ESET CONNECT

С помощью утилиты восстановления файлов нашел файл svchost.exe, a2b0796b.83469cdb

[QUOTE]santy написал:
да, отправил письмо  с архивом в вирлаб.
по расшифровке документов: без secring.gpg расшифровки не будет.
проверьте наличие теневых копий, или архивных копий документов.[/QUOTE]
Я так понимаю что файл был удален после шифровки. Подскажите а если попробовать восстановить его утилитами восстановления файлов, возможно его будет восстановить?

[QUOTE]santy написал:
письмо, если содержит вложение, желательно в архиве,
или только вложение в архиве с паролем infected,
иначе антивирусы могут прибить по дороге.[/QUOTE]
Заархивировал и отправил.

[QUOTE]santy написал:
доки зашифрованы этим ключом
[QUOTE]gpg: ключ EFE2B3A5: импортирован открытый ключ "Cellar"
gpg: Всего обработано: 1
gpg:                 импортировано: 1

- Public keyring updated. -

File: X:\active\shifr\bat.encoder.vault\47\Temp\pubring.gpg
Time: 27.04.2015 13:55:41 (27.04.2015 7:55:41 UTC)
[/QUOTE]
такой еще файл поищите, возможно среди удаленных

%temp%\a5180538.fccb9d8d

VAULT.KEY зашифрован этим ключом
[QUOTE]gpg: зашифровано ключом RSA с ID D6B5E4AA
gpg: сбой расшифровки: закрытый ключ не найден

File: X:\active\shifr\bat.encoder.vault\47\Temp\VAULT.KEY
Time: 27.04.2015 14:05:52 (27.04.2015 8:05:52 UTC)
[/QUOTE]
---------
+
вышлите письмо, которое было открыто, и с которого началось заражение.[/QUOTE]

Этот файл %temp%\a5180538.fccb9d8d не найден.
Письмо переслал, оно будет с адреса [URL=mailto:skmnew@bk.ru]skmnew@bk.ru[/URL]

[QUOTE]santy написал:
по VAULT
1. вышлите в почту [URL=mailto:safety@chklst.ru]safety@chklst.ru[/URL] письмо с вредоносным вложением, лучше в архиве с паролем infected
2. читаем VAULT. что делать
[URL=http://chklst.ru/forum/discussion/1481/vault-chto-delat#Item_2]http://chklst.ru/forum/discussion/1481/vault-chto-delat#Item_2[/URL]
3. из папки %TEMP% юзера откопируйте в архив temp с паролем infected все файлы размером от 500б до 3-4кб, которые были созданы на дату и время запуска шифратора.
архив temp так же вышлите в почту [URL=mailto:safety@chklst.ru]safety@chklst.ru[/URL][/QUOTE]
Спасибо! Отправил все необходимое.

Здравствуйте!
По интернету пришло письмо, кадровик его открыла и после этого на всех файлах Office добавлено за расширением .vault. Помогите вернуть все файлы в исходное состояние.

[QUOTE]Валентин написал:
Владимир Вострецов  , отправьте, пожалуйста, запрос в техподдержку:  [URL=mailto:support@esetnod32.ru]support@esetnod32.ru[/URL] с указанием ссылки на данную тему. Спасибо.[/QUOTE]
Спасибо!

[QUOTE]Валентин написал:
Здравствуйте, изменить с какой целью? Вы имеете в виду серийный номер вида EAV-******** ? Опишите проблему подробнее.[/QUOTE]
Нет, который получаем с ELA, и вставляем во время установки ERA

Я тут заметил, что ошибка с обновление Агента только на тех компьютерах, у которых не прописан шлюз и днс, те компьютеры у которых пробит шлюз и днс у них все в порядке с обновлением Агента. Думаю, что это ошибка Агента, будем ждать новую версию. Кстати может кто подсказать, как обновлять ERA, можно также как сам антивирус, просто инсталить поверх старой версии?

А может быть эта ошибка от того, что на сервере 2 сетевые карты: 1 смотрит в интернет (ip 192.168.100.1 gate 192.168.100.100), 2 смотрит в локальную сеть (ip 192.168.1.30 gate нет)? Я об этом подумал, т.к. в ERA сервер почему то с ip 192.168.100.1, хотя я указывал ip 192.168.1.30 (в 5 версии сервер определялся как 192.168.1.30).