santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

зашифровано в CTBlocker

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 29.04.2015 16:00:15

1. по очистке системы (выполнить обязательно)

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.21 [http://dsrt.dyndns.org] ;Target OS: NTv6.3 v385c OFFSGNSAVE zoo %SystemDrive%\PROGRAM FILES (X86)\SPEED TEST\SCRIPTHOST.DLL addsgn 79132211B9E9317E0AA1AB59E2A31205DAFFF47DC4EA942D892B2942AF292811E11BC33D323DC5B72E906C385A16499073379D1F55DAE9AF488BA4A4B20EA93D 64 Besttoolbars.J [ESET-NOD32] zoo %SystemDrive%\USERS\ABILDINOV_B\APPDATA\ROAMING\NEWNEXT.ME\NENGINE.DLL addsgn 79132211B9E9317E0AA1AB59A52C1205DAFFF47DC4EA942D892B2942AF292811E11BC3DCC10016A57D0BF193CB50B67FBBABFC9ABACEB02CEA77B22FC706CA34 64 Trojan.Siggen6.685 [DrWeb] zoo %SystemDrive%\USERS\ABILDINOV_B\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE addsgn 1AF67A9B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian addsgn 1A85479A5583C58CF42B254E3143FE86C9AA77B381AC48128D9A7B04939671C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F879F23FE 8 Win32/Filecoder.DA [ESET-NOD32] zoo %SystemDrive%\USERS\ABILDINOV_B\APPDATA\LOCAL\TEMP\OZICEEM.EXE delall %SystemDrive%\PROGRAM FILES (X86)\SPEED TEST\SCRIPTHOST64.DLL delall %SystemDrive%\USERS\ABILDI~1\APPDATA\ROAMING\MSNYVW.EXE delall %SystemDrive%\PROGRAM FILES (X86)\MOBOGENIE\DAEMONPROCESS.EXE delall %SystemDrive%\PROGRAM FILES (X86)\EXPRESSFILES\EFUPDATER.EXE ;------------------------autoscript--------------------------- chklst delvir delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID] regt 28 regt 29 deltmp delnfr ;------------------------------------------------------------- restart

Код

;uVS v3.85.21 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES (X86)\SPEED TEST\SCRIPTHOST.DLL
addsgn 79132211B9E9317E0AA1AB59E2A31205DAFFF47DC4EA942D892B2942AF292811E11BC33D323DC5B72E906C385A16499073379D1F55DAE9AF488BA4A4B20EA93D 64 Besttoolbars.J [ESET-NOD32]

zoo %SystemDrive%\USERS\ABILDINOV_B\APPDATA\ROAMING\NEWNEXT.ME\NENGINE.DLL
addsgn 79132211B9E9317E0AA1AB59A52C1205DAFFF47DC4EA942D892B2942AF292811E11BC3DCC10016A57D0BF193CB50B67FBBABFC9ABACEB02CEA77B22FC706CA34 64 Trojan.Siggen6.685 [DrWeb]

zoo %SystemDrive%\USERS\ABILDINOV_B\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1AF67A9B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian

addsgn 1A85479A5583C58CF42B254E3143FE86C9AA77B381AC48128D9A7B04939671C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F879F23FE 8 Win32/Filecoder.DA [ESET-NOD32]

zoo %SystemDrive%\USERS\ABILDINOV_B\APPDATA\LOCAL\TEMP\OZICEEM.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\SPEED TEST\SCRIPTHOST64.DLL
delall %SystemDrive%\USERS\ABILDI~1\APPDATA\ROAMING\MSNYVW.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\MOBOGENIE\DAEMONPROCESS.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\EXPRESSFILES\EFUPDATER.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
2. по восстановлению документов смотрите архивные и теневые копии (если есть чистые)

3. по расшифровке документов не поможем. нет расшифровки по ctblocker

[ Как создать образ автозапуска? ]

Перейти

зашифровано в CTBlocker

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 29.04.2015 14:12:12

нет, просто часто китайские антивирусы сами скрытно устанавливаются, (baidu, rising и нек. другие)

1. по очистке системы
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.21 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v385c OFFSGNSAVE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian delall %SystemRoot%\TEMP\HNKEPWJ.EXE delref HTTP://SINDEX.BIZ/?COMPANY=1 delall %SystemDrive%\DOCUME~1\ADMIN\APPLIC~1\DSITE\UPDATE~1\UPDATE~1.EXE chklst delvir delnfr restart

Код

;uVS v3.85.21 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian

delall %SystemRoot%\TEMP\HNKEPWJ.EXE
delref HTTP://SINDEX.BIZ/?COMPANY=1
delall %SystemDrive%\DOCUME~1\ADMIN\APPLIC~1\DSITE\UPDATE~1\UPDATE~1.EXE
chklst
delvir

delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
------------
2. по восстановлению документов смотрите архивные копии (если есть), теневых копий, понятно что нет.
3. по расшифровке не поможем. нет расшифровки для CTBlocker

[ Как создать образ автозапуска? ]

Перейти

зашифровано в CTBlocker

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 29.04.2015 12:52:31

китайский 360 Internet Security сами ставили?

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Зашифрованы файлы

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 29.04.2015 11:26:46

Alexey Klochko,
1. удалите все вложенные файлы с форума
2. добавьте в архив несколько зашифрованных файлов и выложите на http://rghost.ru
и добавьте ссылку на данный архив здесь.
3. добавьте образ автозапуска зараженной системы.
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .vault, bat encoder /CryptVault

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 29.04.2015 08:24:24

1. если сохранился архив с вредоносным вложением, вышлите в почту [email protected] в архиве с паролем infected
2. по очистке системы
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.21 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE deldir %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\LOCAL\PIRRITSUGGESTOR delref HTTP://WEBALTA.RU/SEARCH delnfr restart

перезагрузка, пишем о старых и новых проблемах.
------------
3. по восстановлению - помогут архивные или теневые копии, если есть на дисках
4. по расшифровке документов нужен ключ secring.gpg
http://chklst.ru/forum/discussion/1481/vault-chto-delat#Item_2

Изменено: santy - 04.06.2016 18:03:15

[ Как создать образ автозапуска? ]

Перейти

зашифровано в CTBlocker

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 29.04.2015 05:42:24

ctb locker,
добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .vault, bat encoder /CryptVault

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 28.04.2015 16:25:35

Цитата
Сергей Логинов написал: Сейчас, после перезагрузки ноута, уже на фоне рабочего стола на секунду вышло черное окно командной строки с исполнением какого-то ехе файла, а так-же открылся пустой "VAULT - Блокнот"!! Т.е. троян опять запущен???

Цитата

Сергей Логинов написал:
Сейчас, после перезагрузки ноута, уже на фоне рабочего стола на секунду вышло черное окно командной строки с исполнением какого-то ехе файла, а так-же открылся пустой "VAULT - Блокнот"!!
Т.е. троян опять запущен???

добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .vault, bat encoder /CryptVault

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 28.04.2015 14:03:49

где-то. это только в %temp%
выложите пару зашифрованных документов, или сами проверьте. переименуйте в нормальное расширение.
и проверьте файл на открытие.
иногда бывает, что выполняется только переименование файлов без шифровки. но очень редко.

Изменено: santy - 04.06.2016 18:02:26

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .vault, bat encoder /CryptVault

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 28.04.2015 13:29:37

восстановливается, если не был затерт. т.е. если в определенный момент времени работы шифратора выключить комп, то есть вероятность восстановить secring.gpg
если же шифратор полностью отработал, то скорее всего восстановить secring.gpg не получится.

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .vault, bat encoder /CryptVault

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 28.04.2015 13:09:09

Сергей,
значит secring.gpg затерт до нуля. нулевой secring.gpg бесполезен для расшифровки.
другого варианта расшифровки у нас нет.

[ Как создать образ автозапуска? ]

Перейти