Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 500 501 502 503 504 505 506 507 508 509 510 ... 1784 След.
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.10.2015 11:40:56
по xlsx, docx возможна дешифровка
ссылку на расшифрованные файлв добавил ЛС

если есть в зашифрованном виде другие типы файлов, так же выложите по нескольку файлов
[ Как создать образ автозапуска? ]
Перейти
Ошибка при обмене данными с ядром, главная
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.10.2015 07:12:13
Сергей Васильев,
общее средство такое:
добавьте образ автозапуска системы
http://forum.esetnod32.ru/forum9/topic2687/
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.10.2015 07:09:30
тело шифратора было здесь
C:\PROGRAM FILES (X86)\WINRARS\EXPLORER.EXE
судя по образу файла на текущий момент уже нет. если есть теневые копии, поищите файл, возможно будет полезен для расшифровки документов.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

del %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\DESKTOP.INI.ID-{JKCYHFFNURWEQYDMXGLLFMKSMURZTBGHAINV-03.10.2015 19@13@271120222}[email protected]

del %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\DESKTOP.INI.ID-{JKCYHFFNURWEQYDMXGLLFMKSMURZTBGHAINV-03.10.2015 19@13@271120222}[email protected]

delref %SystemDrive%\PROGRAM FILES (X86)\WINRARS\EXPLORER.EXE

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке выложите несколько документов doc, docx, xls, xlsx, jpg в архиве по ссылке для проверки возможности расшифровки.
Изменено: santy - 22.02.2020 16:42:11
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Вирусы...Помогите!
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.10.2015 06:55:15
а зачем нужен образ автозапуска? :)
1. в логах много информации по конкретному заражению, которая может быть интересна и полезна хелперам в их работе.
так же полезно знать, что осталось в системе после выполнения скрипта uVS, т.е. вполне возможно что какие то файлы не были удалены в uVS

в инструкции по ссылке конкретно указывается,
Цитата
Сохраняем файл на диск, даем файлу произвольное имя и прикрепляем лог на форуме по запросу хелпера.

т.е. система была до отказа была забита адварными программами.
в таких случаях мы чистим uVS, затем сканируем в малваребайт, потом еще в AdwCleaner, и еще в FRST приходится что-то добивать.

а иначе юзер вернется к вам через несколько дней со своими проблемами.
Изменено: santy - 07.10.2015 07:00:24
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Вирусы...Помогите!
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 06.10.2015 19:41:59
Владимир,
просьба все запрашиваемые логи добавлять в тему лечения.
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Вирусы...Помогите!
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 06.10.2015 16:20:25
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES (X86)\CLICKCAPTION_1.10.0.2\SERVICE\CCSVC.EXE
addsgn 1A85219A5583378CF42B627DA804DEC9E946303A4536D3B40E8FE1B00753B843A785C3573E03CEC2F20BF0BB52E18FF97DDFE8F929FEA05926B64D2DC883A773 8 Win32/AdWare.Vitruvian.D [ESET-NOD32]

zoo %SystemDrive%\USERS\PK\APPDATA\ROAMING\DIGITALSITES\UPDATEPROC\UPDATETASK.EXE
addsgn A7679B19919AF4E68195AE59D409ECFA4F8A94EA01BB1F10ED4A84BC384AF80D23AEF3DC7F552729A0C184273E9D08FA9538BD8DAA322A83D388A42F38F9DD8C 8 Win32/DealPly

zoo %SystemDrive%\PROGRAM FILES\CLICKCAPTION_1.10.0.2\IE\CLICKCAPTIONCLIENTIE.DLL
addsgn BA652BBE5D22C5062FC4F9F9E724324CAE72772CC171EEFB7FC2B0B9B805244C235B4890B586D5C2E5C80FC36226017109FBD03AD61E9073C474A42FC7CAEEBF 64 Win64/Adware.Vitruvian.B [ESET-NOD32]

zoo %SystemDrive%\PROGRAM FILES (X86)\CLICKCAPTION_1.10.0.2\IE\CLICKCAPTIONCLIENTIE.DLL
addsgn A7679B1928664D070E3CD1F464C8ED70357589FA768F179082C3C5BCD3127D11E11BC33D323D55932A906CDA451649C9BD9F6307595F4659214E9187CD04327C 64 AdWare.Vitruvian.D [ESET-NOD32]

zoo %SystemDrive%\PROGRAM FILES (X86)\CLEARTHINK\BIN\BCD064.DLL
addsgn BA652BBE5D22C5062FC4F9F9E724324CAE72772CC171EEFB7FC2B0B9B8F9114C235B4890B586D5C2E5C80FC36226017109FBD03AD61E9073C4D05AD038CAEEBF 64 Trojan.BPlug.219 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES (X86)\CLEARTHINK\BIN\BCD0.DLL
addsgn 79132211B9E9317E0AA1AB59C5B61205DAFFF47DC4EA942D892B2942AF292811E11BC3EF13DB9F598818769C56D14C668FDCF851D0D8A0EB28D7562CD7D1A671 64 Win32/BrowseFox.M [ESET-NOD32]

zoo %SystemDrive%\PROGRAM FILES (X86)\CLEARTHINK\BIN\CLEARTHINK.BROWSERADAPTER.EXE
addsgn 1A29569A5583C58CF42B254E3143FE58CC79F9F689C11208F582C5C95225B2A56035C357B5AAC8C2C703688FAD1BB68F7537AE5155DAE9A9ED03ABD0B20ECAF9 8 Win32/BrowseFox

zoo %SystemDrive%\PROGRAM FILES (X86)\CLEARTHINK\BIN\CLEARTHINK.BROWSERADAPTER64.EXE
addsgn BA6F9BB2BDA96A720B9C2D754C2140FBDA75303A60111A78850F09709C1ABD80EFDB0F9BF2995185E74CE2F94909CDFA7DDFE8721DE1BD057476A45AD64EE3B2 8 Win64/BrowseFox

zoo %SystemDrive%\PROGRAM FILES (X86)\CLEARTHINK\BIN\CLEARTHINK.PURBROWSE64.EXE
addsgn BA6F9BB2BD1DD8720B9C2D754C2164FBDA75303AC57712DD29C1C58F909FFA9D679A835F055FE962D440CD9C9695B1D70F2D6533B859483D5A711C22C70622B0 8 edu_app

;------------------------autoscript---------------------------

sreg

chklst
delvir

; ClearThink
exec C:\Program Files (x86)\ClearThink\ClearThinkUn.exe OFS_

deldirex %SystemDrive%\PROGRAM FILES (X86)\CLEARTHINK

deldirex %SystemDrive%\USERS\PK\APPDATA\LOCAL\MEDIAGET2

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]
delref %Sys32%\DRIVERS\CCNFD_1_10_0_2.SYS
del %Sys32%\DRIVERS\CCNFD_1_10_0_2.SYS

delref %Sys32%\DRIVERS\{1FE5A9EB-D0AD-44C6-8E0E-E079118DB915}GW64.SYS
del %Sys32%\DRIVERS\{1FE5A9EB-D0AD-44C6-8E0E-E079118DB915}GW64.SYS

delref %Sys32%\DRIVERS\{2429C312-24D3-4127-94ED-C247FE9E02FC}W64.SYS
del %Sys32%\DRIVERS\{2429C312-24D3-4127-94ED-C247FE9E02FC}W64.SYS

delref %Sys32%\DRIVERS\{2AC9EB83-636E-4A51-AB66-BF4F388A02AB}GW64.SYS
del %Sys32%\DRIVERS\{2AC9EB83-636E-4A51-AB66-BF4F388A02AB}GW64.SYS

delref %Sys32%\DRIVERS\{481A6589-8E34-4BD5-9BE2-2F7CE66C44D6}GW64.SYS
del %Sys32%\DRIVERS\{481A6589-8E34-4BD5-9BE2-2F7CE66C44D6}GW64.SYS

delref %Sys32%\DRIVERS\{4DBBE3B0-AF29-43DD-BCBA-7BFABD419F61}GW64.SYS
del %Sys32%\DRIVERS\{4DBBE3B0-AF29-43DD-BCBA-7BFABD419F61}GW64.SYS

delref %Sys32%\DRIVERS\{663D99D0-F31D-457E-980B-DC5DAF227786}W64.SYS
del %Sys32%\DRIVERS\{663D99D0-F31D-457E-980B-DC5DAF227786}W64.SYS

delref %Sys32%\DRIVERS\{6CFEC6A5-9D93-4492-985A-470A68EFF4E9}W64.SYS
del %Sys32%\DRIVERS\{6CFEC6A5-9D93-4492-985A-470A68EFF4E9}W64.SYS

delref %Sys32%\DRIVERS\{75729234-632F-47D7-8E20-2E89BA1587CF}GW64.SYS
del %Sys32%\DRIVERS\{75729234-632F-47D7-8E20-2E89BA1587CF}GW64.SYS

delref %Sys32%\DRIVERS\{94538859-34DE-4CD4-9DC6-AA29E98FF214}GW64.SYS
del %Sys32%\DRIVERS\{94538859-34DE-4CD4-9DC6-AA29E98FF214}GW64.SYS

delref %Sys32%\DRIVERS\{B35AFCF6-0992-4551-B2DA-3AF8A5DC5119}GW64.SYS
del %Sys32%\DRIVERS\{B35AFCF6-0992-4551-B2DA-3AF8A5DC5119}GW64.SYS

delref %Sys32%\DRIVERS\{BCD08FC8-CB56-41A3-8B19-3C556687A504}W64.SYS
del %Sys32%\DRIVERS\{BCD08FC8-CB56-41A3-8B19-3C556687A504}W64.SYS

delref %Sys32%\DRIVERS\{C5E48979-BD7F-4CF7-9B73-2482A67A4F37}GW64.SYS
del %Sys32%\DRIVERS\{C5E48979-BD7F-4CF7-9B73-2482A67A4F37}GW64.SYS

delref %Sys32%\DRIVERS\{C89879CB-75B8-4CB6-BC13-07C704396FD0}GW64.SYS
del %Sys32%\DRIVERS\{C89879CB-75B8-4CB6-BC13-07C704396FD0}GW64.SYS

delref %Sys32%\DRIVERS\{D609E0EB-8157-494A-B166-6F24F8A1CBB4}W64.SYS
del %Sys32%\DRIVERS\{D609E0EB-8157-494A-B166-6F24F8A1CBB4}W64.SYS

delref %Sys32%\DRIVERS\{F8280EDE-2AB0-420D-AE0F-169BA406978B}GW64.SYS
del %Sys32%\DRIVERS\{F8280EDE-2AB0-420D-AE0F-169BA406978B}GW64.SYS

delref %Sys32%\DRIVERS\{F8280EDE-2AB0-420D-AE0F-169BA406978B}W64.SYS
del %Sys32%\DRIVERS\{F8280EDE-2AB0-420D-AE0F-169BA406978B}W64.SYS

delref %Sys32%\DRIVERS\{FE90D265-3BE8-45CD-8D93-3CA3523FD9EA}GW64.SYS
del %Sys32%\DRIVERS\{FE90D265-3BE8-45CD-8D93-3CA3523FD9EA}GW64.SYS

deldirex %SystemDrive%\USERS\PK\APPDATA\LOCAL\MEDIA GET LLC\MEDIAGET2

delref HTTP:\\PLARIUM.COM\PLAY\RU\PIRATES\TOP\?ADCAMPAIGN=31909&CLICKID=TAYETBTAZZYB0DYC0EYBZZ0CYETDYETD&PUBLISHERID=72
delref HTTP:\\PLARIUM.COM\PLAY\RU\STORMFALL\TOP\?ADCAMPAIGN=34522&CLICKID=TAYETBTAZZYB0DYC0EYBZZ0CYETDYETD&PUBLISHERID=2_72
regt 27
regt 28
regt 29
deltmp
delnfr
areg

;-------------------------------------------------------------

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 06.10.2015 12:48:23
Антон Григорьев,
по очистке системы выполните скрипт

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES (X86)\ASKPARTNERNETWORK\TOOLBAR\APNMCP.EXE
addsgn 1A981D9A5583C58CF42B254E3143FE8E6886AFC552C1D40E9EA9258F828E86BD1852D32431BDB14A2B80439F4A1649FA4E1F03335A75FD3C7B202FDEFE5B2A07 8 Toolbar.Ask

;------------------------autoscript---------------------------

hide %SystemDrive%\PROGRAM FILES (X86)\INTERNET DOWNLOAD MANAGER\IDMSHELLEXT64.DLL
chklst
delvir

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]

deldirex %SystemDrive%\PROGRAMDATA\ASKPARTNERNETWORK\TOOLBAR\SHARED\CRX

delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE

delref %SystemDrive%\USERS\WIN 7\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SFGDMYPU.DEFAULT\EXTENSIONS\[email protected]

delref %SystemDrive%\USERS\WIN 7\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AAAAAIABCOPKPLHGAEDHBLOEEJHHANKF\55.11_0\SEARCH APP BY ASK V2

delref %SystemDrive%\USERS\WIN 7\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE

; OpenAL
exec  C:\Program Files (x86)\OpenAL\OpenAL_2030.exe" /U
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

по восстановлению документов напишите в почту [email protected]
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 05.10.2015 13:07:56
это исполняемая программа, которая зашифровала документы
Код
%SystemDrive%\PROGRAM FILES\ДОГОВОР ДЛЯ ПОДПИСАНИЯ И ПЕЧАТЕЙ ДЛЯ БУХГАЛТЕРИИ.DOCX.EXE

если сохранилась копия этой программы, или возможно есть в карантине, или во вложении электронной почты, откуда был запущен шифратор.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 05.10.2015 12:45:10
добавить в архив с паролем infected тело шифратора + несколько зашифрованных файлов.
если есть чистые аналоги данных файлов, то и их добавьте в архив.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 05.10.2015 10:50:47
Антон,
по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
delall %SystemDrive%\PROGRAM FILES\ДОГОВОР ДЛЯ ПОДПИСАНИЯ И ПЕЧАТЕЙ ДЛЯ БУХГАЛТЕРИИ.DOCX.EXE
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

по восстановлению документов напишите в почту [email protected]
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 500 501 502 503 504 505 506 507 508 509 510 ... 1784 След.