Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 291 292 293 294 295 296 297 298 299 300 301 ... 1784 След.
файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007, Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.03.2017 01:06:24
Андрей Алимов,

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\PARETOLOGIC\UUS3\PARETO_UPDATE3.EXE
del %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\PARETOLOGIC\UUS3\PARETO_UPDATE3.EXE

deldirex %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCPEGCOPCFAJIIIBIDLAELHJJBLPEFBJK%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CPEGCOPCFAJIIIBIDLAELHJJBLPEFBJK\2.0.4.14_0\СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD\12.0.11_0\ПОИСК MAIL.RU
delref %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\NPDPPLBICNMPOIGIDFDJADAMGFKILAAK\7.20_0\SAVEFROM.NET ПОМОЩНИК
deldirex %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\MEDIAGET2

deldirex %SystemDrive%\USERS\АНДРЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\MEDIAGET2

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке файлов:
добавьте на форум в архиве несколько зашифрованных файлов и readme*.txt
[ Как создать образ автозапуска? ]
Перейти
зашифровано в Spora
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.03.2017 02:49:36
Алексей,
расшифровке файлов это не поможет.
вы можете проверить файл шифратора здесь:
http://virustotal.com
если наш антивирус не детектирует его, тогда вышлите в почту [email protected] в архиве с паролем infected

скрытие реальных папок с вашими файлами используется для того, чтобы пользователь, нажимал на ярлыки, которые созданы с такими же именами, как ваши корневые папки с документами.

При этом файл шифратора, который добавлен в строку lnk-файла, будет запущен повторно, и дошифрует то, что еще не было зашифровано.
[ Как создать образ автозапуска? ]
Перейти
Зашифровано с расширением BLOCK; idz0861; id70915; du1732; id6532; EnCiPhErEd; .stoppirates; ava; o11fFQ; yakmbsd; 5Hf1Ct; .DrWeb; .qwerty, Filecoder.Q / Xorist
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 23.03.2017 15:50:40
Цитата
santy написал:
Victur,

да, это Xorist
https://www.virustotal.com/en/file/315b69c6b199fd73bd4917cae7fda2d81354b7e979b82b6f­­1a0cfb1803720b34/analysis/1488753872/

в том числе, судя по ключу
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Alcmeter
C:\DOCUME~1\user\LOCALS~1\Temp\4Zm49xdJQDGs9vF.exe
Victur,
расшифровка действительно возможна,
так что обращайтесь к нас, если расшифровка для вас все еще актуальна.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007, Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.03.2017 18:37:21
Цитата
Владимир Паймаков написал:
Вот исчо
Владимир,
если необходима помощь в очистке системы, добавьте образ автозапуска.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением *.xtbl, .*crysis, *.crypt, *.lock, *.crypted, *.dharma, *.wallet, *.onion, CrySiS /Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .wallet, .onion /
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.03.2017 15:06:15
Цитата
Александр Жалимов написал:
Добрый день! Пошифрованы файлы через .id-FEE12735.[ [email protected] ].wallet. Лицензия на ваш антивирус куплена. Ваша техподдержка молчит, запросу уже больше суток. Есть ли какие нибудь наработки по дешифратору или пока нет? Файлы, сам вирус могу скинуть если нужно. Комп больше не запускается, нужно расшифровать 2 1с-ные базы по 2 гигабайта каждая. (2 файла 1cd) Остальное всё восстановимо. Логин лицензии NOD32: EAV-0180213574
добрый,
надо хотя бы убрать вирусные тела из автозапуска системы.
сделайте образ автозапуска из под winpe
файлы шифратора вышлите в почту [email protected] в архиве, с паролем infected
----------
по расшифровке ждите решения - как только будет так вам сразу станет известно,
а пока что бэкапы используйте для восстановления важных документов и баз.
[ Как создать образ автозапуска? ]
Перейти
Шифровирусы шумной толпою
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 21.03.2017 04:30:44
Цитата
Эдуард Атл написал:
Может кто-то сталкивался?
Эдуард,
если есть такие, добавьте копии чистых файлов,
или если нет конкретно к этим файлам чистых копий, то другую пару: чистый -зашифрованный файл.
+
добавьте образ автозапуска, если необходима помощь в очистке системы.
[ Как создать образ автозапуска? ]
Перейти
Шифровирусы шумной толпою
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 20.03.2017 10:15:54
Vladimir Kovalev,
сделайте образ автозапуска системы, можно попробовать из безопасного режима,
(возможно пишет свои копии на флэшку)
[ Как создать образ автозапуска? ]
Перейти
Адрес заблокирован
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 20.03.2017 04:39:19
"все" здесь подразумевается, что могут подключаться к папке по локальной сети все пользователи с полными правами.
посмотреть надо в проводнике
в свойствах этой папки, открыт общий доступ к ней или нет.
c:\users
если открыт, то отключите, или хотя бы установите права для всех только на чтение.
если в этом есть необходимость.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением *.xtbl, .*crysis, *.crypt, *.lock, *.crypted, *.dharma, *.wallet, *.onion, CrySiS /Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .wallet, .onion /
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 19.03.2017 16:47:17
Алексей,
судя по образу автозапуска вы используете tnod
Цитата
C:\PROGRAM FILES\TNOD\TNODUP.EXE
по правилам нашего форума, мы не оказываем помощь в очистке, и тем более в расшифровке пользователям, которые используют ломанный антивирус ESET
обратитесь за помощью на другой форум.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением *.xtbl, .*crysis, *.crypt, *.lock, *.crypted, *.dharma, *.wallet, *.onion, CrySiS /Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .wallet, .onion /
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 19.03.2017 16:43:59
Цитата
Алексей Непряхин написал:
Цитата
 santy  написал:
Алексей,
добавьте образ автозапуска системы.

файл шифратора в архиве с паролем infected пришлите в почту  [email protected]
Тело отправил на почту. Лог прикрепил к исходному сообщению
образ сейчас гляну, файлик в настоящее время детектируется основными антивирусами т.о.
https://www.virustotal.com/en/file/137aacd65759f46a968ea1520393ffb96b292b5274b94d3d­3cf5eaafabc87c5d/analysis/
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 291 292 293 294 295 296 297 298 299 300 301 ... 1784 След.