Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 615 616 617 618 619 620 621 622 623 624 625 ... 1784 След.
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.02.2015 20:13:39
1. пробуйте запретить с помощью локальных политик ограниченного запуска программ запуск исполняемых файлов из архивов rar и zip.
как правило вложение распаковывается в temp и оттуда запускается.

2. это полезно прочесть
http://chklst.ru/forum/discussion/1474/shifrovirusy-shumnoy-tolpoyu-

и

http://chklst.ru/forum/discussion/532/bat-encoder
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.02.2015 19:40:50
им ничего не стоит изменить тело js, поэтому сигнатурный детект опять слетит.
а вот ссылку на загрузку файла надо было бы прислать в вирлаб и сюда, с тем чтобы заблокировали адрес.
может быть это был mail-attach.com?
--------
после завершения работы шифратора в автозапуске остается только запуск заставки и текста объявления.
сам шифратор (касается vault) повторно после перезагрузки не запускается.
--------
предыдущий вариант письма

Цитата
Добрый день!

К нам заявились налоговики с проверкой((
Мы уже второй день пытаемся найти некоторые первичные документы, касающиеся нашего сотрудничества.
Но в связи с переездом в новый офис, акты и несколько договоров между нами так и не были найдены.
Я составила список документов (во вложении). Прошу Вас помочь с их поиском...
Скиньте хотя бы скан-копии, а то мы влетим на штрафы.
Заранее большое спасибо!

Прикреплённые файлы:
<u>1. Список документов.zip</u>

--
С Уважением
Сотрудники бухгалтерии
ООО "Город Инструмента"
Изменено: santy - 04.06.2016 17:40:13
[ Как создать образ автозапуска? ]
Перейти
зашифровано с расширением *filesos*; *backyourfiles*; *[email protected]_*, Filecoder.NDE
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.02.2015 17:25:20
+
выполните скрипт для очистки от прокси

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://ECASTATS.COM/ROWS/UNIMPORTED2.RUI

delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
[ Как создать образ автозапуска? ]
Перейти
зашифровано с расширением *filesos*; *backyourfiles*; *[email protected]_*, Filecoder.NDE
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.02.2015 16:20:48
1. настройки прокси в браузерах сами прописывали? если нет, то скорее всего троянский прокси.

Цитата
Полное имя                  HTTP://ECASTATS.COM/ROWS/UNIMPORTED2.RUI
Имя файла                   HTTP://ECASTATS.COM/ROWS/UNIMPORTED2.RUI
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
AUTOCONFIGURL               (ССЫЛКА ~ AUTOCONFIGURL)(1)   AND   (AUTOCONFIGURL ~ HTTP)(1)
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL
AutoConfigURL               http://ecastats.com/rows/unimported2.rui
                           
Ссылка                      HKEY_USERS\S-1-5-21-1645522239-606747145-1417001333-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL
AutoConfigURL               http://ecastats.com/rows/unimported2.rui

2. восстановить зашифрованные данные из теневой копии не получится.

3. по расшифровке документов обращайтесь в технические поддержки вирлабов. ДрВеб, ESET, ЛК.
при себе иметь запас терпения, несколько зашифрованных файлов, а так же лицензию на соответствующий антивирус.
Изменено: santy - 02.06.2016 12:59:47
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.02.2015 11:21:09
по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\ВИКТОРИЯ\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian

del %SystemDrive%\USERS\ВИКТОРИЯ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.URL
del %SystemDrive%\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.URL
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://HELP.YANDEX.RU/YABROWSER/

setdns Подключение по локальной сети 3\4\{68521E10-FB52-495D-9948-EF31F04434DD}\8.8.8.8,8.8.4.4
regt 28
regt 29
; Adobe Flash Players 10.0
exec  C:\Program Files (x86)\Adobe Flash Players 10.0\unins000.exe
; OpenAL
exec  C:\Program Files (x86)\OpenAL\OpenAL.exe" /U
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
+
по восстановлению данных проверьте возможность восстановить доки из теневой копии системного диска.
или можно выслать в почту [email protected] id и пароль от Тимвьювера.
с указанием ссылки на вашу тему.

по расшифровке документов решения нет.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.02.2015 08:39:27
попытка, не пытка. если есть лицензия - отправьте файлы, пусть криптологи шифр ломают.
Изменено: santy - 30.06.2017 05:55:13
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Win32/Glupteba.O
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 23.02.2015 19:53:37
далее,

сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/
----

в АдвКлинере, после завершения сканирования, в секции [b]Папки[/b] снимите галки с записей mail.ru, yandex

остальное удалите по кнопке [b]Очистить[/b]

далее,

выполните рекомендации:
http://forum.esetnod32.ru/forum9/topic3998/
----------------
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Win32/Glupteba.O
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 23.02.2015 18:34:43
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES (X86)\HOUSE\DORM\CRYPTS.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\HOUSE\DORM\CRYPTS.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://ISTART.WEBSSEARCHES.COM/?TYPE=HP&TS=1414471951&FROM=IRS&UID=ST1000DM003-9YN162_S1D1HN93XXXXS1...

; McAfee Security Scan Plus
exec C:\Program Files\McAfee Security Scan\uninstall.exe
; OpenAL
exec  C:\Program Files (x86)\OpenAL\OpenALwEAX.exe" /U
deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
[ Как создать образ автозапуска? ]
Перейти
адрес заблокирован
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 23.02.2015 06:50:29
+
добавьте логи в Farbar Recovery Scan Tool
[ Как создать образ автозапуска? ]
Перейти
адрес заблокирован
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.02.2015 17:33:38
это отключите в Хроме

Цитата
Да    Extension    Internet Speed Tracker    12.9.6.8603    Default    C:\Users\Hamurari\AppData\Local\Google\Chrome\User Data\Default\Extensions\cifndhjjchjamcecpjhpggeaacihcjnl\12.9.6.8603_0
Да    Extension    Search by Image (by Google)    1.5.1    Default    C:\Users\Hamurari\AppData\Local\Google\Chrome\User Data\Default\Extensions\dajedkncpodkggklbegccjpmnglmnflm\1.5.1_0
Да    Extension    Speed Dial 2 (ru)    1.2.5.11    Default    C:\Users\Hamurari\AppData\Local\Google\Chrome\User Data\Default\Extensions\joejifmlepfojlkjdehljakdmhlpnlfo\1.2.5.11_0
Да    Extension    Speed Dial 2 (ru)    1.2.5.11    Profile 1    C:\Users\Hamurari\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\joejifmlepfojlkjdehljakdmhlpnlfo\1.2.5.11_0
Нет    Extension    Speed Dial 2.0 RUS    2.0.3    Default    C:\Users\Hamurari\AppData\Local\Google\Chrome\User Data\Default\Extensions\iiokoipacignlilkidmpbfcfdopijpma\2.0.3_0
Да    Extension    View Image Info (properties)    0.0.1.1    Default    C:\Users\Hamurari\AppData\Local\Google\Chrome\User Data\Default\Extensions\jldjjifbpipdmligefcogandjojpdagn\0.0.1.1_0
пишем результат
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 615 616 617 618 619 620 621 622 623 624 625 ... 1784 След.