Выбрать дату в календареВыбрать дату в календаре

[ Закрыто] установить ESET заново невозможно
если этот файлик попал в карантин ESET
C:\USERS\ELENA\APPDATA\LOCAL\TEMP\SETH.BAT
пробуйте восстановить его с другим расширением, например, *.vvvbat и добавить его в архиве на форум
+
вопрос:
кейлоггер
Trojan.RefogKeyLogger, C:\ProgramData\MPK\MIPKO Employee Monitor\MIPKO Employee Monitor.lnk, Помещено в карантин, [1258], [180776],1.0.10268
сами ставили в системе?
+
судя по логу карантина вы используете tnod
User & Password Finder 1.6.6.0 Beta + Portable\TNod-1.6.6-beta-Portable\[B]TNODUP[/B]-Portable.exe" "@NAME=Win32/[B]RiskWare.HackAV[/B].II@TYPE=Application@SUSP=mod" 29.04.2019 5106176 bytes
----------------
по правилам нашего форума мы не оказываем помощь пользователям, которые используют взломанный антивирус

если у вас на этих компьютерах работают важные сервисы для сбора информации, следуют защищать их надежными, лицензионными антивирусами, с регулярным обновлением антивирусных баз.
[ Закрыто] установить ESET заново невозможно
по первому образу (Home_2019_04_29):

"Entry" = "Получено следующее предупреждение о неустранимой ошибке: 20." 25/04/2019 21:19:20 ;
"Entry" = "Уровень безопасности сервера терминалов обнаружил ошибку в потоке протокола и отключил этот клиент. IP-адрес клиента: 92.246.76.72." 25/04/2019 20:55:49 ;

много системных ошибок, такое впечатление, что есть попытки через RDP получить доступ к вашей системе.
--------------
вы можете сделать  лог журнала угроз через интерфейс антивируса?
+
если сохранилась эта информация
[QUOTE]Поставил другую утилиту, которая нашла огромное количество вирусов и нежелательного ПО. Пару дней нормального полета,и вот утром снова тормозит ПК. [/QUOTE]
добавьте логи "другой" утилитки: чем  проверяли, что находили.
+
добавьте лог с помощью  ESET log collector
https://download.eset.com/com/eset/tools/diagnosis/log_collector/latest/esetlogcol­lector_rus.exe
Поздравляем!
Поздравляем [COLOR=#37B44A][SIZE=14pt]Ego Dekker[/SIZE][/COLOR], автора форума ESET в проекте [URL=https://www.anti-malware.ru/forum/forum/52-eset-nod32-antivirus-amp-smart-security/]Anti-Malware.ru[/URL], с Днем Рождения!
возможно, WannaCash
Елена,
добавьте образ автозапуска системы,
а так же несколько зашифрованных файлов и записку о выкупе
Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0day, Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta
Сергей,

если были зашифрованы важные документы, восстанавливаем файлы из бэкапов,
или сохраняем важные зашифрованные документы на отдельный носитель,
и ждем (ждем и ждем) когда будет решение у антивирусных компаний по расшифровке.

+
теперь, когда вас дважды шифрануло Crysis, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного  брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к серверу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);
сбой установки, Установка не завершена
добавьте образ автозапуска системы,
http://forum.esetnod32.ru/forum9/topic2687/
и
лог ESETsysinspector
http://forum.esetnod32.ru/forum9/topic10701/
Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0day, Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta
могли получить список учетных записей на сервере, и перебором или по словарю получить пароль доступа для выбранной учетной записи.
т.е. подключиться из внешней сети по RDP используя уже известную пару логин и пароль.
Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0day, Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta
[QUOTE]Сергей Жало написал:
Файлы по шифровало с расширением *.id-EF.[ mr.crypt@aol.com ].ldprЗагрузил машину еще зараженную, пока копии копируются, eset сразу начал ругаться, что он молодец и что то нашел)Говорит win32/filecoder.crysis найден в файле к которому приложение eqxhwnОбраз автозапуска пока делается, выложу логи вместе с SecurityCheck by glax24 & Severnyj и журналом.Есть образ системы который делался на выходных, буду к нему откатываться, может и с него потом скинуть логи?[/QUOTE]

да, можно и с него.
но имейте ввиду, предположительно атака была в воскресение,
(судя по темам на других форумах, поэтому и образ может быть уже зараженным).
по мерам безопасности, я расписал выше.
Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0day, Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta
1. предположительно, была взломана эта учетная запись
C:\USERS\[B]ALINA[/B]\APPDATA\ROAMING\INFO.HTA

2. возможно, что антивирус (если был установлен на момент атаки) был отключен на момент запуска, потому что этот вариант Crysis детектируется уже давно, проверьте, возможно ли это, чтобы под учетной записью пользователя, можно было отключить антивир.
(установлен ли пароль защиты доступа к настройкам антивируса, работают ли обычные пользователи на терминальном сервере с правами администратора - если это  так, то надо у них эти права отнять, и настроить их работу под обычными правами)


3. по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.1.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\USERS\ALINA\APPDATA\ROAMING\INFO.HTA
delall %Sys32%\INFO.HTA
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-B45E0F46.[MR.CRYPT@AOL.COM].LDPR
delall %SystemDrive%\USERS\ALINA\APPDATA\ROAMING\MICROSOFT\WINDOWS\­START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-B45E0F46.[MR.CRYPT@AOL.COM].LDPR
delall %SystemDrive%\USERS\KOT\APPDATA\ROAMING\MICROSOFT\WINDOWS\ST­ART MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-B45E0F46.[MR.CRYPT@AOL.COM].LDPR
delall %SystemDrive%\USERS\ALINA\APPDATA\ROAMING\MICROSOFT\WINDOWS\­START MENU\PROGRAMS\STARTUP\INFO.HTA
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
apply

QUIT
[/code]
без перезагрузки, пишем о старых и новых проблемах.
Файлы зашифрованы с расширением .ms13; .carcn; .btix; .gate; .love; .LDPR; .FREDD; .txt; .video; .wal; .MERS; .bat; .qbix; .aa1; .qbtex; .yG; .drweb; .plut; .jack; .DDOS; .cry; .4k; .TOR13; .good; .qbx; .beets; .zoh; .harma; .BSC; .kjh; .html; .HACK; .0day, Filecoder.Crysis / Encoder.3953 /Ransom.Win32.Crusis; r/n: info.hta
Сергей,

судя по логу серверные данные пострадали от шифратора[B] Crysis c расширением LDPR[/B]
очистка файлов сработала только сегодня. 23.04.2019 3:08:23
отсюда можно предположить, что взлом был из внешней сети.
либо подобрали пароль во время атаки к какой либо учетной записи, либо, предварительно эти данные были у злоумышленников
на руках на момент атаки. (ранее провели всю подготовительную работу, или купили доступ к учетной записи на черном рынке,
увы и такое возможно сейчас. разделение труда)

[QUOTE]="Время">23.04.2019 3:08:23</COLUMN>
<COLUMN NAME="Модуль сканирования">Модуль сканирования файлов, исполняемых при запуске системы</COLUMN>
<COLUMN NAME="Тип объекта">файл</COLUMN>
<COLUMN NAME="Объект">Оперативная память = C:\Users\alina\Videos\notepad.exe</COLUMN>
<COLUMN NAME="Обнаружение">модифицированный Win32/Filecoder.Crysis.P троянская программа</COLUMN>
<COLUMN NAME="Действие">очищен</COLUMN>
<COLUMN NAME="Пользователь"/>
<COLUMN NAME="Информация"/>
<COLUMN NAME="Хэш">CA83FFE07145A9CDD53AD45A61E1CF46C7BC2AA8</COLUMN>­[/QUOTE]

[QUOTE]<COLUMN NAME="Время">23.04.2019 7:06:46</COLUMN>
<COLUMN NAME="Модуль сканирования">Модуль сканирования файлов, исполняемых при запуске системы</COLUMN>
<COLUMN NAME="Тип объекта">файл</COLUMN>
<COLUMN NAME="Объект">c:\users\[B]alina[/B]\videos\notepad.exe</COLUMN>[/QUOTE]
следуют как минимум,
поменять все пароли к учетным записям на более сложные,
установить политику защиты паролей от перебора,
запретить доступ из внешней сети к серверу, за исключением только доверенных ip
------------
образ сейчас посмотрю.