santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

файлы зашифрованы с расширением *.enigma; *.1txt, enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 24.05.2016 12:21:05

Сергей,
вышлите полученное письмо в архиве с паролем infected в почту [email protected]
+
проверьте наличие теневых копий

[ Как создать образ автозапуска? ]

Перейти

новый вариант VAULT от 2ноября 2015г., Filecoder.FH

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 24.05.2016 05:45:23

Айрат,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.2 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\USERS\АЙР\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetotian del %SystemDrive%\USERS\АЙР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\VAULT.HTA ;------------------------autoscript--------------------------- chklst delvir delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID] delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHC... delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMEL... delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMF... delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLD... deldirex %SystemDrive%\USERS\АЙР\APPDATA\ROAMING\VOPACKAGE delref %SystemDrive%\USERS\АЙР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.9.0_0\СТАРТОВАЯ — ЯНДЕКС delref HTTP:\\YOURTDS.BIZ\RPOP.PHP?FL=YW3Y7F del %SystemDrive%\LOL.LAUNCHER.BAT regt 28 regt 29 ; SmilesExtensions version 2.1 exec C:\Program Files\smwdgt\unins000.exe ; superpromokody 1.1 exec C:\Program Files\DolkaRuIePlugin\uninst.exe deltmp delnfr ;------------------------------------------------------------- restart

Код

;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\АЙР\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetotian

del %SystemDrive%\USERS\АЙР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\VAULT.HTA
;------------------------autoscript---------------------------

chklst
delvir

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHC...

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMEL...

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMF...

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLD...

deldirex %SystemDrive%\USERS\АЙР\APPDATA\ROAMING\VOPACKAGE

delref %SystemDrive%\USERS\АЙР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.9.0_0\СТАРТОВАЯ — ЯНДЕКС

delref HTTP:\\YOURTDS.BIZ\RPOP.PHP?FL=YW3Y7F

del %SystemDrive%\LOL.LAUNCHER.BAT

regt 28
regt 29
; SmilesExtensions version 2.1
exec C:\Program Files\smwdgt\unins000.exe
; superpromokody 1.1
exec C:\Program Files\DolkaRuIePlugin\uninst.exe
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
расшифровки по текущему ВАУЛТ нет.

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.05.2016 15:22:40

xtbl, breaking_bad, better_call_saul, теперь da_vinci_code - это все одно семейство Ransom.Shade/Encode.ED
по нему нет расшифровки.

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.05.2016 15:07:51

Артем,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.2 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\USERS\NAUMETSLV\DESKTOP\AVZ4\AVZ4\QUARANTINE\2016-05-23\AVZ00001.DTA addsgn A7679BF0AA027CD84BD4C609F6881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CD2DF9FE82BD6D780EB6D775BACCA32E533 8 ransom.shade.da_vinci_code delall %SystemDrive%\USERS\NAUMETSLV\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\X.VBS ;------------------------autoscript--------------------------- chklst delvir ; Mobogenie exec C:\Program Files\Mobogenie\uninst.exe ; etranslator exec C:\Users\naumetslv\AppData\Roaming\etranslator\etranslator.exe" /uninstall deldirex %SystemDrive%\USERS\NAUMETSLV\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER deldirex %SystemDrive%\PROGRAM FILES\MOBOGENIE deldirex %SystemDrive%\USERS\NAUMETSLV\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\MOBOGENIE deltmp delnfr ;------------------------------------------------------------- czoo restart

Код

;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\NAUMETSLV\DESKTOP\AVZ4\AVZ4\QUARANTINE\2016-05-23\AVZ00001.DTA
addsgn A7679BF0AA027CD84BD4C609F6881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CD2DF9FE82BD6D780EB6D775BACCA32E533 8 ransom.shade.da_vinci_code

delall %SystemDrive%\USERS\NAUMETSLV\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\X.VBS
;------------------------autoscript---------------------------

chklst
delvir

; Mobogenie
exec C:\Program Files\Mobogenie\uninst.exe
; etranslator
exec C:\Users\naumetslv\AppData\Roaming\etranslator\etranslator.exe" /uninstall

deldirex %SystemDrive%\USERS\NAUMETSLV\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

deldirex %SystemDrive%\PROGRAM FILES\MOBOGENIE

deldirex %SystemDrive%\USERS\NAUMETSLV\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\MOBOGENIE

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
------------
расшифровки по da_vinci_code нет,
пробуйте восстановление документов из архивных копий.

Изменено: santy - 23.05.2016 15:49:51

[ Как создать образ автозапуска? ]

Перейти

При переименовании ошибка,, неправильно задано устройство

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.05.2016 11:48:58

обновите до актуальной версии 8.0.319

[ Как создать образ автозапуска? ]

Перейти

nod32 стал потреблять слишком много оперативки

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.05.2016 11:47:42

проверьте не включен ли режим : сканировать в состоянии простоя

Изменено: santy - 23.05.2016 11:47:53

[ Как создать образ автозапуска? ]

Перейти

nod32 стал потреблять слишком много оперативки

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.05.2016 07:07:16

Цитата

yekt написал:
Может откатиться на 8 поколение?, кто что думает по этому поводу?

с этого момента

Цитата
yekt написал: Со старта отъел 140 Mb http://joxi.ru/52azKnahGw3VvA

копм работает 10 часов и сейчас ekrn.exe потребляет 177Mb, т.е. отъел еще 30mb

148, 177Мб - это не 1Гб, вполне нормально. какие функции выполняет компьютер в круглосуточном режиме? есть ли удаленные подключения к рабочему столу по RDP?

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.05.2016 18:28:55

что именно непонятно? как выполнить скрипт?
здесь все расписано по шагам, как раз для чайников.
и кстати, поторопитесь выполнить скрипт, поскольку у вас тело шифратора в автозапуске, т.е. все новые файлы он так же будет шифровать.

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.05.2016 17:35:54

по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.2 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE addsgn A7679BF0AA027CD84BD4C609F6881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CD2DF9FE82BD6D780EB6D775BACCA32E533 8 ransom.shade.da_vinci_code zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE ;------------------------autoscript--------------------------- chklst delvir delref HTTP://YANBEX.PW delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DABLPCIKJMHA... delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIO... delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMEL... delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMF... delref %SystemDrive%\USERS\1\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.9.0_0\СТАРТОВАЯ — ЯНДЕКС delref HTTP:\\YANBEX.PW deltmp delnfr ;------------------------------------------------------------- czoo restart

Код

;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
addsgn A7679BF0AA027CD84BD4C609F6881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CD2DF9FE82BD6D780EB6D775BACCA32E533 8 ransom.shade.da_vinci_code

zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://YANBEX.PW

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DABLPCIKJMHA...

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIO...

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMEL...

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMF...

delref %SystemDrive%\USERS\1\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.9.0_0\СТАРТОВАЯ — ЯНДЕКС

delref HTTP:\\YANBEX.PW

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.

расшифровки к сожалению нет по этому шифратору.
восстанавливаем документы из архивных копий.

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.05.2016 16:14:11

Кирилл,
добавьте образ автозапуска системы
как это сделать, смотрите в подписи.

Изменено: santy - 23.05.2016 15:09:45

[ Как создать образ автозапуска? ]

Перейти