Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Выбрать дату в календареВыбрать дату в календаре

файлы зашифрованы с расширением *.enigma; *.1txt, enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/
Сергей,
вышлите полученное письмо в архиве с паролем infected в почту [URL=mailto:[email protected]][email protected][/URL]
+
проверьте наличие теневых копий
новый вариант VAULT от 2ноября 2015г., Filecoder.FH
Айрат,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

[CODE];uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\АЙР\APPDATA\LOCAL\YANDEX\UPDATER\PRAETOR­IAN.EXE
addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6­714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F­9F5FA577 8 praetotian

del %SystemDrive%\USERS\АЙР\APPDATA\ROAMING\MICROSOFT\WINDOWS\ST­ART MENU\PROGRAMS\STARTUP\VAULT.HTA
;------------------------autoscript---------------------------

chklst
delvir

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHC...

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMEL...

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMF...

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLD...

deldirex %SystemDrive%\USERS\АЙР\APPDATA\ROAMING\VOPACKAGE

delref %SystemDrive%\USERS\АЙР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.9.0_0\СТАРТОВАЯ — ЯНДЕКС

delref HTTP:\\YOURTDS.BIZ\RPOP.PHP?FL=YW3Y7F

del %SystemDrive%\LOL.LAUNCHER.BAT

regt 28
regt 29
; SmilesExtensions version 2.1
exec C:\Program Files\smwdgt\unins000.exe
; superpromokody 1.1
exec C:\Program Files\DolkaRuIePlugin\uninst.exe
deltmp
delnfr
;-------------------------------------------------------------

restart
[/CODE]
перезагрузка, пишем о старых и новых проблемах.
------------
расшифровки по текущему ВАУЛТ нет.
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
xtbl, breaking_bad, better_call_saul, теперь da_vinci_code - это все одно семейство Ransom.Shade/Encode.ED
по нему нет расшифровки.
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
Артем,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

[CODE];uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\NAUMETSLV\DESKTOP\AVZ4\AVZ4\QUARANTINE\2­016-05-23\AVZ00001.DTA
addsgn A7679BF0AA027CD84BD4C609F6881261848AFCF689AA7BF1A0C3C5BC5055­9D24704194DE5BBDAE92A2DD78F544E95CD2DF9FE82BD6D780EB6D775BAC­CA32E533 8 ransom.shade.da_vinci_code

delall %SystemDrive%\USERS\NAUMETSLV\APPDATA\ROAMING\MICROSOFT\WIND­OWS\START MENU\PROGRAMS\STARTUP\X.VBS
;------------------------autoscript---------------------------

chklst
delvir

; Mobogenie
exec C:\Program Files\Mobogenie\uninst.exe
; etranslator
exec C:\Users\naumetslv\AppData\Roaming\etranslator\etranslator.exe" /uninstall

deldirex %SystemDrive%\USERS\NAUMETSLV\APPDATA\LOCALLOW\UNITY\WEBPLAY­ER\LOADER

deldirex %SystemDrive%\PROGRAM FILES\MOBOGENIE

deldirex %SystemDrive%\USERS\NAUMETSLV\APPDATA\ROAMING\MICROSOFT\WIND­OWS\START MENU\PROGRAMS\MOBOGENIE

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart
[/CODE]
перезагрузка, пишем о старых и новых проблемах.
------------
расшифровки по da_vinci_code нет,
пробуйте восстановление документов из архивных копий.
Изменено: santy - 23.05.2016 15:49:51
При переименовании ошибка,, неправильно задано устройство
обновите до актуальной версии 8.0.319
nod32 стал потреблять слишком много оперативки
проверьте не включен ли режим : сканировать в состоянии простоя
Изменено: santy - 23.05.2016 11:47:53
nod32 стал потреблять слишком много оперативки
Цитата
yekt написал:
Может откатиться на 8 поколение?, кто что думает по этому поводу?


с этого момента
Цитата
yekt   написал:
Со старта отъел 140 Mb   http://joxi.ru/52azKnahGw3VvA  
копм работает 10 часов и сейчас ekrn.exe потребляет 177Mb, т.е. отъел еще 30mb
148, 177Мб - это не 1Гб, вполне нормально. какие функции выполняет компьютер в круглосуточном режиме? есть ли удаленные подключения к рабочему столу по RDP?
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
что именно непонятно? как выполнить скрипт?
здесь все расписано по шагам, как раз для чайников.
и кстати, поторопитесь выполнить скрипт, поскольку у вас тело шифратора в автозапуске, т.е. все новые файлы он так же будет шифровать.
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

[CODE];uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
addsgn A7679BF0AA027CD84BD4C609F6881261848AFCF689AA7BF1A0C3C5BC5055­9D24704194DE5BBDAE92A2DD78F544E95CD2DF9FE82BD6D780EB6D775BAC­CA32E533 8 ransom.shade.da_vinci_code

zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://YANBEX.PW

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DABLPCIKJMHA...

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIO...

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMEL...

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMF...

delref %SystemDrive%\USERS\1\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.9.0_0\СТАРТОВАЯ — ЯНДЕКС

delref HTTP:\\YANBEX.PW

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart
[/CODE]
перезагрузка, пишем о старых и новых проблемах.

расшифровки к сожалению нет по этому шифратору.
восстанавливаем документы из архивных копий.
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
Кирилл,
добавьте образ автозапуска системы
как это сделать, смотрите в подписи.
Изменено: santy - 23.05.2016 15:09:45