santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] Вирус

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.02.2015 16:57:51

этот файлик вышлите в архиве с паролем infected в почту [email protected]

Код
C:\Users\Sergey\Downloads\Windows_8_Flash_2013.exe

потом можно все найденное в мбам удалить.

далее,

далее,

сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/
----

в АдвКлинере, после завершения сканирования, в секции [b]Папки[/b] снимите галки с записей mail.ru, yandex

остальное удалите по кнопке [b]Очистить[/b]

далее,

если проблема не решится, добавьте логи расширений браузеров
http://forum.esetnod32.ru/forum9/topic10570/

[ Как создать образ автозапуска? ]

Перейти

зашифровано в CTBlocker

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.02.2015 14:18:45

если есть возможность, скиньте в почту [email protected]

или в личные сообщения id и пароль в Тимвьювере для проверки возможности восстановления зашифрованных данных

[ Как создать образ автозапуска? ]

Перейти

ShadowExplorer

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.02.2015 13:43:18

неплохая программа. монтирует каталог с теневыми копиями как диск.

[ Как создать образ автозапуска? ]

Перейти

зашифровано в CTBlocker

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.02.2015 12:46:58

+
если есть возможность, скиньте в почту [email protected]
или в личные сообщения id и пароль в Тимвьювере для проверки возможности восстановления зашифрованных данных

[ Как создать образ автозапуска? ]

Перейти

зашифровано в CTBlocker

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.02.2015 10:35:09

1. расшифровки данных по данному шифратору нет.

2. для очистки системы выполните скрипт в uVS

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.6 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-3483842375-556013588-3686953024-1431\$I1E1XYQ.EXE delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-3483842375-556013588-3686953024-1431\$IXLJIDW.EXE delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-3483842375-556013588-3686953024-1431\$IYL0G26.EXE delall %SystemDrive%\PROGRAM FILES (X86)\PC PERFORMER\PCPERFORMER.EXE delall %SystemDrive%\USERS\ABILMAZHINOVA\APPDATA\LOCAL\MICROSOFT\WINDOWS\TOOLBAR.EXE hide %SystemRoot%\TNIWINAGENT\TNIWINAGENT.EXE delall %SystemDrive%\USERS\ABILMAZHINOVA\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE restart

Код

;uVS v3.85.6 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-3483842375-556013588-3686953024-1431\$I1E1XYQ.EXE
delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-3483842375-556013588-3686953024-1431\$IXLJIDW.EXE
delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-3483842375-556013588-3686953024-1431\$IYL0G26.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\PC PERFORMER\PCPERFORMER.EXE
delall %SystemDrive%\USERS\ABILMAZHINOVA\APPDATA\LOCAL\MICROSOFT\WINDOWS\TOOLBAR.EXE
hide %SystemRoot%\TNIWINAGENT\TNIWINAGENT.EXE
delall %SystemDrive%\USERS\ABILMAZHINOVA\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
restart

перезагрузка, пишем о старых и новых проблемах.
------------
3. по восстановлению данных другими методами прочтите это
http://forum.esetnod32.ru/forum35/topic11575/

[ Как создать образ автозапуска? ]

Перейти

зашифровано в CTBlocker

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.02.2015 09:20:36

добавьте образ автозапуска системы
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Перейти

зашифровано в CTBlocker

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.02.2015 06:21:12

1. расшифровки после CTB locker-а нет.

2. выполните скрипт очистки системы
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.6 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v385c OFFSGNSAVE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALINA\JAHCII.EXE hide %SystemDrive%\PROGRAM FILES\K-LITE CODEC PACK\TOOLS\MEDIAINFO.EXE delall %Sys32%\USERINI.EXE delall %Sys32%\SSVICHOSST.EXE restart

Код

;uVS v3.85.6 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE

delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALINA\JAHCII.EXE
hide %SystemDrive%\PROGRAM FILES\K-LITE CODEC PACK\TOOLS\MEDIAINFO.EXE
delall %Sys32%\USERINI.EXE
delall %Sys32%\SSVICHOSST.EXE
restart

перезагрузка, пишем о старых и новых проблемах.

3. по восстановлению данных пробуем альтернативные методы восстановления данных.
http://forum.esetnod32.ru/forum35/topic11575/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Вирус

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.02.2015 06:12:50

добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Перейти

зашифровано в CTBlocker

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 06.02.2015 19:14:09

а uVS здесь зачем? по работе с photorec пробуйте разобраться самостоятельно, пока нет возможности и времени протестировать восстановление данных после шифрования в ctb locker. дешифровщика здесь не дождаться.

[ Как создать образ автозапуска? ]

Перейти

зашифровано в CTBlocker

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 06.02.2015 12:35:04

в каталоге testdisk надо запустить утилиту photorec. не факт конечно что она найдет файлы, удаленные ctb locker-ом. надо проверять.

[ Как создать образ автозапуска? ]

Перейти