Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 413 414 415 416 417 418 419 420 421 422 423 ... 1784 След.
файлы зашифрованы с расширением .crime
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.04.2016 15:38:33
Владимир,
для начала почистите систему, крайне замусорена.
скрипт не решает проблему с расшифровкой файлов, только очищает ее от остатков шифратора и других нежелательных файлов.

по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET
[ Как создать образ автозапуска? ]
Перейти
Шифровирусы шумной толпою
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.04.2016 12:20:23
Вчера и сегодня была активная рассылка Nemucod, интересно, шифрануло кого нибудь или нет?
судя по BC Nemucod рассылает свой шифратор. (совсем недавно они рассылали Teslacrypt)
детект есть только сегодня, вчера скрипт был без детекта.

Цитата
Column Name Value
Date Received 2016-04-01 09:53:15
Date Occurred 2016-04-01 09:44:55
Level Warning
Scanner Real-time file system protection
Object file
Name C:\Users\*****\AppData\Local\Temp\Rar$DI00.133\31 марта печать.js
Threat JS/TrojanDownloader.Nemucod.NV trojan
Action cleaned by deleting - quarantined
Information Event occurred on a new file created by the application: C:\Program Files (x86)\WinRAR\WinRAR.exe.
Details Ready
Изменено: santy - 01.04.2016 13:00:15
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.04.2016 11:31:16
Игорь,
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

;------------------------autoscript---------------------------

hide %SystemDrive%\PROGRAM FILES\ADOBE\READER 11.0\READER\ACROEXT\ACROEXT.EXE
chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGDKNICMNHBAAJDGLBINPAHHAPGHPAKCH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJEDELKHANEFMCNPAPPFHACHBPNLHOMAI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOFDGAFMDEGFKHFDFKMLLFEFMCMCJLLEC%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPGANLGLBHGFJFGOPIJBHEMCPBEHJNPIA%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPNOOFFJHCLKOCPLOPFFDBCDGHMIFFHJI%26INSTALLSOURCE%3DONDEMAND%26UC

deldirex %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.10.16434.218

delref %Sys32%\TSSK.SYS
del %Sys32%\TSSK.SYS

delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\ILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK\4.0.5_0\ПОИСК MAIL.RU
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JEDELKHANEFMCNPAPPFHACHBPNLHOMAI\1.0.7_0\ПОИСК MAIL.RU
delref %Sys32%\WTDNWBCMIXPQXV.EXE
del %Sys32%\WTDNWBCMIXPQXV.EXE

delref %Sys32%\ZKQOIYVTTVVO_L.EXE
del %Sys32%\ZKQOIYVTTVVO_L.EXE

delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=D9B7AF683D63847D1D5B9162C1EAB404&TEXT={SEARCHTERMS}
deldirex %SystemDrive%\USERS\USER\APPDATA\ROAMING\VOPACKAGE

deldirex %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\VOPACKAGE

regt 28
regt 29
deltmp
delnfr

;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .crime
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.04.2016 11:24:48
Владимир,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

;------------------------autoscript---------------------------

hide %SystemDrive%\PROGRAM FILES (X86)\QDICTIONARY\QDICTIONARY.EXE
chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES (X86)\SAVEPASS 1.1

delref %SystemDrive%\PROGRAM FILES (X86)\GE-FORCE\667ADFD8-B1C7-4231-B7BC-A08FDA60E9B4-5.EXE
del %SystemDrive%\PROGRAM FILES (X86)\GE-FORCE\667ADFD8-B1C7-4231-B7BC-A08FDA60E9B4-5.EXE

delref %SystemDrive%\PROGRAM FILES (X86)\GE-FORCE\667ADFD8-B1C7-4231-B7BC-A08FDA60E9B4-6.EXE
del %SystemDrive%\PROGRAM FILES (X86)\GE-FORCE\667ADFD8-B1C7-4231-B7BC-A08FDA60E9B4-6.EXE

deldirex %SystemDrive%\PROGRAM FILES (X86)\SENSE

delref %SystemDrive%\PROGRAM FILES (X86)\ADVPLUGIN\F0EXC82.EXE.EXE
del %SystemDrive%\PROGRAM FILES (X86)\ADVPLUGIN\F0EXC82.EXE.EXE

deldirex %SystemDrive%\PROGRAM FILES (X86)\VIDEO SAVER

delref %SystemDrive%\PROGRAM FILES (X86)\VK DOWNLOADER\HFB1ELU.EXE
del %SystemDrive%\PROGRAM FILES (X86)\VK DOWNLOADER\HFB1ELU.EXE

deldirex %SystemDrive%\PROGRAM FILES (X86)\SHOPPERPRO\JSDRIVER\1485.0.0.0

delref {50F4150A-48B2-417A-BE4C-C83F580FB904}\[CLSID]
delref {8E8F97CD-60B5-456F-A201-73065652D099}\[CLSID]
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DABLPCIKJMHAMJANPIBKCCDMPOEKJIGJA%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAEEMBEEJEKGHKOPIABADONPMFPIGOJOK%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGKNPFANCPEAMEJMCOOEDLJJNADDLDHG%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGOMNBPELPCDICBNICIMGHCECEMJPBEF%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHBLDCGBJBLIPEGBECLMCNNDDNOPNHJM%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCEGDOMHOCAEOEDBDPFOLMGJKJAIJFOMO%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGBJEIEKAHKLBGBFCCOHIPINHGAADIJAD%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGDKNICMNHBAAJDGLBINPAHHAPGHPAKCH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGNDACICECCGAPJHPNIECKNJLMMLANAEM%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHHJMIHALFDOCHHINHFOGCIAAFPPFGPJJ%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIMKMHBBGJGKBKPAJMNFEEBDODFCELMDM%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJEDELKHANEFMCNPAPPFHACHBPNLHOMAI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DKPPACDMMDDEDIAHKLMCGKGDHHOOJEMMD%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLANABBPAHPJNALJEBNPGKJEMCBKEPIAK%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLBJJFIIHGFEGNIOLCKPHPNFAOKDKBMDM%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMOFCKLFFFFGBDGNOIPDOKCCLBHOMKPIE%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPGANLGLBHGFJFGOPIJBHEMCPBEHJNPIA%26INSTALLSOURCE%3DONDEMAND%26UC

deldirex %SystemDrive%\PROGRAM FILES (X86)\GLOBALUPDATE\UPDATE\1.3.25.0

deldirex %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.3.17201.218\PLUGINS\FILESMASH

delref {11111111-1111-1111-1111-110611971195}\[CLSID]
delref {11111111-1111-1111-1111-110711021199}\[CLSID]
delref HTTP://WWW.ISTARTSURF.COM/?TYPE=HPPP&TS=1435054396&FROM=XTAB&UID=8E5931BB6D964F14A155431924C12FA9
delref %Sys32%\DRIVERS\BDMWRENCH_X64.SYS
del %Sys32%\DRIVERS\BDMWRENCH_X64.SYS

delref %Sys32%\DRIVERS\BDSAFEBROWSER.SYS
del %Sys32%\DRIVERS\BDSAFEBROWSER.SYS

deldirex %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.3.17201.218

delref %Sys32%\DRIVERS\TSSKX64.SYS
del %Sys32%\DRIVERS\TSSKX64.SYS

delref %SystemDrive%\PROGRAM FILES (X86)\DF812BAB-1455880995-30C1-8980-20CF3063C5C7\KNSF47D5.TMP

deldirex %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\BAIDU\BDDOWNLOAD\108

delref %Sys32%\DRIVERS\TFSFLTX64.SYS
del %Sys32%\DRIVERS\TFSFLTX64.SYS

delref %SystemRoot%\SYSWOW64\DRIVERS\BD0001.SYS
del %SystemRoot%\SYSWOW64\DRIVERS\BD0001.SYS

deldirex %SystemDrive%\PROGRAMDATA\TENCENT\TSVULFW

del %SystemDrive%\PROGRAMDATA\RWUUCMIEP\REYLKPYVQ3.BAT

delref HTTP:\\MEGAGABEN.RU
regt 27
regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
[ Как создать образ автозапуска? ]
Перейти
Шифровирусы шумной толпою
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 31.03.2016 05:04:13
Собственно, сервис (ID Ransomware) создан совсем недавно. Отсюда и ошибки.
Идея создать данный сервис пришла по ходу работы на форуме BC.
Так же есть ошибки в определении Ransom.Shade/Filecoder.ED, по крайней мере на better_call_saul и breaking_bad
Я думаю, если будет предложена полная информация по шифраторам, которые "популярны" в России, то эта инфо будет добавлена в ID Ransomware
Radamant, TeslaCrypt, Locky все таки получили некоторое распространение в России.
Изменено: santy - 31.03.2016 05:04:58
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 30.03.2016 18:17:07
Ольга,
по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
addsgn 9AD0779A55024C720BD4C69DEEA912ED219AFCF60A3E131085C3C5BCB82B7E4C23B4F3DD5F55F5492B8084F7460649FA15DFE87255325A232D7707034D67229B 8 filecoder.ED

;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
------------
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET
[ Как создать образ автозапуска? ]
Перейти
Шифровирусы шумной толпою
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 30.03.2016 17:49:11
дешифраторы от компании Emsosoft
https://decrypter.emsisoft.com/

Emsisoft Decrypter for Nemucod
Emsisoft Decrypter for DMALocker2
Emsisoft Decrypter for HydraCrypt
Emsisoft Decrypter for DMALocker
Emsisoft Decrypter for CrypBoss
Emsisoft Decrypter for Gomasom
Emsisoft Decrypter for LeChiffre
Emsisoft Decrypter for KeyBTC
Emsisoft Decrypter for Radamant
Emsisoft Decrypter for CryptInfinite
Emsisoft Decrypter for PClock
Emsisoft Decrypter for CryptoDefense
Emsisoft Decrypter for Harasom

отличная кстати страница. с указанием детального писания шифратора, с техническим руководством по расшифровке,
датой и версией дешифратора,
со ссылкой на скачивание дешифратора.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 30.03.2016 13:09:09
Дмитрий Иванов,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %Sys32%\BETWINSERVICEVS.EXE
addsgn 1A7A5A9A5583158CF42B627DA804DE3E281275B5898F1D8B462AC29250D6BD80EFDB0FDCC10016A5A0C58C1A8640C20BBB99E47220B9588A0477A4A6810EA93B 8 betwimservices

zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
addsgn 9AD0779A55024C720BD4C6957D9612ED219AFCF60A3E131085C3C5BCB82B7E4C23B4EB4E6055F5492B8084F7460649FA15DFE87255325A232D77070BDE58229B 8 Ransom.Win32.Shade

zoo %SystemDrive%\PROGRAMDATA\DRIVERS\CSRSS.EXE
addsgn 9252777A066AC1CC0BE4424EA34FFAB8058A1C24446148F1604E5998D0278DB312D7936EE220660F6DD3ECBA7B3749ADFE1CEC213DE2C2212D2127ECC35572B4 8 Win32/Filecoder.ED [ESET-NOD32]

;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\USERS\123\APPDATA\LOCAL\UJDMMEDIA\TDDWALLN.DLL
del %SystemDrive%\USERS\123\APPDATA\LOCAL\UJDMMEDIA\TDDWALLN.DLL

delref %SystemDrive%\USERS\123\APPDATA\LOCAL\AXMWORKS\BRKCIDGH.DLL
del %SystemDrive%\USERS\123\APPDATA\LOCAL\AXMWORKS\BRKCIDGH.DLL

delref HTTP://WEBALTA.RU/POISK
deldirex %SystemDrive%\PROGRAM FILES\CONDUIT\COMMUNITY ALERTS

; Java(TM) 6 Update 17
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216017FF} /quiet
deltmp
delnfr

;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET
[ Как создать образ автозапуска? ]
Перейти
Если вирус не определяется
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 30.03.2016 11:34:15
да, существует
https://www.esetnod32.ru/support/knowledge_base/new_virus/
Изменено: santy - 24.01.2018 10:11:31
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 30.03.2016 10:00:04
Алексей,
по очистке системы выполните:
(шифратор еще в автозапуске)

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
addsgn 9AD0779A55024C720BD4C6957D9612ED219AFCF60A3E131085C3C5BCB82B7E4C23B4EB4E6055F5492B8084F7460649FA15DFE87255325A232D77070BDE58229B 8 Ransom.Win32.Shade

zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAM FILES\ASK.COM\GENERICASKTOOLBAR.DLL

delref HTTPS://LAREVANTE.COM/YRYFMF3/CPJTT.EUP
delref HTTPS://83.229.188.106/


regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 413 414 415 416 417 418 419 420 421 422 423 ... 1784 След.