Размещено 16.03.2016 13:21:01
написано ведь выше:
по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET
по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET
Дорогие участники форума!
Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.
На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения
PRO32
— надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.
Приглашаем вас присоединиться к новому форуму PRO32.
Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
Размещено 16.03.2016 11:20:43
Дмитрий,
по очистке системы выполните
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
перезагрузка, пишем о старых и новых проблемах.
по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET
по очистке системы выполните
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
| Код |
|---|
;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\1\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetotian
;------------------------autoscript---------------------------
chklst
delvir
delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHJCGOMKANPKPBLOKEBECKNHAHGKCMOO%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDFONANKHFNHIHDCPAAGPABBAOCLNJFP%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\PROGRAM FILES (X86)\ADVANCED WOMAN CALENDAR\WOMANCALENDAR.EXE
delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\DRPSU\DRVUPDATER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\SERVICE.EXE
delref %SystemDrive%\USERS\1\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\NAHD6HA2.DEFAULT\EXTENSIONS\[email protected]
; SuperMegaBest version 3.4.5
exec C:\Windows\unins000.exe
deltmp
delnfr
;-------------------------------------------------------------
restart
|
перезагрузка, пишем о старых и новых проблемах.
по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET
Mozilla Thunderbird
файлы зашифрованы в Ransom 32
Mozilla Thunderbird
файлы зашифрованы в Ransom 32
Размещено 14.03.2016 19:38:32
через lnk в стартапе запускался файлик
этот файл посмотрите
C:\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP (DISABLED BY STARTER)\DECVI.LNK
хотя, без этого файла
C:\USERS\USER\APPDATA\ROAMING\DECVI SAFJUH\DECVI.EXE
ему уже нечего запускать
| Цитата |
|---|
| Полное имя C:\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP (DISABLED BY STARTER)\DECVI.LNK Имя файла DECVI.LNK Тек. статус [Запускался неявно или вручную] Сохраненная информация на момент создания образа Статус [Запускался неявно или вручную] Размер 970 байт Создан 11.03.2016 в 09:15:39 Изменен 11.03.2016 в 09:20:16 Цифр. подпись Отсутствует либо ее не удалось проверить Доп. информация на момент обновления списка Ярлык Указывает на отсутствующий объект TARGET C:\USERS\USER\APPDATA\ROAMING\DECVI SAFJUH\DECVI.EXE NJworuUNdkEaSiou67 SHA1 8EC97C9A1DB20F65AEA5F8283B9B92D9C27B5291 MD5 E9E1A341C228DBFCAC3226F01AB3A899 |
этот файл посмотрите
C:\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP (DISABLED BY STARTER)\DECVI.LNK
хотя, без этого файла
C:\USERS\USER\APPDATA\ROAMING\DECVI SAFJUH\DECVI.EXE
ему уже нечего запускать
Изменено: santy - 14.03.2016 19:39:09
файлы зашифрованы в Ransom 32
файлы зашифрованы в Ransom 32
файлы зашифрованы в Ransom 32
Размещено 14.03.2016 17:54:33
откуда был запущен шифратор: из электронной почты, или какой-то файл скачали из сети?
если файл сохранился который вы выкачали из сети, добавьте его в архив с паролем infected
и вышлите в почту [email protected]
или вышлите ссылку в почту. на файл который вы скачали из сети и запустили.
это может быть файл *scr или самораспаковывающийся архив.
если файл сохранился который вы выкачали из сети, добавьте его в архив с паролем infected
и вышлите в почту [email protected]
или вышлите ссылку в почту. на файл который вы скачали из сети и запустили.
это может быть файл *scr или самораспаковывающийся архив.
Изменено: santy - 14.03.2016 18:11:47