Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 401 402 403 404 405 406 407 408 409 410 411 ... 1784 След.
файлы зашифрованы с расширением *.enigma; *.1txt, enigma /Supported file extensions : .enigma, .{number}.enigma, .1txt/
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.05.2016 12:21:05
Сергей,
вышлите полученное письмо в архиве с паролем infected в почту [email protected]
+
проверьте наличие теневых копий
[ Как создать образ автозапуска? ]
Перейти
новый вариант VAULT от 2ноября 2015г., Filecoder.FH
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.05.2016 05:45:23
Айрат,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\АЙР\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetotian

del %SystemDrive%\USERS\АЙР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\VAULT.HTA
;------------------------autoscript---------------------------

chklst
delvir

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHC...

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMEL...

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMF...

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLD...

deldirex %SystemDrive%\USERS\АЙР\APPDATA\ROAMING\VOPACKAGE

delref %SystemDrive%\USERS\АЙР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.9.0_0\СТАРТОВАЯ — ЯНДЕКС

delref HTTP:\\YOURTDS.BIZ\RPOP.PHP?FL=YW3Y7F

del %SystemDrive%\LOL.LAUNCHER.BAT

regt 28
regt 29
; SmilesExtensions version 2.1
exec C:\Program Files\smwdgt\unins000.exe
; superpromokody 1.1
exec C:\Program Files\DolkaRuIePlugin\uninst.exe
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
расшифровки по текущему ВАУЛТ нет.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 23.05.2016 15:22:40
xtbl, breaking_bad, better_call_saul, теперь da_vinci_code - это все одно семейство Ransom.Shade/Encode.ED
по нему нет расшифровки.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 23.05.2016 15:07:51
Артем,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\NAUMETSLV\DESKTOP\AVZ4\AVZ4\QUARANTINE\2016-05-23\AVZ00001.DTA
addsgn A7679BF0AA027CD84BD4C609F6881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CD2DF9FE82BD6D780EB6D775BACCA32E533 8 ransom.shade.da_vinci_code

delall %SystemDrive%\USERS\NAUMETSLV\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\X.VBS
;------------------------autoscript---------------------------

chklst
delvir

; Mobogenie
exec C:\Program Files\Mobogenie\uninst.exe
; etranslator
exec C:\Users\naumetslv\AppData\Roaming\etranslator\etranslator.exe" /uninstall

deldirex %SystemDrive%\USERS\NAUMETSLV\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

deldirex %SystemDrive%\PROGRAM FILES\MOBOGENIE

deldirex %SystemDrive%\USERS\NAUMETSLV\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\MOBOGENIE

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
------------
расшифровки по da_vinci_code нет,
пробуйте восстановление документов из архивных копий.
Изменено: santy - 23.05.2016 15:49:51
[ Как создать образ автозапуска? ]
Перейти
При переименовании ошибка,, неправильно задано устройство
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 23.05.2016 11:48:58
обновите до актуальной версии 8.0.319
[ Как создать образ автозапуска? ]
Перейти
nod32 стал потреблять слишком много оперативки
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 23.05.2016 11:47:42
проверьте не включен ли режим : сканировать в состоянии простоя
Изменено: santy - 23.05.2016 11:47:53
[ Как создать образ автозапуска? ]
Перейти
nod32 стал потреблять слишком много оперативки
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 23.05.2016 07:07:16
Цитата
yekt написал:
Может откатиться на 8 поколение?, кто что думает по этому поводу?


с этого момента
Цитата
yekt   написал:
Со старта отъел 140 Mb   http://joxi.ru/52azKnahGw3VvA  
копм работает 10 часов и сейчас ekrn.exe потребляет 177Mb, т.е. отъел еще 30mb
148, 177Мб - это не 1Гб, вполне нормально. какие функции выполняет компьютер в круглосуточном режиме? есть ли удаленные подключения к рабочему столу по RDP?
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 21.05.2016 18:28:55
что именно непонятно? как выполнить скрипт?
здесь все расписано по шагам, как раз для чайников.
и кстати, поторопитесь выполнить скрипт, поскольку у вас тело шифратора в автозапуске, т.е. все новые файлы он так же будет шифровать.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 21.05.2016 17:35:54
по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
addsgn A7679BF0AA027CD84BD4C609F6881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CD2DF9FE82BD6D780EB6D775BACCA32E533 8 ransom.shade.da_vinci_code

zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://YANBEX.PW

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DABLPCIKJMHA...

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIO...

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMEL...

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMF...

delref %SystemDrive%\USERS\1\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.9.0_0\СТАРТОВАЯ — ЯНДЕКС

delref HTTP:\\YANBEX.PW

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.

расшифровки к сожалению нет по этому шифратору.
восстанавливаем документы из архивных копий.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 21.05.2016 16:14:11
Кирилл,
добавьте образ автозапуска системы
как это сделать, смотрите в подписи.
Изменено: santy - 23.05.2016 15:09:45
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 401 402 403 404 405 406 407 408 409 410 411 ... 1784 След.