santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 19.08.2015 18:52:45

Сергей,
по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.86.4 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v385c OFFSGNSAVE zoo %SystemDrive%\PROGRAM FILES\ASKPARTNERNETWORK\TOOLBAR\APNMCP.EXE addsgn 1AB81F9A5583C58CF42B254E3143FE8E6886AFC552C1D40E9EA9258F828E86BD1852D32431BD014A2B80439F4A1649FA4E1F03335A75FD3C7B202FDEFE5B2A07 8 Toolbar.Ask zoo %SystemDrive%\PROGRAM FILES\ASKPARTNERNETWORK\TOOLBAR\APNSETUP.EXE addsgn 1AD42D9A5583358CF42B95BCE0A5550550880F356040457885483AE9DB3A27C756039464C16E6A3C2FB34474232F34F208C400A54FDAB0463B292D1F90517524 8 Toolbar.Ask hide %SystemDrive%\PROGRAM FILES\TUNEUP UTILITIES 2011\TURATINGSYNCH.EXE ;------------------------autoscript--------------------------- chklst delvir deldirex %SystemDrive%\PROGRAM FILES\ASKPARTNERNETWORK\TOOLBAR\ORJ-SPE deldirex %SystemDrive%\PROGRAM FILES\ASKPARTNERNETWORK\TOOLBAR\ORJ-ST-SPE delref %SystemDrive%\DOCUMENTS AND SETTINGS\МАРИЯ\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AAAAAIABCOPKPLHGAEDHBLOEEJHHANKF\111.12_0\SEARCH APP BY ASK V2 deldirex %SystemDrive%\PROGRAM FILES\ASKPARTNERNETWORK\TOOLBAR ; McAfee Security Scan Plus exec C:\Program Files\McAfee Security Scan\uninstall.exe deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.86.4 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES\ASKPARTNERNETWORK\TOOLBAR\APNMCP.EXE
addsgn 1AB81F9A5583C58CF42B254E3143FE8E6886AFC552C1D40E9EA9258F828E86BD1852D32431BD014A2B80439F4A1649FA4E1F03335A75FD3C7B202FDEFE5B2A07 8 Toolbar.Ask

zoo %SystemDrive%\PROGRAM FILES\ASKPARTNERNETWORK\TOOLBAR\APNSETUP.EXE
addsgn 1AD42D9A5583358CF42B95BCE0A5550550880F356040457885483AE9DB3A27C756039464C16E6A3C2FB34474232F34F208C400A54FDAB0463B292D1F90517524 8 Toolbar.Ask

hide %SystemDrive%\PROGRAM FILES\TUNEUP UTILITIES 2011\TURATINGSYNCH.EXE
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES\ASKPARTNERNETWORK\TOOLBAR\ORJ-SPE

deldirex %SystemDrive%\PROGRAM FILES\ASKPARTNERNETWORK\TOOLBAR\ORJ-ST-SPE

delref %SystemDrive%\DOCUMENTS AND SETTINGS\МАРИЯ\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AAAAAIABCOPKPLHGAEDHBLOEEJHHANKF\111.12_0\SEARCH APP BY ASK V2

deldirex %SystemDrive%\PROGRAM FILES\ASKPARTNERNETWORK\TOOLBAR

; McAfee Security Scan Plus
exec C:\Program Files\McAfee Security Scan\uninstall.exe
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
по восстановлению документов не поможем.

по расшифровке обратитесь в техподдержку [email protected] при наличие лицензии на антивирус ESET

-----------
файл карантина уберите с форума.

Изменено: santy - 24.02.2020 06:21:59

[ Как создать образ автозапуска? ]

Перейти

Тестируем HIPS

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 19.08.2015 18:07:36

странные вещи выяснились сегодня.
на v6 HIPS не блокирует сетевые папки если они указаны в правилах по защите от удаления или модификации файлов таким образом: U:\*.*, N:\*.*
здесь U, N - это смонтированные как диски сетевые папки.
возможно надо указывать полный сетевой путь на защищаемую папку с документами.

Цитата
\\server\полный путь на папку\.

защищены подобными правилами только локальные папки физических дисков.

проверю еще раз завтра, а так же проверю, работают ли эти правила для v 5 Endpoint.
если не работают, то очень плохо, для домашних версий может быть и достаточно защиты локальных папок, а вот для корпоративных версий здесь что-то не так.
можно конечно переложить защиту папок на серверный антивирус, но часто файловые сервера могут быть и не на win платформе.

Изменено: santy - 19.08.2015 18:14:25

[ Как создать образ автозапуска? ]

Перейти

Помогите разобраться

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 19.08.2015 18:02:13

система установлена с официального дистрибутива или со сборки?
добавьте образ автозаапуска
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 19.08.2015 11:21:53

Павел,
по образу все чисто,
по восстановлению все плохо.
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 18.08.2015 16:41:05

МАксим Макаров,
по очистке системы выполните
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.86.4 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\PROGRAM FILES (X86)\MEGA BROWSE\BIN\{29B136C9-938D-4D3D-8DF8-D649D9B74D02}.DLL addsgn 79132211B9E9317E0AA1AB59AF4C1205DAFFF47DC4EA942D892B2942AF292811E11BC3EF69F99F598808A79B56D14C765EDBF83FF6D8A0EB28E7872BD7078171 64 Win32/BrowseFox.K [ESET-NOD32] hide %SystemDrive%\PROGRAM FILES (X86)\SONY\UNINSTALL.EXE ;------------------------autoscript--------------------------- chklst delvir delref HTTP=127.0.0.1:2080 ;------------------------------------------------------------- restart

Код


;uVS v3.86.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES (X86)\MEGA BROWSE\BIN\{29B136C9-938D-4D3D-8DF8-D649D9B74D02}.DLL
addsgn 79132211B9E9317E0AA1AB59AF4C1205DAFFF47DC4EA942D892B2942AF292811E11BC3EF69F99F598808A79B56D14C765EDBF83FF6D8A0EB28E7872BD7078171 64 Win32/BrowseFox.K [ESET-NOD32]

hide %SystemDrive%\PROGRAM FILES (X86)\SONY\UNINSTALL.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP=127.0.0.1:2080
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

по восстановлению системы, напишите в почту [email protected] о вашей проблеме.

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 18.08.2015 13:23:56

по очистке системы

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.86.4 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v385c OFFSGNSAVE delall %SystemDrive%\DOCUMENTS AND SETTINGS\PANKRATOVAOV\LOCAL SETTINGS\TEMP\SMIAUFTNFDMOHP.EXE delall %SystemDrive%\DOCUME~1\PANKRA~1\LOCALS~1\TEMP\SMIAUFTNFDMOHP.EXE delall %SystemDrive%\DOCUME~1\PANKRA~1\APPLIC~1\MSFZUW.EXE restart

Код


;uVS v3.86.4 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\PANKRATOVAOV\LOCAL SETTINGS\TEMP\SMIAUFTNFDMOHP.EXE
delall %SystemDrive%\DOCUME~1\PANKRA~1\LOCALS~1\TEMP\SMIAUFTNFDMOHP.EXE
delall %SystemDrive%\DOCUME~1\PANKRA~1\APPLIC~1\MSFZUW.EXE
restart

перезагрузка, пишем о старых и новых проблемах.
------------

по восстановлению документов: с этим проблема, поскольку система не поддерживает создание теневых копий документов.

по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ЕСЕТ

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 18.08.2015 11:18:02

добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Перейти

Шифровирусы шумной толпою

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 17.08.2015 13:03:45

+ new VAULT
блокируем в блоклистах:

Цитата
meetfeli.net

Цитата
Приветствуем Вас. Пересылаю акты передачи услуг и счета-фактуры по заключенному между нами Контракту - во вложении. Если замечаний по качеству у Вас нет, то мы ожидаем перечисления оплаты. Хотели бы напомнить, что согласно условиям договора, перечисление средств осуществляется в течении 3 рабочих дней с дня выставления документов. Жду ответа в кратчайшие сроки. Заранее благодарю! __ С Уважением к Вам, отдел бухгалтерии ЧП СтройИнвест

Цитата

Приветствуем Вас.
Пересылаю акты передачи услуг и счета-фактуры по заключенному между нами Контракту - во вложении.
Если замечаний по качеству у Вас нет, то мы ожидаем перечисления оплаты.
Хотели бы напомнить, что согласно условиям договора, перечисление средств осуществляется в течении 3 рабочих дней с дня выставления документов.
Жду ответа в кратчайшие сроки. Заранее благодарю!

__
С Уважением к Вам,
отдел бухгалтерии ЧП СтройИнвест

Цитата
От кого: Уфаэнергоучет ООО <[email protected]> Кому: ***** Дата: Понедельник, 17 августа 2015, 3:03 +03:00 Тема: Документация по контракту №5-6 Уважаемые партнеры! Отправляю акты приема-передачи и счета по нашему Контракту - прилагаются. Если замечаний по содержанию документов у Вас нет, то мы ожидаем перечисления средств. Хотели бы напомнить, что согласно условиям контракта, расчет производится в течении трех банковских дней с момента выставления счетов. Жду ответа в ближайшее время. Заранее благодарю! --- с ув. к Вам, гл. бухгалтер общества с ограниченной ответсвенностью СтройИнвест

Цитата

От кого: Уфаэнергоучет ООО <[email protected]>
Кому: *****
Дата: Понедельник, 17 августа 2015, 3:03 +03:00
Тема: Документация по контракту №5-6

Уважаемые партнеры!
Отправляю акты приема-передачи и счета по нашему Контракту - прилагаются.
Если замечаний по содержанию документов у Вас нет, то мы ожидаем перечисления средств.
Хотели бы напомнить, что согласно условиям контракта, расчет производится в течении трех банковских дней с момента выставления счетов.
Жду ответа в ближайшее время. Заранее благодарю!

---
с ув. к Вам,
гл. бухгалтер общества с ограниченной ответсвенностью СтройИнвест

Изменено: santy - 17.08.2015 16:09:41

[ Как создать образ автозапуска? ]

Перейти

Тестируем HIPS

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 16.08.2015 16:24:47

люди в данном случае разные,
одним достаточно одного раза зашифровать документы, чтобы они перестали открывать в почте все подряд, другим 10 раз надо зашифровать, тогда начнут что-то понимать.
VAULT, Crjakl, CTBlocker распространяются через вложения исполняемых файлов в архивах, just - через внедреннные объекты в документы (в рассылках почты), xtbl - возможно через браузеры.
почта в данном случае удобна тем, что позволяет гарантированно выполнить целевые рассылки.
а большой объем ежедневной почты например для менеджеров + грамотно составленный соц_инженерами тест значительно снижает у них барьер осторожности.

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 16.08.2015 07:34:32

обновился AdwCleaner до v 5.0 (c 4.2)
есть изменение по алгоритму работы, добавилась секция параметры, причем, два параметра активны по умолчанию:
надо иметь ввиду, что они будут применены по умолчанию.
(лучше бы разработчик убрал бы их, чтобы можно было включать, когда это необходимо)

[ Как создать образ автозапуска? ]

Перейти