Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 429 430 431 432 433 434 435 436 437 438 439 ... 1784 След.
[ Закрыто] WIN32/hacktool
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 29.02.2016 10:04:26
добавьте файлик в исключение, если вы ему доверяете
[ Как создать образ автозапуска? ]
Перейти
Шифровальщик в rar с адресом: [email protected], Вирус зашифровал в rar с паролем
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 29.02.2016 09:11:23
если зашифровано_заархивировано с помощью winrar, то любой антивирус не будет препятствовать этому процессу.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.02.2016 18:15:48
по шифрованию это похоже на Cryakl
{CL 1.0.0.0}
вы рисунки переименовали, или они в таком виде (название файла) и были после шифрования?
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.02.2016 18:11:00
Александр,
по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3DONDEMAND%26UC
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
------------
[ Как создать образ автозапуска? ]
Перейти
новый вариант VAULT от 2ноября 2015г., Filecoder.FH
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 26.02.2016 16:00:57
Никита,
выполните очистку системы

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
delref HTTP://ISEARCH.OMIGA-PLUS.COM/WEB/?TYPE=DS&TS=1421843227&FROM=COR&UID=ST9320325AS_S2W18DCDXXXXS2W18DCD&Q={SEARCHTERMS}
delref HTTP://ISEARCH.OMIGA-PLUS.COM/WEB/?TYPE=DSPP&TS=1421843307&FROM=COR&UID=ST9320325AS_S2W18DCDXXXXS2W18DCD&Q={SEARCHTERMS}
delref HTTP://WWW.V9.COM?TYPE=HP&TS=1439791598&FROM=MYCH123&UID=ST9320325AS_S2W18DCDXXXXS2W18DCD&Z=E5A5DF43CE295F5160E9FE3G7Z4C0T3M2T5G2Q3E7C
delall %SystemDrive%\PROGRAM FILES (X86)\ASK.COM\UPDATER\UPDATER.EXE
;------------------------autoscript---------------------------

chklst
delvir

; AnySend
exec  C:\Users\Buhgalter\AppData\Roaming\ASPackage\uninstall.exe
; ConvertAd
exec  C:\Users\Buhgalter\AppData\Local\ConvertAd\uninstall.exe

delref {05EB6920-D8AD-4350-BEF1-4F7107F70431}\[CLSID]

delref {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}\[CLSID]

delref {D4027C7F-154A-4066-A1AD-4243D8127440}\[CLSID]

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGKNPFANCPEAMEJMCOOEDLJJNADDLDHG%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCEGDOMHOCAEOEDBDPFOLMGJKJAIJFOMO%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGDKNICMNHBAAJDGLBINPAHHAPGHPAKCH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJEDELKHANEFMCNPAPPFHACHBPNLHOMAI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJGGBJBMNFMIPGCANIDAMJFPECHDEEKOI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLANABBPAHPJNALJEBNPGKJEMCBKEPIAK%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPLDBIENODKPGKCCOCELIDINMCIEDJDOK%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\BUHGALTER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CEGDOMHOCAEOEDBDPFOLMGJKJAIJFOMO\1.0.8_0\ПОИСК MAIL.RU

delref %SystemDrive%\USERS\BUHGALTER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JEDELKHANEFMCNPAPPFHACHBPNLHOMAI\1.0.7_0\ПОИСК MAIL.RU

delref %SystemDrive%\USERS\BUHGALTER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LALFIODOHDGAEJJCCFGFMMNGGGPPLMHP\8.11.0_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\BUHGALTER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LANABBPAHPJNALJEBNPGKJEMCBKEPIAK\2.0.2_0\ПОИСК MAIL.RU

deldirex %SystemDrive%\PROGRAM FILES (X86)\TORRENT SEARCH

deldirex %SystemDrive%\USERS\BUHGALTER\APPDATA\ROAMING\WINZIPPER\UPDATE

deldirex %SystemDrive%\PROGRAM FILES (X86)\WINZIPPER

deldirex %SystemDrive%\USERS\BUHGALTER\APPDATA\ROAMING\ASPACKAGE

regt 27
regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
и можно будет пользоваться дальше компом.
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Словил вирус, Словил вирус ESET его не видит
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 26.02.2016 15:54:02
Алексей,
tnod используем.
Цитата
C:\PROGRAM FILES (X86)\TNOD\TNODUP.EXE
по правилам нашего форума тема будет закрыта.
обратитесь за помощью на другой форум
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Словил вирус, Словил вирус ESET его не видит
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 26.02.2016 14:00:01
добавьте образ автозапуска.
(можно из безопасного режима системы)
ссылка на инструкцию в подписи.
Изменено: santy - 26.02.2016 14:00:21
[ Как создать образ автозапуска? ]
Перейти
новый вариант VAULT от 2ноября 2015г., Filecoder.FH
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 26.02.2016 05:43:13
Цитата
Никита Данилушкин написал:
Запустили новую версию от 25.02.2016. Какими должны быть действия, чтобы остановить процесс шифрования?
И второй вопрос, насколько я понял сейчас в новой версии нет смысла искать secring.gpg?
по текущей версии надо отключить сетевые диски, можно в диспетчере выгрузить процесс rundll32,
выключить комп,
и планировать процедуру очистки системы и восстановления документов.

secring.gpg нет в этой версии, другой метод шифрования используется.
-----------
кстати, ESET стал детектировать файл запущенный из runddl32 как PSW.trojan

Цитата
Scanner Real-time file system protection
Object file
Name C:\Users\****\AppData\Local\Temp\97fe0b81628.txt
Threat Win32/PSW.Fareit.E trojan
Изменено: santy - 26.02.2016 11:39:43
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .crime
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.02.2016 20:56:43
Цитата
Наташа Лепская написал:
А если у меня пробная версия? я не смогу расшифровать их?
напишите в техподдержку, они вам точно ответят.
[ Как создать образ автозапуска? ]
Перейти
зашифровано с расширением id-*[email protected]*, возможно, Filecoder.DG
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.02.2016 20:55:51
Сергей,
по образу все чисто.
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 429 430 431 432 433 434 435 436 437 438 439 ... 1784 След.