santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 22.09.2015 05:36:37

по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.86.4 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE hide %SystemDrive%\PROGRAM FILES (X86)\USB SAFELY REMOVE\UNINSTALL.EXE ;------------------------autoscript--------------------------- chklst delvir delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID] delref %SystemDrive%\PROGRAM FILES (X86)\АКТ СВЕРКИ ДЛЯ ПОДПИСАНИЯ И ПЕЧАТЕЙ ДЛЯ БУХГАЛТЕРИИ.DOCX.EXE delref HTTP://WEBALTA.RU/SEARCH?FROM=FF&Q= delref %SystemDrive%\USERS\ГЂВ”ГЂВЁГЂВЈГЂВ°\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\HSZO747K.DEFAULT\SEARCHPLUGINS\WEBALTA-SEARCH.XML delref HTTP://WEBALTA.RU/SEARCH delref HTTP:\\PLARIUM.COM\PLAY\RU\STORMFALL\DRAGON01?ADCAMPAIGN=40842&CLICKID=TDTDTBYDTBTB0FYB0CTC0CYETC0FTC0A&PUBLISHERID=1_72 deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.86.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
hide %SystemDrive%\PROGRAM FILES (X86)\USB SAFELY REMOVE\UNINSTALL.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

delref %SystemDrive%\PROGRAM FILES (X86)\АКТ СВЕРКИ ДЛЯ ПОДПИСАНИЯ И ПЕЧАТЕЙ ДЛЯ БУХГАЛТЕРИИ.DOCX.EXE

delref HTTP://WEBALTA.RU/SEARCH?FROM=FF&Q=

delref %SystemDrive%\USERS\ГЂВ”ГЂВЁГЂВЈГЂВ°\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\HSZO747K.DEFAULT\SEARCHPLUGINS\WEBALTA-SEARCH.XML

delref HTTP://WEBALTA.RU/SEARCH

delref HTTP:\\PLARIUM.COM\PLAY\RU\STORMFALL\DRAGON01?ADCAMPAIGN=40842&CLICKID=TDTDTBYDTBTB0FYB0CTC0CYETC0FTC0A&PUBLISHERID=1_72

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке документов при наличие лицензии на антивирус ESET напишите в [email protected]

по восстановлению документов напишите в почту [email protected]

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.09.2015 14:58:05

образ чистый.

по расшифровке документов при наличие лицензии на антивирус ESET напишите в [email protected]

по восстановлению документов напишите в почту [email protected]

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.09.2015 14:54:47

скрипт в данном случае всего лишь чистит систему от остатков шифратора. файлы не расшифровывает.
что делать дальше:

Цитата
по расшифровке документов при наличие лицензии на антивирус ESET напишите в [email protected] по восстановлению документов напишите в почту [email protected]

[ Как создать образ автозапуска? ]

Перейти

Предложение по улучшению форума

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.09.2015 14:35:44

ок,
надо добавить в шаблоны, а то в шаблонах то ссылка осталась старая

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.09.2015 14:33:42

Андрей,
по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.86.5 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir delref %SystemDrive%\PROGRAM FILES (X86)\ДОГОВОР_ЗАЙМА.DOCX.EXE deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAM FILES (X86)\ДОГОВОР_ЗАЙМА.DOCX.EXE

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
-------

по расшифровке документов при наличие лицензии на антивирус ESET напишите в [email protected]

по восстановлению документов напишите в почту [email protected]

[ Как создать образ автозапуска? ]

Перейти

Предложение по улучшению форума

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.09.2015 11:48:07

а что у нас с темой рекомендаций по безопасности? перенесена или удалена?
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Проблема с smartinf.ru

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.09.2015 05:40:05

2.удалите все найденное в малваребайт
далее,
выполните рекомендации:
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Перейти

Версии баз данных сигнатур вирусов.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 18.09.2015 14:01:51

разницы между сигнатурами для EAV и EES нет.
но возможно не все модули будут обновлены в EES из зеркала если ваша лицензия содержит только узлы EAV.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Автозапуск сторонних сайтов

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 17.09.2015 05:50:17

используете взломщики антивирусов, тема будет закрыта.
обратитесь за помощью на другой форум

Цитата
Полное имя D:\УСАНОВОЧНЫЕ ФАЙЛЫ\ESET NOD32 (7.0.317.4)\EAV.EXE Имя файла EAV.EXE Тек. статус ?ВИРУС? ВИРУС [Запускался неявно или вручную] Статус ВИРУС Сигнатура Win32/SpeedBit [глубина совпадения 64(64), необх. минимум 59, максимум 64] www.virustotal.com 2015-04-18 [2014-09-25 18:16:43 UTC (11 месяцев, 3 недель назад)] Avast Win32:Malware-gen DrWeb Tool.HackAv.37 ESET-NOD32 Win32/RiskWare.HackAV.II Symantec WS.Reputation.1 Сохраненная информация на момент создания образа Статус [Запускался неявно или вручную] File_Id 52BA66AF58000 Linker 6.0 Размер 74890717 байт Создан 29.06.2014 в 03:33:46 Изменен 29.06.2014 в 03:34:06 Атрибуты R/O TimeStamp 25.12.2013 в 05:01:35 EntryPoint + OS Version 4.0 Subsystem Windows graphical user interface (GUI) subsystem IMAGE_FILE_DLL - IMAGE_FILE_EXECUTABLE_IMAGE + Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Отсутствует либо ее не удалось проверить Доп. информация на момент обновления списка SHA1 10B3F31E78EC0A7237A28D5F2DB21E7C3012B9E3 MD5 38EE108875A2E6F5D64F6175B8435AD7 Ссылки на объект Ссылка HKEY_USERS\S-1-5-21-1792234414-4203663139-4242113292-1000\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted\D:\УСАНОВОЧНЫЕ ФАЙЛЫ\ESET NOD32 (7.0.317.4)\EAV.EXE

Цитата

Полное имя D:\УСАНОВОЧНЫЕ ФАЙЛЫ\ESET NOD32 (7.0.317.4)\EAV.EXE
Имя файла EAV.EXE
Тек. статус ?ВИРУС? ВИРУС [Запускался неявно или вручную]

Статус ВИРУС
Сигнатура Win32/SpeedBit [глубина совпадения 64(64), необх. минимум 59, максимум 64]

www.virustotal.com 2015-04-18 [2014-09-25 18:16:43 UTC (11 месяцев, 3 недель назад)]
Avast Win32:Malware-gen
DrWeb Tool.HackAv.37
ESET-NOD32 Win32/RiskWare.HackAV.II
Symantec WS.Reputation.1

Сохраненная информация на момент создания образа
Статус [Запускался неявно или вручную]
File_Id 52BA66AF58000
Linker 6.0
Размер 74890717 байт
Создан 29.06.2014 в 03:33:46
Изменен 29.06.2014 в 03:34:06
Атрибуты R/O

TimeStamp 25.12.2013 в 05:01:35
EntryPoint +
OS Version 4.0
Subsystem Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Доп. информация на момент обновления списка
SHA1 10B3F31E78EC0A7237A28D5F2DB21E7C3012B9E3
MD5 38EE108875A2E6F5D64F6175B8435AD7

Ссылки на объект
Ссылка HKEY_USERS\S-1-5-21-1792234414-4203663139-4242113292-1000\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted\D:\УСАНОВОЧНЫЕ ФАЙЛЫ\ESET NOD32 (7.0.317.4)\EAV.EXE

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 16.09.2015 18:44:31

Роман,
по очистке системы выполните.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.86.4 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE addsgn 4A88FEDB553A288D3ED4AEB164AC9B20258AFCF6BA3A9670D58686D33DA6102F5725C32D5542D2218BE9BAB9F32852CE982E674B7912AA258EDE02A395701B13 8 Trojan-Ransom.Win32.Crypmod zoo %SystemDrive%\PROGRAM FILES (X86)\ПРИЛОЖЕНИЕ К ДОГОВОРУ.DOCX.EXE ;------------------------autoscript--------------------------- chklst delvir delref %SystemDrive%\PROGRAM FILES (X86)\АКТ СВЕРКИ ДЛЯ ПОДПИСАНИЯ И ПЕЧАТЕЙ ДЛЯ БУХГАЛТЕРИИ.DOCX.EXE deltmp delnfr ;------------------------------------------------------------- czoo restart

Код


;uVS v3.86.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

addsgn 4A88FEDB553A288D3ED4AEB164AC9B20258AFCF6BA3A9670D58686D33DA6102F5725C32D5542D2218BE9BAB9F32852CE982E674B7912AA258EDE02A395701B13 8 Trojan-Ransom.Win32.Crypmod

zoo %SystemDrive%\PROGRAM FILES (X86)\ПРИЛОЖЕНИЕ К ДОГОВОРУ.DOCX.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAM FILES (X86)\АКТ СВЕРКИ ДЛЯ ПОДПИСАНИЯ И ПЕЧАТЕЙ ДЛЯ БУХГАЛТЕРИИ.DOCX.EXE

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected]
------------

по расшифровке документов при наличие лицензии на антивирус ESET обращайтесь в техподдержку [email protected]

по восстановлению документов напишите в почту [email protected]

[ Как создать образ автозапуска? ]

Перейти