santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 10.12.2015 08:31:34

Федор Перекрест,
в данном случае не нужны логи очистки и ZOO.
лог выполнения скрипта, и ZOO обычно мы пишем в сообщении после скрипта, если они необходимы для анализа.

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 10.12.2015 07:35:30

Василий,
активности шифратора (уже) нет судя по образу

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.86.7 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\PROGRAM FILES (X86)\TOOLDEV342\WEATHERBAR\TRACERSTOOLBARBHO_X86.DLL addsgn A7679B1928664D070E3C08B264C8ED70357589FA768F179082C3C5BCD3127D11E11BC33D2E3DCDC92B906CAB471649C9BD9F6382DCAF541FF6FEF9D34C7B2EFA 64 Trojan.BPlug.116 [DrWeb] delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-2001398493-2628175497-996280023-1000\$IDWXIX6.EXE ;------------------------autoscript--------------------------- sreg chklst delvir delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\Ё0U.LNK del %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\Ё0U.LNK delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\DIGITA~1\UPDATE~1\UPDATE~1.EXE del %SystemDrive%\USERS\USER\APPDATA\ROAMING\DIGITA~1\UPDATE~1\UPDATE~1.EXE delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC deldirex %SystemDrive%\PROGRAM FILES (X86)\MOBOGENIE delref %SystemDrive%\PROGRA~3\MSIFHG.EXE del %SystemDrive%\PROGRA~3\MSIFHG.EXE delref %Sys32%\DRIVERS\{255A824A-3CDE-4DEE-9785-284605606456}W64.SYS del %Sys32%\DRIVERS\{255A824A-3CDE-4DEE-9785-284605606456}W64.SYS delref %Sys32%\DRIVERS\{6B89253F-7097-40C7-9EAD-2D5B1CEB02E2}W64.SYS del %Sys32%\DRIVERS\{6B89253F-7097-40C7-9EAD-2D5B1CEB02E2}W64.SYS delref %Sys32%\DRIVERS\{A3F28269-AD17-41A8-B032-3E0313EF8979}GW64.SYS del %Sys32%\DRIVERS\{A3F28269-AD17-41A8-B032-3E0313EF8979}GW64.SYS delref %Sys32%\DRIVERS\{B0C7827F-C845-429A-833B-C2A798FC4FC3}W64.SYS del %Sys32%\DRIVERS\{B0C7827F-C845-429A-833B-C2A798FC4FC3}W64.SYS delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\MSIFHG.EXE del %SystemDrive%\USERS\USER\APPDATA\ROAMING\MSIFHG.EXE delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=21A974D0E7645DDCC97F00DEF2F43E38&TEXT={SEARCHTERMS} regt 27 delhst 204.44.87.184 ok.ru delhst 204.44.87.184 m.ok.ru ; Weatherbar exec MsiExec.exe /I{29EA77C2-07D6-44B0-B41D-053380B0C6F4} /quiet deltmp delnfr areg ;-------------------------------------------------------------

Код


;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES (X86)\TOOLDEV342\WEATHERBAR\TRACERSTOOLBARBHO_X86.DLL
addsgn A7679B1928664D070E3C08B264C8ED70357589FA768F179082C3C5BCD3127D11E11BC33D2E3DCDC92B906CAB471649C9BD9F6382DCAF541FF6FEF9D34C7B2EFA 64 Trojan.BPlug.116 [DrWeb]

delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-2001398493-2628175497-996280023-1000\$IDWXIX6.EXE
;------------------------autoscript---------------------------

sreg

chklst
delvir

delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\Ё0U.LNK
del %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\Ё0U.LNK

delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\DIGITA~1\UPDATE~1\UPDATE~1.EXE
del %SystemDrive%\USERS\USER\APPDATA\ROAMING\DIGITA~1\UPDATE~1\UPDATE~1.EXE

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC
deldirex %SystemDrive%\PROGRAM FILES (X86)\MOBOGENIE

delref %SystemDrive%\PROGRA~3\MSIFHG.EXE
del %SystemDrive%\PROGRA~3\MSIFHG.EXE

delref %Sys32%\DRIVERS\{255A824A-3CDE-4DEE-9785-284605606456}W64.SYS
del %Sys32%\DRIVERS\{255A824A-3CDE-4DEE-9785-284605606456}W64.SYS

delref %Sys32%\DRIVERS\{6B89253F-7097-40C7-9EAD-2D5B1CEB02E2}W64.SYS
del %Sys32%\DRIVERS\{6B89253F-7097-40C7-9EAD-2D5B1CEB02E2}W64.SYS

delref %Sys32%\DRIVERS\{A3F28269-AD17-41A8-B032-3E0313EF8979}GW64.SYS
del %Sys32%\DRIVERS\{A3F28269-AD17-41A8-B032-3E0313EF8979}GW64.SYS

delref %Sys32%\DRIVERS\{B0C7827F-C845-429A-833B-C2A798FC4FC3}W64.SYS
del %Sys32%\DRIVERS\{B0C7827F-C845-429A-833B-C2A798FC4FC3}W64.SYS

delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\MSIFHG.EXE
del %SystemDrive%\USERS\USER\APPDATA\ROAMING\MSIFHG.EXE

delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=21A974D0E7645DDCC97F00DEF2F43E38&TEXT={SEARCHTERMS}
regt 27
delhst 204.44.87.184 ok.ru
delhst 204.44.87.184 m.ok.ru
; Weatherbar
exec MsiExec.exe /I{29EA77C2-07D6-44B0-B41D-053380B0C6F4} /quiet
deltmp
delnfr
areg

;-------------------------------------------------------------

перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 10.12.2015 07:31:15

судя по образу, активности нет шифратора.
хорошая выучка у сотрудников.
увидели активность шифратора, сразу отключили комп и вызвали специалиста.

по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.86.7 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-1200086240-256105311-267561620-1000\$I4E71G3.EXE delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-1200086240-256105311-267561620-1000\$I773FOT.EXE delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-1200086240-256105311-267561620-1000\$IG1VGSX.EXE delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-1200086240-256105311-267561620-1000\$IJWEXZQ.EXE delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-1200086240-256105311-267561620-1000\$ILEOZ3L.EXE delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-1200086240-256105311-267561620-1000\$IN49B8R.EXE delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-1200086240-256105311-267561620-1000\$IOM3FZ5.EXE delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-1200086240-256105311-267561620-1000\$IS8T10F.EXE delall %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE delall %SystemDrive%\USERS\VICTOR~1\APPDATA\ROAMING\MSFXM.EXE delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-1200086240-256105311-267561620-1000\$I13D489.SCR delall %SystemDrive%\USERS\VICTORIYA\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\BTUNQDB7.DEFAULT\EXTENSIONS\[email protected] deltmp delnfr restart

Код


;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-1200086240-256105311-267561620-1000\$I4E71G3.EXE
delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-1200086240-256105311-267561620-1000\$I773FOT.EXE
delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-1200086240-256105311-267561620-1000\$IG1VGSX.EXE
delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-1200086240-256105311-267561620-1000\$IJWEXZQ.EXE
delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-1200086240-256105311-267561620-1000\$ILEOZ3L.EXE
delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-1200086240-256105311-267561620-1000\$IN49B8R.EXE
delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-1200086240-256105311-267561620-1000\$IOM3FZ5.EXE
delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-1200086240-256105311-267561620-1000\$IS8T10F.EXE
delall %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
delall %SystemDrive%\USERS\VICTOR~1\APPDATA\ROAMING\MSFXM.EXE
delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-1200086240-256105311-267561620-1000\$I13D489.SCR
delall %SystemDrive%\USERS\VICTORIYA\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\BTUNQDB7.DEFAULT\EXTENSIONS\[email protected]
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
------------
по тому что зашифровано, проверьте, возможно есть чистые файлы в теневых копиях.
(если они остались живые)

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.12.2015 19:26:44

повторный образ чист

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Вирусы.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.12.2015 18:39:55

если проблемы решены,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic12354/

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.12.2015 18:32:45

Александр,

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.86.7 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE addsgn A7679BF0AA0234044BD4C61739881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CE20F9FE82BD6D738B06D775BACCA8ABE33 8 breaking_bad zoo %SystemDrive%\USERS\MASLOV\DOWNLOADS\SCHET.NOMER.10400511-09-12 (1).SCR zoo %SystemDrive%\USERS\MASLOV\APPDATA\LOCAL\IBWSOFT\846F2F63.EXE delall %SystemDrive%\USERS\MASLOV\APPDATA\LOCAL\IBWSOFT\846F2F63.EXE ;------------------------autoscript--------------------------- chklst delvir delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID] regt 27 regt 28 regt 29 deltmp delnfr ;------------------------------------------------------------- czoo restart

Код


;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
addsgn A7679BF0AA0234044BD4C61739881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CE20F9FE82BD6D738B06D775BACCA8ABE33 8 breaking_bad

zoo %SystemDrive%\USERS\MASLOV\DOWNLOADS\SCHET.NOMER.10400511-09-12 (1).SCR
zoo %SystemDrive%\USERS\MASLOV\APPDATA\LOCAL\IBWSOFT\846F2F63.EXE
delall %SystemDrive%\USERS\MASLOV\APPDATA\LOCAL\IBWSOFT\846F2F63.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

regt 27
regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_гггг-мм-дд_чч-мм-сс.rar/7z) отправить в почту [email protected]
------------

по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

Изменено: santy - 27.05.2016 14:12:24

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.12.2015 17:27:58

повторный образ чистый

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.12.2015 16:49:36

Александр Медведев,

по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.86.7 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE addsgn A7679BF0AA0234044BD4C61739881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CE20F9FE82BD6D738B06D775BACCA8ABE33 8 breaking_bad ;------------------------autoscript--------------------------- chklst delvir deltmp delnfr ;------------------------------------------------------------- czoo restart

Код


;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
addsgn A7679BF0AA0234044BD4C61739881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CE20F9FE82BD6D738B06D775BACCA8ABE33 8 breaking_bad

;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

Изменено: santy - 27.05.2016 14:21:47

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.12.2015 16:45:25

Эдуард,
если шифрование завершилось выставлением заставки на рабочий стол, а так же размещением файлов readme*.txt в корне диска,
то самое страшное уже случилось.
файл что висит в памяти может подгружать другие вредоносные файлы,
но это не страшно вообщем.

сделайте образ автозапуска, очистим систему от остаков шифратора, а дальше уже думать, как расшифровать документы

Изменено: santy - 28.05.2016 03:29:35

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.12.2015 16:41:06

Федор,
выполните скрипт очистки системы

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.86.7 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v385c OFFSGNSAVE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\WINDOWS\CSRSS.EXE addsgn A7679BF0AA0234044BD4C61739881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CE20F9FE82BD6D738B06D775BACCA8ABE33 8 breaking_bad zoo %SystemDrive%\DOCUMENTS AND SETTINGS\1\APPLICATION DATA\NEWSI_21\S_INST.EXE addsgn A7679B235F6A4C7261D4C4B12DBDEB5476DCAB4EFD0E5D786D9CA441AF5D4C907254C364FE00F5091DC384FBB9262D735D379E0BA8253BDCA881D8678135F9FE 21 Trojan.Fakealert.47029 ;------------------------autoscript--------------------------- chklst delvir delref %SystemDrive%\DOCUMENTS AND SETTINGS\1\APPLICATION DATA\IDENTITIES\USEIDENTITIES.EXE ; RegClean Pro exec C:\Program Files\RegClean Pro\unins000.exe" /silent deltmp delnfr ;------------------------------------------------------------- CZOO restart

Код


;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\WINDOWS\CSRSS.EXE
addsgn A7679BF0AA0234044BD4C61739881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CE20F9FE82BD6D738B06D775BACCA8ABE33 8 breaking_bad

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\1\APPLICATION DATA\NEWSI_21\S_INST.EXE
addsgn A7679B235F6A4C7261D4C4B12DBDEB5476DCAB4EFD0E5D786D9CA441AF5D4C907254C364FE00F5091DC384FBB9262D735D379E0BA8253BDCA881D8678135F9FE 21 Trojan.Fakealert.47029

;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\DOCUMENTS AND SETTINGS\1\APPLICATION DATA\IDENTITIES\USEIDENTITIES.EXE

; RegClean Pro
exec C:\Program Files\RegClean Pro\unins000.exe" /silent
deltmp
delnfr
;-------------------------------------------------------------
CZOO
restart

перезагрузка, пишем о старых и новых проблемах.

по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Перейти