Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 191 192 193 194 195 196 197 198 199 200 201 ... 1784 След.
файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo, Filecoder.Crysis; r/n: info.hta
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.07.2018 08:52:15
[QUOTE]Edward Kan написал:
[QUOTE] santy написал:
[QUOTE] Edward Kan написал:
Добрый день.2 файла:    [URL=http://rgho.st/8XPhMV4RW]http://rgho.st/8XPhMV4RW[/URL] Требование об оплате: [URL=http://rgho.st/6S7kpfpT5]http://rgho.st/6S7kpfpT5[/URL] [/QUOTE]нужны:
1. линк проверки на vt указанного выше файла
2. пара чистый - зашифрованный файлы. т.е. чистый файл с состоянием до шифрования. + этот же файл, но уже после шифрования.
3. если есть записка о выкупе в виде файла, то нужен именно такой файл.
--------------
добавлю так же,
что если у вас есть лицензия на продукт ESET, отправьте сообщение  с просьбой о расшифровке файлов в  [URL=mailto:[email protected]][email protected][/URL] [/QUOTE]1. Что такое VT
2. Чистых файлов нету.
3. Файла нет.[/QUOTE]

1. этот файл вам знаком?
C:\USERS\IRAIRA1234\APPDATA\ROAMING\MARVEL.EXE
если нет, проверьте здесь
http://virustotal.com и дайте нас ссылку проверки в вашем сообщении.

2. проверьте в этой папке есть зашифрованные файлы?
C:\Users\Public\Pictures\Sample Pictures
если есть, тогда добавьте несколько зашифрованных файлов из этой папки

3. можете самостоятельно попытаться идентифицировать шифратор
https://id-ransomware.malwarehunterteam.com/index.php
Перейти
файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo, Filecoder.Crysis; r/n: info.hta
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.07.2018 06:01:47
[QUOTE]Edward Kan написал:
Добрый день.2 файла:  http://rgho.st/8XPhMV4RW Требование об оплате:  http://rgho.st/6S7kpfpT5 [/QUOTE]
нужны:
1. линк проверки на vt указанного выше файла
2. пара чистый - зашифрованный файлы. т.е. чистый файл с состоянием до шифрования. + этот же файл, но уже после шифрования.
3. если есть записка о выкупе в виде файла, то нужен именно такой файл.
--------------
добавлю так же,
что если у вас есть лицензия на продукт ESET, отправьте сообщение  с просьбой о расшифровке файлов в [email protected]
Перейти
файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo, Filecoder.Crysis; r/n: info.hta
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 17.07.2018 12:21:50
судя но имени файла после шифрования Копия доп.согл.14 ДВК.xls.[[email protected]].java
это не Crysis, какой-то другой вариант шифратора.

у Crysis.java друго шаблон шифрованного файла, с добавлением ID:
inf.txt.[B]id-E8F4FE5C[/B].[[email protected]].java

т.е. имя файла+расширение + ID-Hex8+mail+.java

если есть пара: чистый - зашифрованный файл, добавьте на форум оба файла в архиве.
+
добавьте файл записки о выкупе.
Перейти
файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo, Filecoder.Crysis; r/n: info.hta
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 17.07.2018 12:17:52
этот файл вам знаком?
C:\USERS\IRAIRA1234\APPDATA\ROAMING\MARVEL.EXE
если нет, проверьте здесь
http://virustotal.com и дайте нас ссылку проверки в вашем сообщении.
---------
судя но имени файла после шифрования Копия доп.согл.14 ДВК.xls.[[email protected]].java
это не Crysis, какой-то другой вариант шифратора.
Перейти
файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo, Filecoder.Crysis; r/n: info.hta
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 17.07.2018 12:11:26
@Edward Kan,
Шифрование давно было?
после java было еще несколько свежих вариантов: write, arrow, bip
ни по одному варианту (в том числе и по java) в настоящее время нет расшифровки/
сохраните важные документы на отдельный носитель, возможно в будущем наступит время расшифровки.
(если станут доступны приватные ключи по данным вариантам).
Перейти
[ Закрыто] Win32/AutoRun.KS червь
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 12.07.2018 08:42:31
[QUOTE]Роман Кузнецов написал:
Приношу извинения за возможную дезинформацию по последнему пункту симптомов - возможно, что вчера вечером, просматривая содержимое карантина (в процессе сканирования) , я ошибочно нижние строки принял за "свежие" (вчерашние).[/QUOTE]
не обязательно просматривать карантин в процессе сканирования. просмотрите как только завершится полностью сканирование.
в любом случае - в процессе сканирования сканер покажет в логе сканирования то, что он обнаруживает.
+
и можно добавить лог сканирования в тему, если процесс сканирования будет завершен.

[QUOTE]Проверяйте железо на ошибки.
У ноутбуков чаще всего страдает жёсткий диск.
Изменено: RP55 RP55 - 11.07.2018 19:17:46
[/QUOTE]
возможно это и является причиной зависаний во время антивирусной проверки (и всех прочих).
Имеет смысл установить SP3 для XP
Перейти
[ Закрыто] Win32/AutoRun.KS червь
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 11.07.2018 18:24:27
1. добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/
Перейти
файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo, Filecoder.Crysis; r/n: info.hta
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 06.07.2018 06:05:00
[QUOTE]RP55 RP55 написал:
+
На системе: UX
майнер\ы:
C:\USERS\UX\DESKTOP\RES\NHM_WINDOWS_1.9.0.3\NICEHASHMINERLEGACY.EXE
C:\USERS\UX\DESKTOP\RES\NHM_WINDOWS_1.9.0.3\BIN_3RDPARTY\CLAYMORE_CRYPTONIGHT\NSGPUCNMINER.EXE[/QUOTE]

по очистке UX от прочих тел:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.0.12 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\USERS\UX\DESKTOP\RES\NHM_WINDOWS_1.9.0.3\NICEHASHMINERLEGACY.EXE
delall %SystemDrive%\USERS\UX\DESKTOP\RES\NHM_WINDOWS_1.9.0.3\BIN_3RDPARTY\CLAYMORE_CRYPTONIGHT\NSGPUCNMINER.EXE
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBEJNPNKHFGFKCPGIKIINOJLMDCJIMOBI%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHJCGOMKANPKPBLOKEBECKNHAHGKCMOO%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCPEGCOPCFAJIIIBIDLAELHJJBLPEFBJK%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPBEFKDCNDNGODFEIGFDGIODGNMBGCFHA%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLMJEGMLICAMNIMMFHCMPKCLMIGMMCBEH%26INSTALLSOURCE%3D­ONDEMAND%26UC
apply

regt 27
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
Перейти
Удаление ESET Endpoint Antivirus 5.0 из консоли ERA 6.5
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 05.07.2018 14:03:01
https://help.eset.com/era_admin/65/ru-RU/admin_ct.html?client_tasks_software_uninstall.html
Перейти
файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo, Filecoder.Crysis; r/n: info.hta
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 05.07.2018 11:44:15
[QUOTE]viktor tarasov написал:
Здравствуйте! Прилетел шифровальщик по RDP, кидаю образа. Помогите пжл по очистке систем от него[/QUOTE]

судя по образам:
buh-mer-gb чист, или уже очищен о тел шифратора.
-------------
UX чист, или уже очищен о тел шифратора.
-------------
MEREDIAN-AD чист, или уже очищен о тел шифратора.

сервис C:\AA_3V.EXE если был установлен не вами следует удалить.
Win32/RemoteAdmin.Ammyy.B potentially unsafe
Program.RemoteAdmin.758
--------------
Перейти
Пред. 1 ... 191 192 193 194 195 196 197 198 199 200 201 ... 1784 След.