santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 17.07.2015 16:16:56

Цитата
Максим Серебрянский написал: Есть еще два файла в папке Program Files ASTXGLJCNM.MXX и TBMKUJTNSF.OZR думаю это часть ключа или что-то подобное.

это скорее всего означает, что шифрование было двумя ключами. возможно часть файлов зашифрована одним ключом, а другие файлы после перезагрузки системы зашифрована другим ключом. т.е. процесс шифрования не завершился, и продолжился после перезагрузки системы.

Изменено: santy - 24.02.2020 06:33:14

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 17.07.2015 16:14:58

по проверкам на VT просто ссылку добавьте в тему на линки проверки.

по очистке системы

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.25 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v385c OFFSGNSAVE zoo %SystemDrive%\PROGRAM FILES\PRICEMETERLIVEUPDATE\UPDATE\PRICEMETERLIVEUPDATE.EXE addsgn 1AD2539A5583358CF42BC4BD0CD02344256278F689FA940D8D4633C825554CD02F56C3544B16F74DC3A8A29F464FCA9F81DFBE9A05FCB02C74FEE1CB42C6567A 8 Adware.Shopper.363 [DrWeb] zoo %SystemDrive%\PROGRAM FILES\PRICEMETERLIVEUPDATE\UPDATE\1.3.23.0\NPGOOGLEUPDATE3.DLL addsgn 79132211B9E9317E0AA1AB5962841205DAFFF47DC4EA942D892B2942AF292811E11BC39BF2995185E74C48538ADA8536B113BDF9B98DE6A7587B2F62D78D5F7B 64 Win32:DealPly-A [PUP] zoo %SystemDrive%\PROGRAM FILES\PRICEMETERLIVEUPDATE\UPDATE\1.3.23.0\PRICEMETERLIVEUPDATEBROKER.EXE addsgn 1A24619A5583348CF42B254E3143FE8E7082AA7DFCF648938CA5407524C7330E6551CCE0305A2A4B24377DB48162A3A5235A280F505978D370B4DA2CF4C6622E 8 Adware.Shopper.363 [DrWeb] zoo %SystemDrive%\PROGRAM FILES\PRICEMETERLIVEUPDATE\UPDATE\1.3.23.0\PSMACHINE.DLL addsgn 79132211B9E9317E0AA1AB59568E1205DAFFF47DC4EA942D892B2942AF292811E11BC39BF2995185E74C48538ADA1C719188BEF920D63B613DFCD9274CC7A9A2 64 Win32:DealPly-A [PUP] zoo %SystemDrive%\PROGRAM FILES\PRICEMETERLIVEUPDATE\UPDATE\1.3.23.0\PRICEMETERLIVEUPDATEONDEMAND.EXE zoo %SystemDrive%\PROGRAM FILES\50 AB 654125\АДМИНИСТРАТИВНОЕ ПОСТАНОВЛЕНИЕ\MESSAGE.EXE addsgn 1A58D19A5583C58CF42B627DA804DEC9E94677A2ADF69434A1C7406E24BF428CA953E75FBA95E85FAA7A049F46163BF4FEE2E80706DAB058289EB288C70675F8 8 [email protected] v 1.0.0.0 zoo %SystemDrive%\PROGRAM FILES\PRICEMETERLIVEUPDATE\UPDATE\1.3.23.0\PRICEMETERLIVEUPDATEHANDLER.EXE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HIMKI\РАБОЧИЙ СТОЛ\БИЛЕТЫ ПДД РФ. ЭКЗАМЕН ГИБДД РОССИИ 2015.5.2 PRO PORTABLE.EXE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HIMKI\APPLICATION DATA\FLVPLAYER\FLVPLAYERAPP.EXE addsgn A7679B1991AE1F245CE76E3821389B40F9627A627605F7F5233C3A544C7F8EB3CB440AA8C1BD0780D47F6C56B4E9B6124D2B178D661AE544D1D5E42FA3F91217 8 Win32/InstallCore hide %SystemDrive%\PROGRAM FILES\XVID\VIDCCLEANER.EXE ;------------------------autoscript--------------------------- sreg chklst delvir deldirex %SystemDrive%\PROGRAM FILES\PRICEMETERLIVEUPDATE\UPDATE\1.3.23.0 deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\HIMKI\LOCAL SETTINGS\APPLICATION DATA\PRICEMETER delref %Sys32%\DRIVERS\{A3F28269-AD17-41A8-B032-3E0313EF8979}T.SYS del %Sys32%\DRIVERS\{A3F28269-AD17-41A8-B032-3E0313EF8979}T.SYS deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\HIMKI\APPLICATION DATA\FLVPLAYER deltmp delnfr areg ;-------------------------------------------------------------

Код


;uVS v3.85.25 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES\PRICEMETERLIVEUPDATE\UPDATE\PRICEMETERLIVEUPDATE.EXE
addsgn 1AD2539A5583358CF42BC4BD0CD02344256278F689FA940D8D4633C825554CD02F56C3544B16F74DC3A8A29F464FCA9F81DFBE9A05FCB02C74FEE1CB42C6567A 8 Adware.Shopper.363 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES\PRICEMETERLIVEUPDATE\UPDATE\1.3.23.0\NPGOOGLEUPDATE3.DLL
addsgn 79132211B9E9317E0AA1AB5962841205DAFFF47DC4EA942D892B2942AF292811E11BC39BF2995185E74C48538ADA8536B113BDF9B98DE6A7587B2F62D78D5F7B 64 Win32:DealPly-A [PUP]

zoo %SystemDrive%\PROGRAM FILES\PRICEMETERLIVEUPDATE\UPDATE\1.3.23.0\PRICEMETERLIVEUPDATEBROKER.EXE
addsgn 1A24619A5583348CF42B254E3143FE8E7082AA7DFCF648938CA5407524C7330E6551CCE0305A2A4B24377DB48162A3A5235A280F505978D370B4DA2CF4C6622E 8 Adware.Shopper.363 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES\PRICEMETERLIVEUPDATE\UPDATE\1.3.23.0\PSMACHINE.DLL
addsgn 79132211B9E9317E0AA1AB59568E1205DAFFF47DC4EA942D892B2942AF292811E11BC39BF2995185E74C48538ADA1C719188BEF920D63B613DFCD9274CC7A9A2 64 Win32:DealPly-A [PUP]

zoo %SystemDrive%\PROGRAM FILES\PRICEMETERLIVEUPDATE\UPDATE\1.3.23.0\PRICEMETERLIVEUPDATEONDEMAND.EXE
zoo %SystemDrive%\PROGRAM FILES\50 AB 654125\АДМИНИСТРАТИВНОЕ ПОСТАНОВЛЕНИЕ\MESSAGE.EXE
addsgn 1A58D19A5583C58CF42B627DA804DEC9E94677A2ADF69434A1C7406E24BF428CA953E75FBA95E85FAA7A049F46163BF4FEE2E80706DAB058289EB288C70675F8 8 [email protected] v 1.0.0.0

zoo %SystemDrive%\PROGRAM FILES\PRICEMETERLIVEUPDATE\UPDATE\1.3.23.0\PRICEMETERLIVEUPDATEHANDLER.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HIMKI\РАБОЧИЙ СТОЛ\БИЛЕТЫ ПДД РФ. ЭКЗАМЕН ГИБДД РОССИИ 2015.5.2 PRO PORTABLE.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HIMKI\APPLICATION DATA\FLVPLAYER\FLVPLAYERAPP.EXE
addsgn A7679B1991AE1F245CE76E3821389B40F9627A627605F7F5233C3A544C7F8EB3CB440AA8C1BD0780D47F6C56B4E9B6124D2B178D661AE544D1D5E42FA3F91217 8 Win32/InstallCore

hide %SystemDrive%\PROGRAM FILES\XVID\VIDCCLEANER.EXE
;------------------------autoscript---------------------------

sreg

chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES\PRICEMETERLIVEUPDATE\UPDATE\1.3.23.0

deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\HIMKI\LOCAL SETTINGS\APPLICATION DATA\PRICEMETER

delref %Sys32%\DRIVERS\{A3F28269-AD17-41A8-B032-3E0313EF8979}T.SYS
del %Sys32%\DRIVERS\{A3F28269-AD17-41A8-B032-3E0313EF8979}T.SYS

deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\HIMKI\APPLICATION DATA\FLVPLAYER

deltmp
delnfr
areg

;-------------------------------------------------------------

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected]
------------
по расшифровке, при наличие лицензии на антивирус можно обращаться в [email protected]

по восстановлению из теневых копий ничего не получится.
система Windows XP не поддерживает теневое копирование документов.

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 17.07.2015 16:07:12

+ этот файл так же проверьте

Код
C:\DOCUMENTS AND SETTINGS\HIMKI\РАБОЧИЙ СТОЛ\БИЛЕТЫ ПДД РФ. ЭКЗАМЕН ГИБДД РОССИИ 2015.5.2 PRO PORTABLE.EXE

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 17.07.2015 16:04:42

+ этот файл еще проверьте

Цитата
C:\DOCUMENTS AND SETTINGS\HIMKI\МОИ ДОКУМЕНТЫ\144109.DEVID.INFO.EXE

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы в Cryakl с расширением *.cbf, Filecoder.CQ,Filecoder.EQ/Encoder.567/Cryakl/ ver 4.0.0.0-8.0.0.0

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 17.07.2015 16:01:53

вот этот файл проверьте на Вирустотал. это скорее всего тело шифратора, хотя оно не в автозапуске сейчас.

Код
C:\PROGRAM FILES\50 AB 654125\АДМИНИСТРАТИВНОЕ ПОСТАНОВЛЕНИЕ\MESSAGE.EXE

файл пока не удаляйте. он не опасен сейчас.

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы в Cryakl с расширением *.cbf, Filecoder.CQ,Filecoder.EQ/Encoder.567/Cryakl/ ver 4.0.0.0-8.0.0.0

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 17.07.2015 15:42:13

Максим,
1. для проверки системы на предмет остатков шифратора и троянов добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Перейти

адрес заблокирован, постоянные уведомления о заблокированной странице

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 17.07.2015 12:05:20

нужен лог сканирования в малваребайт

[ Как создать образ автозапуска? ]

Перейти

адрес заблокирован, постоянные уведомления о заблокированной странице

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 17.07.2015 10:50:35

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.25 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\MEDIAGET2\MEDIAGET.EXE addsgn 1A65719A55839B8EF42B51944CEC9405DAAFD8D20FFAE05D35E743BCAFF3C568A51748A86BDE71B65E886C1EB3E9B6A3201C638D00515C71C46AA42FC7CADD56 8 mediaget delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\FUNMOODS\UPDATE~1\UPDATE~1.EXE ;------------------------autoscript--------------------------- chklst delvir delref HTTP://WWW.APEHA.RU delref HTTP://YAMBLER.NET/?IM deldirex %SystemDrive%\USERS\USER\APPDATA\LOCAL\MEDIAGET2 REGT 27 regt 28 regt 29 ; Java(TM) 6 Update 43 exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216043FF} /quiet deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.85.25 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\MEDIAGET2\MEDIAGET.EXE
addsgn 1A65719A55839B8EF42B51944CEC9405DAAFD8D20FFAE05D35E743BCAFF3C568A51748A86BDE71B65E886C1EB3E9B6A3201C638D00515C71C46AA42FC7CADD56 8 mediaget

delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\FUNMOODS\UPDATE~1\UPDATE~1.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://WWW.APEHA.RU

delref HTTP://YAMBLER.NET/?IM

deldirex %SystemDrive%\USERS\USER\APPDATA\LOCAL\MEDIAGET2

REGT 27
regt 28
regt 29
; Java(TM) 6 Update 43
exec  MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216043FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Перейти

адрес заблокирован, постоянные уведомления о заблокированной странице

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 17.07.2015 09:47:47

добавьте образ автозавпуска
http://forum.esetnod32.ru/forum9/topic683/

[ Как создать образ автозапуска? ]

Перейти

адрес заблокирован, постоянные уведомления о заблокированной странице

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 17.07.2015 09:35:46

тема на псхп ваша?
http://pchelpforum.ru/f26/t148039/

если да, то решаем проблему в одном месте:
или здесь или там. лучше здесь.
-----------
>>>>вирусов везде всё чисто
если бы везде все было чисто, не было ты этого всплывающего сообщения

Изменено: santy - 17.07.2015 09:36:48

[ Как создать образ автозапуска? ]

Перейти