santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 05.12.2015 12:18:33

6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Цитата
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION CHR HKU\S-1-5-21-3865369643-827175376-3363337085-500\SOFTWARE\Policies\Google: Restriction <======= ATTENTION Toolbar: HKU\S-1-5-21-3865369643-827175376-3363337085-500 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Toolbar: HKU\S-1-5-21-3865369643-827175376-3363337085-500 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File FF Extension: SocialLife for Firefox™ - C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\sv4p9r75.default\Extensions\[email protected] [2014-12-23] [not signed] FF Extension: site_navigation - C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\sv4p9r75.default\Extensions\[email protected] [2014-07-31] [not signed] FF Extension: WebAlta - C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\sv4p9r75.default\Extensions\{4933189D-C7F7-4C6E-834B-A29F087BFD23}.xpi [2012-06-06] [not signed] FF Extension: Ultimate Finder - C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\sv4p9r75.default\Extensions\{7c231677-e4fb-44ac-80a5-c87fcb7c2be9} [2015-08-11] [not signed] FF Extension: No Name - C:\Program Files\Mozilla Firefox\browser\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}.xpi [2015-10-08] [not signed] CHR HKLM\...\Chrome\Extension: [hcncjpganfocbfoenaemagjjopkkindp] - <no Path\update_url> OPR Extension: (SaveFrom.net помощник) - C:\Users\Администратор\AppData\Roaming\Opera Software\Opera Stable\Extensions\npdpplbicnmpoigidfdjadamgfkilaak [2015-12-03] EmptyTemp: Reboot:

Цитата

CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-3865369643-827175376-3363337085-500\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
Toolbar: HKU\S-1-5-21-3865369643-827175376-3363337085-500 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
Toolbar: HKU\S-1-5-21-3865369643-827175376-3363337085-500 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File
FF Extension: SocialLife for Firefox™ - C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\sv4p9r75.default\Extensions\[email protected] [2014-12-23] [not signed]
FF Extension: site_navigation - C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\sv4p9r75.default\Extensions\[email protected] [2014-07-31] [not signed]
FF Extension: WebAlta - C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\sv4p9r75.default\Extensions\{4933189D-C7F7-4C6E-834B-A29F087BFD23}.xpi [2012-06-06] [not signed]
FF Extension: Ultimate Finder - C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\sv4p9r75.default\Extensions\{7c231677-e4fb-44ac-80a5-c87fcb7c2be9} [2015-08-11] [not signed]
FF Extension: No Name - C:\Program Files\Mozilla Firefox\browser\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}.xpi [2015-10-08] [not signed]
CHR HKLM\...\Chrome\Extension: [hcncjpganfocbfoenaemagjjopkkindp] - <no Path\update_url>
OPR Extension: (SaveFrom.net помощник) - C:\Users\Администратор\AppData\Roaming\Opera Software\Opera Stable\Extensions\npdpplbicnmpoigidfdjadamgfkilaak [2015-12-03]
EmptyTemp:
Reboot:

по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 05.12.2015 09:40:10

2.удалите все найденное в малваребайт
перегрузите систему
далее,
3.сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

5.сделайте проверку в FRST
http://pchelpforum.ru/f26/t24207/2/#post1257991

[ Как создать образ автозапуска? ]

Перейти

новый вариант VAULT от 2ноября 2015г., Filecoder.FH

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.12.2015 14:27:16

Цитата
Дмитрий Богайчук написал: В письме я писал, что заражение произошло 05.11.2015

Edgar Man=Дмитрий Богайчук?

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.12.2015 13:56:32

Цитата
Алексей Колесников написал: Скажите, вирус/программа могла сохраниться на другие диски, кроме диска С

не могла.

примите меры на будущее. используйте локальные политики для ограничения запуска нежелательных программ.
можно купить Криптопревент, специальная защита от шифраторов или использовать бесплатную версию.

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.12.2015 13:53:28

образ чистый,
по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.12.2015 13:50:44

Катерина,
по очистке системы выполните скрипт

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.86.7 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v385c OFFSGNSAVE hide %Sys32%\CLOCKDIGITALLEOPARD.SCR ;------------------------autoscript--------------------------- chklst delvir delref .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\JWGKVSQ.VMX regt 27 deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
hide %Sys32%\CLOCKDIGITALLEOPARD.SCR
;------------------------autoscript---------------------------

chklst
delvir

delref .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\JWGKVSQ.VMX

regt 27
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.12.2015 11:07:27

Andrey,
по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.86.7 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAMINLPMKFCDIBGPGFAJLGNAMICJCKKJF%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\USERS\SHARIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\FMQS12IL.DEFAULT\EXTENSIONS\[email protected] regt 27 deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir


delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAMINLPMKFCDIBGPGFAJLGNAMICJCKKJF%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\SHARIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\FMQS12IL.DEFAULT\EXTENSIONS\[email protected]

regt 27
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.12.2015 10:54:45

Дмитрий,
выполните скрипт для очистки системы

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.86.7 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE hide %SystemDrive%\PROGRAM FILES\MALWAREBYTES ANTI-MALWARE\UNINS000.EXE ;------------------------autoscript--------------------------- chklst delvir delref %SystemDrive%\PROGRAM FILES\1C\КОПИЯ ИСКА.EXE deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
hide %SystemDrive%\PROGRAM FILES\MALWAREBYTES ANTI-MALWARE\UNINS000.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAM FILES\1C\КОПИЯ ИСКА.EXE

deltmp
delnfr
;-------------------------------------------------------------

restart

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.12.2015 10:39:44

по расшифровке обращайтесь к специалистам. в техподдержку вашего антивируса.
это работа не для простых смертных.

если у вас бесплатный антивирус, или без правильной лицензии, значит делайте выводы,
какой антивирус надо устанавливать.

Изменено: santy - 22.02.2020 15:56:37

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.12.2015 05:49:29

Алексей Колесников,
по очистке системы выполните скрипт

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.86.7 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE hide %SystemDrive%\USERS\АЛЕКСЕЙ\DOCUMENTS\MY GAMES\MINECRAFT 1.7.2 BY TEAMEXTREMEMC.COM\MINECRAFT 1.7.2.EXE ;------------------------autoscript--------------------------- chklst delvir delref %SystemDrive%\PROGRAM FILES (X86)\ALTERGEO\HTML5 GEOLOCATION PROVIDER\HTML5LOCSVC.EXE delref %SystemDrive%\PROGRAM FILES (X86)\REGCLEAN PRO\REGCLEANPRO.EXE delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID] delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAMINLPMKFCDIBGPGFAJLGNAMICJCKKJF%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBOPAKAGNCKMLGAJFCCECAJHNIMJIIEDH%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC deldirex %SystemDrive%\PROGRAM FILES (X86)\ASKPARTNERNETWORK\TOOLBAR\ORJ-SPE deldirex %SystemDrive%\PROGRAM FILES (X86)\SAVESENSELIVE\UPDATE\1.3.23.0 deldirex %SystemDrive%\PROGRAM FILES (X86)\ASKPARTNERNETWORK\TOOLBAR delref %SystemDrive%\PROGRAMDATA\ALTERGEO\UPDATE FOR HTML5 GEOLOCATION PROVIDER\HTML5LOCSVC.EXE deldirex %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\LOCAL\MEDIAGET2 ; McAfee Security Scan Plus exec C:\Program Files\McAfee Security Scan\uninstall.exe ; RegClean Pro exec C:\Program Files (x86)\RCP\unins000.exe" /silent ; Muzabaza player exec C:\ProgramData\Package Cache\{32c015b6-fc7a-469d-9bc1-777488f92a8a}\MuzabazaPlayer.exe" /uninstall deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

hide %SystemDrive%\USERS\АЛЕКСЕЙ\DOCUMENTS\MY GAMES\MINECRAFT 1.7.2 BY TEAMEXTREMEMC.COM\MINECRAFT 1.7.2.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAM FILES (X86)\ALTERGEO\HTML5 GEOLOCATION PROVIDER\HTML5LOCSVC.EXE

delref %SystemDrive%\PROGRAM FILES (X86)\REGCLEAN PRO\REGCLEANPRO.EXE

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAMINLPMKFCDIBGPGFAJLGNAMICJCKKJF%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBOPAKAGNCKMLGAJFCCECAJHNIMJIIEDH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3DONDEMAND%26UC

deldirex %SystemDrive%\PROGRAM FILES (X86)\ASKPARTNERNETWORK\TOOLBAR\ORJ-SPE

deldirex %SystemDrive%\PROGRAM FILES (X86)\SAVESENSELIVE\UPDATE\1.3.23.0

deldirex %SystemDrive%\PROGRAM FILES (X86)\ASKPARTNERNETWORK\TOOLBAR

delref %SystemDrive%\PROGRAMDATA\ALTERGEO\UPDATE FOR HTML5 GEOLOCATION PROVIDER\HTML5LOCSVC.EXE

deldirex %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\LOCAL\MEDIAGET2

; McAfee Security Scan Plus
exec C:\Program Files\McAfee Security Scan\uninstall.exe

; RegClean Pro
exec  C:\Program Files (x86)\RCP\unins000.exe" /silent
; Muzabaza player
exec  C:\ProgramData\Package Cache\{32c015b6-fc7a-469d-9bc1-777488f92a8a}\MuzabazaPlayer.exe"  /uninstall
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов напишите в техподдержку вашего антивируса.

[ Как создать образ автозапуска? ]

Перейти