Размещено 02.02.2019 18:12:37
хорошо, понаблюдайте за состоянием системы, если проблема сохранится, дальше будем разбираться.
нет у вас на рабочем столе каких-то активных гаджетов, которые бы периодически обновлялись из сети?
Уважаемые пользователи!
Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новый антивирус от компании PRO32.
Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.
Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.
вирус newscommer.com, Самопроизвольно завершается процесс Explorer.exe
вирус newscommer.com, Самопроизвольно завершается процесс Explorer.exe
вирус newscommer.com, Самопроизвольно завершается процесс Explorer.exe
Файлы зашифрованы с расширением .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun, Filecoder.Crysis / Encoder.3953; r/n: info.hta
Размещено 02.02.2019 17:31:43
[QUOTE]Андрей Власюк написал:
Прикрепляю образ автозапуска[/QUOTE]
система судя по образу уже очищена от файлов шифратора,
по расшифровке документов обращайтесь в техподдержку [email protected], или в [email protected],
при наличие [U][B]реальной лицензии[/B][/U] на продукт ESET
если сохранились файлы шифратора, (в карантине, или в почте), просьба заархивировать с паролем infected
и выслать в почту [email protected]
--------
или добавить исполняемый файл на https://www.hybrid-analysis.com/
с разрешением доступа к данному файлу.
и указать ссылку на доступ к этому файлу (можно в почту или в ЛС)
Прикрепляю образ автозапуска[/QUOTE]
система судя по образу уже очищена от файлов шифратора,
по расшифровке документов обращайтесь в техподдержку [email protected], или в [email protected],
при наличие [U][B]реальной лицензии[/B][/U] на продукт ESET
если сохранились файлы шифратора, (в карантине, или в почте), просьба заархивировать с паролем infected
и выслать в почту [email protected]
--------
или добавить исполняемый файл на https://www.hybrid-analysis.com/
с разрешением доступа к данному файлу.
и указать ссылку на доступ к этому файлу (можно в почту или в ЛС)
вирус newscommer.com, Самопроизвольно завершается процесс Explorer.exe
Размещено 02.02.2019 13:12:58
6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
[CODE]BHO: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File
FF Homepage: Mozilla\Firefox\Profiles\bl436dfs.default -> hxxp://www.timetobehero.ru/
FF HKLM\...\Thunderbird\Extensions: [[email protected]] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird => not found
FF HKLM-x32\...\Thunderbird\Extensions: [[email protected]] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird => not found
Task: {A477D4E4-BF90-4CE6-AA4B-000D4B99B6D4} - \GoogleUpdateTaskUserS-1-5-21-3597996523-685776428-4128107512-1000Core1cec4e7f63a4f05 -> No File <==== ATTENTION
Task: {B9CD3C64-CADD-49A7-968A-F073E0678D6E} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {F61BA973-1460-406C-8C90-BC836901C7CF} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> No File <==== ATTENTION
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
EmptyTemp:
Reboot:
[/CODE]
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
[CODE]BHO: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File
FF Homepage: Mozilla\Firefox\Profiles\bl436dfs.default -> hxxp://www.timetobehero.ru/
FF HKLM\...\Thunderbird\Extensions: [[email protected]] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird => not found
FF HKLM-x32\...\Thunderbird\Extensions: [[email protected]] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird => not found
Task: {A477D4E4-BF90-4CE6-AA4B-000D4B99B6D4} - \GoogleUpdateTaskUserS-1-5-21-3597996523-685776428-4128107512-1000Core1cec4e7f63a4f05 -> No File <==== ATTENTION
Task: {B9CD3C64-CADD-49A7-968A-F073E0678D6E} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {F61BA973-1460-406C-8C90-BC836901C7CF} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> No File <==== ATTENTION
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
EmptyTemp:
Reboot:
[/CODE]
вирус newscommer.com, Самопроизвольно завершается процесс Explorer.exe
вирус newscommer.com, Самопроизвольно завершается процесс Explorer.exe
вирус newscommer.com, Самопроизвольно завершается процесс Explorer.exe
вирус newscommer.com, Самопроизвольно завершается процесс Explorer.exe
Размещено 02.02.2019 04:53:36
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]
;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
delall %SystemDrive%\PROGRAM FILES (X86)\FILE TYPE ADVISOR\FILE-TYPE-ADVISOR.EXE
deldirex %SystemDrive%\PROGRAM FILES (X86)\FILE TYPE ADVISOR
deldir %SystemDrive%\PROGRAM FILES (X86)\FILE TYPE ADVISOR
;------------------------autoscript---------------------------
apply
deltmp
delref %SystemDrive%\USERS\LKWER\APPDATA\LOCAL\GOOGLE\UPDATE\GOOGLE
delref %SystemDrive%\PROGRAM FILES (X86)\FILE TYPE ADVISOR\FILEADVISOR.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref %SystemDrive%\PROGRAM FILES\UNINSTALL TOOL\UTSHELLEXT.DLL
delref %Sys32%\BLANK.HTM
delref %SystemDrive%\PROGRAM FILES (X86)\BLUESTACKS\HD-PLUS-SERVICE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\BLUESTACKS\BSTKDRV.SYS
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\USERS\LKWER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.27.5\PSUSER_64.DLL
delref %SystemDrive%\USERS\LKWER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.26.9\PSUSER_64.DLL
delref %SystemDrive%\USERS\LKWER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.23.9\PSUSER_64.DLL
delref %SystemDrive%\USERS\LKWER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.28.1\PSUSER_64.DLL
delref %SystemDrive%\USERS\LKWER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.24.7\PSUSER_64.DLL
delref %SystemDrive%\USERS\LKWER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.25.5\PSUSER_64.DLL
delref %SystemDrive%\USERS\LKWER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.28.13\PSUSER_64.DLL
delref %SystemDrive%\USERS\LKWER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.25.11\PSUSER_64.DLL
delref %SystemDrive%\USERS\LKWER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.24.15\PSUSER_64.DLL
delref %SystemDrive%\USERS\LKWER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.29.1\PSUSER_64.DLL
delref %SystemDrive%\USERS\LKWER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.28.15\PSUSER_64.DLL
delref %SystemDrive%\USERS\LKWER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.25.5\PSUSER.DLL
delref %SystemDrive%\USERS\LKWER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.23.9\PSUSER.DLL
delref %SystemDrive%\USERS\LKWER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.27.5\PSUSER.DLL
delref %SystemDrive%\USERS\LKWER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.26.9\PSUSER.DLL
delref %SystemDrive%\USERS\LKWER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.28.1\PSUSER.DLL
delref %SystemDrive%\USERS\LKWER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.24.7\PSUSER.DLL
delref %SystemDrive%\USERS\LKWER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.28.13\PSUSER.DLL
delref %SystemDrive%\USERS\LKWER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.25.11\PSUSER.DLL
delref %SystemDrive%\USERS\LKWER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.24.15\PSUSER.DLL
delref %SystemDrive%\USERS\LKWER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.29.1\PSUSER.DLL
delref %SystemDrive%\USERS\LKWER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.28.15\PSUSER.DLL
delref %SystemDrive%\USERS\LKWER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.22.5\PSUSER.DLL
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\GOOGLE\UPDATE\
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\GOOGLE\UPDATE\
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\GOOGLE\UPDATE\
delref %SystemDrive%\USERS\LKWER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.26.9\GOOGLEUPDATEONDEMAND.EXE
delref %SystemDrive%\USERS\LKWER\APPDATA\LOCAL\GOOGLE\CHROME\APPLIC
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\GOOGLE\UPDATE\
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\GOOGLE\UPDATE\
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\GOOGLE\UPDATE\
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\GOOGLE\UPDATE\
delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE7\BIN\JP2IEXP.DLL
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\GOOGLE\UPDATE\
delref %SystemDrive%\PROGRAM FILES (X86)\BLUESTACKS\BSTKSVC.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\BLUESTACKS\BSTKC.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ELECTRONIC ARTS\EADM\CORE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\BLUESTACKS\HD-AGENT.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\BLUESTACKS\BLUESTACKS.EXE
;-------------------------------------------------------------
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]
;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
delall %SystemDrive%\PROGRAM FILES (X86)\FILE TYPE ADVISOR\FILE-TYPE-ADVISOR.EXE
deldirex %SystemDrive%\PROGRAM FILES (X86)\FILE TYPE ADVISOR
deldir %SystemDrive%\PROGRAM FILES (X86)\FILE TYPE ADVISOR
;------------------------autoscript---------------------------
apply
deltmp
delref %SystemDrive%\USERS\LKWER\APPDATA\LOCAL\GOOGLE\UPDATE\GOOGLE
delref %SystemDrive%\PROGRAM FILES (X86)\FILE TYPE ADVISOR\FILEADVISOR.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref %SystemDrive%\PROGRAM FILES\UNINSTALL TOOL\UTSHELLEXT.DLL
delref %Sys32%\BLANK.HTM
delref %SystemDrive%\PROGRAM FILES (X86)\BLUESTACKS\HD-PLUS-SERVICE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\BLUESTACKS\BSTKDRV.SYS
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\USERS\LKWER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.27.5\PSUSER_64.DLL
delref %SystemDrive%\USERS\LKWER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.26.9\PSUSER_64.DLL
delref %SystemDrive%\USERS\LKWER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.23.9\PSUSER_64.DLL
delref %SystemDrive%\USERS\LKWER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.28.1\PSUSER_64.DLL
delref %SystemDrive%\USERS\LKWER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.24.7\PSUSER_64.DLL
delref %SystemDrive%\USERS\LKWER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.25.5\PSUSER_64.DLL
delref %SystemDrive%\USERS\LKWER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.28.13\PSUSER_64.DLL
delref %SystemDrive%\USERS\LKWER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.25.11\PSUSER_64.DLL
delref %SystemDrive%\USERS\LKWER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.24.15\PSUSER_64.DLL
delref %SystemDrive%\USERS\LKWER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.29.1\PSUSER_64.DLL
delref %SystemDrive%\USERS\LKWER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.28.15\PSUSER_64.DLL
delref %SystemDrive%\USERS\LKWER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.25.5\PSUSER.DLL
delref %SystemDrive%\USERS\LKWER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.23.9\PSUSER.DLL
delref %SystemDrive%\USERS\LKWER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.27.5\PSUSER.DLL
delref %SystemDrive%\USERS\LKWER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.26.9\PSUSER.DLL
delref %SystemDrive%\USERS\LKWER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.28.1\PSUSER.DLL
delref %SystemDrive%\USERS\LKWER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.24.7\PSUSER.DLL
delref %SystemDrive%\USERS\LKWER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.28.13\PSUSER.DLL
delref %SystemDrive%\USERS\LKWER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.25.11\PSUSER.DLL
delref %SystemDrive%\USERS\LKWER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.24.15\PSUSER.DLL
delref %SystemDrive%\USERS\LKWER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.29.1\PSUSER.DLL
delref %SystemDrive%\USERS\LKWER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.28.15\PSUSER.DLL
delref %SystemDrive%\USERS\LKWER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.22.5\PSUSER.DLL
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\GOOGLE\UPDATE\
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\GOOGLE\UPDATE\
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\GOOGLE\UPDATE\
delref %SystemDrive%\USERS\LKWER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.26.9\GOOGLEUPDATEONDEMAND.EXE
delref %SystemDrive%\USERS\LKWER\APPDATA\LOCAL\GOOGLE\CHROME\APPLIC
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\GOOGLE\UPDATE\
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\GOOGLE\UPDATE\
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\GOOGLE\UPDATE\
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\GOOGLE\UPDATE\
delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE7\BIN\JP2IEXP.DLL
delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\GOOGLE\UPDATE\
delref %SystemDrive%\PROGRAM FILES (X86)\BLUESTACKS\BSTKSVC.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\BLUESTACKS\BSTKC.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ELECTRONIC ARTS\EADM\CORE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\BLUESTACKS\HD-AGENT.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\BLUESTACKS\BLUESTACKS.EXE
;-------------------------------------------------------------
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
Файлы зашифрованы с расширением .gif; .auf; .USA; .xwx; .best; .heets; .qwex; .ETH; .air; .888; .amber; .frend; .KARLS; .aqva; .AYE; .korea; .plomb; .NWA; .com; .azero; .bk666; .stun, Filecoder.Crysis / Encoder.3953; r/n: info.hta