Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 318 319 320 321 322 323 324 325 326 327 328 ... 1784 След.
файлы зашифрованы с расширением *.enigma; *.1txt, enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 10.01.2017 13:31:47
Сергей Прутских,
расшифровка 1txt возможна.
при наличие лицензии на антивирус ESET обращайтесь за расшифровкой в техническую поддержку ESET
[email protected]
---------
для support нужны будут несколько зашифрованных файлов, файл E_N_I_G_M_A.RSA, лог программы ESET log collector
https://download.eset.com/special/logcollector/ESETLogCollector_rus.exe
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] постоянное создание файлов *.pyd в temp, постоянное создание файлов *.pyd в temp
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 10.01.2017 07:39:17
не факт, что вирус создает эти файлы.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLMJEGMLICAMNIMMFHCMPKCLMIGMMCBEH%26INSTALLSOURCE%3DONDEMAND%26UC

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] постоянное создание файлов *.pyd в temp, постоянное создание файлов *.pyd в temp
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 10.01.2017 07:07:06
добавьте образ автозапуска системы
http://forum.esetnod32.ru/forum9/topic2687/
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением *.enigma; *.1txt, enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 09.01.2017 15:05:24
Елисей Прянишников,
с каким расширением зашифрованы файлы?
добавьте несколько зашифрованных файлов в архив, и поместите в ваше сообщение на форуме
[ Как создать образ автозапуска? ]
Перейти
Не обновляются базы, Перестали обновлять базы на сервере у NOD32 File Security 6.2.12007.1
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 09.01.2017 12:27:59
@s0.sunny,
пробуйте установить актуальную версию File Security 6.4.12004
https://www.eset.com/int/business/server-antivirus/file-security-windows/#download
[ Как создать образ автозапуска? ]
Перейти
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 09.01.2017 07:18:23
RansomFree инструмент помогает защитить ПК на базе Windows против вымогателей
https://www.tripwire.com/state-of-security/latest-security-news/ransomfree-tool-can-help-defend-windows-pcs-ransomware/

скачать можно отсюда:
https://ransomfree.cybereason.com/download/

установка возможна на следующие системы:
Windows 7, 8, 10, 2008 R2 and 2012 R2
----------
вот это можно потестировать, но опять же, только на виртуальных машинах.

update:
кстати, crysis.dharma был "пойман с поличным" после шифрования файлов в папке-ловушке. переименован, исключен из автозапуска и выгружен.
[ Как создать образ автозапуска? ]
Перейти
Вирус от mail
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 09.01.2017 05:08:02
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAM FILES\COMMON FILES\DVDVIDEOSOFT\LIB\APP_UPDATER.EXE
del %SystemDrive%\PROGRAM FILES\COMMON FILES\DVDVIDEOSOFT\LIB\APP_UPDATER.EXE

delref %Sys32%\DRIVERS\QUTMIPC.SYS
del %Sys32%\DRIVERS\QUTMIPC.SYS

deldirex %SystemDrive%\USERS\ИГОРЬ\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

deldirex %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением *.enigma; *.1txt, enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.01.2017 08:53:56
Цитата
Лев Степанов написал:
Хорошо спасибо буду ждать...
Цитата
Валентин Поляков написал:
 Лев , здравствуйте, проверьте почту, я отправил Вам инструкции.

Лев,
по вашим файлам получено решение по расшифровке ваших файлов.
Цитата
[2017.01.07 12:45:42.449] - ....................................
[2017.01.07 12:45:44.742] - --------------------------------------------------------------------------------
[2017.01.07 12:45:44.742] -
[2017.01.07 12:45:44.758] -
[2017.01.07 12:45:44.758] - INFO: Cleaning file [Степанов\дог с МО.doc.1txt]
[2017.01.07 12:45:44.758] - --------------------------------------------------------------------------------
[2017.01.07 12:45:44.758] - INFO: Decrypting [Степанов\дог с МО.doc.1txt]
[2017.01.07 12:45:44.773] - INFO: Cleaned
[2017.01.07 12:45:44.773] -
[2017.01.07 12:45:44.773] - INFO: Cleaning file [Степанов\дог.doc.1txt]
[2017.01.07 12:45:44.773] - --------------------------------------------------------------------------------
[2017.01.07 12:45:44.773] - INFO: Decrypting [Степанов\дог.doc.1txt]
[2017.01.07 12:45:44.805] - INFO: Cleaned
[2017.01.07 12:45:44.805] - --------------------------------------------------------------------------------
[2017.01.07 12:45:44.805] -
[2017.01.07 12:45:44.805] - INFO: The information about skipped files was saved to Enigma_collector.dat
[2017.01.07 12:45:44.805] - INFO: Please send this file to [email protected] to get decoder for your files.
[2017.01.07 12:45:44.805] -
[2017.01.07 12:45:44.805] - --------------------------------------------------------------------------------
[2017.01.07 12:45:44.805] - INFO: 2 infected files found.
[2017.01.07 12:45:44.805] - INFO: 2 file(s) cleaned.
[2017.01.07 12:45:49.843] - End

ключ и дешифратор в ближайшее время вам будет выслан.
[ Как создать образ автозапуска? ]
Перейти
Периодически открывается вкладка браузера, Проблема с поиском и очисткой вируса
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 06.01.2017 15:32:08
по дальнейшей очистке системы:

2.удалите все найденное в малваребайт
перегрузите систему
далее,
3.сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

5.сделайте проверку в FRST
http://forum.esetnod32.ru/forum9/topic2798/
[ Как создать образ автозапуска? ]
Перейти
Периодически открывается вкладка браузера, Проблема с поиском и очисткой вируса
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 06.01.2017 05:55:06
помимо запуска рекламы, еще и майнер запускается из задач, и похоже уже как несколько месяцев назад был установлен.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %SystemDrive%\USERS\SIMON\APPDATA\LOCAL\STARCRAFT II LAUNCHER\ISSCH\ISSCH.EXE
addsgn 71007B5D509207200BD5AEB164201C0F298A7F32851389847A3C480A50D6714CA0FBCF903BADD61B2B80849F46FEA7F371DF6BB65933C6D0D28834BF5796B2E3 8 Win32/BitCoinMiner

hide %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\PICASA3\UNINSTALL.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://NEWCITYINWORLD.RU/GVOTESM

deldirex %SystemDrive%\USERS\SIMON\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAMINLPMKFCDIBGPGFAJLGNAMICJCKKJF%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGBGNHMFBCIFPKJOFOOJFPLMFKMAIADN%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBPGANGMFFJCOFIKNIBCMFJIONICOHFGJ%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DICANJJKADCEEBMHANPEKKOFDHCLNOIJL%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIFLPPBJNPNEIIGCBDFJPNKEBIDMKJMOI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLBJJFIIHGFEGNIOLCKPHPNFAOKDKBMDM%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLIFBCIBLLHKDHOAFPJFNLHFPFGNPLDFL%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNBIFDKMDOJGMPMOPDEBNJCOBEKGDONCN%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOFDGAFMDEGFKHFDFKMLLFEFMCMCJLLEC%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPNOOFFJHCLKOCPLOPFFDBCDGHMIFFHJI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPPOILMFKBPCKODOIFDLKMKEPCAJFJMHL%26INSTALLSOURCE%3DONDEMAND%26UC

delref SDLOADER.DLL

delref %Sys32%\IHCTRL32.DLL

delref %Sys32%\WSAUDIO.DLL

delref %SystemDrive%\USERS\SIMON\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\BGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB\7.0.25_0\ПОИСК MAIL.RU

delref %SystemDrive%\USERS\SIMON\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\EIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO\7.0.2_0\ПОИСК MAIL.RU

delref %SystemDrive%\USERS\SIMON\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\ILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK\3.0.3_0\ПОИСК MAIL.RU

delref %SystemDrive%\USERS\SIMON\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\NBIFDKMDOJGMPMOPDEBNJCOBEKGDONCN\4.0.4_0\ПОИСК MAIL.RU

delref %SystemDrive%\USERS\SIMON\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\OJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD\12.0.11_0\ПОИСК MAIL.RU

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBMKCKGPGEKMANIPELFIDLHMKFCJICION%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEHFJIHAHBPHDPLJPIADBKMGMHNFEHHGI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFKKCGFBGOHBOIPDHLIAFMACJNHJBHMIM%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://DYASE.RU/?UTM_SOURCE=UOUA03&UTM_CONTENT=EF524B21292D69030D0FEDEA37D74A60&UTM_TERM=1DD22202E1C9325FA9592111C65576DF&UTM_D=20160605

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 318 319 320 321 322 323 324 325 326 327 328 ... 1784 След.