Размещено 16.03.2016 13:21:01
написано ведь выше:
по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET
по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET
Уважаемые пользователи!
Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новый антивирус от компании PRO32.
Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.
Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
Размещено 16.03.2016 11:20:43
Дмитрий,
по очистке системы выполните
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]
;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\1\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIA
addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6
;------------------------autoscript---------------------------
chklst
delvir
delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHJCGOMKANPKPBLOKEBECKNHAHGKCMOO%26INSTALLSOURCE%3D
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3D
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDFONANKHFNHIHDCPAAGPABBAOCLNJFP%26INSTALLSOURCE%3D
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD%26INSTALLSOURCE%3D
delref %SystemDrive%\PROGRAM FILES (X86)\ADVANCED WOMAN CALENDAR\WOMANCALENDAR.EXE
delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\DRPSU\DRVUP
delref %SystemDrive%\PROGRAM FILES (X86)\SERVICE.EXE
delref %SystemDrive%\USERS\1\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFIL
; SuperMegaBest version 3.4.5
exec C:\Windows\unins000.exe
deltmp
delnfr
;-------------------------------------------------------------
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET
по очистке системы выполните
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]
;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\1\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIA
addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6
;------------------------autoscript---------------------------
chklst
delvir
delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHJCGOMKANPKPBLOKEBECKNHAHGKCMOO%26INSTALLSOURCE%3D
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3D
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDFONANKHFNHIHDCPAAGPABBAOCLNJFP%26INSTALLSOURCE%3D
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD%26INSTALLSOURCE%3D
delref %SystemDrive%\PROGRAM FILES (X86)\ADVANCED WOMAN CALENDAR\WOMANCALENDAR.EXE
delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\DRPSU\DRVUP
delref %SystemDrive%\PROGRAM FILES (X86)\SERVICE.EXE
delref %SystemDrive%\USERS\1\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFIL
; SuperMegaBest version 3.4.5
exec C:\Windows\unins000.exe
deltmp
delnfr
;-------------------------------------------------------------
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET
Mozilla Thunderbird
файлы зашифрованы в Ransom 32
Mozilla Thunderbird
Размещено 16.03.2016 05:56:54
1. добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/
2. раз работает центр управления ERA, значит есть админ, который управляет настройками через ERA.
можно обратиться к нему.
3. можно попытаться найти сообщения, которые содержат вредоносные файлы, и удалить их из входящих.
http://forum.esetnod32.ru/forum9/topic1408/
2. раз работает центр управления ERA, значит есть админ, который управляет настройками через ERA.
можно обратиться к нему.
3. можно попытаться найти сообщения, которые содержат вредоносные файлы, и удалить их из входящих.
файлы зашифрованы в Ransom 32
Размещено 14.03.2016 19:38:32
через lnk в стартапе запускался файлик
[QUOTE]Полное имя C:\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP (DISABLED BY STARTER)\DECVI.LNK
Имя файла DECVI.LNK
Тек. статус [Запускался неявно или вручную]
Сохраненная информация на момент создания образа
Статус [Запускался неявно или вручную]
Размер 970 байт
Создан 11.03.2016 в 09:15:39
Изменен 11.03.2016 в 09:20:16
Цифр. подпись Отсутствует либо ее не удалось проверить
Доп. информация на момент обновления списка
Ярлык Указывает на отсутствующий объект
TARGET C:\USERS\USER\APPDATA\ROAMING\DECVI SAFJUH\DECVI.EXE NJworuUNdkEaSiou67
SHA1 8EC97C9A1DB20F65AEA5F8283B9B92D9C27B5291
MD5 E9E1A341C228DBFCAC3226F01AB3A899[/QUOTE]
этот файл посмотрите
C:\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP (DISABLED BY STARTER)\DECVI.LNK
хотя, без этого файла
C:\USERS\USER\APPDATA\ROAMING\DECVI SAFJUH\DECVI.EXE
ему уже нечего запускать
[QUOTE]Полное имя C:\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP (DISABLED BY STARTER)\DECVI.LNK
Имя файла DECVI.LNK
Тек. статус [Запускался неявно или вручную]
Сохраненная информация на момент создания образа
Статус [Запускался неявно или вручную]
Размер 970 байт
Создан 11.03.2016 в 09:15:39
Изменен 11.03.2016 в 09:20:16
Цифр. подпись Отсутствует либо ее не удалось проверить
Доп. информация на момент обновления списка
Ярлык Указывает на отсутствующий объект
TARGET C:\USERS\USER\APPDATA\ROAMING\DECVI SAFJUH\DECVI.EXE NJworuUNdkEaSiou67
SHA1 8EC97C9A1DB20F65AEA5F8283B9B92D9C27B5291
MD5 E9E1A341C228DBFCAC3226F01AB3A899[/QUOTE]
этот файл посмотрите
C:\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP (DISABLED BY STARTER)\DECVI.LNK
хотя, без этого файла
C:\USERS\USER\APPDATA\ROAMING\DECVI SAFJUH\DECVI.EXE
ему уже нечего запускать
Изменено: santy - 14.03.2016 19:39:09
файлы зашифрованы в Ransom 32
файлы зашифрованы в Ransom 32
файлы зашифрованы в Ransom 32
Размещено 14.03.2016 17:54:33
откуда был запущен шифратор: из электронной почты, или какой-то файл скачали из сети?
если файл сохранился который вы выкачали из сети, добавьте его в архив с паролем infected
и вышлите в почту [email protected]
или вышлите ссылку в почту. на файл который вы скачали из сети и запустили.
это может быть файл *scr или самораспаковывающийся архив.
если файл сохранился который вы выкачали из сети, добавьте его в архив с паролем infected
и вышлите в почту [email protected]
или вышлите ссылку в почту. на файл который вы скачали из сети и запустили.
это может быть файл *scr или самораспаковывающийся архив.
Изменено: santy - 14.03.2016 18:11:47