santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

Не работает окно "Сетевые подключения"

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 14.02.2017 07:18:53

Дмитрий,
обновите ESS до актуальной версии.

[ Как создать образ автозапуска? ]

Перейти

Шифровирусы шумной толпою

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.02.2017 12:55:21

Цитата
Сергей Северин написал: День добрый, помогите расшифровать файлы

а есть такая записка о выкупе по данному шифратору?
How to restore files.hta

или файл шифратора?
-------
+
если можно, добавьте помассивнее пару файлов чистый -зашифрованный.
на 50-100кб,
doc или xls

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007, Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.02.2017 12:53:24

Цитата
Azamat Samedov написал: Добрый день! Если у вас будут шифрованные, расшифрованные файлы трояном ransom win32 rannoh, а также дешифратор данного трояна + ключ дешифровки вы сможете создать свой дешифратор, но для всех?

один ключ подойдет только для одного пользователя, так же, как своим ключом вы сможете открыть только свою квартиру.
поэтому универсальный дешифратор создать не получится для всех.

в любом случае,
если у вас есть такой комплект, присылайте в почту [email protected] в архиве с паролем infected

[ Как создать образ автозапуска? ]

Перейти

ShadowExplorer

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.02.2017 11:33:41

Цитата
Markus Balter написал: Can I use Shadow Explorer to restore crypted files? According to: https://www.virus-entferner.de/2017/01/15/spora-ransomware-virus-entfernen/ it helps only if the programm do not delete Shadow copies. For example, Spora Ransomware, delete them. What tool can I use in this case? Thanks

Yes, you can,
in that case, if the shadow copies are not deleted if the user was working with an account without administrator rights.

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007, Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.02.2017 12:39:25

@Юлия Рейнке,
судя по образу автозапуска файлов шифратора уже нет или неактивны в системе
с расшифровкой не поможем.

[ Как создать образ автозапуска? ]

Перейти

зашифровано в Spora

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.02.2017 05:59:23

Цитата
Валентина Захарова написал: Вот еще один зараженный пк.

судя по по об разу здесь нет следов шифратора.
если нужна тщательная проверка, откройте тему в разделе обнаружение заражений
https://forum.esetnod32.ru/forum6/
но тему создаем, если есть реальная проблема.

[ Как создать образ автозапуска? ]

Перейти

зашифровано в Spora

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.02.2017 05:47:56

Цитата
Валентина Захарова написал: Подобные ярлычки (как в текстовом файле - примере) и скрытые папки есть на пк секретарь и на эконом, на рецепт отсутствуют, получается после применения данных скриптов надо их все поудалять (и папки с зашифр файлами и ярлыки)? Расшифровщика все равно нет и думаю не будет. Так же в процессе обнаружилось, что заражен еще один пк, сделаю образ сброшу. Запустим проверку и на остальных пк. Больше всего страшно за сетевую папку, в бэкапы не попадет этот вирус? Нет ли у него отложенного старта какого~нибудь он дальше распространятся не будет, если нет таких ярлычков на других пк? И как проверять другие пк дальше опять cureit_ом, я не совсем понимаю он именнно его обнаруживал или друг е какие~то вирусы?

Цитата

Валентина Захарова написал:
Подобные ярлычки (как в текстовом файле - примере) и скрытые папки есть на пк секретарь и на эконом, на рецепт отсутствуют, получается после применения данных скриптов надо их все поудалять (и папки с зашифр файлами и ярлыки)? Расшифровщика все равно нет и думаю не будет. Так же в процессе обнаружилось, что заражен еще один пк, сделаю образ сброшу. Запустим проверку и на остальных пк. Больше всего страшно за сетевую папку, в бэкапы не попадет этот вирус? Нет ли у него отложенного старта какого~нибудь он дальше распространятся не будет, если нет таких ярлычков на других пк? И как проверять другие пк дальше опять cureit_ом, я не совсем понимаю он именнно его обнаруживал или друг е какие~то вирусы?

обновите антивирусные базы установленного антивируса, и сделайте полную проверку всех подключенных дисков.
там где нет установленного ESET, используйте он_лайн сканер.
http://download.eset.com/special/eos/ESETOnlineScanner_RUS.exe

[ Как создать образ автозапуска? ]

Перейти

зашифровано в Spora

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.02.2017 15:25:09

по компу:
ECONOM2_2017-02-09_13-17-48.7z (614.17 КБ)

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.9 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE zoo %SystemDrive%\PROGRAM FILES\BOOKVIEW\BOOKVIEW.EXE addsgn 9252776A186AC1CC0BF45C4EA34FD635358AF46E204848FB483C2EB2C046E1DCA91185DF39129C925E870F81C5F8B5EBA6AD05CA54DAB02C2CACD1284C18A19D 13 nod83_vir delref %SystemDrive%\USERS\ВИТАЛИЙ\APPDATA\ROAMING\ADOBE\MANAGER.EXE ;------------------------autoscript--------------------------- chklst delvir delref %SystemDrive%\PROGRAMDATA\DAMFAX\TOUGH-TOM.DLL del %SystemDrive%\PROGRAMDATA\DAMFAX\TOUGH-TOM.DLL delref {8E5E2654-AD2D-48BF-AC2D-D17F00898D06}\[CLSID] delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID] deldirex %SystemDrive%\USERS\ВИТАЛИЙ\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3DONDEMAND%26UC deldirex %SystemDrive%\PROGRAM FILES\COMMON FILES\SPIGOT\GC deldirex %SystemDrive%\PROGRAM FILES\MEDIAWATCHV1\MEDIAWATCHV1HOME2550\CH delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3DONDEMAND%26UC deldirex %SystemDrive%\PROGRAM FILES\MEDIAWATCHV1\MEDIAWATCHV1HOME2550 delref %SystemDrive%\USERS\ВИТАЛИЙ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD\12.0.11_0\ПОИСК MAIL.RU deldirex %SystemDrive%\USERS\ВИТАЛИЙ\APPDATA\LOCAL\UNITY\WEBPLAYER deldirex %SystemDrive%\USERS\ВИТАЛИЙ\APPDATA\ROAMING\ASPACKAGE deldirex %SystemDrive%\USERS\ВИТАЛИЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ASPACKAGE delref HTTP://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?P=MKO_AWFZXIPYRAHDGKBVFHKT0_PMCSKEQNIZQVSODDJO7SA_3MYKBOOJTUQMBO68TERZAFRUGTD7WYJDQGM0KBDW_A66EHJFNBCEEOEHLB8BLLCIV6BLDC19WILYOP-SHNNFTVPIQKV1KPGTYQFM5TCYSVAMVM7FD7VKBDQEBKMQC6OHKUSS29I7HOP9N25YHIEQ94 delref HTTP://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?P=MKO_AWFZXIPYRAHDGKBVFHKT0_PMCSKEQNIZQVSODDJO7SA_3MYKBOOJTUQMBO68TERZAFRUGTD7WYJDQGM0KBDW_A66EHJFNBCEEOEHLB8BLLCIV6YCYVHS6H4OV4VKHTXEKCYY-TQICEEYVQPQ57T1RVSS4LN4FSN0EL1QZLQJSDCRYMW_9WKWUJTT0RF regt 27 deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES\BOOKVIEW\BOOKVIEW.EXE
addsgn 9252776A186AC1CC0BF45C4EA34FD635358AF46E204848FB483C2EB2C046E1DCA91185DF39129C925E870F81C5F8B5EBA6AD05CA54DAB02C2CACD1284C18A19D 13 nod83_vir

delref %SystemDrive%\USERS\ВИТАЛИЙ\APPDATA\ROAMING\ADOBE\MANAGER.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAMDATA\DAMFAX\TOUGH-TOM.DLL
del %SystemDrive%\PROGRAMDATA\DAMFAX\TOUGH-TOM.DLL

delref {8E5E2654-AD2D-48BF-AC2D-D17F00898D06}\[CLSID]
delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]
deldirex %SystemDrive%\USERS\ВИТАЛИЙ\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3DONDEMAND%26UC

deldirex %SystemDrive%\PROGRAM FILES\COMMON FILES\SPIGOT\GC

deldirex %SystemDrive%\PROGRAM FILES\MEDIAWATCHV1\MEDIAWATCHV1HOME2550\CH

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3DONDEMAND%26UC

deldirex %SystemDrive%\PROGRAM FILES\MEDIAWATCHV1\MEDIAWATCHV1HOME2550

delref %SystemDrive%\USERS\ВИТАЛИЙ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD\12.0.11_0\ПОИСК MAIL.RU
deldirex %SystemDrive%\USERS\ВИТАЛИЙ\APPDATA\LOCAL\UNITY\WEBPLAYER

deldirex %SystemDrive%\USERS\ВИТАЛИЙ\APPDATA\ROAMING\ASPACKAGE

deldirex %SystemDrive%\USERS\ВИТАЛИЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ASPACKAGE

delref HTTP://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?P=MKO_AWFZXIPYRAHDGKBVFHKT0_PMCSKEQNIZQVSODDJO7SA_3MYKBOOJTUQMBO68TERZAFRUGTD7WYJDQGM0KBDW_A66EHJFNBCEEOEHLB8BLLCIV6BLDC19WILYOP-SHNNFTVPIQKV1KPGTYQFM5TCYSVAMVM7FD7VKBDQEBKMQC6OHKUSS29I7HOP9N25YHIEQ94
delref HTTP://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?P=MKO_AWFZXIPYRAHDGKBVFHKT0_PMCSKEQNIZQVSODDJO7SA_3MYKBOOJTUQMBO68TERZAFRUGTD7WYJDQGM0KBDW_A66EHJFNBCEEOEHLB8BLLCIV6YCYVHS6H4OV4VKHTXEKCYY-TQICEEYVQPQ57T1RVSS4LN4FSN0EL1QZLQJSDCRYMW_9WKWUJTT0RF

regt 27
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
обновите антивирусные базы, если у вас антивир с дейстующей лицензией, и выполните полное сканирование системы.
затем уже можно планировать дальнейшую работу на нем.

т.е. следы шифратора здесь были только на первом компе.

[ Как создать образ автозапуска? ]

Перейти

зашифровано в Spora

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.02.2017 15:17:34

по компу:
RECEPT01_2017-02-09_14-08-28.7z (487.29 КБ)

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.9 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DABLPCIKJMHAMJANPIBKCCDMPOEKJIGJA%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCPEGCOPCFAJIIIBIDLAELHJJBLPEFBJK%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPFIGAOAMNNCIJBGOMIFAMKMKIDNNLIKL%26INSTALLSOURCE%3DONDEMAND%26UC delref %Sys32%\DRIVERS\QUTMIPC.SYS del %Sys32%\DRIVERS\QUTMIPC.SYS delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CPEGCOPCFAJIIIBIDLAELHJJBLPEFBJK\2.0.4.14_0\СТАРТОВАЯ — ЯНДЕКС delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CPEGCOPCFAJIIIBIDLAELHJJBLPEFBJK\2.0.4.14_0\СТАРТОВАЯ — ЯНДЕКС deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DABLPCIKJMHAMJANPIBKCCDMPOEKJIGJA%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCPEGCOPCFAJIIIBIDLAELHJJBLPEFBJK%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPFIGAOAMNNCIJBGOMIFAMKMKIDNNLIKL%26INSTALLSOURCE%3DONDEMAND%26UC

delref %Sys32%\DRIVERS\QUTMIPC.SYS
del %Sys32%\DRIVERS\QUTMIPC.SYS

delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CPEGCOPCFAJIIIBIDLAELHJJBLPEFBJK\2.0.4.14_0\СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CPEGCOPCFAJIIIBIDLAELHJJBLPEFBJK\2.0.4.14_0\СТАРТОВАЯ — ЯНДЕКС
deltmp
delnfr
;-------------------------------------------------------------

restart

[ Как создать образ автозапуска? ]

Перейти

зашифровано в Spora

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.02.2017 15:14:36

по компу
SECRETAR_2017-02-09_12-57-39.7z (456.74 КБ):

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.9 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE delall %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\TEMP\7AF6CCFE1C5776CC.EXE ;------------------------autoscript--------------------------- chklst delvir deldirex %SystemDrive%\USERS\СЕКРЕТАРЬ\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER deltmp delnfr ;------------------------------------------------------------- delref 7AF6CCFE1C5776CC.EXE restart

Код


;uVS v3.87.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
delall %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\TEMP\7AF6CCFE1C5776CC.EXE
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\USERS\СЕКРЕТАРЬ\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

deltmp
delnfr
;-------------------------------------------------------------

delref 7AF6CCFE1C5776CC.EXE
restart

[ Как создать образ автозапуска? ]

Перейти