santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 05.02.2016 11:07:04

Артем Владимирович,

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE delall %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE zoo %SystemDrive%\USERS\USER\DESKTOP\СКАН\SCHET.N.10400514-04-02.SCR delall %SystemDrive%\USERS\USER\DESKTOP\СКАН\SCHET.N.10400514-04-02.SCR deltmp delnfr czoo restart

Код


;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
delall %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
zoo %SystemDrive%\USERS\USER\DESKTOP\СКАН\SCHET.N.10400514-04-02.SCR
delall %SystemDrive%\USERS\USER\DESKTOP\СКАН\SCHET.N.10400514-04-02.SCR
deltmp
delnfr
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected]
------------

по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 05.02.2016 10:23:35

Александр,
по расшифровке пишите в указанную электронную почту. двух сообщений на форуме уже достаточно для того, чтобы кто-нибудь на планете Марс, кто знает решение, обратил на них внимание.

[ Как создать образ автозапуска? ]

Перейти

Не пускает в тему

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 05.02.2016 10:20:16

какая у вас проблема и какое вы ищете решение?

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 05.02.2016 10:13:30

Александр Самохин,
судя по образу все чисто сейчас в системе,

по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 05.02.2016 10:09:36

Rostyslav Bahriy,
шифратор до сих пор в автозапуске.

по чистке системы выполните:
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v385c OFFSGNSAVE addsgn 1A35329A5583C58CF42B254E3143FE8E60825FD65DBB1F2546483AE9DB3AF0A00B14C3579FED56082BB3411603EA1A7120D7BFF1AE25C42B7E9F9F69C7067BF0 8 Win32/Filecoder.EQ [ESET-NOD32] zoo %SystemDrive%\PROGRAM FILES\1C\ТАРИФЫ 2016.EXE ;------------------------autoscript--------------------------- chklst delvir delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ALTERGEO\UPDATE FOR HTML5 GEOLOCATION PROVIDER\HTML5LOC.DLL delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ALTERGEO\UPDATE FOR HTML5 GEOLOCATION PROVIDER\HTML5LOCSVC.EXE delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBMKCKGPGEKMANIPELFIDLHMKFCJICION%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFKKCGFBGOHBOIPDHLIAFMACJNHJBHMIM%26INSTALLSOURCE%3DONDEMAND%26UC deldirex D:\DOCUMENTS AND SETTINGS\TATIYANA.DOMAIN\LOCAL SETTINGS\APPLICATION DATA\MEDIAGET2 ; Java(TM) 6 Update 15 exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216015FF} /quiet deltmp delnfr ;------------------------------------------------------------- restart czoo

Код


;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
addsgn 1A35329A5583C58CF42B254E3143FE8E60825FD65DBB1F2546483AE9DB3AF0A00B14C3579FED56082BB3411603EA1A7120D7BFF1AE25C42B7E9F9F69C7067BF0 8 Win32/Filecoder.EQ [ESET-NOD32]

zoo %SystemDrive%\PROGRAM FILES\1C\ТАРИФЫ 2016.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ALTERGEO\UPDATE FOR HTML5 GEOLOCATION PROVIDER\HTML5LOC.DLL

delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ALTERGEO\UPDATE FOR HTML5 GEOLOCATION PROVIDER\HTML5LOCSVC.EXE

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBMKCKGPGEKMANIPELFIDLHMKFCJICION%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFKKCGFBGOHBOIPDHLIAFMACJNHJBHMIM%26INSTALLSOURCE%3DONDEMAND%26UC

deldirex D:\DOCUMENTS AND SETTINGS\TATIYANA.DOMAIN\LOCAL SETTINGS\APPLICATION DATA\MEDIAGET2

; Java(TM) 6 Update 15
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216015FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart
czoo

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 05.02.2016 05:59:27

Виталий,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE ;------------------------autoscript--------------------------- hide %SystemDrive%\PROGRAM FILES\THE KMPLAYER\KMPSETUP.EXE chklst delvir delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID] delref %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE delref %SystemDrive%\USERS\ВИТАЛИЙ\APPDATA\ROAMING\EBEDBEDEC.EXE delref SCREENSAVERPRO.SCR delref %SystemDrive%\USERS\ВИТАЛИЙ\APPDATA\LOCAL\AVWORKS\0237012C.EXE delref %SystemDrive%\USERS\ВИТАЛИЙ\APPDATA\LOCAL\ILSOFT\HMPRICPN.DLL delref %SystemDrive%\USERS\ВИТАЛИЙ\APPDATA\LOCAL\AVWORKS\HMPRICPN.DLL deldirex %SystemDrive%\PROGRAM FILES\MOBOGENIE deldirex %SystemDrive%\USERS\ВИТАЛИЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\MOBOGENIE deldirex %SystemDrive%\PROGRAM FILES\CONTENT DEFENDER deldirex %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\CONTENT DEFENDER regt 28 regt 29 ; Mobogenie exec C:\Program Files\Mobogenie\uninst.exe ; Weatherbar exec MsiExec.exe /I{BE742AE3-0C95-46CC-B5C8-9F942FDD9360} /quiet deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

;------------------------autoscript---------------------------

hide %SystemDrive%\PROGRAM FILES\THE KMPLAYER\KMPSETUP.EXE
chklst
delvir

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]

delref %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE

delref %SystemDrive%\USERS\ВИТАЛИЙ\APPDATA\ROAMING\EBEDBEDEC.EXE

delref SCREENSAVERPRO.SCR

delref %SystemDrive%\USERS\ВИТАЛИЙ\APPDATA\LOCAL\AVWORKS\0237012C.EXE

delref %SystemDrive%\USERS\ВИТАЛИЙ\APPDATA\LOCAL\ILSOFT\HMPRICPN.DLL

delref %SystemDrive%\USERS\ВИТАЛИЙ\APPDATA\LOCAL\AVWORKS\HMPRICPN.DLL

deldirex %SystemDrive%\PROGRAM FILES\MOBOGENIE

deldirex %SystemDrive%\USERS\ВИТАЛИЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\MOBOGENIE

deldirex %SystemDrive%\PROGRAM FILES\CONTENT DEFENDER

deldirex %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\CONTENT DEFENDER

regt 28
regt 29
; Mobogenie
exec C:\Program Files\Mobogenie\uninst.exe
; Weatherbar
exec MsiExec.exe /I{BE742AE3-0C95-46CC-B5C8-9F942FDD9360} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 05.02.2016 05:56:04

Rostyslav Bahriy,
добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.02.2016 14:19:46

Олег,
система очищена от шифратора, вон их сколько сидело в автозапуске.

теперь самая сложная часть работы для вас.

восстановление зашифрованных файлов. это само собой не проходит, скрипты не помогут,
необходим дешифратор и ключ, который подойдет только вам.

по расшифровке у нас нет возможности помочь вам.

Цитата
по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET

Изменено: santy - 17.06.2016 10:05:07

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.02.2016 13:40:40

Олег,

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\USERS\DISERV\APPDATA\LOCAL\OKDJICS\B5331F8B.EXE addsgn 7300F39B556A1F275DE775E6ED94361DE2CED8E6B96B5F780C9FE19C9692555803E8D6634E159D212A00849FB903FD8A3DDFBB8D4056C26C2D1DAD8C7F316073 8 Win32/Boaxxe.BR [ESET-NOD32] zoo %SystemDrive%\PROGRAMDATA\DRIVERS\CSRSS.EXE addsgn 9252777A066AC1CC0BE4424EA34FFAB8058A1C24446148F1604E5998D0278DB312D7936EE220660F6DD3ECBA7B3749ADFE1CEC213DE2C2212D2127ECC35572B4 8 Win32/Filecoder.ED [ESET-NOD32] addsgn 79132211B9824AF50BD446A064C81258E646303A4536D3B4490F09709C1ABD80A8E896DCD23F632103B0CD9F2ED6E5BA7DBB497255DAB07CAEB3307C91518337 8 breaking_bad zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE addsgn A7679B19919A1FCA7F8EEBB18CEB1BFEDAB93CA3E11A863D85A73A8C345F517FF87DC33D3E3D416A1D813D83BD5249C9AFEC289AF91F4AD37D9FDE233CF94873 8 Win32/Spy.Delf zoo %SystemDrive%\USERS\DISERV\APPDATA\ROAMING\DDDDABCCF.EXE addsgn A4BC2472546A4C72C78C277224E512F5298AD17A25F10F7D066FCEACD0EDBD393AD1C05785558D492BE8FDC0494D21D34233FA210532BA2C2D7727EFC78F6657 64 Win32/Boaxxe zoo %SystemDrive%\USERS\DISERV\APPDATA\LOCAL\OKDJICS\NCPNUZPP.DLL ;------------------------autoscript--------------------------- chklst delvir deltmp delnfr ;------------------------------------------------------------- czoo restart

Код


;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\DISERV\APPDATA\LOCAL\OKDJICS\B5331F8B.EXE
addsgn 7300F39B556A1F275DE775E6ED94361DE2CED8E6B96B5F780C9FE19C9692555803E8D6634E159D212A00849FB903FD8A3DDFBB8D4056C26C2D1DAD8C7F316073 8 Win32/Boaxxe.BR [ESET-NOD32]

zoo %SystemDrive%\PROGRAMDATA\DRIVERS\CSRSS.EXE
addsgn 9252777A066AC1CC0BE4424EA34FFAB8058A1C24446148F1604E5998D0278DB312D7936EE220660F6DD3ECBA7B3749ADFE1CEC213DE2C2212D2127ECC35572B4 8 Win32/Filecoder.ED [ESET-NOD32]

addsgn 79132211B9824AF50BD446A064C81258E646303A4536D3B4490F09709C1ABD80A8E896DCD23F632103B0CD9F2ED6E5BA7DBB497255DAB07CAEB3307C91518337 8 breaking_bad

zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
addsgn A7679B19919A1FCA7F8EEBB18CEB1BFEDAB93CA3E11A863D85A73A8C345F517FF87DC33D3E3D416A1D813D83BD5249C9AFEC289AF91F4AD37D9FDE233CF94873 8 Win32/Spy.Delf

zoo %SystemDrive%\USERS\DISERV\APPDATA\ROAMING\DDDDABCCF.EXE
addsgn A4BC2472546A4C72C78C277224E512F5298AD17A25F10F7D066FCEACD0EDBD393AD1C05785558D492BE8FDC0494D21D34233FA210532BA2C2D7727EFC78F6657 64 Win32/Boaxxe

zoo %SystemDrive%\USERS\DISERV\APPDATA\LOCAL\OKDJICS\NCPNUZPP.DLL
;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.02.2016 13:36:20

Денис,
по образу все чисто,
по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Перейти