Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся
эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России,
Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане,
Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новый антивирус от компании
PRO32.
Продукты PRO32 — это технологичные решения, надежная защита от киберугроз
и максимальная производительность устройств на Windows / Android.
Для действующих клиентов ESET мы предлагаем промокод на скидку в размере
15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его
применить в корзине.
К блокировке запуска установщиков и путей установки антивирусов добавилось блокировка записи данных в реестре. Последняя выполняется, скорее всего другим зловредом. (Не Microsofthost.exe) Предположительно, майнером, который маскируется под апдейтер Google Chrome. Из активных зловредов в системе был файл, запускаемый через задачу
Сохраненная информация на момент создания образа Статус в автозапуске File_Id 647305189F0000 Linker 2.38 Размер 10381312 байт Создан 04.06.2023 в 12:10:53 Изменен 16.06.2023 в 18:07:21
TimeStamp 28.05.2023 в 07:39:04 EntryPoint + OS Version 0.0 Subsystem Windows graphical user interface (GUI) subsystem IMAGE_FILE_DLL - IMAGE_FILE_EXECUTABLE_IMAGE + Тип файла 64-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Отсутствует либо ее не удалось проверить
Версия файла 70,0,3538,110 Описание Google Chrome Производитель Google Inc.
Доп. информация на момент обновления списка SHA1 F646E84DC91A32D2C06CC36E6FC7DF1F6C3D0D87 MD5 CBF41D5AA487E94FE7F1DBF6C1AE2ABB
Ссылки на объект Ссылка C:\WINDOWS\SYSTEM32\TASKS\GOOGLEUPDATETASKMACHINEQC Task \GoogleUpdateTaskMachineQC
Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{88932E95-EB12-423E-8FEB-B562CDB83B62}\Actions Actions "C:\Program Files\Google\Chrome\updater.exe" Задача создана 04.06.2023 в 12:10:53 Последний запуск 28.08.2023 в 11:14:07 Код ошибки 0x0
В ветку реестра HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node добавляют наименования антивирусных вендоров, и обрезают права записи, или вообще удаляют всех пользователей.
HJ можно списать после такого детекта: O22 - Tasks: idsTYKIuEeScJ2 - C:\WINDOWS\system32\forfiles.exe /p C:\WINDOWS\system32 /m wscript.exe /c "cmd /C @FNAME ^"C:\ProgramData\KpUghsKSmazBhIVB\xKdWkBL.wsf^"" (sign: 'Microsoft') Но без образа все это скучно смотреть.