Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 395 396 397 398 399 400 401 402 403 404 405 ... 1784 След.
не является приложением Win32, установил приложение первый раз запустилось на следующий день не запускалось помогите пожалуйсто
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 08.06.2016 15:37:47
у вас файловое заражение jeffo
Win32/Jeefo.A [ESET-NOD32]
лечите систему из под загрузочного диска
http://chklst.ru/discussion/13/eset-sysrescue-na-baze-linux-ot-eset-russia#latest

после полной проверки и очистки диска, добавьте новый образ автозапуска
Изменено: santy - 08.06.2016 15:38:19
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.06.2016 20:28:42
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.3 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\DIRECTOR\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\USERDATA\DATA\CSRSS.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\DIRECTOR\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\USERDATA\DATA\CSRSS.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAM FILES (X86)\RUBLIK\RUBLIK.EXE

delref %SystemDrive%\PROGRAM FILES (X86)\SLIMDRIVERS\SLIMDRIVERS.EXE

delref 222.74.34.190:8080

regt 1
regt 2
regt 28
regt 29
; Java™ 6 Update 3
exec  MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030} /quiet
; Java™ 6 Update 7
exec  MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.06.2016 17:21:44
+
добавьте этот файл в архив с паролем infected
C:\Documents and Settings\Director\Application Data\Microsoft\Internet Explorer\UserData\Data\Csrss.exe
и вышлите в почту [email protected]
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.06.2016 17:16:56
добавьте пожалуйста линк проверки на вирустотале по этому файлу
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.06.2016 17:01:39
проверьте этот файл на http://virustotal.com
C:\DOCUMENTS AND SETTINGS\DIRECTOR\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\USERDATA\DATA\CSRSS.EXE
скорее всего одно из оставшихся тел шифратора da_vinci_code,
тем более в автозапуске
HKLM\umtfpxrmq\Software\Microsoft\Windows\CurrentVersion\Run­\Microsoft Windows Service
Изменено: santy - 07.06.2016 17:03:21
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.06.2016 16:53:52
Михаил,
прокси ваш?
222.74.34.190:8080
https://www.nic.ru/whois/?query=222.74.34.190
country:        CN
+
этот софт похоже использовался для майнинга.
C:\PROGRAM FILES (X86)\RUBLIK\RUBLIK.EXE
правда, файла в настоящее время нет
Не удается найти указанный файл.
+
ERA похоже модифицированный
C:\PROGRAM FILES (X86)\ESET\ESET REMOTE ADMINISTRATOR\SERVER\ERA.EXE
НАРУШЕНА, файл модифицирован или заражен
Изменено: santy - 07.06.2016 17:00:16
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.06.2016 15:23:56
Алексей,
шифратора уже нет в системе,
но систему следуют очистить этим скриптом

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

[CODE];uVS v3.87.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\USERS\A.GERASKIN\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDKEKDLKMDPIPIHONAPOLEOPFEKMAPADH%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLBJJFIIHGFEGNIOLCKPHPNFAOKDKBMDM%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNECFMKPLPMINFJAGBLFABGGOMDPAAKAN%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPFIGAOAMNNCIJBGOMIFAMKMKIDNNLIKL%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref %SystemDrive%\USERS\A.GERASKIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB\7.0.25_0\ПОИСК MAIL.RU

delref %SystemDrive%\USERS\A.GERASKIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\DKEKDLKMDPIPIHONAPOLEOPFEKMAPADH\1.2.9.2_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\A.GERASKIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.0.7_0\СТАРТОВАЯ — ЯНДЕКС

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFCFENMBOOJPJINHPGGGODEFCCIPIKBPD%26INSTALLSOURCE%3D­ONDEMAND%26UC

regt 27
deltmp
delnfr
;-------------------------------------------------------------

restart
[/CODE]
перезагрузка, пишем о старых и новых проблемах.
------------
Перейти
файлы зашифрованы с расширением *.enigma; *.1txt, enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.06.2016 15:11:18
[QUOTE]White Capybara написал:
White Capybara[/QUOTE]
добавьте несколько [B]зашифрованных файлов[/B], которые были расшифрованы этим дешифратором и ключом.
Изменено: santy - 14.06.2016 12:43:05
Перейти
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 03.06.2016 13:13:47
детектирует как подозрительный объект, т.е. исполняемый в архиве.

[QUOTE]Column Name Value
Scanner    HTTP filter
Object    file
Name    Documents_02-06-2016.rar » RAR » Документация от 02-06-2016 (версия для печати).scr
Threat    Blocked Object
Action    connection terminated
Information    Threat was detected upon access to web by the application: C:\Program Files\Mozilla Firefox\firefox.exe.
[/QUOTE]

установите виртуальную машину для тестов, будет возможность поизучать работу шифраторов без ущерба для физической машины.
Перейти
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 03.06.2016 12:45:04
при открытии  html документа будет предложено скачать архив из сети,
если архив был скачен, и открыт, и запущен файл внутри архива, только в этом случае запустится шифратор.
------
да, архив скачал по ссылке внутри html дока. ESET его детектирует.
блокируем этот адрес:[QUOTE]*centraljokmobil.com*[/QUOTE]
Изменено: santy - 22.02.2020 14:54:56
Перейти
Пред. 1 ... 395 396 397 398 399 400 401 402 403 404 405 ... 1784 След.