Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 340 341 342 343 344 345 346 347 348 349 350 ... 1784 След.
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 11.11.2016 12:34:57
Цитата
Дмитрий Прасолов написал:
Добрый день. Проблема вышеозвученная. Во вложении образ. Заранее спасибо.
файлов шифратора уже нет в системе,
пробуйте восстановить документы из архивных копий.

по расшифровке:
на сегодня и завтра расшифровки по da_vinci_code нет.
тем не менее

напишите в [email protected] при наличие лицензии на антивирус ESET

или соответственно в LK/DrWeb при наличие лицензии на антивирусы этих компаний.

сохраните документы из важных папок на отдельный носитель,
и ждите, когда будет решение.
[ Как создать образ автозапуска? ]
Перейти
Китайские проги и т.д.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 11.11.2016 12:11:13
Если безопасный режим не работает, в таком случае лучше откатить систему на момент, когда система нормально работала.
+
добавить новый образ автозапуска для проверки системы.
Изменено: santy - 11.11.2016 12:30:55
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 11.11.2016 04:22:44
Цитата
Александр Семенов написал:
Мне важно понимать, что именно на операционку сервера это не повлияет.
da_vinci_code не имеет функционала червя,
шифрует только те диски, которые подключены в той системе, где был запущен шифратор.
Изменено: santy - 11.11.2016 06:14:46
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 11.11.2016 02:37:50
Цитата
Александр Семенов написал:
Здравствуйте! Поймали давинчи :(
На компе были подключены сетевые диски от сервера. В общей папке вижу несколько txt от вируса.
Не заразит ли это сервер? Или тоже сюда лучше выложить такой же лог от сервера?
судя по образу, файлов шифратора уже нет в системе.
если сетевые диски были подключены к системе с шифратором, то файлы на сетевых дисках так же будут зашифрованы.
readme*.txt добавляются в корень всех подключенных дисков.
Изменено: santy - 11.11.2016 02:38:07
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 11.11.2016 02:34:20
Цитата
Смородин Николай написал:
Добрый вечер!

Помогите с расшифровкой.
восстанавливаем из архивных копий.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 10.11.2016 17:57:56
Vasiliy Belenko,

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
addsgn 7300A398556A1F245CBE8EEE57137A04A58AFC7FD5DE0BBFC1E7D58CF29671C57F33DFA82BE11D092B7F912FC656499C40D9E8064489584B1C77A4140472251B 8 da_vinci_code

;------------------------autoscript---------------------------

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMJBEPBHONBOJPOAENHCKJOCCHGFIAOFO%26INSTALLSOURCE%3DONDEMAND%26UC

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.

если есть архивные копии документов, восстановите документы из архива.
------------
по расшифровке:
на сегодня и завтра расшифровки по da_vinci_code нет.
тем не менее

напишите в [email protected] при наличие лицензии на антивирус ESET

или соответственно в LK/DrWeb при наличие лицензии на антивирусы этих компаний.

сохраните документы из важных папок на отдельный носитель,
и ждите, когда будет решение.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 10.11.2016 14:50:47
Цитата
Denis Afanaseyev написал:
Поймали. Как быть с расшифровкой.
Пример зашифрованного файла во вложении.
восстанавливаем из архивных копий.
если нужна помощь в очистке системы добавьте образ автозапуска.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 10.11.2016 11:04:15
Цитата
Альберт Жемерикин написал:
вроде как написано сделал
образ автозагрузки
Альберт,
шифратор уже неактивен в системе,
по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.7 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АЛЬБЕРТ\LOCAL SETTINGS\APPLICATION DATA\SKYMONK2\SKYMONK2.EXE
addsgn 9252771A1C6AC1CC0B44584EA34FAA522F8ACF3FC13348FB483C2EB2C046E1DCA91185DF39129C925E870F81C5F8B5EBA6AD05CA54DAB02C2CACD1284C18A19D 8 Win32/Filecoder.NBJ [ESET-NOD32]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АЛЬБЕРТ\LOCAL SETTINGS\APPLICATION DATA\SKYMONK2\UNINSTALL.EXE
addsgn 7300A398556A1F275D83C49157254C8C49AEE431CDDE0F102783C5353CF265B3362753173E3D9CC92B807B8AF28609FA2820FDB2C79AB04625D43CC48006CA7E 64 Adware.Downware.2095 [DrWeb]

;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\DOCUMENTS AND SETTINGS\АЛЬБЕРТ\LOCAL SETTINGS\APPLICATION DATA\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.EXE

delref HTTP://CRASH-REPORTS.BROWSER.YANDEX.NET/SUBMIT

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS.WINDOWS7\APPLICATION DATA\WINDOWS\CSRSS.EXE

delref %SystemDrive%\DOCUMENTS AND SETTINGS\АЛЬБЕРТ\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.0.9_0\СТАРТОВАЯ — ЯНДЕКС

deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\АЛЬБЕРТ\APPLICATION DATA\SWVUPDATER

regt 28
regt 29
; Java(TM) 6 Update 29
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216027FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке:
на сегодня и завтра расшифровки по da_vinci_code нет.
тем не менее

напишите в [email protected] при наличие лицензии на антивирус ESET

или соответственно в LK/DrWeb при наличие лицензии на антивирусы этих компаний.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 10.11.2016 10:57:36
Romos,
да, теневые копии могли быть удалены шифратором.
можно попробовать восстановить работу через диск восстановления.
если не поможет, тогда придется переустановить систему.
Изменено: santy - 10.11.2016 10:58:11
[ Как создать образ автозапуска? ]
Перейти
Китайские проги и т.д.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 10.11.2016 09:11:51
скрипт отработал как положено, заменил протрояненные dll на чистые.
DNSapi.dll теперь чистые, без троянов.

судя по образу, у вас AVAST покалечен. необходимо его вычистить с помощью утилиты из безопасного режима системы
https://www.avast.ru/uninstall-utility

после удаления проверьте доступ к сети.
если проблемы сохранятся,
запустите cmd.exe с правами администратора и выполните команду
Цитата
netsh winsock reset catalog
перегрузите систему,
проверьте доступ к сети.

если не поможет,
добавьте новый образ автозапуска.
Изменено: santy - 10.11.2016 09:16:52
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 340 341 342 343 344 345 346 347 348 349 350 ... 1784 След.