santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

файлы зашифрованы в Cryakl с расширением *.cbf, Filecoder.CQ,Filecoder.EQ/Encoder.567/Cryakl/ ver 4.0.0.0-8.0.0.0

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.07.2015 10:51:05

если сохранился архив с вредоносной программой (или сообщение со ссылкой на вредоносный архив), откуда был запущен шифратор,
вышлите в почту [email protected]

по образу все чисто.

по расшифровке документов - это в техподдержку [email protected] при наличие лицензии на наш антивирус

по восстановлению: судя по образу вы уже смотрели теневые копии с помощью shadowexplorer
если теневых копий нет, тогда шансы восстановить документы стремятся к минимуму.

[ Как создать образ автозапуска? ]

Перейти

зашифровано с расширением *[email protected]_*, возможно, Filecoder.NFD

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.07.2015 08:29:58

это

Цитата
Процессы: 1 Trojan.FakeAlert, C:\Windows\kmsem\KMService.exe, 2756, , [71e70bd4107ab87e5b2db6b0cf3109f7]

это

Цитата
Файлы: 752 Trojan.FakeAlert, C:\Windows\kmsem\KMService.exe, , [71e70bd4107ab87e5b2db6b0cf3109f7],

и это

Цитата
PUP.Optional.APNToolBar.Gen, C:\ProgramData\APN\APN-Stub\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ, , [45135f802e5cec4a7bca47b58d757a86],

оставьте в мбам,
остальное удалите
далее,
3.сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

5.сделайте проверку в FRST
http://pchelpforum.ru/f26/t24207/2/#post1257991

[ Как создать образ автозапуска? ]

Перейти

зашифровано с расширением *[email protected]_*, возможно, Filecoder.NFD

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.07.2015 07:40:44

используйте проверку теневых копий с помощью shadowexplorer
http://www.shadowexplorer.com/downloads.html

[ Как создать образ автозапуска? ]

Перейти

зашифровано с расширением *[email protected]_*, возможно, Filecoder.NFD

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.07.2015 06:02:22

Дмитрий,
по очистке системы: образ чистый,
по восстановлению документов: проверяйте наличие чистых теневых копий на дисках
по расшифровке документов: при наличие лицензии на наш антивирус напишите в техподдержку [email protected]

Изменено: santy - 09.07.2015 06:02:43

[ Как создать образ автозапуска? ]

Перейти

зашифровано с расширением *[email protected]_*, возможно, Filecoder.NFD

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.07.2015 05:56:21

+
проверьте наличие чистых теневых копий на дисках

[ Как создать образ автозапуска? ]

Перейти

зашифровано с расширением *[email protected]_*, возможно, Filecoder.NFD

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.07.2015 16:06:59

по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.25 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\PROGRAM FILES (X86)\CINEMAPLUS-3.2CV06.07\D131932D-2BFB-4F57-94FC-116F683BACAE-3.EXE addsgn 1AB2939A5583338CF42BFB3A889E99702D0F0A8E80128E9D85C3FE8C2CD199C4C617C3DC0EBDE6AC2B800F9BF648143928540424BD1AF32C2DFC54AA317325CB 8 Trojan.Crossrider zoo %SystemDrive%\USERS\АДМИН\DESKTOP\ТОЙОТА\PLAYER.EXE addsgn 6E8C9F98556A4C41CB5F6A32A4CC818EC601A70A08111858C5C34261D36B4C656317C258BA6699492B0039CD695649FA09E865F7AEF6F02C7D8831F8EB4622FE 24 svghost zoo %SystemDrive%\USERS\АДМИН\APPDATA\LOCAL\386ECC81-1436278116-11CB-8B3E-DA59DE49C098\BNSW80D9.EXE addsgn 1A6FDE9A5583C58CF42B254E3143FE86C9AA77B381AC48128D9A7B44D89271C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F879F23FE 8 Adware.ConvertAd zoo %SystemDrive%\USERS\АДМИН\APPDATA\ROAMING\VOPACKAGE\VOPACKAGE.EXE addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6E96B5F78B63503F874C251B33627B3173E3D9CC92B807B8AF66609FA2E20FD0E279AB04625D4BCC38506CA82 64 Adware.ConvertAd addsgn 1ABF639B5583C58CF42B254E3143FE6F2FE0FC09FCF2F77B92C2C53F94DA2C8FA8E896DCD2AAE845418AEE9FB963411268C8E972D61EA071EEFC5B7A4CEA7F9A 8 Amonetize zoo %SystemDrive%\USERS\АДМИН\APPDATA\LOCAL\29527\UPDATER.EXE hide %SystemDrive%\USERS\АДМИН\APPDATA\LOCAL\DROPBOX\UPDATE\DROPBOXUPDATE.EXE hide %SystemDrive%\PROGRAM FILES\LENOVO\COMMUNICATIONS UTILITY\TPKNRSVC.EXE ;------------------------autoscript--------------------------- chklst delvir deldirex %SystemDrive%\PROGRAM FILES (X86)\ANYPROTECTEX deldirex %SystemDrive%\PROGRAM FILES (X86)\CROSSBROWSE\CROSSBROWSE\APPLICATION deldirex %SystemDrive%\PROGRAM FILES (X86)\GLOBALUPDATE\UPDATE delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\GOOGLEUPDATE.EXE delref %SystemDrive%\USERS\�����\APPDATA\ROAMING\QZDGUDMYUBELHLTYRKBI4F.EXE delref %SystemDrive%\USERS\АДМИН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 3\EXTENSIONS\PAPBADOLDDDALGCJCICNIKCFENODPGHP\1.26.88_0\CINEMAPLUS-3.2CV06.07 delref %SystemDrive%\USERS\АДМИН\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE ; CinemaPlus-3.2cV06.07 exec C:\Program Files (x86)\CinemaPlus-3.2cV06.07\Uninstall.exe /fcp=1 /runexe='C:\Program Files (x86)\CinemaPlus-3.2cV06.07\UninstallBrw.exe' /url='http://notif.keyprobox.com/notf_sys/index.html' /brwtype='uni' /onerrorexe='C:\Program Files (x86)\CinemaPlus-3.2cV06.07\utils.exe' /crregname='CinemaPlus-3.2cV06.07' /appid='72893' /srcid='002974' /bic='907e95f846ea368b8c89d9a90425bf52IE' /verifier='9d62fd073cdcb48724936a09665a08c5' /brwshtoms='15000' /installerversion='1_36_01_22' /statsdomain='http://stats.keyprobox.com/utility.gif?' /errorsdomain='http://errors.keyprobox.com/utility.gif?' /monetizationdomain='http://logs.keyprobox.com/monetization.gif?' ; Crossbrowse exec C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\39.6.2171.95\Installer\setup.exe" --uninstall --system-level ; Remote Desktop Access (VuuPC) exec C:\Users\АДМИН\AppData\Roaming\VOPackage\Uninstall.exe deldirex %SystemDrive%\PROGRAM FILES (X86)\CINEMAPLUS-3.2CV06.07 deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.85.25 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES (X86)\CINEMAPLUS-3.2CV06.07\D131932D-2BFB-4F57-94FC-116F683BACAE-3.EXE
addsgn 1AB2939A5583338CF42BFB3A889E99702D0F0A8E80128E9D85C3FE8C2CD199C4C617C3DC0EBDE6AC2B800F9BF648143928540424BD1AF32C2DFC54AA317325CB 8 Trojan.Crossrider

zoo %SystemDrive%\USERS\АДМИН\DESKTOP\ТОЙОТА\PLAYER.EXE
addsgn 6E8C9F98556A4C41CB5F6A32A4CC818EC601A70A08111858C5C34261D36B4C656317C258BA6699492B0039CD695649FA09E865F7AEF6F02C7D8831F8EB4622FE 24 svghost

zoo %SystemDrive%\USERS\АДМИН\APPDATA\LOCAL\386ECC81-1436278116-11CB-8B3E-DA59DE49C098\BNSW80D9.EXE
addsgn 1A6FDE9A5583C58CF42B254E3143FE86C9AA77B381AC48128D9A7B44D89271C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F879F23FE 8 Adware.ConvertAd

zoo %SystemDrive%\USERS\АДМИН\APPDATA\ROAMING\VOPACKAGE\VOPACKAGE.EXE
addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6E96B5F78B63503F874C251B33627B3173E3D9CC92B807B8AF66609FA2E20FD0E279AB04625D4BCC38506CA82 64 Adware.ConvertAd

addsgn 1ABF639B5583C58CF42B254E3143FE6F2FE0FC09FCF2F77B92C2C53F94DA2C8FA8E896DCD2AAE845418AEE9FB963411268C8E972D61EA071EEFC5B7A4CEA7F9A 8 Amonetize

zoo %SystemDrive%\USERS\АДМИН\APPDATA\LOCAL\29527\UPDATER.EXE
hide %SystemDrive%\USERS\АДМИН\APPDATA\LOCAL\DROPBOX\UPDATE\DROPBOXUPDATE.EXE
hide %SystemDrive%\PROGRAM FILES\LENOVO\COMMUNICATIONS UTILITY\TPKNRSVC.EXE
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES (X86)\ANYPROTECTEX

deldirex %SystemDrive%\PROGRAM FILES (X86)\CROSSBROWSE\CROSSBROWSE\APPLICATION

deldirex %SystemDrive%\PROGRAM FILES (X86)\GLOBALUPDATE\UPDATE

delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\GOOGLEUPDATE.EXE

delref %SystemDrive%\USERS\&#65533;&#65533;&#65533;&#65533;&#65533;\APPDATA\ROAMING\QZDGUDMYUBELHLTYRKBI4F.EXE

delref %SystemDrive%\USERS\АДМИН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 3\EXTENSIONS\PAPBADOLDDDALGCJCICNIKCFENODPGHP\1.26.88_0\CINEMAPLUS-3.2CV06.07

delref %SystemDrive%\USERS\АДМИН\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE

; CinemaPlus-3.2cV06.07
exec  C:\Program Files (x86)\CinemaPlus-3.2cV06.07\Uninstall.exe /fcp=1 /runexe='C:\Program Files (x86)\CinemaPlus-3.2cV06.07\UninstallBrw.exe' /url='http://notif.keyprobox.com/notf_sys/index.html' /brwtype='uni' /onerrorexe='C:\Program Files (x86)\CinemaPlus-3.2cV06.07\utils.exe' /crregname='CinemaPlus-3.2cV06.07' /appid='72893' /srcid='002974' /bic='907e95f846ea368b8c89d9a90425bf52IE' /verifier='9d62fd073cdcb48724936a09665a08c5' /brwshtoms='15000' /installerversion='1_36_01_22' /statsdomain='http://stats.keyprobox.com/utility.gif?' /errorsdomain='http://errors.keyprobox.com/utility.gif?' /monetizationdomain='http://logs.keyprobox.com/monetization.gif?'
; Crossbrowse
exec  C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\39.6.2171.95\Installer\setup.exe" --uninstall --system-level
; Remote Desktop Access (VuuPC)
exec  C:\Users\АДМИН\AppData\Roaming\VOPackage\Uninstall.exe

deldirex %SystemDrive%\PROGRAM FILES (X86)\CINEMAPLUS-3.2CV06.07

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Перейти

зашифровано с расширением *[email protected]_*, возможно, Filecoder.NFD

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.07.2015 14:31:10

добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы в Cryakl с расширением *.cbf, Filecoder.CQ,Filecoder.EQ/Encoder.567/Cryakl/ ver 4.0.0.0-8.0.0.0

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.07.2015 16:12:30

Володимир,
откуда восстановили документы? из точек восстановления?

Изменено: santy - 16.03.2018 07:41:38

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] помогите!, баннеры и всплывающие окна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.07.2015 14:24:44

Сергей Мунзиков,
не надо плодить учетные записи на форуме, вам здесь
http://forum.esetnod32.ru/forum6/topic12176/
уже было указано,
что пользователям, которые используют взлом антивируса на оф. техническом форуме ЕСЕТ помощь в решении проблемы
не будет оказываться.

обратитесь за помощью на другой форум

Изменено: santy - 07.07.2015 14:25:15

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] помогите!, баннеры и всплывающие окна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.07.2015 14:17:59

тнод используем, тема будет закрыта

Код
C:\PROGRAM FILES\ESET\TNOD USER & PASSWORD FINDER\UNINST-TNOD.EXE

обратитесь за помощью на другой форум

[ Как создать образ автозапуска? ]

Перейти