Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 375 376 377 378 379 380 381 382 383 384 385 ... 1784 След.
файлы зашифрованы с расширением *.enigma; *.1txt, enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 10.08.2016 12:53:42
Ильнур Акмаев,

файл шифратора здесь:
Цитата
%SystemDrive%\USERS\BUH\APPDATA\LOCAL\TEMP\553A1A0EE1967808B­A1DB51672C33951.EXE

по очистке системы выполните:


выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
addsgn 1AF7D29A5583D98CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 ransom.enigma

zoo %SystemDrive%\USERS\BUH\APPDATA\LOCAL\TEMP\553A1A0EE1967808BA1DB51672C33951.EXE
zoo %SystemDrive%\USERS\BUH\APPDATA\LOCAL\TEMP\ENIGMA.HTA
del %SystemDrive%\USERS\BUH\APPDATA\LOCAL\TEMP\ENIGMA.HTA
hide %SystemDrive%\USERS\BUH\DOWNLOADS\HASP_LM_SETUP\LMSETUP.EXE
;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (файл по формату: ZOO_yyyy-mm-dd_hh-mm-ss.rar/или 7z)  отправить в почту [email protected]
------------
Изменено: santy - 10.08.2016 13:06:38
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением *.enigma; *.1txt, enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 10.08.2016 12:47:23
Ильнур Акмаев,
по расшифрованию файлов обращайтесь в техподдержку: [email protected] при наличие лицензии на антивирус ESET
[ Как создать образ автозапуска? ]
Перейти
Ошибка 0хс0000022 в играх, Ошибка 0хс0000022 в играх
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 10.08.2016 09:38:30
пробуйте добавить каталог с игрой в исключение антивируса
[ Как создать образ автозапуска? ]
Перейти
Шифровирусы шумной толпою
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 10.08.2016 07:02:57
enigma опять в рассылке,

Цитата
О ПРЕДСТОЯЩЕЙ ПЛАНОВОЙ ПРОВЕРКЕ 10.07.2016

Так как вы лицо малого бизнеса, Вам соответствуетполагается 10 трудовых дней для того чтоб привести документы в нормальное положение.
Проверка будет происходить по генеральному офису подтверждающему в док_№2512 о налогоплательщике.
Ждем когда вы сможете ознакомиться и подписать оповещение,о том что Вы предуведомлены и готовы к проверке.
блокируем адрес:
Цитата
*pp.providencia.cl*
*incube.biz*
Изменено: santy - 11.08.2016 05:03:25
[ Как создать образ автозапуска? ]
Перейти
новый вариант VAULT от 2ноября 2015г., Filecoder.FH
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 09.08.2016 15:06:49
вышлите в почту [email protected] несколько зашифрованных файлов и ключ sec.key в архиве, с паролем infected.
для проверки возможности расшифровки.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 08.08.2016 08:50:18
Цитата
Наталья Болохова написал:
Цитата
santy   написал:
Цитата
Наталья Болохова   написал:
Добрый день!
1. регистрационный код ROS47-7f87dnwkuv
2. версия нод32 - ESET NOD32 SMART SECURITY
3. Операционная система -  Windows 7 и Windows 8 (поймали на двух компьютерах)
4. Сама проблема: Поймали вирус - шифровальщик. Все файлы стали с расширением *.xtbl.
Сам вирус удалили, помогите пожалуйста расшифровать файлы.
Код из файла README1:
D43E42947D2345AF8650|0
Пару зашифрованных файлов прилагаю.
Наталья Болохова,
по вашим файлам расшифровка возможна.
Спасибо, но офисный работник не может 9 месяцев сидеть и ждать, без работы, без наработанных баз данных, без рабочих документов когда кто-нибудь и на "авось" расшифрует. Система либо сносится и начинается "Новая жизнь", либо быстрее находятся "расшифраторы". В прошлом случае все расшифровали специалисты ЛК. В течение недели.
ну, в любом случае, спасибо что ответили. Может быть eset-у повезет помочь  в "следующей жизни" вашей системы. :)
а с дешифровкой всякое бывает. иногда и через год приходят с зашифрованными файлами, и систему уже на 1-2 переустановят.
Изменено: santy - 30.06.2017 06:15:22
[ Как создать образ автозапуска? ]
Перейти
Техподдержка не отвечает, главная
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.08.2016 16:59:55
Цитата
Нужно было сразу сделать это, а не надоедать своими вопросами специалистам 1-й и 2-й линии технической поддержки
угу, и не лепить из мухи слона.
Изменено: santy - 07.02.2018 09:08:49
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 06.08.2016 10:14:43
readme*.txt возможно остался в карантинах антивируса.
в данном случае важен код (id), который требуется отослать в почту мошенников.
судя по предыдущим шифраторам xtbl/breaking_bad - он хранится в базе, и по нему выдается приватный ключ для расшифровки данных.
(этот код так же есть в самом имени зашифрованного файла.)
Изменено: santy - 06.08.2016 10:15:54
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 06.08.2016 02:15:32
Игорь,
по очистке системы выполните скрипт

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBEJNPNKHFGFKCPGIKIINOJLMDCJIMOBI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHJCGOMKANPKPBLOKEBECKNHAHGKCMOO%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHPCGHCDJNEHPKDECAFLPEDHKLIMNEJIA%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\HPCGHCDJNEHPKDECAFLPEDHKLIMNEJIA\1.2.9.0_1\СТАРТОВАЯ — ЯНДЕКС

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке документов:
если документы важны для вас, сохраните зашифрованные документы на отдельный носитель,
добавьте так же файлы reame*.txt

возможно в будущем появится возможность расшифровать документы,
как это было в случае xtbl/breaking_bad
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Адрес URL заблокирован
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 05.08.2016 08:58:06
6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Код
FF Extension: No Name - C:\Users\hp\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\extensions\[email protected] [not found]
CHR Extension: (Chrome Media Router) - C:\Users\hp\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2016-08-05]
EmptyTemp:
Reboot:
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 375 376 377 378 379 380 381 382 383 384 385 ... 1784 След.