[QUOTE]RP55 RP55 написал:
в AVZ есть команда удаления по маске ?[/QUOTE]
сигнатура в данном случае - самая лучшая маска.

здесь можно вносить и обсуждать новые предложения по функционалу uVS
https://forum.esetnod32.ru/forum8/topic15904/

как и когда это будет реализовано - это другой вопрос, в первую очередь зависит от четкой формулировки предложений и свободного времени разработчика.

RP55,
зачистка мусора в системах - не самое важное сейчас для реализации в uVS. Понятно, что uVS уже не будет так часто обновляться, как это было раньше, не те времена. Потому надо в первую очередь реализовать то, что важно для быстрого анализа системы.

[QUOTE]Исполняемый файл: LS0BK2_payload.exe втречается 13 раз.
Хотелось бы удалить его одной командой - без сигнатур.[/QUOTE]

а в итоге получится 13 команд будет добавлено в скрипт для удаления этих файлов.

несколько тем ("lsass грузит ЦП") с форума virusinfo.info, которые подчеркивают уникальность функций [B]Universal Virus Sniffer[/B], в частности, обнаружение внедренных потоков в легальные, в том числе и системные процессы.
https://virusinfo.info/showthread.php?t=225067
https://virusinfo.info/showthread.php?t=224966

по второй ссылке решение, к сожалению, не было доведено до конца,
по первой ссылки у пользователя и хелперов хватило времени и терпения, чтобы проверить состояние системы из всех положений: нормального, безопасного, и пассивного из под Live USB

образ автозапуска из uVS подтвердил наличие скрытого процесса, который внедряет потоки и нагружает процесс lsass.

[QUOTE](!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [548], tid=4256
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [548], tid=4280
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [548], tid=4284[/QUOTE]

tdsskiller ничего не обнаружил из норм. режима

19:02:56.0459 0x0d80  TDSS rootkit removing tool 3.1.0.28 Apr  9 2019 21:11:46
19:02:56.0974 0x0d80  ============================================================­
19:02:56.0974 0x0d80  Current date / time: 2020/05/22 19:02:56.0974

19:03:18.0373 0x0c24  ============================================================­
19:03:18.0373 0x0c24  Scan finished
19:03:18.0373 0x0c24  ============================================================­
19:03:18.0373 0x0dac  Detected object count: 0
19:03:18.0373 0x0dac  Actual detected object count: 0

FRST нашел заблокированные каталоги и файлы:

==================== FLock ==============================

2020-05-22 12:46 C:\Windows\speechstracing
2020-05-22 16:23 C:\Windows\system32\config\SYSTEM
2020-05-18 19:49 C:\Windows\system32\Drivers\Wdf10283.sys

обнаружить, удалить, или получить копию данного драйвера не получается из нормального, и безопасного режима,
зато из под winpe возможно уже легко обнаружить и зачистить систему.

[QUOTE]C:\WINDOWS\SYSTEM32\DRIVERS\WDF10283.SYS
a variant of Win64/Agent.KD
Действительна, однако сертификат УСТАРЕЛ
Xtreaming Technology Inc.
HKLM\uvs_system\ControlSet001\Services\{45487F67-EC9F-4449-A6F2-2D0970F9B80B}\ImagePath
system32\drivers\Wdf10283.sys
тип запуска: На этапе загрузки (0)
[/QUOTE]

[QUOTE]Загружен скрипт: F:\Support\COMP.TXT
======= Начало исполнения скрипта =======
--------------------------------------------------------
v400c
--------------------------------------------------------
--------------------------------------------------------
OFFSGNSAVE
--------------------------------------------------------
--------------------------------------------------------
zoo %Sys32%\DRIVERS\WDF10283.SYS
--------------------------------------------------------
Копирование файла в Zoo: \\?\C:\WINDOWS\SYSTEM32\DRIVERS\WDF10283.SYS
Файл скопирован в ZOO: F:\SUPPORT\ZOO\WDF10283.SYS._0FC2A538715B6E8A11AC95BB79338AD379B0C830
--------------------------------------------------------
addsgn 9AFB8488CB82BB1509D49FC070335BDF939E470451A9F4BCFB99DF57546A­527C372C97CE664166E35C0A6FDBCA385911799153EBBE9E75957E639F66­9E993648 32 Trojan:Win64/CryptInject!MTB[Microsoft] 7
--------------------------------------------------------
Добавлена сигнатура: Trojan:Win64/CryptInject!MTB[Microsoft]
--------------------------------------------------------
chklst
--------------------------------------------------------
--------------------------------------------------------
Проверка списка...
--------------------------------------------------------
Не удалось открыть файл: C:\WINDOWS\SYSTEM32\WBEM\\WMIPJOBJ.DLL
Проверено файлов: 2942
Найдено вирусов: 1
--------------------------------------------------------
delvir
--------------------------------------------------------
--------------------------------------------------------
Применение изменений...
--------------------------------------------------------
Копирование файла в Zoo: C:\WINDOWS\SYSTEM32\DRIVERS\WDF10283.SYS
Файл скопирован в ZOO: F:\SUPPORT\ZOO\WDF10283.SYS._0FC2A538715B6E8A11AC95BB79338AD379B0C830
Удаление ссылок...
Удаление файлов...
--------------------------------------------------------
Завершено процессов: 0 из 0
Изменено/удалено объектов автозапуска 1 из 1
Удалено файлов: 1 из 1
[/QUOTE]

Rootkit.Win64.Agent.bfi
https://www.virustotal.com/gui/file/520f49dbf284b9712e0a274835f179fd14cd6899fa66e9b­a6795e5f8a98c3726/detection

[QUOTE]ALBERT (S-1-5-21-1971080112-2604595418-3332625347-1031 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\ALBERT.SERVAK
denis (S-1-5-21-1971080112-2604595418-3332625347-1032 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\denis
POPOV (S-1-5-21-1971080112-2604595418-3332625347-1015 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\POPOV
ROMAN (S-1-5-21-1971080112-2604595418-3332625347-1043 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\ROMAN
Администратор (S-1-5-21-1971080112-2604595418-3332625347-500 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Администратор
[/QUOTE]
много учетных записей с правами администраторов.
Пароли надо менять на сложные, в противном случае взлом может повториться через некоторое время.
+
выполните все рекомендации:

теперь, когда вас шифрануло Crysis, примите серьезные меры безопасности:

1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным;
2. установка актуальных обновлений для операционной системы;
3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз;
4. установка надежных паролей для аккаунтов из группы RDP;
5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP;
6. настройки безопасности, которые защищают пароль к аккаунту от удаленного  брутфорсинга
7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу
8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);
-----------

@Федор,
по очистке сервера выполните скрипт в uVS

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.1.9 [http://dsrt.dyndns.org:8888]
;Target OS: NTv5.2
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

del %SystemDrive%\DOCUMENTS AND SETTINGS\POPOV\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\DESKTOP.INI.ID-2C86099A.[[email protected]].HARMA
del %SystemDrive%\DOCUMENTS AND SETTINGS\DENIS\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\DESKTOP.INI.ID-2C86099A.[[email protected]].HARMA
del %SystemDrive%\DOCUMENTS AND SETTINGS\ALBERT.SERVAK\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\DESKTOP.INI.ID-2C86099A.[[email protected]].HARMA
del %SystemDrive%\DOCUMENTS AND SETTINGS\ROMAN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\DESKTOP.INI.ID-2C86099A.[[email protected]].HARMA
del %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\DESKTOP.INI.ID-2C86099A.[[email protected]].HARMA
delref {9030D464-4C02-4ABF-8ECC-5164760863C6}\[CLSID]
delref {9BFBA68E-E21B-458E-AE12-FE85E903D2C0}\[CLSID]
delref {B4F3A835-0E21-4959-BA22-42B3008E02FF}\[CLSID]
delref {DBC80044-A445-435B-BC74-9C25C1C588A9}\[CLSID]
delref {E7E6F031-17CE-4C07-BC86-EABFE594F69C}\[CLSID]
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIAKDDMMLEDECLCODPBGEBFKHEGAADDGE%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALBERT\APPLICATION DATA\SEARCHMETOOLBAR\SEARCHMETOOLBAR.EXE
apply

; Java™ 6 Update 26
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216010FF} /quiet

; Java™ 6 Update 3
exec MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030} /quiet

; Java™ 6 Update 5
exec MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050} /quiet

; Java™ 6 Update 7
exec MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070} /quiet

; SearchmeToolbar
exec MsiExec.exe /X{34B8FD13-83CB-44E0-86AD-EE4F67B6F661} /quiet

deltmp
QUIT
[/code]
без перезагрузки, пишем о старых и новых проблемах.
------------
+
сделайте логи проверки в FRST
http://forum.esetnod32.ru/forum9/topic2798/

===
по расшифровки нет решения, восстановление документов возможно только из бэкапов.

[QUOTE]Федор Попов написал:
Здравствуйте! Сервер заразился шифровальщиком harma. Расширение файлов (всех почти, но винда работает) выглядит так  - .id-2C86099A.[ [URL=mailto:[email protected]][email protected][/URL] ].harma , этот текст добавляется после всех расширений. Можно ли что-то сделать?[/QUOTE]
добавьте образ автозапуска системы, возможно файлы шифратора еще активны в системе

нет времени вести беспредметные разговоры.
нет логов - тема закрыта.

Роман Лёпа,

[QUOTE]Создайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/
+
добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/[/QUOTE]

[QUOTE]Андрей Иванов написал:
Добрый день!
Несколько лет назад попал на этот вирус. С тех пор храню зашифрованные файлы на отдельном носителе.
Подскажите, пожалуйста, не появилась ли возможность расшифровать? Файлы во вложении.
Заранее благодарю![/QUOTE]
да, расшифровка возможна, напишите в почту [email protected]

[QUOTE]Сергей Проценко написал:
Что-то еще, кроме рекомендаций из шапки, делать необходимо в моем случае?[/QUOTE]
+

1.Рекомендации:

[QUOTE]1. Убедитесь, что установлены последние обновления безопасности. Используйте управление угрозами и уязвимостями для регулярного аудита на наличие уязвимостей, неправильной конфигурации и подозрительных действий.

2. включите аутентификацию на уровне сети (NLA).
3. Соблюдайте принцип наименьших привилегий. Избегайте использования учетных записей служб на уровне домена. Применяйте надежные случайные, своевременные пароли локальных администраторов.
4. Мониторинг использования brute forces. Проверьте чрезмерные неудачные попытки аутентификации (идентификатор события безопасности Windows 4625).
5. Мониторинг очистки журналов событий, особенно журналов событий безопасности и операционных журналов PowerShell.
6. Включите функции защиты от несанкционированного доступа, чтобы злоумышленники не могли остановить службы безопасности.
7. Определите, где учетные записи с высоким уровнем привилегий входят в систему и предоставляют учетные данные. Мониторинг и расследование событий входа (идентификатор события 4624) для атрибутов типа входа. Учетные записи администратора домена и другие учетные записи с высокими привилегиями не должны присутствовать на рабочих станциях.
8. Включите правила уменьшения поверхности атаки, включая правила, которые блокируют кражу учетных данных, действия вымогателей и подозрительное использование PsExec и WMI. Чтобы противодействовать вредоносным действиям, инициируемым с помощью документов Office используйте правила, которые блокируют расширенные действия макросов, исполняемый контент, создание процессов и внедрение процессов, инициированные приложениями Office. Чтобы оценить влияние этих правил, разверните их в режиме аудита.[/QUOTE]