Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 603 604 605 606 607 608 609 610 611 612 613 ... 1784 След.
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 10.03.2015 18:31:32
ну это вопрос к разработчикам энкодера. чего они там не учли.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 10.03.2015 18:08:33
нет, ключ злоумышленников, который нужен для расшифровки VAULT.KEY здесь не светится.  только на сервере злоумышленников.
вот кстати можно почитать разбор полетов шифровальщика
http://forum.drweb.com/index.php?showtopic=320137&page=13#entry757399
Изменено: santy - 04.06.2016 17:51:26
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 10.03.2015 17:07:01
Дмитрий, вы сейчас немного не тем  заняты.
надо проверять по компам следующее:
1. собирать VAULT.key и CONFIRMATION.KEY по каждой зараженной машине.
2. выполнять поиск secring.gpg и vaultkey.vlt (если будут найдены живыми), то в данном случае возможна расшифровка.
3. если эти ключи необходимые не найдены, проверить возможность восстановления документов из архивных и теневых копий.
4. если и этой возможности нет, а документы жизненно важны для вас, тогда срочно брать кредит в МВФ и  готовиться к выкупу ключей у злоумышленников с максимально возможной скидкой, (может мантру какую то для этого надо выучить.)
5. если документы не важны для вас и вы можете без них продолжить работу, то удалить все зашифрованные доки,по возможности восстановить все что можно,
далее, засучить рукава и приняться настраивать создание архивных копий документов, и локальных политик безопасности по ограниченному запуску программ в системе.
Изменено: santy - 04.06.2016 18:38:42
[ Как создать образ автозапуска? ]
Перейти
Помогите,вирус или нет?, MBR-сектор физического диска 1. - Ошибка открытия
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 10.03.2015 16:59:37
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

delall %SystemDrive%\PROGRA~3\MOZILLA\BHOIQXB.DLL
delall %SystemDrive%\USERS\WOLFRAMIUM\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL
hide D:\PROGRAM FILES (X86)\AUSLOGICS\AUSLOGICS BOOSTSPEED\UNINS000.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://QIP.RU

regt 28
regt 29

deltmp
delnfr

; Search Protection
exec C:\Users\Wolframium\AppData\Roaming\Search Protection\uninstall.exe
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 10.03.2015 13:11:23
по второму компу secring.gpg=0 для расшифровке не подойдет. проверьте возможность восстановления документов из теневых копий документов.
Изменено: santy - 04.06.2016 18:38:42
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 10.03.2015 12:22:01
gpg: зашифровано 1024-битным ключом RSA с ID 996E88A8, созданным 25.01.2015
     "VaultCrypt (VaultCrypt) <BM-NBJaxrt4riuVrCq5NVcLrFC5CYCYkxpm@Bitmessage>"
gpg: сбой расшифровки: закрытый ключ не найден

File: Z:\virus!\shifratory\bat.encoder.vault\6\vir\VAULT.KEY
Time: 10.03.2015 15:19:46 (10.03.2015 9:19:46 UTC)
------------
этого ключа нет в вирлабах, только у злоумышленников.
соответственно, расшифровать и достать secring.gpg могут только они.
-------
поищите на дисках ключи: pubring.gpg, secring.gpg с ненулевым размером.
в каждом случае шифрования, для разных (ваших) компов это будут разные файлы.
--------
т.е. для каждого случая шифрования у вас должен быть свой VAULT.KEY и CONFIRMATION.kEY
если найдете еще и pubring.gpg/secring.gpg тоже сложите их аакуратно, каждый в свою папочку.
Изменено: santy - 04.06.2016 18:38:42
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 10.03.2015 12:17:24
если успеете перехватить secring.gpg, то получится все расшифровать,
если не успеете, то расшифровать не получится.

по восстановлению докуметнтов проверьте возможность восстановить из теневой копии. эта функция поддерживается для вашей системы

Цитата
uVS v3.85.3 [http://dsrt.dyndns.org&#93;: Windows 7 Professional x64 (NT v6.1) build 7601 Service Pack 1 [C:\WINDOWS]
другое дело, включена ли защита системы для дисков или нет.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 10.03.2015 12:14:00
вы видимо образ делали в тот момент, когда еще идет шифрование
Цитата
"C:\Windows\TEMP\svchost.exe"  -r Cellar --yes -q --no-verbose --trust-model always --encrypt-files "D:\Documents\Pictures\2014-07-30 документ\документ 013.jpg"
надо перегрузить систему,
и проверить что там в %TEMP% юзера осталось.
возможно будет ключ secring.gpg
вообщем все подозрительные файлы из temp юзера добавьте в архив.
этот файл можно удалить
Цитата
C:\Windows\TEMP\svchost.exe
[ Как создать образ автозапуска? ]
Перейти
Как можно вычислить процесс, который шлёт icmp-пакеты
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 10.03.2015 11:19:14
это оставьте в мбам
Цитата
Processes: 1
RiskWare.Tool.CK, C:\Windows\KMSERVICE.EXE, 460, , [502983c0cebc1125953f1c6435cd05fb]
Files: 3
RiskWare.Tool.CK, C:\Windows\KMSERVICE.EXE, , [502983c0cebc1125953f1c6435cd05fb],
RiskWare.Tool.CK, C:\Windows\SysWOW64\KMSService.exe, , [b8c1cf74cbbfd95df3e16818ed154bb5],
остальное все удалите.
далее,

далее,

сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/
----

в АдвКлинере, после завершения сканирования, в секции [b]Папки[/b] снимите галки с записей mail.ru, yandex

остальное удалите по кнопке [b]Очистить[/b]

далее,

если проблема не решится, добавьте логи расширений браузеров
http://forum.esetnod32.ru/forum9/topic10570/
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы в Cryakl с расширением *.cbf, Filecoder.CQ,Filecoder.EQ/Encoder.567/Cryakl/ ver 4.0.0.0-8.0.0.0
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 10.03.2015 10:42:09
1. по очистке системы
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\КОМПЛИСИТЕ\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian

del %SystemDrive%\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.BAT
del %SystemDrive%\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.BAT
delall %SystemDrive%\PROGRAM FILES (X86)\QIPGUARD\QIPGUARD.EXE
delall %SystemDrive%\USERS\КОМПЛИСИТЕ\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QSTATSRV.DLL
del %SystemDrive%\PROGRAM FILES (X86)\ZAXAR\ZAXARGAMEBROWSER.BAT
delall %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://QIP.RU

delref HTTP://SEARCH.QIP.RU

delref HTTP://WWW.QIP.RU/

regt 28
regt 29
; Pandora Service
exec  C:\Program Files (x86)\PANDORA.TV\PanService\unins000.exe
; etranslator
exec  C:\Users\Комплисите\AppData\Roaming\eTranslator\eTranslator.exe" /uninstall
; Time tasks
exec  C:\ProgramData\Schedule\uninstall.exe
; Remote Desktop Access (VuuPC)
exec  C:\Users\Комплисите\AppData\Roaming\VOPackage\uninstall.exe
; Zaxar Games Browser
exec  C:\Program Files (x86)\Zaxar\uninstall.exe
deldir %SystemDrive%\USERS\КОМПЛИСИТЕ\APPDATA\ROAMING\VOPACKAGE
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
2. по восстановлению документов проверьте возможность восстановления доков из теневой копии.
3. по расшифровке документов: если у вас есть лицензия на продукт Есета, отправьте несколько защифрованных документов, а так же архив с вредоносной программой в техподдержку
[email protected]
Изменено: santy - 15.03.2018 10:05:23
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 603 604 605 606 607 608 609 610 611 612 613 ... 1784 След.