santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

файлы зашифрованы с расширением .vault, bat encoder /CryptVault

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 24.02.2015 20:13:39

1. пробуйте запретить с помощью локальных политик ограниченного запуска программ запуск исполняемых файлов из архивов rar и zip.
как правило вложение распаковывается в temp и оттуда запускается.

2. это полезно прочесть
http://chklst.ru/forum/discussion/1474/shifrovirusy-shumnoy-tolpoyu-

и

http://chklst.ru/forum/discussion/532/bat-encoder

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .vault, bat encoder /CryptVault

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 24.02.2015 19:40:50

им ничего не стоит изменить тело js, поэтому сигнатурный детект опять слетит.
а вот ссылку на загрузку файла надо было бы прислать в вирлаб и сюда, с тем чтобы заблокировали адрес.
может быть это был mail-attach.com?
--------
после завершения работы шифратора в автозапуске остается только запуск заставки и текста объявления.
сам шифратор (касается vault) повторно после перезагрузки не запускается.
--------
предыдущий вариант письма

Цитата
Добрый день! К нам заявились налоговики с проверкой(( Мы уже второй день пытаемся найти некоторые первичные документы, касающиеся нашего сотрудничества. Но в связи с переездом в новый офис, акты и несколько договоров между нами так и не были найдены. Я составила список документов (во вложении). Прошу Вас помочь с их поиском... Скиньте хотя бы скан-копии, а то мы влетим на штрафы. Заранее большое спасибо! Прикреплённые файлы: <u>1. Список документов.zip</u> -- С Уважением Сотрудники бухгалтерии ООО "Город Инструмента"

Цитата

Добрый день!

К нам заявились налоговики с проверкой((
Мы уже второй день пытаемся найти некоторые первичные документы, касающиеся нашего сотрудничества.
Но в связи с переездом в новый офис, акты и несколько договоров между нами так и не были найдены.
Я составила список документов (во вложении). Прошу Вас помочь с их поиском...
Скиньте хотя бы скан-копии, а то мы влетим на штрафы.
Заранее большое спасибо!

Прикреплённые файлы:
<u>1. Список документов.zip</u>

--
С Уважением
Сотрудники бухгалтерии
ООО "Город Инструмента"

Изменено: santy - 04.06.2016 17:40:13

[ Как создать образ автозапуска? ]

Перейти

зашифровано с расширением *filesos*; *backyourfiles*; *[email protected]_*, Filecoder.NDE

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 24.02.2015 17:25:20

+
выполните скрипт для очистки от прокси

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.7 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v385c OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir delref HTTP://ECASTATS.COM/ROWS/UNIMPORTED2.RUI delnfr ;------------------------------------------------------------- restart

Код

;uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://ECASTATS.COM/ROWS/UNIMPORTED2.RUI

delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

[ Как создать образ автозапуска? ]

Перейти

зашифровано с расширением *filesos*; *backyourfiles*; *[email protected]_*, Filecoder.NDE

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 24.02.2015 16:20:48

1. настройки прокси в браузерах сами прописывали? если нет, то скорее всего троянский прокси.

Цитата
Полное имя HTTP://ECASTATS.COM/ROWS/UNIMPORTED2.RUI Имя файла HTTP://ECASTATS.COM/ROWS/UNIMPORTED2.RUI Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске Удовлетворяет критериям AUTOCONFIGURL (ССЫЛКА ~ AUTOCONFIGURL)(1) AND (AUTOCONFIGURL ~ HTTP)(1) Сохраненная информация на момент создания образа Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Ссылки на объект Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL AutoConfigURL http://ecastats.com/rows/unimported2.rui Ссылка HKEY_USERS\S-1-5-21-1645522239-606747145-1417001333-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL AutoConfigURL http://ecastats.com/rows/unimported2.rui

Цитата

Полное имя HTTP://ECASTATS.COM/ROWS/UNIMPORTED2.RUI
Имя файла HTTP://ECASTATS.COM/ROWS/UNIMPORTED2.RUI
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Удовлетворяет критериям
AUTOCONFIGURL (ССЫЛКА ~ AUTOCONFIGURL)(1) AND (AUTOCONFIGURL ~ HTTP)(1)

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ

Ссылки на объект
Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL
AutoConfigURL http://ecastats.com/rows/unimported2.rui

Ссылка HKEY_USERS\S-1-5-21-1645522239-606747145-1417001333-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL
AutoConfigURL http://ecastats.com/rows/unimported2.rui

2. восстановить зашифрованные данные из теневой копии не получится.

3. по расшифровке документов обращайтесь в технические поддержки вирлабов. ДрВеб, ESET, ЛК.
при себе иметь запас терпения, несколько зашифрованных файлов, а так же лицензию на соответствующий антивирус.

Изменено: santy - 02.06.2016 12:59:47

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 24.02.2015 11:21:09

по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.7 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\USERS\ВИКТОРИЯ\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian del %SystemDrive%\USERS\ВИКТОРИЯ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.URL del %SystemDrive%\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.URL ;------------------------autoscript--------------------------- chklst delvir delref HTTP://HELP.YANDEX.RU/YABROWSER/ setdns Подключение по локальной сети 3\4\{68521E10-FB52-495D-9948-EF31F04434DD}\8.8.8.8,8.8.4.4 regt 28 regt 29 ; Adobe Flash Players 10.0 exec C:\Program Files (x86)\Adobe Flash Players 10.0\unins000.exe ; OpenAL exec C:\Program Files (x86)\OpenAL\OpenAL.exe" /U deltmp delnfr ;------------------------------------------------------------- restart

Код

;uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\ВИКТОРИЯ\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian

del %SystemDrive%\USERS\ВИКТОРИЯ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.URL
del %SystemDrive%\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.URL
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://HELP.YANDEX.RU/YABROWSER/

setdns Подключение по локальной сети 3\4\{68521E10-FB52-495D-9948-EF31F04434DD}\8.8.8.8,8.8.4.4
regt 28
regt 29
; Adobe Flash Players 10.0
exec  C:\Program Files (x86)\Adobe Flash Players 10.0\unins000.exe
; OpenAL
exec  C:\Program Files (x86)\OpenAL\OpenAL.exe" /U
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
+
по восстановлению данных проверьте возможность восстановить доки из теневой копии системного диска.
или можно выслать в почту [email protected] id и пароль от Тимвьювера.
с указанием ссылки на вашу тему.

по расшифровке документов решения нет.

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 24.02.2015 08:39:27

попытка, не пытка. если есть лицензия - отправьте файлы, пусть криптологи шифр ломают.

Изменено: santy - 30.06.2017 05:55:13

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Win32/Glupteba.O

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.02.2015 19:53:37

далее,

сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/
----

в АдвКлинере, после завершения сканирования, в секции [b]Папки[/b] снимите галки с записей mail.ru, yandex

остальное удалите по кнопке [b]Очистить[/b]

далее,

выполните рекомендации:
http://forum.esetnod32.ru/forum9/topic3998/
----------------

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Win32/Glupteba.O

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.02.2015 18:34:43

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.7 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\PROGRAM FILES (X86)\HOUSE\DORM\CRYPTS.EXE delall %SystemDrive%\PROGRAM FILES (X86)\HOUSE\DORM\CRYPTS.EXE ;------------------------autoscript--------------------------- chklst delvir delref HTTP://ISTART.WEBSSEARCHES.COM/?TYPE=HP&TS=1414471951&FROM=IRS&UID=ST1000DM003-9YN162_S1D1HN93XXXXS1... ; McAfee Security Scan Plus exec C:\Program Files\McAfee Security Scan\uninstall.exe ; OpenAL exec C:\Program Files (x86)\OpenAL\OpenALwEAX.exe" /U deltmp delnfr ;------------------------------------------------------------- czoo restart

Код

;uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES (X86)\HOUSE\DORM\CRYPTS.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\HOUSE\DORM\CRYPTS.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://ISTART.WEBSSEARCHES.COM/?TYPE=HP&TS=1414471951&FROM=IRS&UID=ST1000DM003-9YN162_S1D1HN93XXXXS1...

; McAfee Security Scan Plus
exec C:\Program Files\McAfee Security Scan\uninstall.exe
; OpenAL
exec  C:\Program Files (x86)\OpenAL\OpenALwEAX.exe" /U
deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Перейти

адрес заблокирован

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.02.2015 06:50:29

+
добавьте логи в Farbar Recovery Scan Tool

[ Как создать образ автозапуска? ]

Перейти

адрес заблокирован

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 22.02.2015 17:33:38

это отключите в Хроме

Цитата
Да Extension Internet Speed Tracker 12.9.6.8603 Default C:\Users\Hamurari\AppData\Local\Google\Chrome\User Data\Default\Extensions\cifndhjjchjamcecpjhpggeaacihcjnl\12.9.6.8603_0 Да Extension Search by Image (by Google) 1.5.1 Default C:\Users\Hamurari\AppData\Local\Google\Chrome\User Data\Default\Extensions\dajedkncpodkggklbegccjpmnglmnflm\1.5.1_0 Да Extension Speed Dial 2 (ru) 1.2.5.11 Default C:\Users\Hamurari\AppData\Local\Google\Chrome\User Data\Default\Extensions\joejifmlepfojlkjdehljakdmhlpnlfo\1.2.5.11_0 Да Extension Speed Dial 2 (ru) 1.2.5.11 Profile 1 C:\Users\Hamurari\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\joejifmlepfojlkjdehljakdmhlpnlfo\1.2.5.11_0 Нет Extension Speed Dial 2.0 RUS 2.0.3 Default C:\Users\Hamurari\AppData\Local\Google\Chrome\User Data\Default\Extensions\iiokoipacignlilkidmpbfcfdopijpma\2.0.3_0 Да Extension View Image Info (properties) 0.0.1.1 Default C:\Users\Hamurari\AppData\Local\Google\Chrome\User Data\Default\Extensions\jldjjifbpipdmligefcogandjojpdagn\0.0.1.1_0

Цитата

Да Extension Internet Speed Tracker 12.9.6.8603 Default C:\Users\Hamurari\AppData\Local\Google\Chrome\User Data\Default\Extensions\cifndhjjchjamcecpjhpggeaacihcjnl\12.9.6.8603_0
Да Extension Search by Image (by Google) 1.5.1 Default C:\Users\Hamurari\AppData\Local\Google\Chrome\User Data\Default\Extensions\dajedkncpodkggklbegccjpmnglmnflm\1.5.1_0
Да Extension Speed Dial 2 (ru) 1.2.5.11 Default C:\Users\Hamurari\AppData\Local\Google\Chrome\User Data\Default\Extensions\joejifmlepfojlkjdehljakdmhlpnlfo\1.2.5.11_0
Да Extension Speed Dial 2 (ru) 1.2.5.11 Profile 1 C:\Users\Hamurari\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\joejifmlepfojlkjdehljakdmhlpnlfo\1.2.5.11_0
Нет Extension Speed Dial 2.0 RUS 2.0.3 Default C:\Users\Hamurari\AppData\Local\Google\Chrome\User Data\Default\Extensions\iiokoipacignlilkidmpbfcfdopijpma\2.0.3_0
Да Extension View Image Info (properties) 0.0.1.1 Default C:\Users\Hamurari\AppData\Local\Google\Chrome\User Data\Default\Extensions\jldjjifbpipdmligefcogandjojpdagn\0.0.1.1_0

пишем результат

[ Как создать образ автозапуска? ]

Перейти