santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

файлы зашифрованы с расширением .vault, bat encoder /CryptVault

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.02.2015 12:43:24

поищите на диске файл vault.hta, если будет найден, удалите его

[ Как создать образ автозапуска? ]

файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.02.2015 10:44:15

по очистке системы выполните скрипт.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.7 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemRoot%\WIN.VBS delall %SystemRoot%\WIN.VBS czoo restart

перезагрузка, пишем о старых и новых проблемах.
------------

2. по восстановлению данных из теневой копии: проверьте наличие копий для системного диска.

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .vault, bat encoder /CryptVault

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.02.2015 10:36:22

1. по очистке системы

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да";uVS v3.85.7 [http://dsrt.dyndns.org]

Код
;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\USERS\DMITRY\APPDATA\ROAMING\METACRAWLER\UPDATEPROC\UPDATETASK.EXE addsgn A7679B19919AF4526295AE59282AECFA4F8B940ED1BB1F10A99A84BC38B6280D23AE7F3E7F5527A542C18427AA7F08FA958CB78DAA3286FCD388A42F38F9DD8C 9 a variant of Win32/DealPly.O zoo %SystemDrive%\USERS\DMITRY\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian delall %SystemDrive%\PROGRAM FILES (X86)\ANYPROTECTEX\ANYPROTECT.EXE delall %SystemDrive%\PROGRAM FILES (X86)\DRIVERTOOLKIT\DRIVERTOOLKIT.EXE ;------------------------autoscript--------------------------- chklst delvir delref HTTP://YAMBLER.NET/?IQ&UID=530E77BF5BA5991D6EEB857C7522A280&IID=24178612 ; Free Video Player 1.0 exec C:\Program Files (x86)\Free Video Player\unins000.exe ; metaCrawler exec C:\Program Files (x86)\metaCrawler\1.8.19.0\uninstall.exe deltmp delnfr ;------------------------------------------------------------- restart

Код

;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\DMITRY\APPDATA\ROAMING\METACRAWLER\UPDATEPROC\UPDATETASK.EXE
addsgn A7679B19919AF4526295AE59282AECFA4F8B940ED1BB1F10A99A84BC38B6280D23AE7F3E7F5527A542C18427AA7F08FA958CB78DAA3286FCD388A42F38F9DD8C 9 a variant of Win32/DealPly.O

zoo %SystemDrive%\USERS\DMITRY\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian

delall %SystemDrive%\PROGRAM FILES (X86)\ANYPROTECTEX\ANYPROTECT.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\DRIVERTOOLKIT\DRIVERTOOLKIT.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://YAMBLER.NET/?IQ&UID=530E77BF5BA5991D6EEB857C7522A280&IID=24178612

; Free Video Player 1.0
exec  C:\Program Files (x86)\Free Video Player\unins000.exe
; metaCrawler
exec  C:\Program Files (x86)\metaCrawler\1.8.19.0\uninstall.exe
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
2. по восстановлению данных. проверьте возможность восстановления из теневой копии. у вас NT 6.1 для системного диска эта функция поддерживается по умолчанию.

3. по энкодеру vault расшифровки нет.

Изменено: santy - 04.06.2016 18:41:58

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .vault, bat encoder /CryptVault

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 19.02.2015 20:42:01

размер образа 0 байт
перезалейте образ автозапуска. можно на http://rghost.ru

[ Как создать образ автозапуска? ]

Перейти

зашифровано с расширением *filesos*; *backyourfiles*; *[email protected]_*, Filecoder.NDE

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 19.02.2015 20:01:56

у вас win7

Цитата
uVS v3.85.3 [http://dsrt.dyndns.org]: Windows 7 Home Basic x64 (NT v6.1) build 7600 [C:\WINDOWS]

проверьте возможность восстановления данных из теневой копии.
если не сможете это сделать, вышлите id и пароль от Тимвьювер в почту [email protected]
(но проверить смогу только завтра уже)

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Подскажите

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 19.02.2015 18:29:26

Эдуард Дейнека
на форуме не оказываем помощь пользователям, которые используют tnod

Код
C:\PROGRAM FILES\ESET\TNOD USER & PASSWORD FINDER\TNODUP.EXE

обратитесь за помощью на другой форум.
тем более, что заражение системы действительно есть.

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы в Cryakl с расширением *.cbf, Filecoder.CQ,Filecoder.EQ/Encoder.567/Cryakl/ ver 4.0.0.0-8.0.0.0

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 19.02.2015 14:53:19

для XP метод восстановления из теневой копии неприменим.

Цитата
uVS v3.85.3 [http://dsrt.dyndns.org]: Microsoft Windows XP x86 (NT v5.1) build 2600 Service Pack 3 [C:\WINDOWS]

в данном случае варианты восстановления:
1. из архивных копий,
2. поиск дешифратора.

[ Как создать образ автозапуска? ]

Перейти

зашифровано с расширением *filesos*; *backyourfiles*; *[email protected]_*, Filecoder.NDE

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 19.02.2015 14:26:15

для XP данный метод восстановления неприменим.

Цитата
;Target OS: NTv5.1

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] 2Inf.NET, Помагите избавится

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 19.02.2015 14:06:41

выполните рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] 2Inf.NET, Помагите избавится

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 19.02.2015 13:39:33

если в мбам ничего не найдено, то
сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/
----

в АдвКлинере, после завершения сканирования, в секции [b]Папки[/b] снимите галки с записей mail.ru, yandex

остальное удалите по кнопке [b]Очистить[/b]

[ Как создать образ автозапуска? ]

Перейти