Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 452 453 454 455 456 457 458 459 460 461 462 ... 1784 След.
новый вариант VAULT от 2ноября 2015г., Filecoder.FH
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 13.01.2016 12:13:22
Владимир,
сделайте образ автозапуска для системы с шифратором ВАУЛТ. я так понимаю что она сейчас неактивна.
надо запустить uVS из активной системы,
и указать ему (выбрать систему) с какого диска (выбрать каталог win на этом диске) должен быть сделан образ автозапуска.
и запостить созданный файл. проверим, есть там что-то в автозапуске или нет.
Изменено: santy - 13.06.2016 15:32:34
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением *.paycrypt / *.keybtc@gmail_com, bat encoder / GnuPG
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 13.01.2016 11:24:40
возможно, это был шифратор

Полное имя                  C:\USERS\TATIANA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\{75B6FD42-3SKE-818D-9865-3YTA2892536Y}.EXE
Имя файла                   {75B6FD42-3SKE-818D-9865-3YTA2892536Y}.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
RUN                         (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Инф. о файле                Не удается найти указанный файл.
Цифр. подпись               проверка не производилась
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                           
Ссылки на объект            
Ссылка                      HKEY_USERS\S-1-5-21-1758853870-1299484010-1216550196-5228\Software\Microsoft\Windows\CurrentVersion\Run\{75B6FD42-3SKE-818D-9865-3YTA2892536Y}
{75B6FD42-3SKE-818D-9865-3YTA2892536Y}C:\Users\tatiana\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\{75B6FD42-3SKE-818D-9865-3YTA2892536Y}.exe
                           
----------------
судя по образу система чистая.

по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением *.paycrypt / *.keybtc@gmail_com, bat encoder / GnuPG
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 13.01.2016 05:58:09
добавьте образ автозапуска системы, где было шифрование.
http://forum.esetnod32.ru/forum9/topic2687/
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением f*****, Filecoder.AO/ на рабочем столе Онлайн консультант
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 13.01.2016 05:56:35
Kwaku Atta,
скрипт очистки написан не для вас, поэтому вам он бесполезен, а может случиться и вреден.
для вас скрипт очистки будет написан по вашему образу автозапуска
это первое, что нужно понять.

второе - это то, что скрипт не поможет в расшифровке документов, а только в очистке системы от вредоносных программ
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением *.ecc; *.exx; *.vvv, Teslacrypt / Filecoder.EM /support: .ecc,.ezz, .exx, .xyz, .zzz, .aaa, .abc, .ccc, .vvv, .xxx, .ttt., .micro
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 13.01.2016 05:52:36
POUL UILIAMSON
файлы расшифрованы.

если расшифровка еще актуальна, напишите в почту [email protected] для передачи приватного ключа, который нужен для расшифровки всех файлов.
Изменено: santy - 11.09.2016 17:52:17
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением f*****, Filecoder.AO/ на рабочем столе Онлайн консультант
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 12.01.2016 19:56:36
Zanozka.
по очистке системы выполните:
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.86.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES (X86)\TORRENT SEARCH\BWAEOSW.EXE
addsgn 1AD1419A5583338CF42B627DA804DEC972DC7782ADEA9434A1D74EC074DAFA8DA8C6C09105ABEB4110788B1D2E1549FA7265CDEA1C98B02D5E70578B2E112173 8 WebToolbar.Win32.Neobar

zoo %SystemDrive%\PROGRAM FILES (X86)\TORRENT SEARCH\IEEF\JMDCADFC9KG0.DLL
addsgn BA652BBE5D22C5062FC4F9F9E724324CAE72772CC171EEFB7FC2B0B9B8110D4C235B4890B586D5C2E5C80FC36226017109FBD03AD61E9073C474A42FC7CAEEBF 64 WebToolbar.Win32.Neobar

zoo %SystemDrive%\PROGRAM FILES (X86)\TORRENT SEARCH\IEEF\J9XXFYKVQ7YT.DLL
addsgn A7679B1928664D070E3C7ECF64C8ED70357589FA768F179082C3C5BCD3127D11E11BC33D323D3D1F2F906C70411649C9BD9F6307595F4659214E9163F503327C 64 Adware.Plugin.1265 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES (X86)\GENIE SOFT\GENIE WIFI\GENIEWIFISERVICE.EXE
addsgn 1A0F749A5583278FF42B624E41A4B345250103A302169E94ADC0C5BCF3CEA70C239ECE43E8159DC03E9052DF469F54F6AB9FE8FB60D2666C2DFE992B11462215 8 Win32/Adware.Mobogenie

zoo %SystemDrive%\PROGRAM FILES (X86)\TORRENT SEARCH\IEEF\9S2TBREGP5WB.EXE
addsgn 1A95DC9A5583338CF42BFB3A884347098436ECBD890DCDF3C8CBE66C739B7D47F29ED6EB2E1E9D14E868D2DB4616CC3A09D78264BDAEF42C2D2E522A7B166973 8 WebToolbar.Win32.Neobar

hide %SystemDrive%\PROGRAM FILES (X86)\GENIE SOFT\GENIE WIFI\GENIEWIFISERVICE.EXE
deldirex %SystemDrive%\USERS\KNOPKA\APPDATA\ROAMING\WINDOWSUPDATER
delall %SystemDrive%\USERS\KNOPKA\APPDATA\ROAMING\WINDOWSUPDATER\UPDATER.EXE
dirzoo %SystemDrive%\USERS\KNOPKA\APPDATA\ROAMING\ODNUQNXVQTACMFPQ4N
zoo %SystemDrive%\USERS\KNOPKA\APPDATA\LOCAL\TEMP\AMISETUP9220__10017.EXE
delall %SystemDrive%\USERS\KNOPKA\APPDATA\LOCAL\TEMP\AMISETUP9220__10017.EXE
deldirex %SystemDrive%\USERS\KNOPKA\APPDATA\ROAMING\ODNUQNXVQTACMFPQ4N
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\USERS\KNOPKA\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT UNINSTALLER\UNINSTALLEXPLORER64.DLL

del %SystemDrive%\USERS\KNOPKA\APPDATA\ROAMING\BROWSERS\EXE.RESWORBOEDIV.BAT

; Mobogenie3
exec  C:\Program Files (x86)\Mobogenie3\Uninstall.exe
deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту [email protected]
------------
по расшифровке придется обращаться в [email protected] при наличие лицензии на антивирус ESET
Изменено: santy - 12.01.2016 19:57:03
[ Как создать образ автозапуска? ]
Перейти
новый вариант VAULT от 2ноября 2015г., Filecoder.FH
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 12.01.2016 14:32:36
ок,
результат проверки js
https://www.virustotal.com/ru/file/48ade7ca7ea91cf9a73740044e0a30299d953f976f4d0846­4cb7ac9b4af68c68/analysis/1452598213/
отправлю в вирлаб
по расшифровке: расшифровки по ВАУЛТУ нет после 10 ноября.
[ Как создать образ автозапуска? ]
Перейти
новый вариант VAULT от 2ноября 2015г., Filecoder.FH
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 12.01.2016 13:53:03
перешлите в архиве с паролем infected в почту [email protected]
проверим детект.
[ Как создать образ автозапуска? ]
Перейти
новый вариант VAULT от 2ноября 2015г., Filecoder.FH
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 12.01.2016 13:34:19
в принципе, да, возможно если много файлов, то какое то время exe остается в темпе.
по ВАУЛТ скорее всего это не поможет: наличие чистого и зашифрованного файла. как это не помогало в предыдущих вариантах данного энкодера.
если свежий ВАУЛТ, то расшифровки по нему нет.
--------
шанс есть, если шифратор не успел удалить теневые копии, (и если такие были на момент запуска)
Изменено: santy - 13.06.2016 15:32:33
[ Как создать образ автозапуска? ]
Перейти
новый вариант VAULT от 2ноября 2015г., Filecoder.FH
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 12.01.2016 13:24:44
все зависит от типа шифратора. а с каким расширением зашифрованы файлы?
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 452 453 454 455 456 457 458 459 460 461 462 ... 1784 След.