Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 368 369 370 371 372 373 374 375 376 377 378 ... 1784 След.
файлы зашифрованы с расширением *.xtbl, .*crysis, *.crypt, *.lock, *.crypted, *.dharma, *.wallet, *.onion, CrySiS /Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .wallet, .onion /
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 26.08.2016 15:12:24
это у вас сервер? весело живете.
вот этот файл поищите среди удаленных, в том числе и в r-studio, возможно нужен будет для процесса расшифровки в будущем.
шансов на расшифровку думаю не много, по свежим вариантам {[email protected]}.xtbl нет расшифровки.

Цитата
Полное имя                  C:\WINDOWS\SYSTEM32\PAYLOAD134.EXE
Имя файла                   PAYLOAD134.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
RUN                         (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
Инф. о файле                Не удается найти указанный файл.
Цифр. подпись               проверка не производилась
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Payload13­4.exe
Payload134.exe              C:\Windows\System32\Payload134.exe
                           
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением *.xtbl, .*crysis, *.crypt, *.lock, *.crypted, *.dharma, *.wallet, *.onion, CrySiS /Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .wallet, .onion /
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 26.08.2016 12:39:39
Андрей,
если необходима помощь в очистке системы, добавьте образ автозапуска системы,
по расшифровке обращайтесь в техподдержку [email protected] при наличие лицензии на антивирус ESET
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением *.enigma; *.1txt, enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.08.2016 11:52:33
Петров Иван,
по расшифровке обращайтесь в техническую поддержку [email protected] при наличие лицензии на антивирус ESET
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.08.2016 04:30:14
Егор,
1. добавьте несколько зашифрованных файлов в архив, и вложите его в следующее ваше сообщение,
2. по очистке системы выполните
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
addsgn 1AB9B29A5583348CF42B627DEF843601D24BFFF689FA6B5C0FC2467D5152B1386DE002543E559D3CC485849F4616C45E59DFE872555714082D77A42F4C07988C 8 Win32/Filecoder.ED [ESET-NOD32]

zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
3. по расшифровке:
сохраните все важные зашифрованные документы на отдельный носитель
и ждите, возможно через некоторое время расшифровка станет возможной (как в случае с xtbl/breaking_bad)
Изменено: santy - 24.08.2016 04:31:09
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением *.enigma; *.1txt, enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.08.2016 04:18:18
Цитата
Юрий Швец написал:
такая же проблема, подскажите что делать?
если необходима помощь в очистке системы, создайте образ автозапуска системы,
по расшифровке документов читаем сообщение №134.
(добавить в архив по возможности несколько чистых, зашифрованных файлов, ключ ENIGMA.RSA, файл шифратора если сохранился, лог ESET log collector,
архив будет нужен техподдержке)
Изменено: santy - 24.08.2016 04:23:31
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением *.enigma; *.1txt, enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 23.08.2016 15:29:57
расшифровка (новой версии после 10августа) есть с 22 августа, так что если раньше писал, значит надо подождать, или еще раз напомнить о проблеме. и ждать свой ключ с дешифратором, если конечно вся необходимая информация была предоставлена.
Изменено: santy - 24.08.2016 04:24:29
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 23.08.2016 12:51:49
Игнат Петров,
судя по образу автозапуска система уже очищена от вирусных тел,
по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET
Изменено: santy - 22.02.2020 14:50:46
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением *..CRRRT; *.CCCRRRPPP; *.blocked, unlock92
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 23.08.2016 07:24:43
Ivan22,
по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\!!!!!!!!КАК ВОССТАНОВИТЬ ФАЙЛЫ!!!!!!!.TXT
del %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\!!!!!!!!КАК ВОССТАНОВИТЬ ФАЙЛЫ!!!!!!!.TXT
del %SystemDrive%\DOCUMENTS AND SETTINGS\DEFAULT USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\!!!!!!!!КАК ВОССТАНОВИТЬ ФАЙЛЫ!!!!!!!.TXT
del %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\!!!!!!!!КАК ВОССТАНОВИТЬ ФАЙЛЫ!!!!!!!.TXT
del %SystemDrive%\DOCUMENTS AND SETTINGS\ELENA\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\!!!!!!!!КАК ВОССТАНОВИТЬ ФАЙЛЫ!!!!!!!.TXT
del %SystemDrive%\DOCUMENTS AND SETTINGS\NETWORKSERVICE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\!!!!!!!!КАК ВОССТАНОВИТЬ ФАЙЛЫ!!!!!!!.TXT
del %SystemDrive%\DOCUMENTS AND SETTINGS\LOCALSERVICE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\!!!!!!!!КАК ВОССТАНОВИТЬ ФАЙЛЫ!!!!!!!.TXT
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\KEYVALUE.BIN
del %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\KEYVALUE.BIN
del %SystemDrive%\DOCUMENTS AND SETTINGS\DEFAULT USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\KEYVALUE.BIN
del %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\KEYVALUE.BIN
del %SystemDrive%\DOCUMENTS AND SETTINGS\ELENA\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\KEYVALUE.BIN
del %SystemDrive%\DOCUMENTS AND SETTINGS\NETWORKSERVICE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\KEYVALUE.BIN
del %SystemDrive%\DOCUMENTS AND SETTINGS\LOCALSERVICE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\KEYVALUE.BIN
;------------------------autoscript---------------------------

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIFLPPBJNPNEIIGCBDFJPNKEBIDMKJMOI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLBJJFIIHGFEGNIOLCKPHPNFAOKDKBMDM%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPPOILMFKBPCKODOIFDLKMKEPCAJFJMHL%26INSTALLSOURCE%3DONDEMAND%26UC

deldirex %SystemDrive%\PROGRAM FILES\GLOBALUPDATE\UPDATE\1.3.25.0

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
расшифровки по данному варианту unlock92 думаю еще нет, есть только по первому варианту CRRRT
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением *..CRRRT; *.CCCRRRPPP; *.blocked, unlock92
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 23.08.2016 07:01:06
ок, файлы посмотрю.
продублируйте ваше сообщение в [email protected] при наличие лицензии на антивирус ESET
инструкция "как создать образ..." в каждом моем сообщении, в подписи.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением *..CRRRT; *.CCCRRRPPP; *.blocked, unlock92
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 23.08.2016 01:38:49
unlock92,
https://id-ransomware.blogspot.ru/2016/07/unlock92-ransomware-unlock92india.html
http://www.bleepingcomputer.com/forums/t/618689/unlock92-ransomware-support-topic-crrrt-unlock92indiacom/

-------------
Ivan22,
добавьте образ автозапуска на зашифрованной системе,

если сохранилась ссылка или вредоносное вложение из электронной почты, вышлите в почту [email protected] в архиве с паролем infected
Изменено: santy - 23.08.2016 01:58:25
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 368 369 370 371 372 373 374 375 376 377 378 ... 1784 След.