Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 353 354 355 356 357 358 359 360 361 362 363 ... 1784 След.
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 19.10.2016 10:16:22
Цитата
Игорь Когай написал:
подскажите какие действия предпринять

Игорь Когай,
добавьте образ автозапуска системы, где произошло шифрование.
http://forum.esetnod32.ru/forum9/topic2687/
Изменено: santy - 19.10.2016 11:16:51
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 19.10.2016 07:19:15
Игорь Рогов,
да файлы шифратора удалены
Цитата
Завершено процессов: 1 из 1
Изменено/удалено объектов автозапуска 1 из 1
Удалено файлов: 2 из 2
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.10.2016 16:15:54
В данном случае - это рекомендация для всех пользователей форума, независимо от принадлежности к той или иной версии антивируса, или без нее. помощь в очистке системы мы оказываем всем посетителям форума. (кроме тех, кто использует вломанные антивирусы)

1. очистить систему от дел шифратора
2. если были зашифрованы ценные файлы, сохранить зашифрованные копии на отдельный диск и ждать когда появится решение по расшифровке от вирлабов.
3. отправить запрос на расшифровку в техподдержку своего антивируса: как минимум в этом случае о вас не забудут, когда будет решение.
Изменено: santy - 18.10.2016 16:16:42
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.10.2016 15:42:23
Цитата
Ilya Khokhlov написал:
Дак оно понятно, но у меня "Касперский интернет секьюрити" лицензия уже куплена, "СпайХантер4" лицензионный... ну не десять же антивирусов ставить..
Илья,
а смысл тогда непонятен в вашем обращении на технический форум ESET.
если есть лицензия на антивирус Касперского - так сразу к ним и надо обращаться за помощью с расшифровкой данных.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.10.2016 15:40:00
Игорь Рогов,
на момент создания образа файл шифратора был активен.
%SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
если скрипт был выполнен, то теперь система должна быть очищена от файла шифратора.
добавьте лог выполнения скрипта,
это файл дата_времяlog.txt
по нему можно будет увидеть, какие действия были выполнены при выполнении скрипта.

по поводу договориться с злоумышленником - это ваше право.
(если решитесь выкупить ключ и дешифратор, напишите мне в личку)
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.10.2016 13:08:39
Виталий,
судя по образу система уже очищена от тел шифратора.
по расшифровке шансы есть. но не сегодня и завтра.
в будущем.

сохраните документы из важных папок на отдельный носитель, и ждите решения по расшифровке.
при наличие лицензии на антивирус ESET сделайте запрос на расшифровку в [email protected]
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.10.2016 12:29:06
Игорь Рогов,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
addsgn 7300AF98556A1F275D83C49157254C8C49AEE431CDDE0F481783C5353CF265B33623B3173E3D9CC92B807B8AFA6609FA2820FDDE279AB04624D41CBD8506CA66 24 Ransom:Win32/Troldesh.A [Microsoft]

zoo %SystemDrive%\USERS\СВЕТЛАНА ГЕН\APPDATA\ROAMINGIOH28.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAMDATA\DRIVERS\CSRSS.EXE

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке:

сохраните документы из важных папок на отдельный носитель, и ждите решения по расшифровке.
при наличие лицензии на антивирус ESET сделайте запрос на расшифровку в [email protected]
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Вирусные всплывающие окна в браузере, вирусное заражение
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.10.2016 11:39:07
что сейчас с проблемами?
если решены, выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic12354/
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Вирусные всплывающие окна в браузере, вирусное заражение
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.10.2016 05:01:05
FRST находится там, откуда вы запускаете frst.exe
(просто для краткости мы называем исполняемый файл FRST)
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 17.10.2016 15:40:05
Константин,
техподдержка обычно запрашивает по расшифровщикам
несколько зашифрованных файлов в архиве,
желательно копии чистых файлов, если есть возможность из найти.
тело шифратора, (оно  есть в файле ZOO в папке, откуда вы запускали uVS)
а так же лог ESET collector log, полученный из системы, где было шифрование.
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 353 354 355 356 357 358 359 360 361 362 363 ... 1784 След.