Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 552 553 554 555 556 557 558 559 560 561 562 ... 1784 След.
Вирус шифровальщик файлов в rar архив [email protected], Вирус шифровальщик файлов в rar архив [email protected]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 20.05.2015 11:51:17
1. добавьте образ автозапуска для проверки системы
http://forum.esetnod32.ru/forum9/topic2687/

2. если известен или сохранился источник заражения, вышлите в почту [email protected] в архиве с паролем infected

3. для восстановления документов проверьте наличие теневых копий на диске.
[ Как создать образ автозапуска? ]
Перейти
Вирус изменил названия файлов
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 20.05.2015 10:45:46
Alex,
надо смотреть что там внутри этого файла. там много файлов создается в папке temp
если есть такие строки в файле, тогда поможет.
Цитата
-----BEGIN PGP PRIVATE KEY BLOCK-----
Version: GnuPG v1
........................
-----END PGP PRIVATE KEY BLOCK-----
Изменено: santy - 20.05.2015 10:46:10
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 20.05.2015 08:27:08
NickM,
этот ключ шифратор удаляет по завершении работы
Цитата
C:\Users\0D88~1\AppData\Local\Temp\06dca008.js
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_USERS, S-1-5-21-3033825225-2200833762-766671363-1146\Software\Microsoft\Windows\CurrentVersion\Run, ffe7c7a0

вот завершающий блок команд
Цитата
reg add "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "5e86e626" /t REG_SZ /f /d "mshta %appdata%\f82a30ba4602d9a8.hta"
reg delete "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "67d62b78" /f
del /f /q "%temp%\06dca008.js"
reg delete "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "ffe7c7a0" /f
reg delete "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "1c0cf7ed" /f
start mshta "%temp%\f82a30ba4602d9a8.hta"

если остался в автозапуске, значит скорее всего процесс работы шифратора был прерван.
в этом случае, (если не было очистки темпа от запчастей шифратора), после загрузки системы шифрование будет продолжено.
но ключ уже не будет удален из автозапуска.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 20.05.2015 04:16:34
1. сделайте образ автозапуска системы
http://forum.esetnod32.ru/forum9/topic2687/

2. проверьте наличие чистых теневых копий
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы в Cryakl с расширением *.cbf, Filecoder.CQ,Filecoder.EQ/Encoder.567/Cryakl/ ver 4.0.0.0-8.0.0.0
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 19.05.2015 13:25:16
1. если письмо еще не удалено, вышлите в почту [email protected]
2. добавьте образ автозапуска системы
http://forum.esetnod32.ru/forum9/topic2687/

3. проверьте наличие теневых копий на дисках
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 19.05.2015 13:22:53
Денис,

Цитата
без secring.gpg расшифровка документов на нашей стороне невозможна.
ВАУЛТ. что делать?
http://chklst.ru/forum/discussion/1481/vault-chto-delat
когда произошло шифрование?

так же
проверьте наличие теневых копий,
возможно шифратору не удалось отключить теневые копии

+
проверьте, чтобы в автозапуске системы не было запчастей от ВАУЛТ, в частности js
который может запустить повторное шифрование.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 19.05.2015 12:57:24
МАксим,
без secring.gpg расшифровка документов на нашей стороне невозможна.
ВАУЛТ. что делать?
http://chklst.ru/forum/discussion/1481/vault-chto-delat
когда произошло шифрование?

так же
проверьте наличие теневых копий,
возможно шифратору не удалось отключить теневые копии
Изменено: santy - 04.06.2016 18:05:31
[ Как создать образ автозапуска? ]
Перейти
вирус vk.com/validate profile, помогите, помогите
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 19.05.2015 05:40:06
(после сброса настроек роутера) возможно надо было очистить локальный кэш DNS
ipconfig /flushdns
[ Как создать образ автозапуска? ]
Перейти
вирус vk.com/validate profile, помогите, помогите
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.05.2015 18:28:17
если выход в сеть через роутер, пробуйте сбросить настройки роутера, и заново настроить его для выхода в сеть
+
установить надежный пароль на настройки.
[ Как создать образ автозапуска? ]
Перейти
Давайте думать вместе.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.05.2015 16:21:49
и на третий раз первая часть кода совпадает, а на т.д. уже не проверял.
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 552 553 554 555 556 557 558 559 560 561 562 ... 1784 След.