santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

файлы зашифрованы с расширением *.enigma; *.1txt, enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.08.2016 09:39:57

Виктор,
судя по образу система уже очищена от шифратора.

[ Как создать образ автозапуска? ]

Перейти

Шифровирусы шумной толпою

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.08.2016 09:18:11

Роман,
если не трудно, перешлите это письмо на [email protected]
вообще - тема резюме используется разработчиками шифратора *.neitrino/just/green

Изменено: santy - 11.08.2016 09:18:34

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением *.enigma; *.1txt, enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.08.2016 07:55:16

Цитата
Андрей Ким написал: Cпасибо, помогите еще со вторым компьютером заражен тем же файлом. Образ автозапуска во вложении.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.4 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCINBBHDCFMIEECFCFBCHHIPANHAHHONB%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\DOCUME~1\A0C3~1\LOCALS~1\TEMP\1EC3D1F1D4004ED9D81303B103F0D9F1.EXE regt 27 deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCINBBHDCFMIEECFCFBCHHIPANHAHHONB%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\DOCUME~1\A0C3~1\LOCALS~1\TEMP\1EC3D1F1D4004ED9D81303B103F0D9F1.EXE

regt 27
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением *.enigma; *.1txt, enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.08.2016 05:01:43

Цитата
Игорь Бороздин написал: Добрый день! В течение какого периода времени Техподдержка высылает файл дешифровщика и инструкции? Мое обращение было зарегистрировано под номером 1109980 в 15-43 по МСК, а ответа еще нет.

Возможно, обновленный вариант enigma.
В этом случае придется подождать некоторое время.

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением *.enigma; *.1txt, enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.08.2016 05:00:44

Цитата
Андрей Ким написал: Добрый день. Помогите отчистить систему от вируса Enigma. Образ автозагрузки во вложении.

Код
;uVS v3.87.4 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE zoo %SystemDrive%\USERS\АНАСТАСИЯ\APPDATA\LOCAL\TEMP\ENIGMA.HTA del %SystemDrive%\USERS\АНАСТАСИЯ\APPDATA\LOCAL\TEMP\ENIGMA.HTA ;------------------------autoscript--------------------------- chklst delvir deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %SystemDrive%\USERS\АНАСТАСИЯ\APPDATA\LOCAL\TEMP\ENIGMA.HTA
del %SystemDrive%\USERS\АНАСТАСИЯ\APPDATA\LOCAL\TEMP\ENIGMA.HTA
;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением *.enigma; *.1txt, enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.08.2016 04:57:52

Цитата
Алексей Белоглазов написал: Залил образ можете посмотреть?

Код
;uVS v3.87.4 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 zoo %SystemDrive%\USERS\01\APPDATA\LOCAL\TEMP\ENIGMA.HTA del %SystemDrive%\USERS\01\APPDATA\LOCAL\TEMP\ENIGMA.HTA delall %SystemDrive%\USERS\01\APPDATA\LOCAL\TEMP\7ZOC641.TMP\НОВЫЙ ДОКУМЕНТ.EXE ;------------------------autoscript--------------------------- chklst delvir delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID] delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBEJNPNKHFGFKCPGIKIINOJLMDCJIMOBI%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHJCGOMKANPKPBLOKEBECKNHAHGKCMOO%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCPEGCOPCFAJIIIBIDLAELHJJBLPEFBJK%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOFDGAFMDEGFKHFDFKMLLFEFMCMCJLLEC%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPNOOFFJHCLKOCPLOPFFDBCDGHMIFFHJI%26INSTALLSOURCE%3DONDEMAND%26UC deldirex %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218 delref %Sys32%\DRIVERS\TSSKX64.SYS del %Sys32%\DRIVERS\TSSKX64.SYS delref %SystemDrive%\USERS\01\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CPEGCOPCFAJIIIBIDLAELHJJBLPEFBJK\1.2.0.4_0\СТАРТОВАЯ — ЯНДЕКС delref %SystemDrive%\USERS\01\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.0.7_0\СТАРТОВАЯ — ЯНДЕКС delref %SystemDrive%\USERS\01\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\ILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK\4.0.25_0\ПОИСК MAIL.RU deldirex %SystemDrive%\USERS\01\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
zoo %SystemDrive%\USERS\01\APPDATA\LOCAL\TEMP\ENIGMA.HTA
del %SystemDrive%\USERS\01\APPDATA\LOCAL\TEMP\ENIGMA.HTA
delall %SystemDrive%\USERS\01\APPDATA\LOCAL\TEMP\7ZOC641.TMP\НОВЫЙ ДОКУМЕНТ.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBEJNPNKHFGFKCPGIKIINOJLMDCJIMOBI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHJCGOMKANPKPBLOKEBECKNHAHGKCMOO%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCPEGCOPCFAJIIIBIDLAELHJJBLPEFBJK%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOFDGAFMDEGFKHFDFKMLLFEFMCMCJLLEC%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPNOOFFJHCLKOCPLOPFFDBCDGHMIFFHJI%26INSTALLSOURCE%3DONDEMAND%26UC

deldirex %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218

delref %Sys32%\DRIVERS\TSSKX64.SYS
del %Sys32%\DRIVERS\TSSKX64.SYS

delref %SystemDrive%\USERS\01\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CPEGCOPCFAJIIIBIDLAELHJJBLPEFBJK\1.2.0.4_0\СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\01\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.0.7_0\СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\01\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\ILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK\4.0.25_0\ПОИСК MAIL.RU
deldirex %SystemDrive%\USERS\01\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением *.enigma; *.1txt, enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 10.08.2016 16:26:11

Иван Экономцев,

скрипты uVS пишутся индивидуально под каждый случай. крайне не рекомендуется использовать скрипты, которые написаны для других компов.
образ сейчас гляну.

по образу все чисто.

по расшифровке обращайтесь в [email protected] при наличие лицензии на антивирус ESET,
расшифровка должна быть в техподдержке.

Цитата
от вас в техподдержку необходима следующая информация: файл шифратора, файл ENIGMA_NN.RSA несколько зашифрованных файлов.

Изменено: santy - 10.08.2016 16:32:57

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением *.enigma; *.1txt, enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 10.08.2016 15:06:00

Алексей,
по расшифровке обращайтесь в [email protected] при наличие лицензии на антивирус ESET,
расшифровка должна быть в техподдержке.

Цитата
от вас в техподдержку необходима следующая информация: файл шифратора, файл ENIGMA_NN.RSA несколько зашифрованных файлов.

если нужна помощь в очистке системы добавьте образ автозапуска.
как это сделать - смотрите по ссылке в подписи.
-----------
файл вируса удалите из вашего сообщения. на форуме он не нужен.

Изменено: santy - 10.08.2016 15:07:33

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 10.08.2016 15:03:00

Serg_Sid,
да, можно. напишите в почту [email protected]

[ Как создать образ автозапуска? ]

Перейти

новый вариант VAULT от 2ноября 2015г., Filecoder.FH

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 10.08.2016 12:59:39

Господа, Sergei Ivanov. demosin dem
во первых не надо спамить на форуме,
во вторых, не забываем, что распространение вирусных тел является действием наказуемым.

[ Как создать образ автозапуска? ]

Перейти