santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] Словил вирус, нужна ваша помощь.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 24.10.2016 18:33:16

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.7 [http://dsrt.dyndns.org] ;Target OS: NTv10.0 OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDAANGLPCPKJJLKHCBLADPPJPHGLBIGAM%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEOFCBNMAJMJMPLFLAPAOJJNIHCJKIGCK%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGOMEKMIDLODGLBBMALCNEEGIEACBDMKI%26INSTALLSOURCE%3DONDEMAND%26UC deldirex %SystemDrive%\USERS\РУСЛАН52\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER deldirex %SystemDrive%\USERS\N.IZMAYLOV\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER deldirex %SystemDrive%\USERS\ЛИЛИЯ\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER delref %SystemDrive%\USERS\РУСЛАН52\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD\12.0.11_2\ПОИСК MAIL.RU deldirex %SystemDrive%\PROGRAM FILES (X86)\ASKPARTNERNETWORK\TOOLBAR delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3DONDEMAND%26UC ; OpenAL exec C:\Program Files (x86)\OpenAL\OpenAL.exe" /U deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.7 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDAANGLPCPKJJLKHCBLADPPJPHGLBIGAM%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEOFCBNMAJMJMPLFLAPAOJJNIHCJKIGCK%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGOMEKMIDLODGLBBMALCNEEGIEACBDMKI%26INSTALLSOURCE%3DONDEMAND%26UC

deldirex %SystemDrive%\USERS\РУСЛАН52\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

deldirex %SystemDrive%\USERS\N.IZMAYLOV\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

deldirex %SystemDrive%\USERS\ЛИЛИЯ\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref %SystemDrive%\USERS\РУСЛАН52\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD\12.0.11_2\ПОИСК MAIL.RU

deldirex %SystemDrive%\PROGRAM FILES (X86)\ASKPARTNERNETWORK\TOOLBAR

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3DONDEMAND%26UC

; OpenAL
exec  C:\Program Files (x86)\OpenAL\OpenAL.exe" /U
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 24.10.2016 18:28:12

Леонид Я,
я в каждой теме пишу примерно один и тот же текст:

Цитата
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 24.10.2016 12:51:22

@Ivan Yavorsky,
1. добавьте несколько зашифрованных файлов в архив, и загрузите архив в следующее ваше сообщение.
2. добавьте образ автозапуска системы.
возможно файлы шифратора еще активны в системе.
3. расширение файлов стало da_vinci_code?

Изменено: santy - 26.10.2016 05:17:45

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением *.enigma; *.1txt, enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 24.10.2016 05:07:03

Цитата
алексей ПрогрС написал: Я не присутствовал при этом, видимо в процессе работы антивирус удалил тело, отправил в карантин множество текстовых файлов с именем "chto_s_faylami.txt", видимо с сообщением от взломщиков. Оказались зашифрованы файлы на рабочем столе, и во вложенных папках, но не во всех. Спасибо, обращусь в поддержку

Цитата

алексей ПрогрС написал:
Я не присутствовал при этом, видимо в процессе работы антивирус удалил тело, отправил в карантин множество текстовых файлов с именем "chto_s_faylami.txt", видимо с сообщением от взломщиков. Оказались зашифрованы файлы на рабочем столе, и во вложенных папках, но не во всех. Спасибо, обращусь в поддержку

+
проверьте теневые копии сохранились или нет.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Адрес заблокирован, Адрес заблокирован и адрес сайта

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.10.2016 02:48:38

Сергей,
по правилам нашего форума мы не оказываем помощь пользователям,
которые используют взломанный антивирус.

Код
C:\PROGRAM FILES\TNOD USER & PASSWORD FINDER\TNODUP.EXE

обратитесь за помощью на другой форум.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Адрес заблокирован, Адрес заблокирован и адрес сайта

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 22.10.2016 14:28:57

Сергей,
добавьте образ автозапуска системы
(линк на инструкцию в моей подписи)

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 22.10.2016 09:39:13

Цитата
рамиль Бухаров написал: Здравствуйте! 1. версия нод32 - ESET NOD32 ANTIVIRUS 2. Операционная система - Windows 7 3. Все файлы с расширением *.xtbl. Вирус удален, есть ли возможность расшифровать файлы? Код из файла README1: B5327E1CBE3DBCF6EA90\|0 Файлы приложены

Цитата

рамиль Бухаров написал:
Здравствуйте!
1. версия нод32 - ESET NOD32 ANTIVIRUS
2. Операционная система - Windows 7
3. Все файлы с расширением *.xtbl. Вирус удален, есть ли возможность расшифровать файлы?
Код из файла README1:
B5327E1CBE3DBCF6EA90|0
Файлы приложены

Напишите в почту [email protected]

[ Как создать образ автозапуска? ]

Перейти

Предложение по улучшению форума

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 22.10.2016 03:14:53

RP55, ушла уже эта ошибка.

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением *.enigma; *.1txt, enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.10.2016 04:39:53

Алексей,
при наличие лицензии на продукт ESET отправьте в [email protected] следующую информацию:
1. E_N_I_G_M_A.RSA
2. файл шифратора в архиве с паролем infected
3. несколько зашифрованных файлов с расширением 1txt
4. несколько аналогичных чистых файлов, если сохранились копии,
5. лог ESET collector
https://download.eset.com/special/logcollector/ESETLogCollector_rus.exe

+
вопрос:
в какой момент тело шифратора было удалено?
после шифрования, или в процессе шифрования?

Изменено: santy - 17.11.2016 11:36:45

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 19.10.2016 12:28:14

Цитата
Андрей Кемаев написал: Мы обслуживаем сторонние организации и столкнулись с тем же вирусом. Антивирус не сработал, были зашифрованы часть файлов на сетевом диске. Вирус уже популярен в интернете, однако скоро ли ждать расшифровщика?

Цитата

Андрей Кемаев написал:
Мы обслуживаем сторонние организации и столкнулись с тем же вирусом. Антивирус не сработал, были зашифрованы часть файлов на сетевом диске. Вирус уже популярен в интернете, однако скоро ли ждать расшифровщика?

Андрей,
ждать ничего не надо. надо доставать бэкапы и восстанавливать данные из бэкапов.
Если нет бэкапов, то потратить время и средства на автоматизацию создания бэкапов для критически важной информации.
тогда не придется пользователям ждать месяцы и годы, когда антивирусные компании найдут решение по расшифровке.

[ Как создать образ автозапуска? ]

Перейти