Размещено 29.02.2016 10:04:26
добавьте файлик в исключение, если вы ему доверяете
если зашифровано_заархивировано с помощью winrar, то любой антивирус не будет препятствовать этому процессу.
Дорогие участники форума!
Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.
На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения
PRO32
— надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.
Приглашаем вас присоединиться к новому форуму PRO32.
Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.
[ Закрыто] WIN32/hacktool
Шифровальщик в rar с адресом: [email protected], Вирус зашифровал в rar с паролем
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
Размещено 28.02.2016 18:11:00
Александр,
по очистке системы выполните
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
перезагрузка, пишем о старых и новых проблемах.
------------
по очистке системы выполните
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
| Код |
|---|
;uVS v3.87 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3DONDEMAND%26UC deltmp delnfr restart |
перезагрузка, пишем о старых и новых проблемах.
------------
новый вариант VAULT от 2ноября 2015г., Filecoder.FH
Размещено 26.02.2016 16:00:57
Никита,
выполните очистку системы
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
перезагрузка, пишем о старых и новых проблемах.
------------
и можно будет пользоваться дальше компом.
выполните очистку системы
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
| Код |
|---|
;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
delref HTTP://ISEARCH.OMIGA-PLUS.COM/WEB/?TYPE=DS&TS=1421843227&FROM=COR&UID=ST9320325AS_S2W18DCDXXXXS2W18DCD&Q={SEARCHTERMS}
delref HTTP://ISEARCH.OMIGA-PLUS.COM/WEB/?TYPE=DSPP&TS=1421843307&FROM=COR&UID=ST9320325AS_S2W18DCDXXXXS2W18DCD&Q={SEARCHTERMS}
delref HTTP://WWW.V9.COM?TYPE=HP&TS=1439791598&FROM=MYCH123&UID=ST9320325AS_S2W18DCDXXXXS2W18DCD&Z=E5A5DF43CE295F5160E9FE3G7Z4C0T3M2T5G2Q3E7C
delall %SystemDrive%\PROGRAM FILES (X86)\ASK.COM\UPDATER\UPDATER.EXE
;------------------------autoscript---------------------------
chklst
delvir
; AnySend
exec C:\Users\Buhgalter\AppData\Roaming\ASPackage\uninstall.exe
; ConvertAd
exec C:\Users\Buhgalter\AppData\Local\ConvertAd\uninstall.exe
delref {05EB6920-D8AD-4350-BEF1-4F7107F70431}\[CLSID]
delref {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}\[CLSID]
delref {D4027C7F-154A-4066-A1AD-4243D8127440}\[CLSID]
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGKNPFANCPEAMEJMCOOEDLJJNADDLDHG%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCEGDOMHOCAEOEDBDPFOLMGJKJAIJFOMO%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGDKNICMNHBAAJDGLBINPAHHAPGHPAKCH%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJEDELKHANEFMCNPAPPFHACHBPNLHOMAI%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJGGBJBMNFMIPGCANIDAMJFPECHDEEKOI%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLANABBPAHPJNALJEBNPGKJEMCBKEPIAK%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPLDBIENODKPGKCCOCELIDINMCIEDJDOK%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\USERS\BUHGALTER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CEGDOMHOCAEOEDBDPFOLMGJKJAIJFOMO\1.0.8_0\ПОИСК MAIL.RU
delref %SystemDrive%\USERS\BUHGALTER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JEDELKHANEFMCNPAPPFHACHBPNLHOMAI\1.0.7_0\ПОИСК MAIL.RU
delref %SystemDrive%\USERS\BUHGALTER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LALFIODOHDGAEJJCCFGFMMNGGGPPLMHP\8.11.0_0\СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\BUHGALTER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LANABBPAHPJNALJEBNPGKJEMCBKEPIAK\2.0.2_0\ПОИСК MAIL.RU
deldirex %SystemDrive%\PROGRAM FILES (X86)\TORRENT SEARCH
deldirex %SystemDrive%\USERS\BUHGALTER\APPDATA\ROAMING\WINZIPPER\UPDATE
deldirex %SystemDrive%\PROGRAM FILES (X86)\WINZIPPER
deldirex %SystemDrive%\USERS\BUHGALTER\APPDATA\ROAMING\ASPACKAGE
regt 27
regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------
restart
|
перезагрузка, пишем о старых и новых проблемах.
------------
и можно будет пользоваться дальше компом.
[ Закрыто] Словил вирус, Словил вирус ESET его не видит
[ Закрыто] Словил вирус, Словил вирус ESET его не видит
новый вариант VAULT от 2ноября 2015г., Filecoder.FH
Размещено 26.02.2016 05:43:13
| Цитата |
|---|
| Никита Данилушкин написал: Запустили новую версию от 25.02.2016. Какими должны быть действия, чтобы остановить процесс шифрования? И второй вопрос, насколько я понял сейчас в новой версии нет смысла искать secring.gpg? |
выключить комп,
и планировать процедуру очистки системы и восстановления документов.
secring.gpg нет в этой версии, другой метод шифрования используется.
-----------
кстати, ESET стал детектировать файл запущенный из runddl32 как PSW.trojan
| Цитата |
|---|
| Scanner Real-time file system protection Object file Name C:\Users\****\AppData\Local\Temp\97fe0b81628.txt Threat Win32/PSW.Fareit.E trojan |
Изменено: santy - 26.02.2016 11:39:43
файлы зашифрованы с расширением .crime
Размещено 25.02.2016 20:56:43
| Цитата |
|---|
| Наташа Лепская написал: А если у меня пробная версия? я не смогу расшифровать их? |
зашифровано с расширением id-*[email protected]*, возможно, Filecoder.DG
Размещено 25.02.2016 20:55:51
Сергей,
по образу все чисто.
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET
по образу все чисто.
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET