Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 519 520 521 522 523 524 525 526 527 528 529 ... 1784 След.
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 13.08.2015 13:06:46
1. прочтите статью ВАУЛТ. что делать?
http://www.chklst.ru/forum/discussion/1481/vault-chto-delat

2. добавьте образ автозапуска системы
http://forum.esetnod32.ru/forum9/topic683/

3. вышлите в почту [email protected] вредоносный архив с паролем infected
+ можно сюда же (в отдельный архив) добавить все что найдено  в %temp% юзера на момент шифрования.
Изменено: santy - 04.06.2016 18:22:34
[ Как создать образ автозапуска? ]
Перейти
Проблемы с автозапуском в Windows 10, Проблемы с автозапуском в Windows 10
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 13.08.2015 12:24:59
пробуйте деинсталлировать и заново переустановить антивирусную программу
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Скрытая сборка rms на компьютере, выявление скрытой сборки rms
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 13.08.2015 12:23:18
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.86.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES (X86)\ZONA\ZONA.EXE
addsgn 9252776A056AC1CC0BF4414E3341F788B9AE7C3776052EB8D5FA19C9AB90371F4BED0B4F3E021E8A2FD3EC0FB41149ACFE1CEC21051DB32F2D75A4BF5796B2E3 8 Program.Zona.41 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES (X86)\AUSLOGICS\AUSLOGICS BOOSTSPEED\BOOSTSPEED.EXE
addsgn A7679B1991867FB28291420914246405CDDDE53F76C9DF2DED1812CB50B28E7C479EE3BF2EC055B6AE40F1AFAE5DC215825B28077557E5C01EB74C7652CEDDF8 8 Win32/eTranslatorPro

delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-4113028169-618179623-2010265785-1000\$R1W03D8.EXE
;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
[ Как создать образ автозапуска? ]
Перейти
сбор при инсталяции "Не удалось остановить службу 'ESET Service' (ekrn)", сбор при инсталяции "Не удалось остановить службу 'ESET Service' (ekrn)"
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 13.08.2015 06:40:18
вы ставите антивирус 5.0.2248 поверх другого продукта, или на систему без антивируса?
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 13.08.2015 05:39:55
kas,
возможно, но и маловероятно.
вчерашние варианты я тестировал, все прибивались антивирусом. некоторые детектировались еще на подлете, другие по факту запуска js
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 12.08.2015 17:34:16
kas,
и да, поясните, пожалуйста, по логам из спойлера.
стоял ESET и пропустил ВАУЛТ? или антивирус уже после заражения был установлен? и если был установлен до зашифровки, то в каком состоянии были антивирусные базы на момент зашифровки?

если вот эта штука вышла, значит процесс шифрования уже завершен

Цитата
12.08.2015 9:15:28 - Модуль Защита в режиме реального времени - Предупреждение об угрозе на ID-4: C:\DOCUME~1\user\LOCALS~1\Temp\VAULT.txt заражен BAT/Filecoder.AI троянская программа.
Изменено: santy - 04.06.2016 18:21:57
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 12.08.2015 17:29:52
kas,
судя по образу система сейчас чистая, единственно, можно удалить ярлыки браузера Оперы, и заново создать их.
там есть ссылка в ярлыке на webalta, она не нужна в ярлыке,
сайт с ней стартует при запуске оперы.

из ключей secring.gpg нулевой, поэтому расшифровка им невозможна.
доки зашифрованы этим ключом

Цитата
gpg: ключ с ID 8F934976: "Cellar"

File: X:\viruses\shifratory\VAULT\94\vault\vault\pubring.gpg
Time: 12.08.2015 20:26:17 (12.08.2015 14:26:17 UTC)

VAULT.key зашифрован этим ключом:

Цитата
gpg: RSA c ID 28B9CBE7

File: X:\viruses\shifratory\VAULT\94\vault\vault\VAULT.KEY
Time: 12.08.2015 20:27:29 (12.08.2015 14:27:29 UTC)
рекомендации здесь, для попытки самостоятельного восстановления документов.
http://chklst.ru/forum/discussion/1481/vault-chto-delat
Изменено: santy - 04.06.2016 18:21:57
[ Как создать образ автозапуска? ]
Перейти
Шифровирусы шумной толпою
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 12.08.2015 13:08:47
еще одна рассылка

Цитата
Акт сверки(в приложении к пиcьмy).
Убедительная просьба до завтрашнего обеда выслать отсканированную копию подписанного с Вашей стороны экземпляра или же ваши замечания.
Хотели бы подчеркнуть, что за Вашей фирмой висит непогашенный платеж за июнь.

-
С ув. к вам,
Воронова Елена
зам. главного бухгалтера Компании "Торговая площадь"
+
Цитата
Акт сверки взаиморасчетов(в приложении).
Убедительная просьба до конца завтрашнего дня скинуть скан-копию завизированного документа или ваши комментарии.
Хотели бы подчеркнуть, что за вами висит непогашенный платеж за прошлый месяц.

---
С ув. к вам,
Елена Александровна Воронова
зам. главного бухгалтера Компании ТОРГОВАЯ ПЛОЩАДЬ
Изменено: santy - 13.08.2015 05:35:21
[ Как создать образ автозапуска? ]
Перейти
Шифровирусы шумной толпою
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 12.08.2015 07:54:47
новая рассылка с ВАУЛТом

схема рассылки изменилась. опять в почте добавлен небольшой архив *.zip в котором содержится js (в теле исходного js содержится в base64 кодировке еще один js, скорее всего updater, которому передается управление). после запуска update.js (может быть и другое имя) выкачивает из сети все необходимые для шифрования модули и файлы, и запускает через *.bat инициализацию процесса шифрования.

Код
Мы составили акт сверки взаиморасчетов по итогам прошлого месяца (во вложении).
Мы установили, что по нашему последнему счету (от 12.07) Вы не полностью перевели средства.
Если будут расхождения - пишите. Если все верно - просто перешлите нам скан завизированного Вашей стороной экземпляра.

Буду благодарна, если вышлите в ближайшие сроки.
Благодарю.

__
С ув. к вам,
Катя Васильева,
зам главбуха Компании Торг-Строй
Изменено: santy - 12.08.2015 14:23:34
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 11.08.2015 17:15:09
ну раз для одних файлов подобрали ключи, то и для других файлов смочь должны. :)
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 519 520 521 522 523 524 525 526 527 528 529 ... 1784 След.