Вход
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 2 3 4 5 6 7 8 9 10 11 ... 1656 След.
win32/adware.filetour.FHX, едкий вирус
 
santy
santy
Администратор
Сообщений: 16695
Баллов: 13356
Регистрация: 16.03.2010
Размещено 29.07.2019 16:08:57
+
добавьте лог журнала обнаруженных угроз
http://forum.esetnod32.ru/forum9/topic1408/
Перейти
win32/adware.filetour.FHX, едкий вирус
 
santy
santy
Администратор
Сообщений: 16695
Баллов: 13356
Регистрация: 16.03.2010
Размещено 27.07.2019 18:15:08
добавьте образ автозапуска системы
Перейти
файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007, Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt
 
santy
santy
Администратор
Сообщений: 16695
Баллов: 13356
Регистрация: 16.03.2010
Размещено 26.07.2019 17:49:52
[QUOTE]Денис Литвинов написал:
Здравствуйте! Поймал шифровальщика .crypted000007 Пожалуйста помогите, отправляю образ автозапуска....[/QUOTE]
эту программу сами устанавливали?
C:\USERS\САНЯ\DESKTOP\ПРИВАТ КИПЕР\PRIVATE KEEPER.EXE


судя по образу система уже очищена от файлов шифратора.
по расшифровке Ransom.Shade.crypted000007 решения нет
восстановить документы возможно только из архивных копий
Перейти
Не запускается Антивирус ESET NOD32, rootkit.dark.galaxy
 
santy
santy
Администратор
Сообщений: 16695
Баллов: 13356
Регистрация: 16.03.2010
Размещено 23.07.2019 18:35:01
система, скорее всего заражена rootkit.dark.galaxy
с заражением MBR
добавлю, что скрипт из сообщения RP55 необходимо выполнять при отключенной сети,
иначе, после перезагрузки системы, руткит обратно все восстановит в автозапуске и в секции WMI

т.е. предварительно надо скачать патч MS-2017-010 для вашей системы,
(и tdsskiller)
установить патч,
отключить сеть
выполнить скрипт в uVS
перегрузить систему (не включая сеть),
выполнить проверку в tdsskiller,
если будет найден руткит в MBR, выполнить его очистку,
еще раз перегрузить систему,
можно включить сеть
сделать новые образ автозапуска и лог проверки tdsskiller
и добавить эти файлы на форум для проверки
Перейти
Каждый раз находит ту же угрозу
 
santy
santy
Администратор
Сообщений: 16695
Баллов: 13356
Регистрация: 16.03.2010
Размещено 21.07.2019 14:09:37
добавьте образ автозапуска системы
Перейти
Не устанавливается ESET Endpoint Antivirus 6, Не устанавливается антивирус на Windows Server 2008R2 x64
 
santy
santy
Администратор
Сообщений: 16695
Баллов: 13356
Регистрация: 16.03.2010
Размещено 19.07.2019 18:09:33
а это инсталлятор для 6 версии ESET File Security
https://download.eset.com/com/eset/apps/business/efs/windows/latest/efsw_nt64_rus.msi
Перейти
Не устанавливается ESET Endpoint Antivirus 6, Не устанавливается антивирус на Windows Server 2008R2 x64
 
santy
santy
Администратор
Сообщений: 16695
Баллов: 13356
Регистрация: 16.03.2010
Размещено 19.07.2019 17:39:26
[QUOTE]Маслов Виталий написал:
Почему-то один и тот же инсталлятор eavbe_nt64_rus.msi запрашивается, хотя продукты разные устанавливаются.[/QUOTE]
вообще-то инсталлятор для ESET File Security другой:
https://download.eset.com/com/eset/apps/business/efs/windows/latest/efsw_nt64.msi

проверьте на этой странице:
https://www.eset.com/int/business/file-security-windows/download/
Перейти
Не устанавливается ESET Endpoint Antivirus 6, Не устанавливается антивирус на Windows Server 2008R2 x64
 
santy
santy
Администратор
Сообщений: 16695
Баллов: 13356
Регистрация: 16.03.2010
Размещено 18.07.2019 16:17:57
пробуйте поставить серверную версию антивируса. ESET File Security. 6 или 7 версии
Перейти
файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007, Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt
 
santy
santy
Администратор
Сообщений: 16695
Баллов: 13356
Регистрация: 16.03.2010
Размещено 14.07.2019 18:39:43
@Юрій Ярошенко,
добавьте образ автозапуска системы, где произошло шифрование.
возможно тела шифратора еще остались в системе
Перейти
файлы зашифрованы с расширением .limbo, Zeropadypt NextGen / Ouroboros
 
santy
santy
Администратор
Сообщений: 16695
Баллов: 13356
Регистрация: 16.03.2010
Размещено 10.07.2019 17:26:10
из восстановленных детектируется как инструмент взлома:
legion-ssh-cracker.exe
https://www.virustotal.com/gui/file/12959567368ca5b14f580a225d15eef0fccda331b9b1ef1­1697d481f2c5de92d/details
возможно, это их инструмент, поскольку есть какая то связь с именем почты
legion.developers72@gmail.com
Перейти
Пред. 1 2 3 4 5 6 7 8 9 10 11 ... 1656 След.