Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 453 454 455 456 457 458 459 460 461 462 463 ... 1784 След.
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 12.01.2016 11:49:24
cbf.
самого шифратора уже нет в живых, только ссылка в реестре

по очистке выполните это:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.86.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref 0HTTP://SANTANYR.COM/PRESENTS/NYEAR2.ROA

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDLJDACFOJGIKOGLDJFFNKDCIELNKLKCE%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://SANTANYR.COM/PRESENTS/NYEAR2.ROA

delref %SystemDrive%\PROGRAM FILES (X86)\1C\ПОЗДРАВИТЕЛЬНАЯ ОТКРЫТКА.EXE

deldirex %SystemDrive%\USERS\ALV\APPDATA\LOCAL\MEDIAGET2

deldirex %SystemDrive%\USERS\ALV\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\MEDIAGET2

regt 27
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
[ Как создать образ автозапуска? ]
Перейти
новый вариант VAULT от 2ноября 2015г., Filecoder.FH
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 12.01.2016 11:03:16
Виктор,
дешифратор для Ваулта есть только если файл шифратора был создан в интервале от 2 до 10ноября. по поздним версиям ВАУЛТа нет дешифровки.
удалять там практически нечего из автозапуска.
надо удалить файл VAULT.hta
Изменено: santy - 10.08.2016 09:28:08
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением f*****, Filecoder.AO/ на рабочем столе Онлайн консультант
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 12.01.2016 10:29:50
тогда посмотрите этот архив в папке uVS
Цитата
архив из каталога uVS (по формату: ZOO_2016-01-dd_hh-mm-ss.rar/7z) отправить в почту [email protected]
и вышлите его в почту
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 12.01.2016 07:07:32
Эльбрус,
в этой теме пишите по данному шифратору
http://forum.esetnod32.ru/forum35/topic12851/
шифратор видимо свежий, случаи расшифровки пока неизвестны.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением f*****, Filecoder.AO/ на рабочем столе Онлайн консультант
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 12.01.2016 07:04:57
1. заархивируйте эту папку с паролем infected и вышлите в почту [email protected]
C:\USERS\АНДРЕЙ\APPDATA\ROAMING\ODNUQNXVQTACMFPQ4N

2. по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.86.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

dirzoo %SystemDrive%\USERS\АНДРЕЙ\APPDATA\ROAMING\ODNUQNXVQTACMFPQ4N
deldirex %SystemDrive%\USERS\АНДРЕЙ\APPDATA\ROAMING\ODNUQNXVQTACMFPQ4N
;------------------------autoscript---------------------------

chklst
delvir

setdns Подключение по локальной сети\4\{04B03789-F773-4378-84AF-4BB6D806C013}\8.8.8.8,8.8.4.4
deldirex %SystemDrive%\PROGRAM FILES (X86)\CIPLUS-4.5VV16.07

delref %SystemDrive%\USERS\������\APPDATA\ROAMING\5PWWKBIQSHYLZ5XCYTMEGM9FC1.EXE

deldirex %SystemDrive%\PROGRAM FILES (X86)\CIPLUS-4.5VV17.07

deldirex %SystemDrive%\PROGRAM FILES (X86)\ANYPROTECTEX

deldirex %SystemDrive%\PROGRAM FILES (X86)\SHOP AND SAVE UP

delref %SystemDrive%\USERS\������\APPDATA\ROAMING\JHQBHORR5PX2O.EXE

delref %SystemDrive%\USERS\������\APPDATA\ROAMING\NNVZWLOPFYQMIW9RRPC82FRQB.EXE

deldirex %SystemDrive%\PROGRAM FILES (X86)\WORDSURFER_1.10.0.19\UPDATE

deldirex %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIFLPPBJNPNEIIGCBDFJPNKEBIDMKJMOI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPPOILMFKBPCKODOIFDLKMKEPCAJFJMHL%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://WWW.MYSTARTSEARCH.COM/WEB/?TYPE=DS&TS=1437066801&Z=942524997D6419CB25C6185G5Z4C4M4EEQ7Q8M4B7B&FROM=CMI&UID=ST2000DM001-9YN164_S240B9YQXXXXS240B9YQ&Q={SEARCHTERMS}

delref HTTP://WWW.MYSTARTSEARCH.COM/WEB/?TYPE=DS&TS=1437152427&Z=1AD59A6931D097A33261B46G3Z4CAM2G5W9O5Z9G4W&FROM=CMI&UID=ST2000DM001-9YN164_S240B9YQXXXXS240B9YQ&Q={SEARCHTERMS}

delref HTTP://WWW.MYSTARTSEARCH.COM/NEWTAB/?TYPE=NT&TS=1437152427&Z=1AD59A6931D097A33261B46G3Z4CAM2G5W9O5Z9G4W&FROM=CMI&UID=ST2000DM001-9YN164_S240B9YQXXXXS240B9YQ

delref %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\EIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO\5.0.1_0\ПОИСК MAIL.RU

delref %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.0_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LALFIODOHDGAEJJCCFGFMMNGGGPPLMHP\8.14.0_0\СТАРТОВАЯ — ЯНДЕКС

deldirex %SystemDrive%\PROGRAM FILES (X86)\GLOBALUPDATE\UPDATE\1.3.25.0

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMJBEPBHONBOJPOAENHCKJOCCHGFIAOFO%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://WWW.MYSTARTSEARCH.COM/?TYPE=HP&TS=1437152427&Z=1AD59A6931D097A33261B46G3Z4CAM2G5W9O5Z9G4W&FROM=CMI&UID=ST2000DM001-9YN164_S240B9YQXXXXS240B9YQ

delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=51A28F199AD93F8FD8EB22964A6DE445&TEXT={SEARCHTERMS}

deldirex %SystemDrive%\PROGRAM FILES (X86)\GMSD_RU_005010037

regt 27
regt 28
regt 29
; GamesDesktop 033.005010035
exec  C:\Program Files (x86)\gmsd_ru_005010035\unins000.exe
; GamesDesktop 033.005010036
exec  C:\Program Files (x86)\gmsd_ru_005010036\unins000.exe
; GamesDesktop 033.005010037
exec  C:\Program Files (x86)\gmsd_ru_005010037\unins000.exe
; Time tasks
exec C:\ProgramData\TimeTasks\uninstall.exe
deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением f*****, Filecoder.AO/ на рабочем столе Онлайн консультант
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 12.01.2016 06:49:34
Александр,
добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/
+
не используйте чужие скрипты с форума. все скрипты сугубо индивидуальные.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением f*****, Filecoder.AO/ на рабочем столе Онлайн консультант
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 12.01.2016 06:48:07
хорошо.
по расшифровке напишите в техподдержку [email protected] при наличие лицензии на антивирус ESET
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением f*****, Filecoder.AO/ на рабочем столе Онлайн консультант
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 11.01.2016 21:22:34
по очистке системы выполните это:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.86.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

dirzoo %SystemDrive%\USERS\VIAO\APPDATA\ROAMING\ODNUQNXVQTACMFPQ4N
deldirex %SystemDrive%\USERS\VIAO\APPDATA\ROAMING\ODNUQNXVQTACMFPQ4N
;------------------------autoscript---------------------------

hide %SystemDrive%\USERS\VIAO\APPDATA\ROAMING\FOXIT SOFTWARE\ADDON\FOXIT READER\FOXITREADERUPDATER.EXE
chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGBGNHMFBCIFPKJOFOOJFPLMFKMAIADN%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBPGANGMFFJCOFIKNIBCMFJIONICOHFGJ%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIFLPPBJNPNEIIGCBDFJPNKEBIDMKJMOI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNBIFDKMDOJGMPMOPDEBNJCOBEKGDONCN%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOFAMIIOPMJJGKNBPONCNGMMLCOIAKDLD%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\VIAO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\EIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO\5.0.1_0\ПОИСК MAIL.RU

delref %SystemDrive%\USERS\VIAO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NBIFDKMDOJGMPMOPDEBNJCOBEKGDONCN\4.0.4_0\ПОИСК MAIL.RU

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2016-01-dd_hh-mm-ss.rar/7z)  отправить в почту [email protected]
------------

по расшифровке файлов надо обращаться в вирлаб [email protected] при наличие лицензии.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением f*****, Filecoder.AO/ на рабочем столе Онлайн консультант
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 11.01.2016 21:14:27
Кирилл,
вот эту папку заархивируйте с паролем infected и вышлите в почту [email protected]
Цитата
C:\USERS\VIAO\APPDATA\ROAMING\ODNUQNXVQTACMFPQ4N
возможно это реинкарнация прежнего варианта шифратора AES256. был такой в прошлом году.
Изменено: santy - 28.05.2016 03:16:24
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением f*****, Filecoder.AO/ на рабочем столе Онлайн консультант
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 11.01.2016 18:48:02
Кирилл,
1. добавьте образ автозапуска системы
http://forum.esetnod32.ru/forum9/topic2687/

2. добавьте по ссылке несколько зашифрованных файлов
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 453 454 455 456 457 458 459 460 461 462 463 ... 1784 След.