Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 420 421 422 423 424 425 426 427 428 429 430 ... 1784 След.
файлы зашифрованы с расширением criptiks
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 19.03.2016 09:11:34
добавьте файлы (лучше в архиве, если несколько) на http://rghost.ru
и
ссылку на файлы в вашем сообщении
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением criptiks
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 19.03.2016 06:38:42
текст ваш вижу, в вот вложенных файлов и образа автозапуска нет.
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Рекламный вирус
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 19.03.2016 04:59:59
добавьте образ автозапуска системы
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением criptiks
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 19.03.2016 04:59:18
Антон, добавьте несколько зашифрованных файлов,
+
сделайте образ автозапуска системы
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.03.2016 18:01:01
arc,
по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\НОННА\APPDATA\LOCAL\MEDIAGET2\MEDIAGET-UNINSTALLER.EXE
addsgn 9252771A116AC1CC0B44554E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 14 Win32:FakeSys-BF [PUP]

zoo %SystemDrive%\USERS\НОННА\APPDATA\LOCAL\SCREENY\UNINSTALL.EXE
addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6E96B5F78B63503F874C251B33627B3173E3D9CC92B807B8AF66609FA2E20FD0E279AB04625D49C108506CA82 59 Trojan.BPlug.119 [DrWeb]

delall %SystemDrive%\USERS\НОННА\APPDATA\ROAMING\FLVPLAYER\FLVPLAYERAPP.EXE
delall %SystemDrive%\USERS\НОННА\APPDATA\LOCAL\TEMP\ICREINSTALL_ADOBE_FLASH_PLAYER.EXE
delref %SystemDrive%\USERS\НОННА\APPDATA\LOCAL\SCREENY\SCREENY.EXE
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\USERS\НОННА\APPDATA\LOCAL\MEDIAGET2

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DABLPCIKJMHAMJANPIBKCCDMPOEKJIGJA%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCEGDOMHOCAEOEDBDPFOLMGJKJAIJFOMO%26INSTALLSOURCE%3DONDEMAND%26UC

deldirex %SystemDrive%\PROGRAM FILES (X86)\MEDIABUZZV1\MEDIABUZZV1MODE4327\CH

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJEDELKHANEFMCNPAPPFHACHBPNLHOMAI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJGGBJBMNFMIPGCANIDAMJFPECHDEEKOI%26INSTALLSOURCE%3DONDEMAND%26UC

deldirex %SystemDrive%\PROGRAM FILES (X86)\MEDIAWATCHV1\MEDIAWATCHV1HOME127\CH

deldirex %SystemDrive%\PROGRAM FILES (X86)\MEDIAVIEWV1\MEDIAVIEWV1ALPHA9221\CH

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLANABBPAHPJNALJEBNPGKJEMCBKEPIAK%26INSTALLSOURCE%3DONDEMAND%26UC

deldirex %SystemDrive%\PROGRAM FILES (X86)\MEDIAVIEWV1\MEDIAVIEWV1ALPHA9416\CH

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3DONDEMAND%26UC

deldirex %SystemDrive%\PROGRAM FILES (X86)\MEDIAVIEWV1\MEDIAVIEWV1ALPHA9221

deldirex %SystemDrive%\PROGRAM FILES (X86)\MEDIAVIEWV1\MEDIAVIEWV1ALPHA9416

deldirex %SystemDrive%\PROGRAM FILES (X86)\MEDIAWATCHV1\MEDIAWATCHV1HOME127

deldirex %SystemDrive%\PROGRAM FILES (X86)\MEDIABUZZV1\MEDIABUZZV1MODE4327

deldirex %SystemDrive%\PROGRAM FILES (X86)\RICHMEDIAVIEWV1\RICHMEDIAVIEWV1RELEASE663

deldirex %SystemDrive%\PROGRAM FILES (X86)\DEAL KEEPER

deldirex %SystemDrive%\PROGRAM FILES (X86)\DEAL KEEPER\BIN

delref %SystemDrive%\USERS\НОННА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB\7.0.2_0\ПОИСК MAIL.RU

delref %SystemDrive%\USERS\НОННА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CEGDOMHOCAEOEDBDPFOLMGJKJAIJFOMO\1.0.8_0\ПОИСК MAIL.RU

delref %SystemDrive%\USERS\НОННА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JEDELKHANEFMCNPAPPFHACHBPNLHOMAI\1.0.7_0\ПОИСК MAIL.RU

delref %SystemDrive%\USERS\НОННА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LANABBPAHPJNALJEBNPGKJEMCBKEPIAK\2.0.2_0\ПОИСК MAIL.RU

deldirex %SystemDrive%\USERS\НОННА\APPDATA\LOCAL\SWVUPDATER

deldirex %SystemDrive%\USERS\НОННА\APPDATA\ROAMING\FLVPLAYER

; OffersWizard Network System Driver
exec  C:\Program Files (x86)\Common Files\Config\uninstinethnfd.exe
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.03.2016 14:18:47
Цитата
Алексей Филипчик написал:
Добрый день. Бухгалтера запустили что-то с флеш накопителя, пока Nod32 думал, вирусу удалось зашифровать Excel файлы почти все на машине.
После этого вирус был удален Nod32. Как теперь расшифровать зашифрованные файлы обратно?
Спасибо.

добавьте образ автозапуска, возможно шифратора еще в системе и в автозапуске.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.03.2016 11:26:56
Дмитрий,
tbod используем
C:\PROGRAM FILES\TNOD USER & PASSWORD FINDER\TNODUP.EXE
по правилам форума мы не даем рекомендаций по очистке системы от вирусов и шифраторов, тем кто пользуется ломанным антивирусом.
обратитесь за помощью на другой форум.

+
этот файл вышлите в архиве с паролем infected в почту [email protected]
Код
C:\USERS\7\DESKTOP\ДОКУМЕНТЫ ДЛЯ ПРОВЕДЕНИЯ ПЛАТЕЖЕЙ И СВЕРОК --НОВЫЕ ДАННЫЕ!!!.WSF
Изменено: santy - 30.06.2017 11:39:48
[ Как создать образ автозапуска? ]
Перейти
новый вариант VAULT от 2ноября 2015г., Filecoder.FH
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.03.2016 11:20:31
Цитата
Алексей Александрович написал:
Словили пару дней наза данный троян ! :-(
Подскажите как можно избавиться от всплывающего окна (инфа об оплате и все такое..) после загрузки системы ?
...или добавьте образ автозапуска системы, может что-то еще есть кроме vault.hta
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.03.2016 10:36:15
с большой вероятностью расшифровки нет:
по xtbl, breaking_bad, better_call_sou
(в ESET точно нет)
Изменено: santy - 30.06.2017 11:38:44
[ Как создать образ автозапуска? ]
Перейти
Mozilla Thunderbird
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.03.2016 08:49:04
да,
в Endpoint 6 немного по другому, там Сервис - файлы журнала - обнаруженные угрозы.

если в журнале угроз нет записи по обнаружению почтового сообщения,
тогда добавьте скриншот, который есть у вас.
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 420 421 422 423 424 425 426 427 428 429 430 ... 1784 След.