Выбрать дату в календареВыбрать дату в календаре

Проблема с удалением ESET Endpoint Antivirus 5
клиенты 4 и 5, конечно, лучше не заводить в в 7 консоль. либо для них держать отдельный сервер управления 5ERA, либо заранее делать переустановку актуальных версий.
Проблема с удалением ESET Endpoint Antivirus 5
[QUOTE]Роман Тузов написал:
Создана задача на удаление старой версии ESET Endpoint Antivirus 5. На клиентах был установлен пароль, в параметрах удаления он указан. В итоге клиент удалился только на некоторых ПК. На большинстве ПК выдало сбой.[/QUOTE],
из какой версии ERA вы создавали задачи на удаление 5 версии ESET Endpoint Antivirus?
[ Закрыто] Предложения по дальнейшему развитию функций Universal Virus Sniffer
---------------------------------------------------------
4.11.2
---------------------------------------------------------
o Добавлена поддержка VT API v3.

o Восстановлена поддержка сервиса runscanner.net

o Исправлена функция переключения рабочих столов при работе с удаленной системой.

o В лог теперь выводится информация о существующих оконных станциях и список рабочих столов для дефолтной оконной станции.

o Добавлены горячие клавиши при работе с активной системой:
  Alt->left и Alt->right клавиши переключают доступные рабочие столы.
WannaCash
[QUOTE]Вячеслав Колесов написал:
Словил шифровальщик  wannacash при открытии файла "Ключи активации на 365 дней", зашифровано 50 699 мелких файлов, самый крупный прилагаю к сообщению, он был в формате mp4. Файлы сам заархивировал, т.к. не вставляются в сообщение в исконном виде. В свойствах файла "ключи активации на 365 дней.exe"  в комментариях содержится запись "Path=%temp% Setup=ss3.exe Setup=ключи.txt Silent=1 Overwrite=1", т.е. при открытии создаётся файл ss3.exe - видимо он и шифрует. Помогите, пожалуйста с расшифровкой, если возможно.[/QUOTE]
при наличие лицензии на продукты ESET напишите в support@esetnod32.ru
[ Закрыто] Предложения по дальнейшему развитию функций Universal Virus Sniffer
кстати,
по логу uVS:
======= Начало исполнения скрипта =======
--------------------------------------------------------
v400c
--------------------------------------------------------
--------------------------------------------------------
unload %Sys32%\RUNDLL32.EXE
--------------------------------------------------------
Операция выгрузки объекта добавлена в очередь: C:\WINDOWS\SYSTEM32\RUNDLL32.EXE
--------------------------------------------------------
deltsk %Sys32%\RUNDLL32.EXE
--------------------------------------------------------
--------------------------------------------------------
zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\­FREETP\FREETPORG.DLL
--------------------------------------------------------
Копирование файла в Zoo: \\?\C:\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\FREETP\FREETP­ORG.DLL
Файл скопирован в ZOO: C:\USERS\АДМИНИСТРАТОР\DESKTOP\SUPPORT\ZOO\FREETPORG.DLL._BE2292743106EC183CD2DA5B9CB0CE4548C3C5B8
--------------------------------------------------------
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\­FREETP\FREETPORG.DLL
--------------------------------------------------------
--------------------------------------------------------
dirzooex %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\­FREETP
--------------------------------------------------------
Копирование файла в Zoo: C:\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\FREETP\freept­org.dll
Копирование файла в Zoo: C:\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\FREETP\freetp­org.dll
Копирование файла в Zoo: C:\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\FREETP\main.exe
Копирование файла в Zoo: C:\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\FREETP\Module­.exe
Копирование файла в Zoo: C:\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\FREETP\StartP­rocess.dll
Копирование файла в Zoo: C:\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\FREETP\stub.exe
--------------------------------------------------------
deldir %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\­FREETP
--------------------------------------------------------
Удалено файлов: 8 из 8
[ Закрыто] Предложения по дальнейшему развитию функций Universal Virus Sniffer
[QUOTE]RP55 RP55 написал:
[URL=https://forum.esetnod32.ru/messages/forum3/topic16130/message110663/?result=reply#message110663]https://forum.esetnod32.ru/messages/forum3/topic16130/message110663/?result=reply#message110663[/URL]

Полное имя                  C:\WINDOWS\SYSTEM32\NOTEPAD.EXE

CPU                         34.37%
CPU (1 core)             549.92%[/QUOTE]
уже было такое ранее:
https://chklst.ru/discussion/1841/trojan-multi-genautorunproc-a

перенес тему:
https://forum.esetnod32.ru/forum6/topic16130/

здесь аналогичная тема:
https://virusinfo.info/showthread.php?t=225795

в hj висит задача:
O22 - Task: MicrosoftOfficeScheduledUpdate - C:\Windows\system32\rundll32.exe C:\Users\Администратор\AppData\Roaming\Microsoft\freetp\freetp­org.dll,UpdateService

хотя потоки в notepad, которые показаны в uVS здесь  не увидят
[ Закрыто] !!_Вирус MSIL/Injector.ULC, Удаление вируса MSIL/Injector.ULC
нужен новый образ автозапуска для контроля:
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\NOTEPAD.EXE [6152], tid=7868
поскольку обнаружены потоки в легальном файле notepad.exe

хотя возможно через этот модуль внедрялись потоки в notepad
rundll32.exe C:\Users\Andrey\AppData\Roaming\Microsoft\freetp\[B]freetporg.dll[/B],UpdateService
MSIL/Agent.TPR [ESET-NOD32] (delall) [глубина совпадения 64(64), необх. минимум 64, максимум 64] 2020-03-07

подобные трюк уже были ранее на форумах.
здесь подробнее описано
https://chklst.ru/discussion/1841/trojan-multi-genautorunproc-a

возможно, что данная dll (freetporg.dll) извлечена из реестра, так же как и WindowsDiagnostics.dll в предыдущем случае
Медленный интернет., После продления лицензии
попробуйте выполнить на проблемном компьютере из cmd с правами администратора:
netsh winsock reset catalog
перегрузить систему и еще сделать изменение скорости доступа
+
добавить новый лог ESETsysinspector
Cryakl/CryLock - этапы "большого пути"
файл зашифрован версией Crylock 2.0.0.0
[QUOTE]{sel4ru}{3E2730A7-21C21601}{2.0.0.0}[/QUOTE]
по данной версии пока нет расшифровки. ждем образ автозапуска для анализа системы, и возможности получения системных журналов.

собственно, дубль темы:
https://forum.kasperskyclub.ru/topic/75009-crylock-ili-cryakl-crylock-ili-cryakl-za-shifroval-fajly-ogranichennogo-polzovatelja-puti-reshenija/

надеюсь, будет какой-то полезный результат по вашему обращению здесь
Cryakl/CryLock - этапы "большого пути"
[QUOTE]alx bit написал:
[QUOTE] santy написал:
начните с образа автозапуска из зашифрованной системы, лучше из безопасного режима системы
 [URL=http://forum.esetnod32.ru/forum9/topic2687/]http://forum.esetnod32.ru/forum9/topic2687/[/URL] [/QUOTE]хорошо, я могу попробовать, только можете сказать, через виртуальную я сам не заражцсь?) Сетку сразу вс отключаю.[/QUOTE]
нет конечно, шифратор не должен запуститься из безопасного режима. если он еще остался в автозапуске.