Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 388 389 390 391 392 393 394 395 396 397 398 ... 1784 След.
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 30.06.2016 17:05:10
Цитата
Андрей Комин написал:
Благодарю, наверное избавился.

"архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)   отправить в почту  [email protected] ,  [email protected]"
не отправил, насколько обязательно?
желательно.
[ Как создать образ автозапуска? ]
Перейти
Реклама во всех браузерах!
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 30.06.2016 17:04:28
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
hide %SystemDrive%\PROGRAM FILES\ULTRAISO\ULTRAISO.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAMDATA\AVG_UPDATE_0915TB\0915TB_{8C78486A-4D2D-404E-A03C-38FBA9B9CDCE}.EXE

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAEEMBEEJEKGHKOPIABADONPMFPIGOJOK%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIFLPPBJNPNEIIGCBDFJPNKEBIDMKJMOI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLBJJFIIHGFEGNIOLCKPHPNFAOKDKBMDM%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\TRUECHAOS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB\7.0.25_0\ПОИСК MAIL.RU

delref %SystemDrive%\USERS\TRUECHAOS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\EIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO\7.0.25_0\ПОИСК MAIL.RU

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPPOILMFKBPCKODOIFDLKMKEPCAJFJMHL%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\TRUECHAOS\APPDATA\LOCAL\PROFITSAVER\PRFTSTB.EXE

delref HTTP:\\TRUSTEDSURF.COM\?SSID=1463657293&A=1054667&SRC=SH&UUID=C97E1F31-9519-4C3A-B66E-5DC2607F9730

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
[ Как создать образ автозапуска? ]
Перейти
Реклама во всех браузерах!
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 30.06.2016 15:25:17
добавьте образ автозапуска системы, можно из безопсного режима
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением *.enigma; *.1txt, enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 30.06.2016 15:24:20
Цитата
Ольга дергунова написал:
Вирус зашифровал файлы MS Word с расширением .enigma
Помогите с расшифровкой
Ольга,
добавьте образ автозапуска
[ Как создать образ автозапуска? ]
Перейти
зашифровано в [email protected]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 30.06.2016 15:21:24
чисто теперь
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] зашифрованы с расширением *.utyoq3wU, [email protected]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 30.06.2016 12:07:54
судя по ответу техподдержки, расшифровка для этого варианта невозможна.
Точнее возможна, но в процессе шифрования файлы были повреждены.
поэтому после дешифровки файлов они уже не соответствуют оригиналу.
Изменено: santy - 30.06.2016 12:08:53
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 30.06.2016 11:48:22
Андрей,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ЕВСИКОВ ЮА\LOCAL SETTINGS\TEMP\RAR$DI02.968\ДОКУМЕНТЫ ВАЖНЫЕ ДЛЯ БУХГАЛТЕРА ОТ 06282016 UWFDP.SCR
addsgn 1A09739A5583CC8CF42B95BCCC785005D7FFFE044A08F62583C3C555099A714C769C2FD41B35E40C2B8007736A457A213ED6F5DEE598B046279F7934C606A7B3 64 Win32/Filecoder.ED [ESET-NOD32]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ЕВСИКОВ ЮА\LOCAL SETTINGS\TEMP\RAR$DI09.656\ДОКУМЕНТЫ ВАЖНЫЕ ДЛЯ БУХГАЛТЕРА ОТ 06282016 UWFDP.SCR
addsgn 9A983BDA5582A28DF42BAEB164C81205158AFCF6C9FA1F7885C3C5BCB7DC85E6D0984E11B3A05B38E3FFE51E461649FA7DDFE97255DAEC326913C019B031521F 8 da_vinci_code

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ЕВСИКОВ ЮА\LOCAL SETTINGS\TEMP\GGFHHHG55486652.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\WINDOWS\CSRSS.EXE
;------------------------autoscript---------------------------

chklst
delvir

; Java(TM) 6 Update 31
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216031FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart
czoo

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
------------
с расшифровкой не поможем.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 30.06.2016 10:28:18
Анатолий,
судя по образу система уже очищена от шифратора.
------
расшифровки по da_vinci_code нет.
как вести себя: добавьте в локальные политики правила по запрету на запуск исполняемых файлов из архивов.
Изменено: santy - 30.06.2016 10:30:14
[ Как создать образ автозапуска? ]
Перейти
зашифровано в [email protected]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 30.06.2016 10:25:14
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES (X86)\UNIBLUE\SPEEDUPMYPC

deldirex %SystemDrive%\PROGRAM FILES (X86)\OLBPRE

delref HTTP://WWW.ISTARTSURF.COM/?TYPE=HPPP&TS=1434345558&Z=E710742EE44F60271525382G7Z8C3ZAC7Z8W0W9W7Q&FROM=TUGS&UID=ST500LM012XHN-M500MBB_S2RSJ9AC814062

delref HTTP://WWW.ISTARTSURF.COM/WEB/?TYPE=DS&TS=1434345488&Z=A3B356FEB74C18782E9F503GBZ6C3Z9C3Z5W9Z6BCM&FROM=TUGS&UID=ST500LM012XHN-M500MBB_S2RSJ9AC814062&Q={SEARCHTERMS}

delref %SystemDrive%\USERS\ТСЖ\DOWNLOADS\W.JPG

delref HTTP://WWW.ISTARTSURF.COM/WEB/?TYPE=DSPP&TS=1434345558&Z=E710742EE44F60271525382G7Z8C3ZAC7Z8W0W9W7Q&FROM=TUGS&UID=ST500LM012XHN-M500MBB_S2RSJ9AC814062&Q={SEARCHTERMS}

; istartsurf uninstall
exec  C:\Users\ТСЖ\AppData\Roaming\istartsurf\UninstallManager.exe  -ptid=tugs
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
[ Как создать образ автозапуска? ]
Перейти
зашифровано в [email protected]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 30.06.2016 09:22:32
если комп сейчас включен,
добавьте образ автозапуска системы,
расшифровки по нему скорее всего и нет
http://id-ransomware.blogspot.ru/2016/06/kozy.html
Изменено: santy - 07.07.2016 07:30:19
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 388 389 390 391 392 393 394 395 396 397 398 ... 1784 След.