------------------------------------------------------
=============
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

----------по расшифровке документов напишите в support@esetnod32. ru при наличие лицензии на антивирус ESET
28.09.2015 10:15:14, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic13301/message88080/ http://forum.esetnod32.ru/messages/forum35/topic13301/message88080/ Mon, 28 Sep 2015 10:15:14 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *id-*_maxcrypt@foxmail2.com зашифровано с расширением *id-*_maxcrypt@foxmail2.com возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
Сегодня с утра началось...файлы стали менять расширение на maxсrypt@foxmail2, что делать (( важные для работы доки !
COMP4_2015-09-28_12-53-04.7z
28.09.2015 09:48:35, Александр Александров.]]> http://forum.esetnod32.ru/messages/forum35/topic13301/message88078/ http://forum.esetnod32.ru/messages/forum35/topic13301/message88078/ Mon, 28 Sep 2015 09:48:35 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *id-*_maxcrypt@foxmail2.com зашифровано с расширением *id-*_maxcrypt@foxmail2.com возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
поищите на других компах файлы с расширением maxcrypt@foxmail2.com

если будут зашифрованы доки с нерасшаренных папок, тогда скорее всего этот комп (или эти компы) был источником заражения для всех расшаренных ресурсов в сети
16.04.2015 18:17:38, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic13301/message84440/ http://forum.esetnod32.ru/messages/forum35/topic13301/message84440/ Thu, 16 Apr 2015 18:17:38 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *id-*_maxcrypt@foxmail2.com зашифровано с расширением *id-*_maxcrypt@foxmail2.com возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
Спасибо.
Папка была расшарена. Возможно Вы правы.
Буду трясти другие компьютеры на предмет заражения. Пока никто не сознается.
16.04.2015 14:43:22, Александр Мосин.]]> http://forum.esetnod32.ru/messages/forum35/topic13301/message84426/ http://forum.esetnod32.ru/messages/forum35/topic13301/message84426/ Thu, 16 Apr 2015 14:43:22 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *id-*_maxcrypt@foxmail2.com зашифровано с расширением *id-*_maxcrypt@foxmail2.com возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
папка документы у вас случайно не расширена?
возможно шифрование было по сети.
следов шифратора нет.

1. по очистке системы

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"


====code==== 
;uVS v3.85.17 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE

delall %Sys32%\SVCHOST.EXE:EXT.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://SEARCH-ALL.NET/

delref {83E915D4-DDDB-4450-B957-7A3240E9CE66}\[CLSID]

deltmp
delnfr
;-------------------------------------------------------------

restart
=============
перезагрузка, пишем о старых и новых проблемах.
------------

по восстановлению документов
1. архивные копии если есть.
2. восстановление из теневых копий невозможно.

по расшифровке документов.
если есть лицензия на антивирус - обращайтесь в техническую поддержку
support@esetnod32.ru
16.04.2015 12:03:20, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic13301/message84412/ http://forum.esetnod32.ru/messages/forum35/topic13301/message84412/ Thu, 16 Apr 2015 12:03:20 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *id-*_maxcrypt@foxmail2.com зашифровано с расширением *id-*_maxcrypt@foxmail2.com возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
Помогите с проблемой.
Вирус зашифровал почти все файлы в папке Мои Документы и пропал так же тихо как и возник, никаких окон. Антивирус его не видит. Активности тоже не видно ,но боюсь может проявиться.
Образ автозапуска из uVS прикреплен.
EM_2015-04-16_11-13-14.7z
16.04.2015 11:46:08, Александр Мосин.]]> http://forum.esetnod32.ru/messages/forum35/topic13301/message84410/ http://forum.esetnod32.ru/messages/forum35/topic13301/message84410/ Thu, 16 Apr 2015 11:46:08 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *id-*_maxcrypt@foxmail2.com зашифровано с расширением *id-*_maxcrypt@foxmail2.com возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
расшифровки по maxcrypt нет.
если нужна помощь в очистке системы, добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/


по восстановлению документов проверьте наличие теневых копий диска, если система у вас выше Vista
15.04.2015 11:53:55, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic13301/message84375/ http://forum.esetnod32.ru/messages/forum35/topic13301/message84375/ Wed, 15 Apr 2015 11:53:55 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *id-*_maxcrypt@foxmail2.com зашифровано с расширением *id-*_maxcrypt@foxmail2.com возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
Добрый день случилась вот такая беда все файлы на пк были зашифрованы http://joxi.ru/brRDzlYSdoM921  подскажите как расшифровать?
15.04.2015 11:42:28, Tom Soer.]]> http://forum.esetnod32.ru/messages/forum35/topic13301/message84374/ http://forum.esetnod32.ru/messages/forum35/topic13301/message84374/ Wed, 15 Apr 2015 11:42:28 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *id-*_maxcrypt@foxmail2.com зашифровано с расширением *id-*_maxcrypt@foxmail2.com возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
1. по очистке системы
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
====code==== 

[CODE];uVS v3.85.17 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

sreg

chklst
delvir

delref %SystemDrive%\DOCUME~1\86C2~1\LOCALS~1\TEMP\3FE91.EXE
del %SystemDrive%\DOCUME~1\86C2~1\LOCALS~1\TEMP\3FE91.EXE

delref %SystemDrive%\DOCUMENTS AND SETTINGS\ПОЛЬЗОВАТЕЛЬ\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL
del %SystemDrive%\DOCUMENTS AND SETTINGS\ПОЛЬЗОВАТЕЛЬ\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL

delref %Sys32%\DRIVERS\BDSAFEBROWSER.SYS
del %Sys32%\DRIVERS\BDSAFEBROWSER.SYS

deldirex %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUAN\2.3.0.2225
delall %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\108\BDCOMPROXY.DLL
delall %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\108\BDDOWNLOADER.EXE

delref HTTP://SEARCH.QIP.RU
; Java(TM) 6 Update 19
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF} /quiet
; Java(TM) 6 Update 3
exec MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030} /quiet
delnfr
areg

;-------------------------------------------------------------
=============
перезагрузка, пишем о старых и новых проблемах.
добавьте новый образ автозапуска для контроля.
------------
2. по восстановлению системы:
теневых копий нет для вашей системы, восстановление из теневых копий невозможно.

3. по расшифровке:
обратитесь по расшифровке с лицензией в вашу антивирусную компанию.
13.04.2015 12:40:08, santy.]]> http://forum.esetnod32.ru/messages/forum35/topic13301/message84301/ http://forum.esetnod32.ru/messages/forum35/topic13301/message84301/ Mon, 13 Apr 2015 12:40:08 +0300 Шифровальщики файлов и подбор дешифраторов зашифровано с расширением *id-*_maxcrypt@foxmail2.com зашифровано с расширением *id-*_maxcrypt@foxmail2.com возможно, Filecoder.DG в форуме Шифровальщики файлов и подбор дешифраторов.
Файлы стали с расширением "id-8003542629_maxcrypt@foxmail2"          
BUH04_2015-04-13_10-42-31.7z
13.04.2015 11:37:33, Владимир Гурин.]]> http://forum.esetnod32.ru/messages/forum35/topic13301/message84299/ http://forum.esetnod32.ru/messages/forum35/topic13301/message84299/ Mon, 13 Apr 2015 11:37:33 +0300 Шифровальщики файлов и подбор дешифраторов