Размещено 07.11.2016 11:38:59
| Цитата |
|---|
| алексей ПрогрС написал: Уже больше недели не отвечают, все необходимые данные посылал, лицензионные тоже. |
Дорогие участники форума!
Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.
Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новые продукты компании PRO32.
PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.
файлы зашифрованы с расширением *.enigma; *.1txt, enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/
Ошибка открытия в журнале сканирования
Китайские проги и т.д.
Размещено 07.11.2016 05:09:43
Денис,
да, пропатчены системные dll
1. скачайте по ссылке архив с чистыми файлами dnsapi.dll
2. распакуйте архив в папку, откуда вы будете запускать uVS
далее, только если выполнены действия 1 и 2!
3. выполните данный скрипт в uVS
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (файл по формату: ZOO_yyyy-mm-dd_hh-mm-ss.rar/или 7z) отправить в почту [email protected], [email protected]
+
добавьте новый образ автозапуска для контроля.
да, пропатчены системные dll
1. скачайте по ссылке архив с чистыми файлами dnsapi.dll
2. распакуйте архив в папку, откуда вы будете запускать uVS
далее, только если выполнены действия 1 и 2!
3. выполните данный скрипт в uVS
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
| Код |
|---|
;uVS v3.87.7 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 OFFSGNSAVE ;------------------------autoscript--------------------------- zoo %SystemRoot%\SYSWOW64\DNSAPI.DLL zoo %Sys32%\DNSAPI.DLL EXEC cmd /c "rename %SystemRoot%\SYSWOW64\DNSAPI.DLL DNSAPI.DLL.old" EXEC cmd /c "rename %Sys32%\DNSAPI.DLL DNSAPI.DLL.old" EXEC cmd /c "copy DNSAPI.DLL %sys32%\DNSAPI.DLL" EXEC cmd /c "copy DNSAPI64.DLL %SystemRoot%\SYSWOW64\DNSAPI.DLL" czoo ;------------------------------------------------------------- restart |
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (файл по формату: ZOO_yyyy-mm-dd_hh-mm-ss.rar/или 7z) отправить в почту [email protected], [email protected]
+
добавьте новый образ автозапуска для контроля.
Изменено: santy - 07.11.2016 05:53:42
Китайские проги и т.д.
Размещено 06.11.2016 19:45:24
уже лучше, китайского антивируса нет в автозапуске.
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
перезагрузка, пишем о старых и новых проблемах.
------------
+
проверьте эти системные файлы на
и дайте ссылку на линки проверок, возможно они модифицированы трояном.
(удалять их пока не надо, если модифицированы, мы их заменим на чистые файлы.)
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
| Код |
|---|
;uVS v3.87.7 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES (X86)\SCREENUP\FUTURE_HELPER.EXE
addsgn 1A17C49A5583338CF42B467603C8128EF501BE9AB2FF8B03C1C3B1ACDBDB29306717461D4E2098A122DE849FCD564D39957E8F72555160A76F1B9F2A537D6673 8 Win32/RiskWare.NetFilter
addsgn 98EC888F4991C672A8D4BECD64A212FA3096077C89591F68F9C3AFBCAFC36DB7A91760572E299D232B7F9183BD9C49597DCF94723FDA4F39318C2E2F6406320F 8 Trojan.Turboinstall.12 [DrWeb]
zoo %SystemDrive%\USERS\DENIS\APPDATA\LOCAL\MZIZNTM0MZC=\S_INST.EXE
;------------------------autoscript---------------------------
chklst
delvir
;delref %Sys32%\DNSAPI.DLL
;delref %SystemRoot%\SYSWOW64\DNSAPI.DLL
deldirex %SystemDrive%\PROGRAM FILES (X86)\KINGSOFT\KINGSOFT ANTIVIRUS
delref {BA0C978D-D909-49B6-AFE2-8BDE245DC7E6}\[CLSID]
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGOMEKMIDLODGLBBMALCNEEGIEACBDMKI%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNLBEJMCCBHKNCGOKJCMGHPFLOAAJCFFJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3DONDEMAND%26UC
delref {10921475-03CE-4E04-90CE-E2E7EF20C814}\[CLSID]
delref %SystemDrive%\USERS\DENIS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\CHROMEDEFAULTDATA\EXTENSIONS\OJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD\12.0.11_0\ПОИСК MAIL.RU
regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------
restart
|
перезагрузка, пишем о старых и новых проблемах.
------------
+
проверьте эти системные файлы на
| Цитата |
|---|
| C:\WINDOWS\SYSWOW64\DNSAPI.DLL C:\WINDOWS\SYSTEM32\DNSAPI.DLL |
(удалять их пока не надо, если модифицированы, мы их заменим на чистые файлы.)
файлы зашифрованы с расширением *.enigma; *.1txt, enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/
Размещено 06.11.2016 17:53:38
Артем Федоров,
судя по файлу ENIGMA_298.RSA у вас первый вариант шифратора enigma.
решение по расшифровке есть в техподдержке, так что надо набраться терпения и ждать когда будет получен дешифратор и ключ из вирлаба.
возможно на получение ключа в вирлабе уйдет несколько дней.
судя по файлу ENIGMA_298.RSA у вас первый вариант шифратора enigma.
решение по расшифровке есть в техподдержке, так что надо набраться терпения и ждать когда будет получен дешифратор и ключ из вирлаба.
возможно на получение ключа в вирлабе уйдет несколько дней.
Изменено: santy - 06.11.2016 17:54:08
Китайские проги и т.д.
Китайские проги и т.д.
Размещено 06.11.2016 16:46:22
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
перезагрузка, пишем о старых и новых проблемах.
------------
+
добавьте новый образ автозапуска системы.
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
| Код |
|---|
;uVS v3.87.7 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 OFFSGNSAVE sreg delref %SystemDrive%\PROGRAM FILES (X86)\KINGSOFT\KINGSOFT ANTIVIRUS\KXESCORE.EXE delref %Sys32%\DRIVERS\KSAPI64.SYS delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\12.0.18061.220\QMUDISK64_EV.SYS delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\12.0.18061.220\QQPCHW-X64_EV.SYS delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\12.0.18061.220\SOFTAAL64_EV.SYS delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\12.0.18061.220\TSNETHLPX64_EV.SYS delref %SystemDrive%\PROGRAM FILES (X86)\KINGSOFT\KINGSOFT ANTIVIRUS\SECURITY\KXESCAN\KDHACKER64.SYS delref %Sys32%\DRIVERS\KISKNL.SYS delref %SystemDrive%\PROGRAM FILES (X86)\KINGSOFT\KINGSOFT ANTIVIRUS\SECURITY\KSNETM\KISNETM64.SYS delref %SystemDrive%\PROGRAM FILES (X86)\KINGSOFT\KINGSOFT ANTIVIRUS\KXETRAY.EXE delref %SystemDrive%\USERS\DENIS\APPDATA\LOCAL\TEMP\SERVICESC.EXE areg |
перезагрузка, пишем о старых и новых проблемах.
------------
+
добавьте новый образ автозапуска системы.
файлы зашифрованы с расширением *.enigma; *.1txt, enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
Размещено 06.11.2016 04:35:30
Дмитрий,
судя по образу система уже очищена от тел шифратора.
по расшифровке:
на сегодня и завтра расшифровки по da_vinci_code нет.
тем не менее
напишите в [email protected] при наличие лицензии на антивирус ESET
или соответственно в LK/DrWeb при наличие лицензии на антивирусы этих компаний.
судя по образу система уже очищена от тел шифратора.
по расшифровке:
на сегодня и завтра расшифровки по da_vinci_code нет.
тем не менее
напишите в [email protected] при наличие лицензии на антивирус ESET
или соответственно в LK/DrWeb при наличие лицензии на антивирусы этих компаний.
Нужна помощь в расшифровке файлов типа [email protected], filecoder.BT