ESET CONNECT

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.1.9 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAMDATA\WINDOWSTASK\WINLOGON.EXE
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGOMEKMIDLODGLBBMALCNEEGIEACBDMKI%26INSTALLSOURCE%3D­ONDEMAND%26UC
apply

deltmp
delref %Sys32%\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_3FBB9BB1983B9ED9\DISPLAY.NVCONTAINER\NVDISPLAY.CONTAINER.EXE -S NVDISPLAY.CONTAINERLOCALSYSTEM -F C:\PROGRAMDATA\NVDISPLAY.CONTAINERLOCALSYSTEM.LOG -L 3 -D C:\WINDOWS\SYSTEM32\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_3FBB9BB1983B9ED9\DISPLAY.NVCONTAINER\PLUGINS\LOCALSYSTEM -R -P 30000 -CFG NVDISPLAY.CONTAINERLOCALSYSTEM\LOCALSYSTEM
delref %SystemDrive%\PROGRAMDATA\DISPLAYSESSIONCONTAINER%D.LOG
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemDrive%\USERS\BAMIK\APPDATA\LOCAL\PROGRAMS\OPERA\LAUNC­HER.EXE
delref %SystemRoot%\SYSWOW64\COMPMGMTLAUNCHER.EXE
delref %SystemRoot%\SYSWOW64\VID.DLL
delref %SystemRoot%\SYSWOW64\WEVTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DXGMMS2.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\WINNAT.SYS
delref %SystemRoot%\SYSWOW64\BTHSERV.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SMBDIRECT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\REFS.SYS
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref {472083B0-C522-11CF-8763-00608CC02F24}\[CLSID]
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref BROWSER\[SERVICE]
delref %Sys32%\DRIVERS\MFEVTP.SYS
delref %Sys32%\DRIVERS\RDPENCDD.SYS
delref %Sys32%\DRIVERS\SMARTCARDSIMULATOR.SYS
delref %Sys32%\DRIVERS\VIRTUALSMARTCARDREADER.SYS
delref %Sys32%\DRIVERS\WUDFUSBCCIDDRIVER.SYS
delref %Sys32%\DRIVERS\MFEAVFK01.SYS
delref %Sys32%\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_3FBB9BB1983B9ED9\DISPLAY.NVCONTAINER\NVDISPLAY.CONTAINER.EXE -S NVDISPLAY.CONTAINERLOCALSYSTEM -F %PROGRAMDATA%\NVDISPLAY.CONTAINERLOCALSYSTEM.LOG -L 3 -D C:\WINDOWS\SYSTEM32\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_3FBB9BB1983B9ED9\DISPLAY.NVCONTAINER\PLUGINS\LOCALSYSTEM -R -P 30000 -CFG NVDISPLAY.CONTAINERLOCALSYSTEM\LOCALSYSTEM
delref IRENUM\[SERVICE]
delref %SystemDrive%\PROGRAM FILES\AUTODESK\3DS MAX 2021\INVENTOR SERVER\BIN\TESTSERVER.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\TOTALAV\TOTALAV.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\MICROSOFT SHARED\DAO\DAO350.DLL
delref %SystemDrive%\PROGRAM FILES\ADOBE\ADOBE ILLUSTRATOR CC 2019SUPPORT FILES\CONTENTS\WINDOWS\ILLUSTRATOR.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\ADOBE\ADOBE PHOTOSHOP CC 2019\PHOTOSHOP.EXE\AUTOMATION
delref %SystemDrive%\PROGRAM FILES\ADOBE\ADOBE ILLUSTRATOR CC 2019\ADOBE ILLUSTRATOR CC\SUPPORT FILES\CONTENTS\WINDOWS\ILLUSTRATOR.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\AUTODESK SHARED\REVIT SHARED\ASHRAEDUCT.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\PERCEPTIONSIMULATIONEXTENSIONS.DLL
delref %SystemRoot%\SYSWOW64\AUTHHOST.EXE
delref %SystemRoot%\SYSWOW64\COMPPKGSRV.EXE
delref %SystemRoot%\SYSWOW64\RSTRUI.EXE
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_3FBB9BB1983B9ED9\NVENCMFTH264.DLL
delref %SystemRoot%\SYSWOW64\WPCREFRESHTASK.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_3FBB9BB1983B9ED9\NVDECMFTMJPEG.DLL
delref %SystemRoot%\SYSWOW64\RMSROAMINGSECURITY.DLL
delref %SystemRoot%\SYSWOW64\SYSTEMSETTINGSBROKER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\ACROBAT READER DC\ACRORD32INFO.EXE
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SAPI_EXTENSIONS.DLL
delref %SystemRoot%\SYSWOW64\WIREDNETWORKCSP.DLL
delref %SystemDrive%\USERS\BAMIK\APPDATA\ROAMING\UTORRENT\UTORRENT.EXE
delref %SystemDrive%\USERS\BAMIK\APPDATA\ROAMING\UTORRENT WEB\UTWEB.EXE
delref %SystemDrive%\PROGRAM FILES\SPYHUNTER\SPYHUNTER4.EXE
delref %SystemDrive%\PROGRAM FILES\SPYHUNTER\УДАЛИТЬ SPYHUNTER.EXE
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[QUOTE]Дмитрий Таракчеев написал:
Здравствуйте! Поймал шифровальщика Caley.
Во вложении зашифрованные файлы, их оригинальные копии и записки - txt и hta
Помогите кто чем может[/QUOTE]
расшифровки по phobos нет в настоящее время,
если необходима очистка системы, добавьте образ автозапуска системы

[QUOTE]RP55 RP55 написал:
= Разработчик должен знать об этой теме ( и по хорошему написать общение на anti-malware.ru о переносе темы и смене форума ) у модератора должно было остаться право на публикацию ... ?[/QUOTE]
пока что это тема не официальная, и разработчик не давал согласие на перенос форума, так что все предложения, так сказать до лучших времен. Если хочется что-то пообсуждать, и была возможность сохранить новые предложения.

здесь можно вносить и обсуждать новые предложения по функционалу uVS

[QUOTE]RP55 RP55 написал:
в AVZ есть команда удаления по маске ?[/QUOTE]
сигнатура в данном случае - самая лучшая маска.

здесь можно вносить и обсуждать новые предложения по функционалу uVS
https://forum.esetnod32.ru/forum8/topic15904/

как и когда это будет реализовано - это другой вопрос, в первую очередь зависит от четкой формулировки предложений и свободного времени разработчика.

RP55,
зачистка мусора в системах - не самое важное сейчас для реализации в uVS. Понятно, что uVS уже не будет так часто обновляться, как это было раньше, не те времена. Потому надо в первую очередь реализовать то, что важно для быстрого анализа системы.

[QUOTE]Исполняемый файл: LS0BK2_payload.exe втречается 13 раз.
Хотелось бы удалить его одной командой - без сигнатур.[/QUOTE]

а в итоге получится 13 команд будет добавлено в скрипт для удаления этих файлов.

несколько тем ("lsass грузит ЦП") с форума virusinfo.info, которые подчеркивают уникальность функций [B]Universal Virus Sniffer[/B], в частности, обнаружение внедренных потоков в легальные, в том числе и системные процессы.
https://virusinfo.info/showthread.php?t=225067
https://virusinfo.info/showthread.php?t=224966

по второй ссылке решение, к сожалению, не было доведено до конца,
по первой ссылки у пользователя и хелперов хватило времени и терпения, чтобы проверить состояние системы из всех положений: нормального, безопасного, и пассивного из под Live USB

образ автозапуска из uVS подтвердил наличие скрытого процесса, который внедряет потоки и нагружает процесс lsass.

[QUOTE](!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [548], tid=4256
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [548], tid=4280
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [548], tid=4284[/QUOTE]

tdsskiller ничего не обнаружил из норм. режима

19:02:56.0459 0x0d80  TDSS rootkit removing tool 3.1.0.28 Apr  9 2019 21:11:46
19:02:56.0974 0x0d80  ============================================================­
19:02:56.0974 0x0d80  Current date / time: 2020/05/22 19:02:56.0974

19:03:18.0373 0x0c24  ============================================================­
19:03:18.0373 0x0c24  Scan finished
19:03:18.0373 0x0c24  ============================================================­
19:03:18.0373 0x0dac  Detected object count: 0
19:03:18.0373 0x0dac  Actual detected object count: 0

FRST нашел заблокированные каталоги и файлы:

==================== FLock ==============================

2020-05-22 12:46 C:\Windows\speechstracing
2020-05-22 16:23 C:\Windows\system32\config\SYSTEM
2020-05-18 19:49 C:\Windows\system32\Drivers\Wdf10283.sys

обнаружить, удалить, или получить копию данного драйвера не получается из нормального, и безопасного режима,
зато из под winpe возможно уже легко обнаружить и зачистить систему.

[QUOTE]C:\WINDOWS\SYSTEM32\DRIVERS\WDF10283.SYS
a variant of Win64/Agent.KD
Действительна, однако сертификат УСТАРЕЛ
Xtreaming Technology Inc.
HKLM\uvs_system\ControlSet001\Services\{45487F67-EC9F-4449-A6F2-2D0970F9B80B}\ImagePath
system32\drivers\Wdf10283.sys
тип запуска: На этапе загрузки (0)
[/QUOTE]

[QUOTE]Загружен скрипт: F:\Support\COMP.TXT
======= Начало исполнения скрипта =======
--------------------------------------------------------
v400c
--------------------------------------------------------
--------------------------------------------------------
OFFSGNSAVE
--------------------------------------------------------
--------------------------------------------------------
zoo %Sys32%\DRIVERS\WDF10283.SYS
--------------------------------------------------------
Копирование файла в Zoo: \\?\C:\WINDOWS\SYSTEM32\DRIVERS\WDF10283.SYS
Файл скопирован в ZOO: F:\SUPPORT\ZOO\WDF10283.SYS._0FC2A538715B6E8A11AC95BB79338AD379B0C830
--------------------------------------------------------
addsgn 9AFB8488CB82BB1509D49FC070335BDF939E470451A9F4BCFB99DF57546A­527C372C97CE664166E35C0A6FDBCA385911799153EBBE9E75957E639F66­9E993648 32 Trojan:Win64/CryptInject!MTB[Microsoft] 7
--------------------------------------------------------
Добавлена сигнатура: Trojan:Win64/CryptInject!MTB[Microsoft]
--------------------------------------------------------
chklst
--------------------------------------------------------
--------------------------------------------------------
Проверка списка...
--------------------------------------------------------
Не удалось открыть файл: C:\WINDOWS\SYSTEM32\WBEM\\WMIPJOBJ.DLL
Проверено файлов: 2942
Найдено вирусов: 1
--------------------------------------------------------
delvir
--------------------------------------------------------
--------------------------------------------------------
Применение изменений...
--------------------------------------------------------
Копирование файла в Zoo: C:\WINDOWS\SYSTEM32\DRIVERS\WDF10283.SYS
Файл скопирован в ZOO: F:\SUPPORT\ZOO\WDF10283.SYS._0FC2A538715B6E8A11AC95BB79338AD379B0C830
Удаление ссылок...
Удаление файлов...
--------------------------------------------------------
Завершено процессов: 0 из 0
Изменено/удалено объектов автозапуска 1 из 1
Удалено файлов: 1 из 1
[/QUOTE]

Rootkit.Win64.Agent.bfi
https://www.virustotal.com/gui/file/520f49dbf284b9712e0a274835f179fd14cd6899fa66e9b­a6795e5f8a98c3726/detection

[QUOTE]ALBERT (S-1-5-21-1971080112-2604595418-3332625347-1031 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\ALBERT.SERVAK
denis (S-1-5-21-1971080112-2604595418-3332625347-1032 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\denis
POPOV (S-1-5-21-1971080112-2604595418-3332625347-1015 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\POPOV
ROMAN (S-1-5-21-1971080112-2604595418-3332625347-1043 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\ROMAN
Администратор (S-1-5-21-1971080112-2604595418-3332625347-500 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Администратор
[/QUOTE]
много учетных записей с правами администраторов.
Пароли надо менять на сложные, в противном случае взлом может повториться через некоторое время.
+
выполните все рекомендации:

теперь, когда вас шифрануло Crysis, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного  брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);
-----------

@Федор,
по очистке сервера выполните скрипт в uVS

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.1.9 [http://dsrt.dyndns.org:8888]
;Target OS: NTv5.2
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

del %SystemDrive%\DOCUMENTS AND SETTINGS\POPOV\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\DESKTOP.INI.ID-2C86099A.[MANYFILES@AOL.COM].HARMA
del %SystemDrive%\DOCUMENTS AND SETTINGS\DENIS\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\DESKTOP.INI.ID-2C86099A.[MANYFILES@AOL.COM].HARMA
del %SystemDrive%\DOCUMENTS AND SETTINGS\ALBERT.SERVAK\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\DESKTOP.INI.ID-2C86099A.[MANYFILES@AOL.COM].HARMA
del %SystemDrive%\DOCUMENTS AND SETTINGS\ROMAN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\DESKTOP.INI.ID-2C86099A.[MANYFILES@AOL.COM].HARMA
del %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\DESKTOP.INI.ID-2C86099A.[MANYFILES@AOL.COM].HARMA
delref {9030D464-4C02-4ABF-8ECC-5164760863C6}\[CLSID]
delref {9BFBA68E-E21B-458E-AE12-FE85E903D2C0}\[CLSID]
delref {B4F3A835-0E21-4959-BA22-42B3008E02FF}\[CLSID]
delref {DBC80044-A445-435B-BC74-9C25C1C588A9}\[CLSID]
delref {E7E6F031-17CE-4C07-BC86-EABFE594F69C}\[CLSID]
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIAKDDMMLEDECLCODPBGEBFKHEGAADDGE%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALBERT\APPLICATION DATA\SEARCHMETOOLBAR\SEARCHMETOOLBAR.EXE
apply

; Java™ 6 Update 26
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216010FF} /quiet

; Java™ 6 Update 3
exec MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030} /quiet

; Java™ 6 Update 5
exec MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050} /quiet

; Java™ 6 Update 7
exec MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070} /quiet

; SearchmeToolbar
exec MsiExec.exe /X{34B8FD13-83CB-44E0-86AD-EE4F67B6F661} /quiet

deltmp
QUIT
[/code]
без перезагрузки, пишем о старых и новых проблемах.
------------
+
сделайте логи проверки в FRST
http://forum.esetnod32.ru/forum9/topic2798/

===
по расшифровки нет решения, восстановление документов возможно только из бэкапов.

[QUOTE]Федор Попов написал:
Здравствуйте! Сервер заразился шифровальщиком harma. Расширение файлов (всех почти, но винда работает) выглядит так  - .id-2C86099A.[ [URL=mailto:manyfiles@aol.com]manyfiles@aol.com[/URL] ].harma , этот текст добавляется после всех расширений. Можно ли что-то сделать?[/QUOTE]
добавьте образ автозапуска системы, возможно файлы шифратора еще активны в системе