Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.
Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новые продукты компании PRO32.
PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.
| Цитата |
|---|
| () [File not signed] C:\Users\test\Music\1DVBG7_payload.exe () [File not signed] C:\Users\test\Music\NetworkShare v.2.exe <2> HKLM\...\Run: [1DVBG7_payload.exe] => C:\Windows\System32\1DVBG7_payload.exe [94720 2020-05-10] () [File not signed] HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13918 2020-05-11] () [File not signed] HKLM\...\Run: [C:\Users\test\AppData\Roaming\Info.hta] => C:\Users\test\AppData\Roaming\Info.hta [13918 2020-05-11] () [File not signed] HKLM-x32\...\Run: [1650670] => 1650670 HKLM-x32\...\Run: [525965] => 525965 Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1DVBG7_payload.exe [2020-05-10] () [File not signed] Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-05-11] () [File not signed] 2020-05-10 23:30 - 2020-05-10 23:30 - 000094720 _____ C:\Windows\system32\1DVBG7_payload.exe 2020-05-11 01:48 - 2020-05-11 01:48 - 000013918 _____ C:\Windows\system32\Info.hta 2020-05-11 01:48 - 2020-05-11 01:48 - 000013918 _____ C:\Users\test\AppData\Roaming\Info.hta 2020-05-11 01:48 - 2020-05-11 01:48 - 000000218 _____ C:\Users\test\Desktop\FILES ENCRYPTED.txt 2020-05-11 01:48 - 2020-05-11 01:48 - 000000218 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt 2020-05-11 01:48 - 2020-05-11 01:48 - 000000218 _____ C:\FILES ENCRYPTED.txt |
Скрытый текст |
|---|
| Администратор (S-1-5-21-165322250-2735553744-3456952923-500 - Administrator - Enabled) Гость (S-1-5-21-165322250-2735553744-3456952923-501 - Limited - Disabled) protsenko.s (S-1-5-21-827046529-3008914153-708560777-1104 - Administrator - Enabled) => C:\Users\protsenko.s console (S-1-5-21-827046529-3008914153-708560777-1111 - Administrator - Enabled) => C:\Users\Console Admin (S-1-5-21-827046529-3008914153-708560777-1112 - Administrator - Enabled) => C:\Users\Admin test (S-1-5-21-827046529-3008914153-708560777-1193 - Administrator - Enabled) => C:\Users\test adm (S-1-5-21-827046529-3008914153-708560777-1268 - Administrator - Enabled) => C:\Users\adm petrov.d (S-1-5-21-827046529-3008914153-708560777-1280 - Administrator - Enabled) => C:\Users\petrov.d |
| Код |
|---|
;uVS v4.1.9 [http://dsrt.dyndns.org:8888] ;Target OS: NTv10.0 v400c OFFSGNSAVE ;---------command-block--------- delall %Sys32%\1DVBG7_PAYLOAD.EXE delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-CCF08FB8.[[email protected]].HARMA delall %SystemDrive%\USERS\PETROV.D\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-CCF08FB8.[[email protected]].HARMA delall %SystemDrive%\USERS\ADM\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-CCF08FB8.[[email protected]].HARMA delall %SystemDrive%\USERS\TEST\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-CCF08FB8.[[email protected]].HARMA delall %SystemDrive%\USERS\CONSOLE\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-CCF08FB8.[[email protected]].HARMA delall %SystemDrive%\USERS\PROTSENKO.S\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-CCF08FB8.[[email protected]].HARMA delall %SystemDrive%\USERS\TEST\APPDATA\ROAMING\INFO.HTA delall %Sys32%\INFO.HTA delall %SystemDrive%\USERS\TEST\APPDATA\LOCAL\TEMP\SVCBEC.EXE delall %SystemDrive%\USERS\TEST\APPDATA\LOCAL\TEMP\SVCRQK.EXE delall %SystemDrive%\USERS\PROTSENKO.S\DESKTOP\1DVBG7_PAYLOAD.EXE apply QUIT |
| Цитата |
|---|
| Антон Ждахин написал: Поймали шифровальщик. Атрибут файлов теперь такого вида !Ecryptedd |
| Цитата |
|---|
| Rahimjon Sobirjonov написал: Новый проблемы не была но файлы не расшифрован что делать |
| Цитата |
|---|
| спасибо,всё сделал, файл вируса (тело) находится на карантине, но его невозможно скопировать, упаковать, что бы отправить в eset 32 . |
| Цитата |
|---|
| Ильнур Билалов написал: Здравствуйте!а по моей проблеме что нибудь удалось выяснить?Спасибо! |
| Цитата |
|---|
| Дмитрий Субботин написал: Здравствуйте, аналогичная ситуация, все файлы зашифрованы. Если есть возможность,помогите, пожалуйста,спасибо. |
| Код |
|---|
;uVS v4.1.9 [http://dsrt.dyndns.org:8888] ;Target OS: NTv6.1 v400c OFFSGNSAVE ;---------command-block--------- delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDJGDGDCFMDKFICBIFBNAACKNBLBKHHOC%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGKDKFNBDDPDPIDBPNLJCOCPJEAAFNGDB%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLDGPJDIADOMHINPIMGCHMEEMBBGOJNJK%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMJMPFDKMPOJOEEMJMFIDDLHKKNDCDPNO%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC delall %SystemDrive%\USERS\ВАСИЛИЧ\DOCUMENTS\INFO.EXE delall %SystemDrive%\USERS\ВАСИЛИЧ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\[email protected] apply QUIT |
