santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

Шифровирусы шумной толпою

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 05.07.2016 16:49:29

здесь прилетел в почту архив в вложением html
при открытие html перебрасывает на другую страницу и автоматически загружается в браузере архив уже с вложением scr. Это как раз был шифратор da_vinci_code.
возможно в следующий раз будет уже *windows10
----------

Изменено: santy - 05.07.2016 16:50:38

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 05.07.2016 15:13:55

Данзан Очиров,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.4 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE zoo %SystemRoot%\DOEVWADMFQR.EXE addsgn 1AA70A9A5583348CF42B254E3143FE86C9AA77B381AC48128D9A7B1C549471C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F879F23FE 8 Win32/Spy.Delf.PWC [ESET-NOD32] zoo %SystemRoot%\DOEVWADMFQR.EXE.1467667858631.DLL addsgn 9204749A556AA5990F89EBE4A7201305258A17AB3217E0877AC0183DBBD6B14A23947E2A3A559D49A21DF99B4616467FBDDCE872D85F39282D77F4D0520F2D73 8 Trojan.MulDrop6.35238 [DrWeb] zoo %SystemRoot%\DOEVWADMFQR.EXE.1467655205724.DLL zoo %SystemRoot%\LIBEAY32.DLL zoo %SystemRoot%\DOEVWADMFQR.EXE.1467667863121.DLL zoo %SystemRoot%\SSLEAY32.DLL zoo %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\ACAEBFCDB.EXE addsgn 1A93CC9A5583348CF42B627DA804DEC9E946307DC5DE1B8F44C0C5BC50A255C622940256BA95E907DC41879F46163C1578DFE872555714082D77A42F4AA20673 8 da_vinci_code zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE ;------------------------autoscript--------------------------- chklst delvir delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\QIP\QIP SHOT\QIPSHOT.EXE delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID] delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDFONANKHFNHIHDCPAAGPABBAOCLNJFP%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\MDEFNBCPJEFLGGGKIPFEMFCKJICCEIII\1.0_0\QIP AUTHORIZER delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD\1.2.9.1_0\СТАРТОВАЯ — ЯНДЕКС delref HTTP://QIP.RU delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=4E7578F9AD2425A905EF478502EE6A0D&TEXT={SEARCHTERMS} delref HTTP://WWW.QIP.RU/ deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %SystemRoot%\DOEVWADMFQR.EXE
addsgn 1AA70A9A5583348CF42B254E3143FE86C9AA77B381AC48128D9A7B1C549471C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F879F23FE 8 Win32/Spy.Delf.PWC [ESET-NOD32]

zoo %SystemRoot%\DOEVWADMFQR.EXE.1467667858631.DLL
addsgn 9204749A556AA5990F89EBE4A7201305258A17AB3217E0877AC0183DBBD6B14A23947E2A3A559D49A21DF99B4616467FBDDCE872D85F39282D77F4D0520F2D73 8 Trojan.MulDrop6.35238 [DrWeb]

zoo %SystemRoot%\DOEVWADMFQR.EXE.1467655205724.DLL
zoo %SystemRoot%\LIBEAY32.DLL
zoo %SystemRoot%\DOEVWADMFQR.EXE.1467667863121.DLL
zoo %SystemRoot%\SSLEAY32.DLL
zoo %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\ACAEBFCDB.EXE
addsgn 1A93CC9A5583348CF42B627DA804DEC9E946307DC5DE1B8F44C0C5BC50A255C622940256BA95E907DC41879F46163C1578DFE872555714082D77A42F4AA20673 8 da_vinci_code

zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\QIP\QIP SHOT\QIPSHOT.EXE

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDFONANKHFNHIHDCPAAGPABBAOCLNJFP%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\MDEFNBCPJEFLGGGKIPFEMFCKJICCEIII\1.0_0\QIP AUTHORIZER

delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD\1.2.9.1_0\СТАРТОВАЯ — ЯНДЕКС

delref HTTP://QIP.RU

delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=4E7578F9AD2425A905EF478502EE6A0D&TEXT={SEARCHTERMS}

delref HTTP://WWW.QIP.RU/

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Перейти

Шифровирусы шумной толпою

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 05.07.2016 13:31:07

добавить в блок лист:
*filmdronereview.com*/da_vinci_code

Изменено: santy - 05.07.2016 16:17:04

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Антивирус блокирует, главная

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 05.07.2016 05:33:03

Елена,
добавьте образ автозапуска системы, посмотрим что там не так

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Антивирус блокирует, главная

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.07.2016 15:07:51

Елена,
версия браузера Firefox актуальная? пробуйте скачать актуальную версию и переустановить Firefox

[ Как создать образ автозапуска? ]

Перейти

Словил вирус, нужна помощь

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 03.07.2016 16:39:07

Цитата
Руслан Измайлов написал: А что делать теперь?

Система сейчас в каком состоянии после восстановления из точки? Если в рабочем, то продолжать работать дальше.
если все проблемы восстановились из точки, то сделайте новый образ автозапуска.

Изменено: santy - 03.07.2016 16:40:13

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 03.07.2016 04:44:53

Денис Баранов,
добавьте пример зашифрованного файла + вопрос: когда случилось шифрование?

Изменено: santy - 30.06.2017 06:14:18

[ Как создать образ автозапуска? ]

Перейти

Словил вирус, нужна помощь

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 03.07.2016 03:25:45

точка восстановления могла быть создана автоматически.

[ Как создать образ автозапуска? ]

Перейти

Словил вирус, нужна помощь

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 02.07.2016 19:29:03

в безопасный режим можете загрузиться?

[ Как создать образ автозапуска? ]

Перейти

Словил вирус, нужна помощь

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 02.07.2016 18:17:53

выполните наши рекоменации
http://forum.esetnod32.ru/forum9/topic12354/

[ Как создать образ автозапуска? ]

Перейти