santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

Не удаляется вирус IMG001.exe

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.09.2017 09:17:25

Arslan Gaipberdyyew,
добавьте образ автозапуска с вашего сервера.

[ Как создать образ автозапуска? ]

файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo, Filecoder.Crysis; r/n: info.hta

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.09.2017 05:58:17

Цитата
Danila Bagrov написал: Добрый день, продолбилась такая же зараза. Вовремя заметили подозрительную нагрузку, удалось часть данных спасти, но 30% все же зашифровано. Систему от вируса очистили. Удалось схватить исполняемый файл in.exe(во вложении архив с паролем 123) и пример зашифрованного файла в архиве setup.rar без пароля, в нем находится оригинальный файл и зашифрованный. Каковы шансы на расшифровку?

Цитата

Danila Bagrov написал:
Добрый день,
продолбилась такая же зараза. Вовремя заметили подозрительную нагрузку, удалось часть данных спасти, но 30% все же зашифровано. Систему от вируса очистили. Удалось схватить исполняемый файл in.exe(во вложении архив с паролем 123) и пример зашифрованного файла в архиве setup.rar без пароля, в нем находится оригинальный файл и зашифрованный.
Каковы шансы на расшифровку?

добрый,
добавьте таки образ автозапуска для проверки системы, и возможно необходима еще очистка системы.

ESET-NOD32
Win32/Filecoder.Crysis.L
https://www.virustotal.com/#/file/8a3ce808ac369c618dd84df41a30f5d728d310548eb8be23c7a5f6a6ec5613ea/detection
---------
шансы на расшифровку есть, но не в настоящем, а в будущем.
пока что только актуальные архивы помогут вам восстановить те 30% что было зашифровано.
(проверьте так же теневые копии, возможно не успел шифратор их очистить).

[ Как создать образ автозапуска? ]

Перейти

Зашифрованы файлы с расширением .e-mail.ID*, возможно, RSAUtil

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.09.2017 12:41:40

судя по новому образу чисто теперь,
по расшифровке не поможем. архивные копии, пока что - единственный шанс в вашем случае восстановить файлы.

[ Как создать образ автозапуска? ]

Перейти

Зашифрованы файлы с расширением .e-mail.ID*, возможно, RSAUtil

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.09.2017 12:06:59

судя по детектированию на IDRansomware

Цитата
Опознан как ransomnote_filename: How_return_files.txt ransomnote_email: [email protected] sample_extension: .<email>.ID<id>

это RSAUtil Ransomware
расшифровки по нему в настоящее время нет.
можно так же следить за этой темой
https://www.bleepingcomputer.com/forums/t/646245/rsautil-ransomware-help-topic-how-return-filestxt-helppmeindiacom/

[ Как создать образ автозапуска? ]

Перейти

Зашифрованы файлы с расширением .e-mail.ID*, возможно, RSAUtil

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.09.2017 12:02:41

по очистке системы выполните:
(следов шифратора не увидел, зато целая коллекция майнеров трудится.)

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.0.10 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE zoo %SystemDrive%\USERS\ЮЗЕР\PICTURES\SVDHOST.EXE zoo %SystemDrive%\USERS\ЮЗЕР\APPDATA\ROAMING\MIICROSOFT\ST.BAT ;------------------------autoscript--------------------------- delall %SystemDrive%\USERS\ЮЗЕР\APPDATA\LOCAL\TEMP\RARSFX5\1.VBS delall %SystemDrive%\USERS\ЮЗЕР\APPDATA\ROAMING\MIICROSOFT\ST.BAT zoo %SystemDrive%\USERS\ЮЗЕР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\MICROSOFT OPERATING SYSTEM.EXE addsgn A7679BF0AA0234BA4AD4C6F1F1891261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95C16DC9EE82BD6D738076F775BACCA8A0931 8 Win64/CoinMiner 7 zoo %SystemDrive%\USERS\ЮЗЕР\APPDATA\ROAMING\MICROSOFT\WINDOWS\TEMPLATES\SVCHOST.EXE addsgn BA6F9BB2BD994D720B9C2D754C21F8F9DA7503D3B5E41F787AE623A250D68E69CB09C357C17077572B8048530E95A5D23554E9F36DB9C341CD0288ACBF1E2606 8 TR/Drop.Agent.CE.10 7 addsgn BA6F9BB2BD994D720B9C2D754C21F8F9DA7503D3B5E41F787AE623A250D68E69CB09C357C17077572B8048530E95A5D23554E9F36DB9C341CD0288ACBF1E2606 8 Win64/CoinMiner 7 zoo %SystemDrive%\USERS\ЮЗЕР\APPDATA\ROAMING\MIICROSOFT\RAN.EXE addsgn 9AC0769A55024C720BD4C6E5508912ED79CAFCF60A3E131085C3C5BCB883314C23B49B637F55F5492B8084F7460649FA15DFE8725532F26C2D77077BF347229B 8 miner 7 addsgn A7679BF0AA02B4D14BD4C6B1FA881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CE6DC9FE82BD6D7E0FD6C775BACCA52F332 8 miner 7 chklst delvir delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC apply deltmp delref %SystemRoot%\SYSWOW64\SPOOL\DRIVERS\X64\3\CNAP3LAK.EXE delref %SystemDrive%\USERS\ЮЗЕР\APPDATA\ROAMING\MIICROSOFT\SSSSS.VBS delref %SystemDrive%\USERS\ЮЗЕР\APPDATA\ROAMING\MIICROSOFT\AAA.VBS delref %SystemDrive%\USERS\671D~1\APPDATA\LOCAL\TEMP\CHROME_BITS_4928_8768\26.0.0.151_WIN64_PEPPERFLASHPLAYER.CRX3 delref %SystemDrive%\USERS\ANDREY\APPDATA\LOCAL\TEMP\CHROME_BITS_4808_27597\26.0.0.151_WIN64_PEPPERFLASHPLAYER.CRX3 delref %SystemDrive%\USERS\ANDREY\APPDATA\LOCAL\TEMP\CHROME_BITS_6272_2413\505_ALL_STHSET.CRX3 delref %SystemDrive%\USERS\IRINA\APPDATA\LOCAL\TEMP\CHROME_BITS_4240_6332\498_ALL_STHSET.CRX3 delref D:\ВИТРАЖИ\СКЛАД\SLS-SKLAD\SLS-SKLAD\MONITOR.EXE delref A9A33436-678B-4C9C-A211-7CC38785E79D\[CLSID] delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID] delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID] delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID] delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID] delref %SystemDrive%\VIRTUAL MACHINES\WINDOWS7\WINDOWS7.VMX delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID] delref %SystemDrive%\PROGRAM FILES (X86)\YOTA\YOTA ACCESS (MODEMS)\YOTAACCESS.EXE delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4}\[CLSID] delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL delref %Sys32%\BLANK.HTM delref %Sys32%\DRIVERS\NMPAR.SYS delref %Sys32%\DRIVERS\NMSERIAL.SYS delref %Sys32%\PSXSS.EXE delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL delref %Sys32%\SHAREMEDIACPL.CPL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\ACROBAT READER DC\ACRORD32INFO.EXE delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL delref E:\AUTOINSTALL.EXE delref D:\SETUP.EXE delref D:\ВИТРАЖИ\СКЛАД\SLS-SKLAD\SKLAD_W.EXE ;------------------------------------------------------------- restart czoo

Код


;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
zoo %SystemDrive%\USERS\ЮЗЕР\PICTURES\SVDHOST.EXE
zoo %SystemDrive%\USERS\ЮЗЕР\APPDATA\ROAMING\MIICROSOFT\ST.BAT
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\ЮЗЕР\APPDATA\LOCAL\TEMP\RARSFX5\1.VBS
delall %SystemDrive%\USERS\ЮЗЕР\APPDATA\ROAMING\MIICROSOFT\ST.BAT
zoo %SystemDrive%\USERS\ЮЗЕР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\MICROSOFT OPERATING SYSTEM.EXE
addsgn A7679BF0AA0234BA4AD4C6F1F1891261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95C16DC9EE82BD6D738076F775BACCA8A0931 8 Win64/CoinMiner 7

zoo %SystemDrive%\USERS\ЮЗЕР\APPDATA\ROAMING\MICROSOFT\WINDOWS\TEMPLATES\SVCHOST.EXE
addsgn BA6F9BB2BD994D720B9C2D754C21F8F9DA7503D3B5E41F787AE623A250D68E69CB09C357C17077572B8048530E95A5D23554E9F36DB9C341CD0288ACBF1E2606 8 TR/Drop.Agent.CE.10 7

addsgn BA6F9BB2BD994D720B9C2D754C21F8F9DA7503D3B5E41F787AE623A250D68E69CB09C357C17077572B8048530E95A5D23554E9F36DB9C341CD0288ACBF1E2606 8 Win64/CoinMiner 7

zoo %SystemDrive%\USERS\ЮЗЕР\APPDATA\ROAMING\MIICROSOFT\RAN.EXE
addsgn 9AC0769A55024C720BD4C6E5508912ED79CAFCF60A3E131085C3C5BCB883314C23B49B637F55F5492B8084F7460649FA15DFE8725532F26C2D77077BF347229B 8 miner 7

addsgn A7679BF0AA02B4D14BD4C6B1FA881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CE6DC9FE82BD6D7E0FD6C775BACCA52F332 8 miner 7

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemRoot%\SYSWOW64\SPOOL\DRIVERS\X64\3\CNAP3LAK.EXE
delref %SystemDrive%\USERS\ЮЗЕР\APPDATA\ROAMING\MIICROSOFT\SSSSS.VBS
delref %SystemDrive%\USERS\ЮЗЕР\APPDATA\ROAMING\MIICROSOFT\AAA.VBS
delref %SystemDrive%\USERS\671D~1\APPDATA\LOCAL\TEMP\CHROME_BITS_4928_8768\26.0.0.151_WIN64_PEPPERFLASHPLAYER.CRX3
delref %SystemDrive%\USERS\ANDREY\APPDATA\LOCAL\TEMP\CHROME_BITS_4808_27597\26.0.0.151_WIN64_PEPPERFLASHPLAYER.CRX3
delref %SystemDrive%\USERS\ANDREY\APPDATA\LOCAL\TEMP\CHROME_BITS_6272_2413\505_ALL_STHSET.CRX3
delref %SystemDrive%\USERS\IRINA\APPDATA\LOCAL\TEMP\CHROME_BITS_4240_6332\498_ALL_STHSET.CRX3
delref D:\ВИТРАЖИ\СКЛАД\SLS-SKLAD\SLS-SKLAD\MONITOR.EXE
delref A9A33436-678B-4C9C-A211-7CC38785E79D\[CLSID]
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref %SystemDrive%\VIRTUAL MACHINES\WINDOWS7\WINDOWS7.VMX
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\YOTA\YOTA ACCESS (MODEMS)\YOTAACCESS.EXE
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4}\[CLSID]
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\NMPAR.SYS
delref %Sys32%\DRIVERS\NMSERIAL.SYS
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\ACROBAT READER DC\ACRORD32INFO.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref E:\AUTOINSTALL.EXE
delref D:\SETUP.EXE
delref D:\ВИТРАЖИ\СКЛАД\SLS-SKLAD\SKLAD_W.EXE
;-------------------------------------------------------------

restart
czoo

перезагрузка, пишем о старых и новых проблемах.
------------

[ Как создать образ автозапуска? ]

Перейти

TrIDNet - File Identifier /определение типа файла /

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.09.2017 09:25:58

TrID - это утилита, предназначенная для идентификации типов файлов из их двоичных подписи.
Хотя существуют аналогичные утилиты с жестко закодированной логикой, TrID не имеет фиксированных правил.
Вместо этого он расширяемый и может быть обучен распознавать новые форматы быстрым и автоматическим способом.

http://mark0.net/soft-trid-e.html

[ Как создать образ автозапуска? ]

Перейти

Зашифрованы файлы с расширением .e-mail.ID*, возможно, RSAUtil

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.09.2017 04:41:38

@Andrey Yakyshev,
добавьте образ автозапуска системы, возможно есть в системе еще файлы, по которым можно идентифицировать тип шифратора.
+
добавьте записку о выкупе.

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo, Filecoder.Crysis; r/n: info.hta

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.09.2017 03:53:08

Цитата
Vics Vics написал: После выполнения скрипта пусто в Панель управления-Администрирование

возможно, это результат шифрования lnk файлов.

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo, Filecoder.Crysis; r/n: info.hta

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.09.2017 10:57:40

Vics,
по очистке системы выполните это

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.0.10 [http://dsrt.dyndns.org] ;Target OS: NTv6.3 v400c OFFSGNSAVE deltmp ;---------command-block--------- delall %SystemDrive%\PROGRAMDATA\WINDOWS64\GO.VBS delall %SystemDrive%\USERS\ALENA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-C0D7888E.[[email protected]].ARENA delref %SystemRoot%\SYSWOW64\HASPLMS.EXE delref %SystemDrive%\INTEL\JAVA.VBS delref %SystemDrive%\USERS\ALENA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA delref 752073A1-23F2-4396-85F0-8FDB879ED0ED\[CLSID] delref D:\CONSULTANT\CONSULTANT\HTTPCLIENT\WWWCLIENT.EXE delref %SystemRoot%\SYSWOW64\COMPMGMTLAUNCHER.EXE delref %SystemRoot%\SYSWOW64\RAMGMTSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS delref %SystemRoot%\SYSWOW64\AAEDGE.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\WINNAT.SYS delref %SystemRoot%\SYSWOW64\RDCENTRALDBPLUGIN.DLL delref %SystemRoot%\SYSWOW64\TSSDIS.EXE delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL delref %SystemRoot%\SYSWOW64\KPSSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\SMBDIRECT.SYS delref %SystemRoot%\SYSWOW64\RPCPROXY\RPCPROXY.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS delref %SystemRoot%\SYSWOW64\LSM.DLL delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {19916E01-B44E-4E31-94A4-4696DF46157B}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {6BF52A52-394A-11D3-B153-00C04F79FAA6}\[CLSID] delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID] delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID] delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID] delref %SystemRoot%\SYSWOW64\BLANK.HTM delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID] delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref %SystemDrive%\PROGRAM FILES\WINZIP\FAHCONSOLE.EXE delref %Sys32%\BLANK.HTM delref %Sys32%\LBSERVICE.DLL delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected] delref %SystemDrive%\USERS\ELIN\APPDATA\LOCAL\TEMP\7\V8_DE69_44.TMP delref %SystemDrive%\USERS\ELIN\APPDATA\LOCAL\TEMP\3\V8_D76D_90.TMP delref %SystemDrive%\USERS\ELIN\APPDATA\LOCAL\TEMP\2\V8_1EE0_17.TMP delref %SystemDrive%\USERS\ELIN\APPDATA\LOCAL\TEMP\3\V8_7975_46.TMP delref %SystemDrive%\USERS\ELIN\APPDATA\LOCAL\TEMP\1\V8_5453_46.TMP delref %SystemDrive%\USERS\ELENAF\APPDATA\LOCAL\TEMP\5\V8_2C90_16.TMP delref %SystemDrive%\USERS\ELENAF\APPDATA\LOCAL\TEMP\4\V8_28E3_4A.TMP delref %SystemDrive%\USERS\ELENAF\APPDATA\LOCAL\TEMP\5\V8_7D26_15.TMP delref %SystemDrive%\USERS\ELENAF\APPDATA\LOCAL\TEMP\5\V8_64BC_4C.TMP delref %SystemDrive%\USERS\ELENAF\APPDATA\LOCAL\TEMP\5\V8_4BAC_46.TMP delref %SystemDrive%\USERS\LLV\APPDATA\LOCAL\TEMP\2\V8_820D_18.TMP delref %SystemDrive%\USERS\LLV\APPDATA\LOCAL\TEMP\5\V8_8A73_15.TMP delref %SystemDrive%\USERS\LLV\APPDATA\LOCAL\TEMP\4\V8_47B0_15.TMP delref %SystemDrive%\USERS\LLV\APPDATA\LOCAL\TEMP\4\V8_550D_14.TMP delref %SystemDrive%\USERS\LLV\APPDATA\LOCAL\TEMP\2\V8_4228_19.TMP delref %SystemDrive%\USERS\YURIL\APPDATA\LOCAL\TEMP\4\V8_A100_14.TMP delref %SystemDrive%\USERS\YURIL\APPDATA\LOCAL\TEMP\4\V8_37C2_19.TMP delref %SystemDrive%\USERS\YURIL\APPDATA\LOCAL\TEMP\4\V8_D0C_13.TMP delref %SystemDrive%\PROGRAM FILES (X86)\XEROX OFFICE PRINTING\WORKCENTRE SSW\ADDRESS BOOK EDITOR\XR1AHELPER64.EXE delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL delref %SystemRoot%\SYSWOW64\TAPILUA.DLL delref %SystemRoot%\SYSWOW64\AEPROAM.DLL delref %SystemRoot%\SYSWOW64\RSTRUI.EXE delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL delref %SystemRoot%\SYSWOW64\GPSVC.DLL delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL delref %SystemRoot%\SYSWOW64\INETSRV\IISRSTAS.EXE apply restart

Код


;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
deltmp
;---------command-block---------
delall %SystemDrive%\PROGRAMDATA\WINDOWS64\GO.VBS
delall %SystemDrive%\USERS\ALENA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-C0D7888E.[[email protected]].ARENA
delref %SystemRoot%\SYSWOW64\HASPLMS.EXE
delref %SystemDrive%\INTEL\JAVA.VBS
delref %SystemDrive%\USERS\ALENA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
delref 752073A1-23F2-4396-85F0-8FDB879ED0ED\[CLSID]
delref D:\CONSULTANT\CONSULTANT\HTTPCLIENT\WWWCLIENT.EXE
delref %SystemRoot%\SYSWOW64\COMPMGMTLAUNCHER.EXE
delref %SystemRoot%\SYSWOW64\RAMGMTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
delref %SystemRoot%\SYSWOW64\AAEDGE.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\WINNAT.SYS
delref %SystemRoot%\SYSWOW64\RDCENTRALDBPLUGIN.DLL
delref %SystemRoot%\SYSWOW64\TSSDIS.EXE
delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\KPSSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SMBDIRECT.SYS
delref %SystemRoot%\SYSWOW64\RPCPROXY\RPCPROXY.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {19916E01-B44E-4E31-94A4-4696DF46157B}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {6BF52A52-394A-11D3-B153-00C04F79FAA6}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\WINZIP\FAHCONSOLE.EXE
delref %Sys32%\BLANK.HTM
delref %Sys32%\LBSERVICE.DLL
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\USERS\ELIN\APPDATA\LOCAL\TEMP\7\V8_DE69_44.TMP
delref %SystemDrive%\USERS\ELIN\APPDATA\LOCAL\TEMP\3\V8_D76D_90.TMP
delref %SystemDrive%\USERS\ELIN\APPDATA\LOCAL\TEMP\2\V8_1EE0_17.TMP
delref %SystemDrive%\USERS\ELIN\APPDATA\LOCAL\TEMP\3\V8_7975_46.TMP
delref %SystemDrive%\USERS\ELIN\APPDATA\LOCAL\TEMP\1\V8_5453_46.TMP
delref %SystemDrive%\USERS\ELENAF\APPDATA\LOCAL\TEMP\5\V8_2C90_16.TMP
delref %SystemDrive%\USERS\ELENAF\APPDATA\LOCAL\TEMP\4\V8_28E3_4A.TMP
delref %SystemDrive%\USERS\ELENAF\APPDATA\LOCAL\TEMP\5\V8_7D26_15.TMP
delref %SystemDrive%\USERS\ELENAF\APPDATA\LOCAL\TEMP\5\V8_64BC_4C.TMP
delref %SystemDrive%\USERS\ELENAF\APPDATA\LOCAL\TEMP\5\V8_4BAC_46.TMP
delref %SystemDrive%\USERS\LLV\APPDATA\LOCAL\TEMP\2\V8_820D_18.TMP
delref %SystemDrive%\USERS\LLV\APPDATA\LOCAL\TEMP\5\V8_8A73_15.TMP
delref %SystemDrive%\USERS\LLV\APPDATA\LOCAL\TEMP\4\V8_47B0_15.TMP
delref %SystemDrive%\USERS\LLV\APPDATA\LOCAL\TEMP\4\V8_550D_14.TMP
delref %SystemDrive%\USERS\LLV\APPDATA\LOCAL\TEMP\2\V8_4228_19.TMP
delref %SystemDrive%\USERS\YURIL\APPDATA\LOCAL\TEMP\4\V8_A100_14.TMP
delref %SystemDrive%\USERS\YURIL\APPDATA\LOCAL\TEMP\4\V8_37C2_19.TMP
delref %SystemDrive%\USERS\YURIL\APPDATA\LOCAL\TEMP\4\V8_D0C_13.TMP
delref %SystemDrive%\PROGRAM FILES (X86)\XEROX OFFICE PRINTING\WORKCENTRE SSW\ADDRESS BOOK EDITOR\XR1AHELPER64.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemRoot%\SYSWOW64\TAPILUA.DLL
delref %SystemRoot%\SYSWOW64\AEPROAM.DLL
delref %SystemRoot%\SYSWOW64\RSTRUI.EXE
delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref %SystemRoot%\SYSWOW64\INETSRV\IISRSTAS.EXE
apply

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке не поможем.
возможно, через какое то время будут опубликованы ключи по cesar/arena, тогда станет возможна расшифровка по новым вариантам.
(так что имеет смысл сохранить важные документы на отдельный носитель и ждать, когда наступит это время.)

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo, Filecoder.Crysis; r/n: info.hta

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.09.2017 10:50:51

этот файл вам известен?

Цитата
Полное имя C:\PROGRAMDATA\WINDOWS64\GO.VBS Имя файла GO.VBS Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске [Запускался неявно или вручную] Удовлетворяет критериям LNK.VBS (ИМЯ ФАЙЛА ~ .VBS)(1) AND (ССЫЛКА ~ .LNK)(1) [auto (0)] Сохраненная информация на момент создания образа Статус в автозапуске [Запускался неявно или вручную] Размер 139 байт Создан 08.09.2017 в 04:10:05 Изменен 07.05.2017 в 09:59:37 Цифр. подпись Отсутствует либо ее не удалось проверить Доп. информация на момент обновления списка SHA1 667692FCACA2F4B3D9D2A6451F08933518BC8E35 MD5 418F169230FD9FC068FB2A0EC6AB0D9A #FILE# Set WshShell = CreateObject("WScript.Shell") WshShell.Run chr(34) & "C:\ProgramData\Windows64\go.bat" & Chr(34), 0 Set WshShell = Nothing Ссылки на объект Ссылка C:\USERS\ALENA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\EXPLORER.LNK SHORTCUT C:\USERS\ALENA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\explorer.lnk

Цитата

Полное имя C:\PROGRAMDATA\WINDOWS64\GO.VBS
Имя файла GO.VBS
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске [Запускался неявно или вручную]

Удовлетворяет критериям
LNK.VBS (ИМЯ ФАЙЛА ~ .VBS)(1) AND (ССЫЛКА ~ .LNK)(1) [auto (0)]

Сохраненная информация на момент создания образа
Статус в автозапуске [Запускался неявно или вручную]
Размер 139 байт
Создан 08.09.2017 в 04:10:05
Изменен 07.05.2017 в 09:59:37
Цифр. подпись Отсутствует либо ее не удалось проверить

Доп. информация на момент обновления списка
SHA1 667692FCACA2F4B3D9D2A6451F08933518BC8E35
MD5 418F169230FD9FC068FB2A0EC6AB0D9A

#FILE# Set WshShell = CreateObject("WScript.Shell")
WshShell.Run chr(34) & "C:\ProgramData\Windows64\go.bat" & Chr(34), 0
Set WshShell = Nothing

Ссылки на объект
Ссылка C:\USERS\ALENA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\EXPLORER.LNK
SHORTCUT C:\USERS\ALENA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\explorer.lnk

[ Как создать образ автозапуска? ]

Перейти