Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 371 372 373 374 375 376 377 378 379 380 381 ... 1784 След.
файлы зашифрованы с расширением *.enigma; *.1txt, enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 15.08.2016 17:43:59
Александр,
по расшифровке документов обращайтесь в support@esetnod32.ru при наличие лицензии на антивирус ESET
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением *.enigma; *.1txt, enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 15.08.2016 17:12:15
Александр,
судя по образу система уже очищена от файлов шифратора.
когда было шифрование enigma?
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением *.enigma; *.1txt, enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 15.08.2016 16:36:35
Цитата
александр Венков написал:
Помогите расшифровать мои документы , вот исходник "Счёт" КАСТРОФА
добавьте образ автозапуска зашифрованной системы
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 15.08.2016 16:19:48
А Касперский у вас там вместо памятника стоит?

выполняем скрипт в uVS (из безопасного режима системы):
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код
;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %Sys32%\_SSPM\SABER.EXE
addsgn 1AFBDA9A5583338CF42B467721C81280E5FFFA4E2DCE5978464005B09383FAA075FF27A8C1AA160423D10D97AE3649FA7D866382BDDFB02C2DFE94719AC5CAE1 8 Win32/ELEX

zoo %Sys32%\_SSPM\WPM.EXE
addsgn 1AEF769B5583338CF42BFB3A88999160D98A71B375AC4F87F0CF3AC9583E1D4E221748A7BD9191CCDDF59CA603EA3DE995FF328DAA5F7058279FB3F538F9A93E 8 Adware.Mutabaha.1623 [DrWeb]

addsgn 4FA4329A55E399B1B64905F479261405FAA75DAF42951F7885C3DE815BE87FFA8428C6C5A838BBD44A80849F46F959BE24C9CE340DE9B346E63D7BA733877157 8 Win32/ELEX

zoo %SystemDrive%\PROGRAMDATA\BIRDKISS\BIRDKISS.EXE
addsgn 2716109A55D6F1CE967F31C1B9793605CE9235D062A31F7885C3FEB76FDD1785A41EF2F0C0479BE27E80849F46CF6D8B4CB6EE0239DCDB39C60B4F925BF8C16F 8 Win32/ELEX

zoo %SystemDrive%\PROGRAM FILES\BIRDKISS\UPDATE\BIRDKISSUPDATE.EXE
addsgn 1A24709A5583CC8CF42B5194043B5605AEC7089200F71F7885C39CE30F882AC7C64A92A5FD05F9B61E80849F469B0DDE71F48C565989E67BA45F2FC766768235 8 Wei Liu

zoo %SystemDrive%\PROGRAMDATA\BOOKFAT\BOOKFAT.EXE
addsgn 1A0C729A5583CC8CF42B5194BC3B5405AEC7089200F71F7885C39CE30F882AC7C64A92A5FD05F9B61E80849F469B0DDE71F48C565989E67BA45F2FC76676E23B 8 Wei Liu

zoo %SystemDrive%\PROGRAM FILES\BOOKFAT\UPDATE\BOOKFATUPDATE.EXE
delref %SystemDrive%\PROGRAM FILES\GHOKSWA BROWSER\GHOKSWA\BIN\BROWSERSERVER.EXE
addsgn 1A0B739A5583008CF42B624E419C614725DF771A76EF3309C7C3AFBDF3B2CF0F23FF10523E55623C2368559A4616CAC71961AB725583E959251DA5C77E032273 8 Adware.Mutabaha.1606 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES\UNCHECKIT\CKTSVC.EXE
addsgn 1A32759A5583008CF42BFB3A8837072105CAFC9C88594B4BC5C32DF355D671B3561F2B1A3B559DCA16D4B7DF461610A308D78273BDEFB52C2D2ECC26C306E29B 8 Adware.Mutabaha.477 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES\ELEX-TECH\YAC\ISAFESVC.EXE
zoo %SystemDrive%\PROGRAM FILES\ELEX-TECH\YAC\ISAFESVC2.EXE
delref %SystemDrive%\PROGRAM FILES\PICEXA\PICEXASVC.EXE
addsgn 1A449C9A5583338CF42BFB3A88999160D98AAA7BCC064F87F0CF3AC9583E7CA1231748A7BD9191CCDDF59CA603EA3DE99530C672555F7058279F4201C706A93E 8 Win32/ELEX

zoo %SystemDrive%\PROGRAM FILES\QKSEE\QKSEESVC.EXE
addsgn 1A591D9A55834C720BD4C4A50CC8E74425625DE089FAF7FAE9C3C5B3E7261B4ECB5FA9573E0C2504718084F97F1349FA3DDF9C7666015B1F8C4BA46FC7879A73 8 Win32/ELEX

zoo %SystemDrive%\PROGRAM FILES\SFK\SSFK.EXE
zoo %Sys32%\_SSPM\EVERYTHING.EXE
addsgn 393B2B9A55FE83C2D7490AE76B5619058DA553E1478A1F7885C3C79048F56589E528C9D6BA78B6F83D80849F46E642905296D7251EF4A935873D74B421C74C7B 8 Win32/Obfuscated.NHA

zoo %SystemDrive%\PROGRAMDATA\TOOLRAIN\TOOLRAIN.EXE
addsgn 74E82D9A55C59BC49A5A0EF7EA9D0205C0B657F166B11F7885C3C38069CE7D8FA83BCDC69B43AEFE7080849F46DD5A961F85D3353FCFB133CA2E70A400FCD43B 8 Win32/Obfuscated.NHA

zoo %SystemDrive%\PROGRAM FILES\TOOLRAIN\UPDATE\TOOLRAINUPDATE.EXE
addsgn 1A6B759A55834F8CF42B51949C3A5305DAAF0004C8FAE05D853084BCAFF375BF62173C7236A6DC49D4A5886C0716B6DF6D2CA972AAFFA4DF6C7768E30BCAEEBF 8 Wenchao Zhang

zoo %SystemDrive%\USERS\SKRASAKOVA\APPDATA\ROAMING\SETUP1\TSVR.EXE
addsgn 1A09F99A5583338CF42B627DA804DEC9E946307DDDDE13F3C9E7C13982A20E439553E75F31EFB801BFC3849E351BC2B659D3BFF929FEB8DF879CF9A493222EF2 8 Adware.Mutabaha.1606 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES\UNCHECKIT\UNCHECKITSVC.EXE
addsgn 1A1F779B5583338CF42BFB3A88999160D98A71B375AC4F87F0CF3AC9583E2D4E221748A7BD9191CCDDF59CA603EA3DE995FF328DAA5F7058279FB3F538F9A93E 8 Junyan Li

zoo %SystemDrive%\PROGRAMDATA\AWINPA\WFINI.EXE
addsgn 1AE9C99A5583338CF42B462F59C81280E5FFFA4EBDAC5978464005B09383FAA075FF27A8C1AA160423D10D97AE3649FA7D866382BDDFB02C2DFE94719AC5CA19 8 Dening Hu

zoo %SystemDrive%\PROGRAM FILES\WINSABER\WINSABER.EXE
addsgn 1AF3609B5583338CF42BFB3A889E99702D0F0A839A12026F85C3AFAA0E5F41A48701C357B593766D4300849F46E93CEA82AAE49A42DAB02CAEB3A8A6C183E207 8 Win32/ELEX

zoo %SystemDrive%\PROGRAM FILES\WINZIPPER\WINZIPERSVC.EXE
addsgn 1A57529A55835A8CF42BFB3A884BFE01ACF7007DF4F2943589022CBB36D99E8CC81F4EF31A559D492B10E29039112FF50298F8145AA5F70C4B78DB68F7602D0C 8 Worm:Win32/Dorkbot.I [Microsoft]

zoo %SystemDrive%\USERS\SKRASAKOVA\APPDATA\ROAMING\WINDOWS LIVE\CGGARCWJBV.EXE
addsgn 7300F39B556A1F275DE775E6ED94361DE2CED8E6196B5F780C9FE19C9692555803E8D6634E159D212A00849FB903558B3DDFBB8D4056C26C2D1DAD8C5F316073 8 Win32/Injector.BTMU [ESET-NOD32]

zoo %SystemDrive%\PROGRAM FILES\GORN\GORN\CRYPT.EXE
delref HTTP://V9.COM/?TYPE=HP&TS=1450257348&FROM=MYCH123&UID=ST500DM002-1BD142_W2AFEY65XXXXW2AFEY65&Z=2B56DFAB95F6CD7C6977998GEZBWDE4OFW9MBO5CDG
delref HTTP://WWW.ATTIRERPAGE.COM/SEARCH/?TYPE=DS&TS=1466143854&Z=726D45357CE872A30527B15GEZ8QAQAGFZACCWAGAB&FROM=WPM0616&UID=ST500DM002-1BD142_W2AFEY65XXXXW2AFEY65&Q={SEARCHTERMS}
delref HTTP://WWW.NUESEARCH.COM/SEARCH/?TYPE=DS&TS=1465280779&Z=40ADD4111DF8F463613D65BGBZCQ6W7O5B6EEZEM4G&FROM=WPM0607&UID=ST500DM002-1BD142_W2AFEY65XXXXW2AFEY65&Q={SEARCHTERMS}
delref HTTP://WWW.SWEET-PAGE.COM/?TYPE=HP&TS=1416321508&FROM=COR&UID=ST500DM002-1BD142_W2AFEY65XXXXW2AFEY65
addsgn 1AACDB9A55835A8CF42B627DA804DEC9AEDED8FA02B63B7C0011B1D56316FB08071F47974B431CB32B81849F3418CAC79500AC7255AEB5C5D9DBA42F908DDBF0 8 dork

zoo %SystemDrive%\USERS\SKRASAKOVA\APPDATA\ROAMING\WINDOWSUPDATE\LIVE.EXE
zoo %SystemDrive%\USERS\SKRASAKOVA\APPDATA\ROAMING\WINDOWSUPDATE\UPDATER.EXE
zoo %SystemDrive%\USERS\SKRASAKOVA\APPDATA\ROAMING\C731200
zoo %SystemDrive%\USERS\SKRASAKOVA\APPDATA\ROAMING\UPDATE\EXPLORER.EXE
zoo %SystemDrive%\USERS\SKRASAKOVA\APPDATA\ROAMING\UPDATE\UPDATE.EXE
addsgn 1A3DD79A55835A8CF42B16A9D28C12C6840A4AB0897FDF2EEFD79BC9576E714E231728510593E04EA046271FF0504990798F002149DAB0A9ED2EFD8CA7A06473 8 Worm:Win32/Dorkbot [Microsoft]

zoo %SystemDrive%\USERS\SKRASAKOVA\APPDATA\ROAMING\MICROSOFT\WINDOWS\THEMES\VGYEYZ.EXE
delref HTTP://DO-SEARCH.COM/WEB/?UTM_SOURCE=B&UTM_MEDIUM=&UTM_CAMPAIGN=INSTALL_IE&UTM_CONTENT=DS&FROM=&UID=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&TS=1420373293&TYPE=DEFAULT&Q={SEARCHTERMS}
delref HTTP://WWW.SWEET-PAGE.COM/WEB/?TYPE=DS&TS=1416321508&FROM=COR&UID=ST500DM002-1BD142_W2AFEY65XXXXW2AFEY65&Q={SEARCHTERMS}
delref HTTP://WWW.V9.COM/WEB?TYPE=DS&TS=1449471688&FROM=ZZGBKK123&UID=ST500DM002-1BD142_W2AFEY65XXXXW2AFEY65&Z=9C384790C471FA5947A7C16GAZ8ZFT0Z0M2G3W6Z8B&Q={SEARCHTERMS}
delref HTTP://YOURSITES123.COM/WEB?TYPE=DS&TS=1450945905&Z=D082E6FB7D95FE390273986G5Z6WDE3T7Z6W8M8Q0W&FROM=WPM07173&UID=ST500DM002-1BD142_W2AFEY65XXXXW2AFEY65&Q={SEARCHTERMS}
addsgn 1A4A729A5583008CF42BFB3A88370781F5CBFC9C88593BE3C7C32D2156D671B3561F2BCC38559DCA16A41FDD461610A308D78273BD59B62C2D2ECC26C306E29B 8 Adware.Mutabaha.1606 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES\UNCHECKIT\UNCHECKITUPDATE.EXE
delref %SystemDrive%\USERS\AVARAB~1\APPDATA\ROAMING\DIGITA~1\UPDATE~1\UPDATE~1.EXE
addsgn 1AA42B9A55835A8CF42BFB3A884BFE01ACF7007DF4F2943589022CBB36D99E8CC81F4EF31A559D492B10E29039112FF50298F8145AA5F70C4B78DB68F7602D0C 8 Win32/Injector.DDLX

zoo %SystemDrive%\USERS\SKRASAKOVA\APPDATA\ROAMING\WINDOWSUPDATE\MOBSYNC.EXE

addsgn 1AEC069A5583338CF42BFB3A8837070184C8FC9C8859B319C6C32D5725D671B3561F2BD74B559DCA162CE5DC461610A308D78273BD0BC52C2D2ECC26C306E29B 8 Trojan:Win32/Chuckenit.A [Microsoft]

zoo %SystemDrive%\PROGRAMDATA\UCKT\_@DLUCK00000000.TMP.DAT.EXE

;------------------------autoscript---------------------------

chklst
delvir

del %SystemDrive%\PROGRAM FILES\ELEX-TECH\YAC\ISAFEKRNL.SYS
delref %SystemDrive%\PROGRAM FILES\ELEX-TECH\YAC\ISAFEKRNL.SYS
del %Sys32%\DRIVERS\ISAFEKRNLBOOT.SYS
delref %Sys32%\DRIVERS\ISAFEKRNLBOOT.SYS
del %SystemDrive%\PROGRAM FILES\ELEX-TECH\YAC\ISAFEKRNLKIT.SYS
delref %SystemDrive%\PROGRAM FILES\ELEX-TECH\YAC\ISAFEKRNLKIT.SYS
del %SystemDrive%\PROGRAM FILES\ELEX-TECH\YAC\ISAFEKRNLMON.SYS
delref %SystemDrive%\PROGRAM FILES\ELEX-TECH\YAC\ISAFEKRNLMON.SYS
del %SystemDrive%\PROGRAM FILES\ELEX-TECH\YAC\ISAFEKRNLR3.SYS
delref %SystemDrive%\PROGRAM FILES\ELEX-TECH\YAC\ISAFEKRNLR3.SYS
del %Sys32%\DRIVERS\ISAFENETFILTER.SYS
delref %Sys32%\DRIVERS\ISAFENETFILTER.SYS
del %Sys32%\DRIVERS\{E8294A7E-8442-4F3A-8722-CB5C3F67ED67}GW.SYS
delref %Sys32%\DRIVERS\{E8294A7E-8442-4F3A-8722-CB5C3F67ED67}GW.SYS

deldirex %SystemDrive%\PROGRAM FILES\WINZIPPER

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC

deldirex %SystemDrive%\PROGRAM FILES\ELEX-TECH\YAC

delref HTTP:\\WWW.NUESEARCH.COM\?TYPE=SC&TS=1469605853&Z=EB43A385559A861D5FB5120G5ZFQ4T5Q6EDWCWBO5C&FROM=IHPM0722&UID=ST500DM002-1BD142_W2AFEY65XXXXW2AFEY65

delref HTTP:\\WWW.OMNIBOXES.COM\?TYPE=SC&TS=1448349528&Z=88B6E8E0D081442B8E663B0G1Z8ZEB3CCZ3T1Z0OEO&FROM=IENT07031&UID=ST500DM002-1BD142_W2AFEY65XXXXW2AFEY65

delhst 104.243.38.251 sotialmonstercookie.ru
delhst 104.243.38.251 www.odnoklassniki.ru
delhst 104.243.38.251 m.ok.ru
delhst 104.243.38.251 ok.ru
delhst 104.243.38.251 m.odnoklassniki.ru
delhst 104.243.38.251 vk.com
delhst 104.243.38.251 odnoklassniki.ru
delhst 104.243.38.251 m.vk.com
delhst 104.243.38.251 m.my.mail.ru
delhst 104.243.38.251 my.mail.ru

regt 27
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.

или выполните скрипт из файла script01.txt, поскольку я вижу образ автозапуска сделан из под загрузочного диска.

если система поднимется после скрипта,
сделайте дополнительно проверку в малваребайт с рабочего стола.
http://forum.esetnod32.ru/forum9/topic10688/
Изменено: santy - 15.08.2016 16:21:17
[ Как создать образ автозапуска? ]
Перейти
зашифровано с расширением .locked, (RAA)
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 15.08.2016 15:32:47
Кирилл,
файл вируса в архиве с паролем infected отправьте в почту safety@chklst.ru
по зашифрованной системе:
добавьте образ автозапуска системы.
[ Как создать образ автозапуска? ]
Перейти
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 15.08.2016 15:31:15
RP55,
поиском мы умеем пользоваться на форумах.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением *.enigma; *.1txt, enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 13.08.2016 14:38:28
Леонид Я,

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код
;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LALFIODOHDGAEJJCCFGFMMNGGGPPLMHP\8.14.0_0\СТАРТОВАЯ — ЯНДЕКС
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFCFENMBOOJPJINHPGGGODEFCCIPIKBPD%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\94F65869FF743083262902133ED60AB0.EXE
del %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\94F65869FF743083262902133ED60AB0.EXE

delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\ENIGMA.HTA
del %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\ENIGMA.HTA

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
----------
по расшифровке документов напишите в support@esetnod32.ru при наличие лицензии на антивирус ESET
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 13.08.2016 02:21:07
Данил Иванов,

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код
;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
addsgn 9A5856DA5582A28DF42BAEB164C81205158AFCF6C9FA1F7885C3C5BCD62CF3283DC296118DC0A29CD62C9F4E461649FA7DDFE97255DAB02C2D77A42F96734317 8 Win32/Filecoder.ED [ESET-NOD32]

zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBEJNPNKHFGFKCPGIKIINOJLMDCJIMOBI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGBJEIEKAHKLBGBFCCOHIPINHGAADIJAD%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJKFBLCBJFOJMGAGIKHLDEPPGMGDPJKPL%26INSTALLSOURCE%3DONDEMAND%26UC

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
дешифраторы есть, но без ключей в вашем случае они бесполезны.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 12.08.2016 14:54:34
Калиш Калиш,
по очистке системы выполните скрипт

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код
;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

delref %SystemDrive%\USERS\KEG\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\4ONHDU3M.DEFAULT\SEARCHPLUGINS\WEBALTA-SEARCH.XML

delref %SystemDrive%\USERS\KEG\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NEHAPOFAKGHLJOPFEGJOGPGPELJKHJJN\8.19.0_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\KEG\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\VZMKH6A1\GREENCHRISTMASTREE[1].EXE

regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке файлов обращайтесь в support@esetnod32.ru при наличие лицензии на антивирус ESET
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 12.08.2016 14:47:10
Руслан,
нужен как раз образ автозапуска.
как создать его смотрим здесь
если делаете из под winpe, тогда по этой инструкции
http://forum.esetnod32.ru/forum9/topic2687/

если - из безопасного режима, тогд по этой
http://forum.esetnod32.ru/forum9/topic2687/

скрипт будет только после анализа образа автозапуска,
чужие скрипты выполнять не рекомендуем
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 371 372 373 374 375 376 377 378 379 380 381 ... 1784 След.