santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

Сбой при запуске службы...

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.10.2016 09:35:46

дистр для 4 версии откуда качали? что-то большой размер дистра. 90Мб

Цитата
Полное имя C:\DOCUMENTS AND SETTINGS\YASHINA\РАБОЧИЙ СТОЛ\EAV_V4_VS_SETUP.EXE Имя файла EAV_V4_VS_SETUP.EXE Тек. статус ВИРУС [Запускался неявно или вручную] Статус ВИРУС Сигнатура Win32/Adware.ConvertAd [глубина совпадения 64(64), необх. минимум 64, максимум 64] Сохраненная информация на момент создания образа Статус [Запускался неявно или вручную] File_Id 4B1AE41CA5000 Linker 6.0 Размер 90343078 байт Создан 05.10.2016 в 14:37:30 Изменен 01.07.2014 в 16:09:09 TimeStamp 05.12.2009 в 22:52:12 EntryPoint + OS Version 4.0 Subsystem Windows graphical user interface (GUI) subsystem IMAGE_FILE_DLL - IMAGE_FILE_EXECUTABLE_IMAGE + Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Отсутствует либо ее не удалось проверить Доп. информация на момент обновления списка SHA1 1CFE5B05C4FECB85473B71F5B4D5BDCD929B0171 MD5 83A1AA73571BBEDA8AF70F100AEA0526 Ссылки на объект Ссылка HKEY_USERS\S-1-5-21-587714157-2018130268-3310443182-1166\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\DOCUMENTS AND SETTINGS\YASHINA\РАБОЧИЙ СТОЛ\EAV_V4_VS_SETUP.EXE Prefetcher C:\WINDOWS\Prefetch\Layout.ini

Цитата

Полное имя C:\DOCUMENTS AND SETTINGS\YASHINA\РАБОЧИЙ СТОЛ\EAV_V4_VS_SETUP.EXE
Имя файла EAV_V4_VS_SETUP.EXE
Тек. статус ВИРУС [Запускался неявно или вручную]

Статус ВИРУС
Сигнатура Win32/Adware.ConvertAd [глубина совпадения 64(64), необх. минимум 64, максимум 64]

Сохраненная информация на момент создания образа
Статус [Запускался неявно или вручную]
File_Id 4B1AE41CA5000
Linker 6.0
Размер 90343078 байт
Создан 05.10.2016 в 14:37:30
Изменен 01.07.2014 в 16:09:09

TimeStamp 05.12.2009 в 22:52:12
EntryPoint +
OS Version 4.0
Subsystem Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Доп. информация на момент обновления списка
SHA1 1CFE5B05C4FECB85473B71F5B4D5BDCD929B0171
MD5 83A1AA73571BBEDA8AF70F100AEA0526

Ссылки на объект
Ссылка HKEY_USERS\S-1-5-21-587714157-2018130268-3310443182-1166\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\DOCUMENTS AND SETTINGS\YASHINA\РАБОЧИЙ СТОЛ\EAV_V4_VS_SETUP.EXE
Prefetcher C:\WINDOWS\Prefetch\Layout.ini

Изменено: santy - 12.10.2016 09:36:08

[ Как создать образ автозапуска? ]

Перейти

Сбой при запуске службы...

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.10.2016 09:12:02

добавьте еще образ автозапуска системы
(ссылка на инструкцию в подписи)

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением *.enigma; *.1txt, enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.10.2016 16:58:47

Дмитрий Лихачев,
возможно это новый (третий) вариант enigma.
появился он несколько дней назад на форумах.
думаю, что пока вирлабы изучают возможна ли расшифровка на этот раз или нет.
отправьте ваши файлы в техподдержку [email protected] при наличие лицензии на продукт ESET вам будет оказана помощь в расшифровке, если она возможна,
и когда будет это решение получено.
+
если будет отправлять в техподдержку ваши файлы, то желательно, чтобы были зашифрованные файлы, и их чистые оригиналы.

-----------
+
удалите архив с вирусом, или переложите архив с паролем infected

Изменено: santy - 11.10.2016 18:06:29

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 10.10.2016 15:29:13

Сергей,
обратите внимание, что шифратор еще в автозапуске. (будет шифровать свежие документы)
(странно, что ESET задетектировал его как Cerber

)

по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.6 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE addsgn 7300AF98556A1F275D83C49157254C8C49AEE431CDDE0F481783C5353CF265B33623B3173E3D9CC92B807B8AFA6609FA2820FDDE279AB04624D41CBD8506CA66 8 Win32/Filecoder.Cerber.B [ESET-NOD32] zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE ;------------------------autoscript--------------------------- chklst delvir deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.6 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
addsgn 7300AF98556A1F275D83C49157254C8C49AEE431CDDE0F481783C5353CF265B33623B3173E3D9CC92B807B8AFA6609FA2820FDDE279AB04624D41CBD8506CA66 8 Win32/Filecoder.Cerber.B [ESET-NOD32]

zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке пока нет возможности расшифровать файлы.
сохраните важные каалоги с документами на отдельный носитель до лучших времен.

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 10.10.2016 11:31:05

Владимир,
по xtbl/breaking_bad ключи появились в течение года.
стоит важные каталоги с документами сохранить на отдельный носитель и ждать, когда будет решение.

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 10.10.2016 11:28:43

Арман Акимов,
судя по образу система уже очищена от тел шифратора.
по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 10.10.2016 11:23:37

Владимир,
судя по образу автозапуска система уже очищена от тел шифратора.
по расшифровке файлов на сегодня и завтра нет решения.

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 10.10.2016 08:54:59

Цитата
Арман Акимов написал: у меня тоже зашифровались файлы

добавьте образ автозапуска системы.

+ несколько зашифрованных файлов в архиве.

[ Как создать образ автозапуска? ]

Перейти

образ автозапуска в uVS - Посмотрите пожалуйста что не так, Help

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.10.2016 13:53:03

@Dodger,
каких то особых проблем судя по образу нет.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.6 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE deltmp delnfr restart

перезагрузка, пишем о старых и новых проблемах.
------------

[ Как создать образ автозапуска? ]

Перейти

образ автозапуска в uVS - Посмотрите пожалуйста что не так, Help

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.10.2016 13:31:01

напишите кратко какие проблемы в системе.

[ Как создать образ автозапуска? ]

Перейти