Размещено 22.08.2016 16:50:21
по расшифровке *.enigma при наличие лицензии обращайтесь в техподдержку [email protected]
Дорогие участники форума!
Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.
Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новые продукты компании PRO32.
PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.
файлы зашифрованы с расширением *.enigma; *.1txt, enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/
Загрузочный сектор диска B: - Ошибка открытия, Загрузочный сектор диска B: - Ошибка открытия
файлы зашифрованы с расширением *.enigma; *.1txt, enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/
Размещено 19.08.2016 10:33:37
Роман,
судя по образу нет активного шифратора: ни в процессах, ни в автозапуске.
файл шифратора для enigma обычно примерно такой:
может быть вы образ автозапуска не с той машины сделали?
судя по образу нет активного шифратора: ни в процессах, ни в автозапуске.
файл шифратора для enigma обычно примерно такой:
| Цитата |
|---|
| 3B788CD6389FAA6A3D14C17153F5CE86.EXE |
может быть вы образ автозапуска не с той машины сделали?
Изменено: santy - 19.08.2016 10:41:41
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
Размещено 19.08.2016 05:56:51
Екатерина,
по очистке системы
KATERINKA:
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
перезагрузка, пишем о старых и новых проблемах.
------------
по очистке системы
KATERINKA:
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
| Код |
|---|
;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
OFFSGNSAVE
;------------------------autoscript---------------------------
chklst
delvir
delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCPEGCOPCFAJIIIBIDLAELHJJBLPEFBJK%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\USERS\КАТАРИНКА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CPEGCOPCFAJIIIBIDLAELHJJBLPEFBJK\2.0.4.11_0\СТАРТОВАЯ — ЯНДЕКС
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFCFENMBOOJPJINHPGGGODEFCCIPIKBPD%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
deltmp
delnfr
;-------------------------------------------------------------
restart
|
перезагрузка, пишем о старых и новых проблемах.
------------
Изменено: santy - 19.08.2016 05:58:30
файлы зашифрованы с расширением *.enigma; *.1txt, enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/
Размещено 19.08.2016 02:15:41
Роман,
по очистке системы выполните:
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET
по очистке системы выполните:
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
| Код |
|---|
;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ИЛЬЯС\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1AF67A9B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian
delref HTTP://WWW.22FIND.COM/NEWTAB?UTM_SOURCE=B&UTM_MEDIUM=HANP&FROM=HANP&UID=ST9250827AS_5RG0WA6DXXXX5RG0WA6D&TS=1359472358
;------------------------autoscript---------------------------
chklst
delvir
delref %SystemDrive%\PROGRAM FILES\REAL\REALUPGRADE\REALUPGRADE.EXE
delref {5C255C8A-E604-49B4-9D64-90988571CECB}\[CLSID]
delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]
delref %SystemDrive%\DOCUMENTS AND SETTINGS\NETWORKSERVICE\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\FMFNFNPMHCLLOKMKEPFFNDFLPNADJMMA\3.9.4.9_0\DEALPLY BRAZIL
delref HTTP:\\WWW.22FIND.COM\?UTM_SOURCE=B&UTM_MEDIUM=HANP&FROM=HANP&UID=ST9250827AS_5RG0WA6DXXXX5RG0WA6D&TS=1359472349
deldirex %SystemDrive%\PROGRAM FILES\DEALPLY
deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\ИЛЬЯС\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\DEALPLY
delref HTTP:\\WWW.22FIND.COM\?UTM_SOURCE=B&UTM_MEDIUM=HANP&FROM=HANP&UID=ST9250827AS_5RG0WA6DXXXX5RG0WA6D&TS=1359472361&TYPE=DESKTOPICON
; McAfee Security Scan Plus
exec C:\Program Files\McAfee Security Scan\uninstall.exe
; superpromokody 1.1
exec C:\Program Files\DolkaRuIePlugin\uninst.exe
; Java(TM) 6 Update 38
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216038FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------
restart
|
перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET
Не является приложением Win32.
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
зашифровано с расширением .locked, (RAA)
Размещено 18.08.2016 07:40:31
Кирилл,
в RAA исполняемым шифратором является сам js, который самоудаляется после завершения шифрования.
по очистке системы выполните
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET
в RAA исполняемым шифратором является сам js, который самоудаляется после завершения шифрования.
по очистке системы выполните
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
| Код |
|---|
;uVS v3.87.4 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCALLOW\SEARCHGO\SEARCHGO.DLL deldirex %SystemDrive%\USERS\ADMIN\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDLJDACFOJGIKOGLDJFFNKDCIELNKLKCE%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGLCIMEPNLJOHOLDMJCHKLOAFKGGFOIJH%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\CHROMEDEFAULTDATA\EXTENSIONS\BGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB\7.0.25_0\ПОИСК MAIL.RU delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\CHROMEDEFAULTDATA\EXTENSIONS\OJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD\12.0.11_0\ПОИСК MAIL.RU deldirex %SystemDrive%\PROGRAM FILES\TORRENT SEARCH\IEEF delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDHDGFFKKEBHMKFJOJEJMPBLDMPOBFKFO%26INSTALLSOURCE%3DONDEMAND%26UC deltmp delnfr ;------------------------------------------------------------- restart |
перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET
Не является приложением Win32.
Размещено 18.08.2016 05:02:03
Исмаил,
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
| Код |
|---|
;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %Sys32%\CPUMINER-GW64.EXE
addsgn A1BA20CF1DE77988653151F9E976C9DAC475B47B0EF6B44F853CF57B50209245D2479466E5645401A84D7B77161649FA7C049C70A6193B3265F44AD3D6DDA865 8 Win64/BitCoinMiner
zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\SVCHOST.EXE
addsgn BA6F9BB2926FFE6C30D4AEB164C8FA68D184FC1E1106E08715538D3F94FEB2DC765F4AB276D679A96301681F451649B27EC82C93ACB472E8CF0ABDEF02FBF666 8 Win64/BitCoinMiner
zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\SYSMENU64.DLL
addsgn BA652BBE5D22C5062FC4F9F9E724324CAE72772CC171EEFB7FC2B0B9B841EE4C235B4890B586D5C2E5C80FC36226017109FBD03AD61E9073C4D05AD038CAEEBF 64 Win32/SBWatchman.D [ESET-NOD32]
;------------------------autoscript---------------------------
hide %SystemDrive%\PROGRAM FILES (X86)\KMPLAYER\KMPLAYER.EXE
chklst
delvir
delref 1HTTP=127.0.0.1:8090
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCEGDOMHOCAEOEDBDPFOLMGJKJAIJFOMO%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJEDELKHANEFMCNPAPPFHACHBPNLHOMAI%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLANABBPAHPJNALJEBNPGKJEMCBKEPIAK%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLBJJFIIHGFEGNIOLCKPHPNFAOKDKBMDM%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC
deldirex %SystemDrive%\PROGRAM FILES (X86)\GLOBALUPDATE\UPDATE\1.3.25.0
delref HTTP://WWW.MYSTARTSEARCH.COM/WEB/?TYPE=DS&TS=1419616199&FROM=AMT&UID=ST2000DM001-9YN164_S2F08ANE&Q={SEARCHTERMS}
delref HTTP://WWW.MYSTARTSEARCH.COM/?TYPE=HP&TS=1419616199&FROM=AMT&UID=ST2000DM001-9YN164_S2F08ANE
delref HTTP://TUTSIFI.RU/?UTM_SOURCE=UOUA03&UTM_CONTENT=71939B02451863C8FBA27634E3B849E6&UTM_TERM=F24F2B3B6C1953E31081D1B474F03FA2&UTM_D=20160407
delref HTTP://VKPLAYERPRO.RU/INDEX.XML?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DKNEGGODALBCMGDKKFHBHBICBBAHNACJB%26INSTALLSOURCE%3DONDEMAND%26UC
deldirex %SystemDrive%\PROGRAM FILES (X86)\SHOPPERPRO\JSDRIVER\1453.0.0.0
delref %Sys32%\DRIVERS\{2FC9157E-7B3C-4EBF-95D1-57A9FDF20894}W64.SYS
del %Sys32%\DRIVERS\{2FC9157E-7B3C-4EBF-95D1-57A9FDF20894}W64.SYS
delref %Sys32%\DRIVERS\{4A917B82-B02E-49DB-87B9-93C2FBEC60D7}W64.SYS
del %Sys32%\DRIVERS\{4A917B82-B02E-49DB-87B9-93C2FBEC60D7}W64.SYS
delref %Sys32%\DRIVERS\{689B5BED-4E9B-4B8B-A673-3C39FB4D2820}GW64.SYS
del %Sys32%\DRIVERS\{689B5BED-4E9B-4B8B-A673-3C39FB4D2820}GW64.SYS
delref %Sys32%\DRIVERS\{689B5BED-4E9B-4B8B-A673-3C39FB4D2820}W64.SYS
del %Sys32%\DRIVERS\{689B5BED-4E9B-4B8B-A673-3C39FB4D2820}W64.SYS
delref %Sys32%\DRIVERS\{68F25193-AA52-462E-A675-5542F59F6112}W64.SYS
del %Sys32%\DRIVERS\{68F25193-AA52-462E-A675-5542F59F6112}W64.SYS
delref %Sys32%\DRIVERS\{9CA97048-43B1-43E4-B2CE-0F8419984BCC}W64.SYS
del %Sys32%\DRIVERS\{9CA97048-43B1-43E4-B2CE-0F8419984BCC}W64.SYS
delref %Sys32%\DRIVERS\{9F96A9B5-96A5-4002-8A88-EE75706A9E27}W64.SYS
del %Sys32%\DRIVERS\{9F96A9B5-96A5-4002-8A88-EE75706A9E27}W64.SYS
delref %Sys32%\DRIVERS\{A6994947-8316-401E-82E4-23DA215413FB}GW64.SYS
del %Sys32%\DRIVERS\{A6994947-8316-401E-82E4-23DA215413FB}GW64.SYS
delref %Sys32%\DRIVERS\{E4797980-F5F0-4BAF-88BA-DA8339F73F41}W64.SYS
del %Sys32%\DRIVERS\{E4797980-F5F0-4BAF-88BA-DA8339F73F41}W64.SYS
delref %Sys32%\DRIVERS\{E57ACCBA-821E-4DDF-AA2E-342B98125B05}W64.SYS
del %Sys32%\DRIVERS\{E57ACCBA-821E-4DDF-AA2E-342B98125B05}W64.SYS
delref %Sys32%\DRIVERS\{F40CC14B-0F67-44B4-A17E-03E43DF8E712}W64.SYS
del %Sys32%\DRIVERS\{F40CC14B-0F67-44B4-A17E-03E43DF8E712}W64.SYS
delref %SystemDrive%\USERS\GTA5.ADMIN-PC\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 2\EXTENSIONS\BGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB\7.0.2_0\ПОИСК MAIL.RU
delref %SystemDrive%\USERS\GTA5.ADMIN-PC\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 2\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.6.0_0\СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\GTA5.ADMIN-PC\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 2\EXTENSIONS\LANABBPAHPJNALJEBNPGKJEMCBKEPIAK\2.0.2_0\ПОИСК MAIL.RU
delref HTTP://CHATOZOV.RU/?UTM_SOURCE=UOUA03N&UTM_CONTENT=1F1A7D4E6784534601121B44B7BE8052&UTM_TERM=F24F2B3B6C1953E31081D1B474F03FA2&UTM_D=20160509
regt 27
regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------
restart
|
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
Изменено: santy - 18.08.2016 05:03:42
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt