Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Выбрать дату в календареВыбрать дату в календаре

файлы зашифрованы с расширением *.xtbl, .*crysis, *.crypt, *.lock, *.crypted, *.dharma, *.wallet, *.onion, CrySiS /Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .wallet, .onion /
Алексей,
добавьте образ автозапуска системы.

файл шифратора в архиве с паролем infected пришлите в почту [email protected]
Адрес заблокирован
так же проверьте, есть ли необходимость для всех пользователей давать в общий доступ с полными правами все профили.

[QUOTE]"Users" = "Users (C:\Users)" ; 0/inf ;
"BUILTIN\Администраторы" = "Полный доступ" Разрешить ;
"Все" = "Полный доступ" Разрешить ; [/QUOTE]
Адрес заблокирован
это еще выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
delall %SystemDrive%\PROGRAM FILES\UBAR\UBARSERVICE.EXE
deltmp
delnfr
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
Адрес заблокирован
Hitman Pro у вас установлен с постоянной защитой, или работает как сканер?
аналогично по malwarebytes/
+
добавьте лог ESETsysinspector
http://forum.esetnod32.ru/forum9/topic10701/
Адрес заблокирован
что сейчас с проблемой?
[ Закрыто] Сообщение на китайском и незакрываемое окно
добавьте новый образ автозапуска в uVS
+
вопрос: какая из проблем осталась: первая или вторая?
[ Закрыто] Сообщение на китайском и незакрываемое окно
похоже, плагин от китайской тулзы еще в FF остался.

6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

[CODE]FF Plugin: @itools.hk/npiTools, version=1.0.0 -> C:\Program Files (x86)\ThinkSky\iTools 3\Extensions\npiTools.dll [2017-02-15] ()
EmptyTemp:
Reboot:
[/CODE]
[ Закрыто] Сообщение на китайском и незакрываемое окно
Максим,
1. цитировать сообщения наши не надо. просто пишите свой ответ. короче будут простыни.
2. по Адвклинеру выполнили удаление найденного?
3. лог FRST перезалейте, он не читается из архива.
файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007, Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt
файлов шифратора уже нет в автозапуске.
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE

addsgn 1A659B9A5583D98CF42B627DA843ED50AE667F1ABD5BA753D9C3F679D993­8D1FA84ACB0169AAE859A0FD88120BDAC20995A1048DAA5F4F582FFEBBAA­1C73019B 8 Adware.Bandoo.265 [DrWeb]

zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\TORCH\PLUGINS\TORRENT­\29.0.0.4888\TORCHTORRENT.EXE
zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\TORCH\PLUGINS\TORRENT­\TORCHTORRENT.EXE
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES (X86)\MIUITAB

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAMINLPMKFCDIBGPGFAJLGNAMICJCKKJF%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI%26INSTALLSOURCE%3D­ONDEMAND%26UC

deldirex %SystemDrive%\USERS\USER\APPDATA\ROAMING\VOPACKAGE

delref %SystemDrive%\PROGRAM FILES (X86)\SFK\SSFK.EXE

delref %SystemDrive%\PROGRAMDATA\FWMINIPROF\WMINIPRO.EXE

delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 3\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMHHNOBJHIFPIFCHDCLBKKENHLHIAIOAE%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP:\\WWW.DELTA-HOMES.COM\?TYPE=SC&TS=1432123020&Z=B20603BC5B06A0D90B52415G7Z8C5O7GCOFC­9E6O6O&FROM=WPM05203&UID=ST500LM012XHN-M500MBB_S2R7J9KD202052

delref HTTP://WWW.DELTA-HOMES.COM/?TYPE=SC&TS=1432123020&Z=B20603BC5B06A0D90B52415G7Z8C5O7GCOFC­9E6O6O&FROM=WPM05203&UID=ST500LM012XHN-M500MBB_S2R7J9KD202052

delref HTTP:\\WWW.OMNIBOXES.COM\?TYPE=SC&TS=1447143444&Z=2AFA32068F05955B9153B96GFZAZ0MDGFZ5C­8Z5Z8Z&FROM=WPM07163&UID=ST500LM012XHN-M500MBB_S2R7J9KD202052

deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET
[ Закрыто] Сообщение на китайском и незакрываемое окно
+
'этот файл проверьте на http://virustotal.com
C:\PROGRAM FILES (X86)\GYAZO\GYAZOUPDATE.EXE
и добавьте линк проверки в ваше сообщение.