Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 426 427 428 429 430 431 432 433 434 435 436 ... 1784 След.
новый вариант VAULT от 2ноября 2015г., Filecoder.FH
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.03.2016 20:03:49
Alex Klo,
выполните скрипт очистки

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
delall %SystemDrive%\TEMP\VLT\FIREFOX.EXE
delall %SystemDrive%\TEMP\VLT\TORBROWSER\TOR\TOR.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://333E45LPJQREBKNR.ONION/AUTH.PHP?KEY=CYB26R2G2R9WD%2FBE2H8I%2FMFL%2B6MM6RRI%2BRNDFGMOKKVU5IERWPNZNL0A2YQT%2BGBNTQGWHH7WBEDEIMHNYP66LD02E%2FG%2F03QIZWBX4WUDA0FNLA43VN5GAMSHGQBOB47LBOAHYFL%2BCPTL3WYXNB83AZPBF0AHLLH%2BBB4SDWDZ4GI3A%2FJIOZ6Z1HDJTR9KUSECOWHC

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCEGDOMHOCAEOEDBDPFOLMGJKJAIJFOMO%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJEDELKHANEFMCNPAPPFHACHBPNLHOMAI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLANABBPAHPJNALJEBNPGKJEMCBKEPIAK%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\09OXG9KH.DEFAULT-1381923604656\SEARCHPLUGINS\WEBALTA-SEARCH.XML

delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CEGDOMHOCAEOEDBDPFOLMGJKJAIJFOMO\1.0.8_0\ПОИСК MAIL.RU

delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JEDELKHANEFMCNPAPPFHACHBPNLHOMAI\1.0.7_0\ПОИСК MAIL.RU

delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LANABBPAHPJNALJEBNPGKJEMCBKEPIAK\2.0.2_0\ПОИСК MAIL.RU

delref HTTP://WEBALTA.RU/SEARCH

; McAfee Security Scan Plus
exec C:\Program Files\McAfee Security Scan\uninstall.exe
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.03.2016 17:44:52
добавьте образ автозапуска по инструкции из подписи
[ Как создать образ автозапуска? ]
Перейти
новый вариант VAULT от 2ноября 2015г., Filecoder.FH
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.03.2016 12:08:19
да, все зашифрованные файлы с расширением VAULT
сохраните важные файлы, + vault.key на будущее на отдельный носитель,
может быть
    когда нибудь  
              кто-нибудь
                    как-нибудь
                          расшифрует их :)
--------
или опубликуют ключи расшифровки.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением *.xtbl, .*crysis, *.crypt, *.lock, *.crypted, *.dharma, *.wallet, *.onion, CrySiS /Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .wallet, .onion /
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.03.2016 11:56:23
на xtbl не похоже:
судя по hex конечный блок повторяется во всех файлах с одним ID, за исключением заголовка файла.

6B00650079006700700067002E00720061007200000030303656474C50CC­9C69FB4CD37B6CC8B78E0CD4CCF10A0047351AEFFAC1C0E8A81390EE4841­72438A41080000000850FB9ACAF14F0FFFE2CAC132A1C075F797528CFAFF­72F767ED5C1E43ABD939467AA578F72E0FA404840F7A15064E0AE66AA72D­385765735BA6118C1B3328E34BFE07E7FA8077920CE36C2F2FAF3A7C5EFD­A5736E1695612402EDD2AF161D8CEF631D4EE460360595567BC9D42BE53E­93D8D5579E22D3C6CDB2D113F693736A16000000

72006500610064006D0065002E00740078007400000030303656474C50CC­9C69FB4CD37B6CC8B78E0CD4CCF10A004735589FDEF8FF6105F8DAD13CA7­4107F0DC070000000850FB9ACAF14F0FFFE2CAC132A1C075F797528CFAFF­72F767ED5C1E43ABD939467AA578F72E0FA404840F7A15064E0AE66AA72D­385765735BA6118C1B3328E34BFE07E7FA8077920CE36C2F2FAF3A7C5EFD­A5736E1695612402EDD2AF161D8CEF631D4EE460360595567BC9D42BE53E­93D8D5579E22D3C6CDB2D113F693736A16000000

69006E0066002E00740078007400000030303656474C50CC9C69FB4CD37B­6CC8B78E0CD4CCF10A004735AD2F9B44EB3C3BDDAB8EB04D3451DAB90900­00000850FB9ACAF14F0FFFE2CAC132A1C075F797528CFAFF72F767ED5C1E­43ABD939467AA578F72E0FA404840F7A15064E0AE66AA72D385765735BA6­118C1B3328E34BFE07E7FA8077920CE36C2F2FAF3A7C5EFDA5736E169561­2402EDD2AF161D8CEF631D4EE460360595567BC9D42BE53E93D8D5579E22­D3C6CDB2D113F693736A10000000
Изменено: santy - 01.03.2016 12:00:06
[ Как создать образ автозапуска? ]
Перейти
новый вариант VAULT от 2ноября 2015г., Filecoder.FH
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.03.2016 11:21:20
Vasiliy,
по очистке системы выполните:

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

del %SystemDrive%\USERS\ADMINISTRATOR\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\VAULT.HTA
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
----------
с расшифровкой не поможем.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением *.xtbl, .*crysis, *.crypt, *.lock, *.crypted, *.dharma, *.wallet, *.onion, CrySiS /Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .wallet, .onion /
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.03.2016 11:17:18
Виктор
Цитата
пїЅпїЅпїЅпїЅпїЅпїЅ пїЅпїЅпїЅпїЅпїЅпїЅпїЅ написал:
Здравствуйте, такая же проблема, заражено этим шифровальщиком несколько машин, сделал образ автозапуска непосредственно с компьютера источника заразы по инструкции  http://forum.esetnod32.ru/forum9/topic2687/   Во вложении.
С уважением, Виктор

выполните скрипт очистки, поскольку шифратор сейчас в автозапуске.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
addsgn 1ABE399A5583C58CF42BC4BD0CB82A472562DEBA89FA9C1D61C3F67CDBA379C9D5185697BB95E851C31A809F46D149EC7DDFE89A51DEB02CAEBF5BC677062273 8 Win32/Filecoder.NFY [ESET-NOD32]

zoo %Sys32%\ДОКУМЕНТЫ ДЛЯ ПОДПИСИ НА 29.02.2016.DOC.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\TEMP\7ZO0B536F9B\ДОКУМЕНТЫ ДЛЯ ПОДПИСИ НА 29.02.2016.DOC.EXE
del %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\[email protected]
del %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\[email protected]
;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
------------
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением *.xtbl, .*crysis, *.crypt, *.lock, *.crypted, *.dharma, *.wallet, *.onion, CrySiS /Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .wallet, .onion /
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.03.2016 11:13:32
Олег,
выполните скрипт очистки, без перезагрузки системы

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref %Sys32%\ДОКУМЕНТЫ ДЛЯ ПОДПИСИ НА 29.02.2016.DOC.EXE

regt 27
deltmp
delnfr
;-------------------------------------------------------------

QUIT

без перезагрузки, пишем о старых и новых проблемах.

+
добавьте выполните этот reg файл, этот ключ будет защищать от запуска исполняемых файлов из архивов. для win7
http://rghost.ru/7GFPTJtyv
для XP
http://rghost.ru/6QNlh54PX
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением *.xtbl, .*crysis, *.crypt, *.lock, *.crypted, *.dharma, *.wallet, *.onion, CrySiS /Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .wallet, .onion /
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.03.2016 11:07:16
Цитата
Олег Бордзиховский написал:
uVS нашла четыре явно вирусных файла, ничего лечить/удалять не стал, жду дальнейших инструкций.
судя по образу, файл шифратора в автозапуске удален.

Цитата
Полное имя                  C:\WINDOWS\SYSTEM32\ДОКУМЕНТЫ ДЛЯ ПОДПИСИ НА 29.02.2016.DOC.EXE
Имя файла                   ДОКУМЕНТЫ ДЛЯ ПОДПИСИ НА 29.02.2016.DOC.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
RUN                         (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Инф. о файле                Не удается найти указанный файл.
Цифр. подпись               проверка не производилась
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Имя файла                   Двойное расширение
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows\CurrentVersion\Run\документы­ для подписи на 29.02.2016.doc
документы для подписи на 29.02.2016.docC:\Windows\System32\документы для подписи на 29.02.2016.doc.exe
                           

сейчас добавлю скрипт очистки.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением *.xtbl, .*crysis, *.crypt, *.lock, *.crypted, *.dharma, *.wallet, *.onion, CrySiS /Supported Crysis file extensions: .xtbl, .crysis, .crypt, .lock, .crypted, .dharma, .wallet, .onion /
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.03.2016 11:02:57
Александр,
все что в наших силах мы уже сделали. очистили систему, провели тестовое шифрование, отправили зашифрованные, чистые файлы + тело шифратора в вирлаб.
ждем ответ от вирлаба, от специалистов.
---------
поверьте, возможно теневые копии остались живые,
Изменено: santy - 01.03.2016 11:08:36
[ Как создать образ автозапуска? ]
Перейти
Возможно вирус, Спонтанно появляются учетные записи пользователей
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.03.2016 10:04:29
добавьте образ автозапуска, можно из безопасного режима системы
ссылка на инструкцию в моей подписи
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 426 427 428 429 430 431 432 433 434 435 436 ... 1784 След.