Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.
Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новые продукты компании PRO32.
PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.
| Цитата |
|---|
| RP55 RP55 написал: в AVZ есть команда удаления по маске ? |
| Цитата |
|---|
| Исполняемый файл: LS0BK2_payload.exe втречается 13 раз. Хотелось бы удалить его одной командой - без сигнатур. |
| Цитата |
|---|
| (!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [548], tid=4256 (!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [548], tid=4280 (!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [548], tid=4284 |
| Цитата |
|---|
| C:\WINDOWS\SYSTEM32\DRIVERS\WDF10283.SYS a variant of Win64/Agent.KD Действительна, однако сертификат УСТАРЕЛ Xtreaming Technology Inc. HKLM\uvs_system\ControlSet001\Services\{45487F67-EC9F-4449-A6F2-2D0970F9B80B}\ImagePath system32\drivers\Wdf10283.sys тип запуска: На этапе загрузки (0) |
| Цитата |
|---|
| Загружен скрипт: F:\Support\COMP.TXT ======= Начало исполнения скрипта ======= -------------------------------------------------------- v400c -------------------------------------------------------- -------------------------------------------------------- OFFSGNSAVE -------------------------------------------------------- -------------------------------------------------------- zoo %Sys32%\DRIVERS\WDF10283.SYS -------------------------------------------------------- Копирование файла в Zoo: \\?\C:\WINDOWS\SYSTEM32\DRIVERS\WDF10283.SYS Файл скопирован в ZOO: F:\SUPPORT\ZOO\WDF10283.SYS._0FC2A538715B6E8A11AC95BB79338AD379B0C830 -------------------------------------------------------- addsgn 9AFB8488CB82BB1509D49FC070335BDF939E470451A9F4BCFB99DF57546A -------------------------------------------------------- Добавлена сигнатура: Trojan:Win64/CryptInject!MTB[Microsoft] -------------------------------------------------------- chklst -------------------------------------------------------- -------------------------------------------------------- Проверка списка... -------------------------------------------------------- Не удалось открыть файл: C:\WINDOWS\SYSTEM32\WBEM\\WMIPJOBJ.DLL Проверено файлов: 2942 Найдено вирусов: 1 -------------------------------------------------------- delvir -------------------------------------------------------- -------------------------------------------------------- Применение изменений... -------------------------------------------------------- Копирование файла в Zoo: C:\WINDOWS\SYSTEM32\DRIVERS\WDF10283.SYS Файл скопирован в ZOO: F:\SUPPORT\ZOO\WDF10283.SYS._0FC2A538715B6E8A11AC95BB79338AD379B0C830 Удаление ссылок... Удаление файлов... -------------------------------------------------------- Завершено процессов: 0 из 0 Изменено/удалено объектов автозапуска 1 из 1 Удалено файлов: 1 из 1 |
| Цитата |
|---|
| ALBERT (S-1-5-21-1971080112-2604595418-3332625347-1031 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\ALBERT.SERVAK denis (S-1-5-21-1971080112-2604595418-3332625347-1032 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\denis POPOV (S-1-5-21-1971080112-2604595418-3332625347-1015 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\POPOV ROMAN (S-1-5-21-1971080112-2604595418-3332625347-1043 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\ROMAN Администратор (S-1-5-21-1971080112-2604595418-3332625347-500 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Администратор |
| Код |
|---|
;uVS v4.1.9 [http://dsrt.dyndns.org:8888] ;Target OS: NTv5.2 v400c OFFSGNSAVE ;------------------------autoscript--------------------------- del %SystemDrive%\DOCUMENTS AND SETTINGS\POPOV\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\DESKTOP.INI.ID-2C86099A.[[email protected]].HARMA del %SystemDrive%\DOCUMENTS AND SETTINGS\DENIS\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\DESKTOP.INI.ID-2C86099A.[[email protected]].HARMA del %SystemDrive%\DOCUMENTS AND SETTINGS\ALBERT.SERVAK\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\DESKTOP.INI.ID-2C86099A.[[email protected]].HARMA del %SystemDrive%\DOCUMENTS AND SETTINGS\ROMAN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\DESKTOP.INI.ID-2C86099A.[[email protected]].HARMA del %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\DESKTOP.INI.ID-2C86099A.[[email protected]].HARMA delref {9030D464-4C02-4ABF-8ECC-5164760863C6}\[CLSID] delref {9BFBA68E-E21B-458E-AE12-FE85E903D2C0}\[CLSID] delref {B4F3A835-0E21-4959-BA22-42B3008E02FF}\[CLSID] delref {DBC80044-A445-435B-BC74-9C25C1C588A9}\[CLSID] delref {E7E6F031-17CE-4C07-BC86-EABFE594F69C}\[CLSID] delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIAKDDMMLEDECLCODPBGEBFKHEGAADDGE%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALBERT\APPLICATION DATA\SEARCHMETOOLBAR\SEARCHMETOOLBAR.EXE apply ; Java(TM) 6 Update 26 exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216010FF} /quiet ; Java(TM) 6 Update 3 exec MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030} /quiet ; Java(TM) 6 Update 5 exec MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160050} /quiet ; Java(TM) 6 Update 7 exec MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070} /quiet ; SearchmeToolbar exec MsiExec.exe /X{34B8FD13-83CB-44E0-86AD-EE4F67B6F661} /quiet deltmp QUIT |
| Цитата |
|---|
| Федор Попов написал: Здравствуйте! Сервер заразился шифровальщиком harma. Расширение файлов (всех почти, но винда работает) выглядит так - .id-2C86099A.[ ].harma , этот текст добавляется после всех расширений. Можно ли что-то сделать? |
| Цитата |
|---|
| Андрей Иванов написал: Добрый день! Несколько лет назад попал на этот вирус. С тех пор храню зашифрованные файлы на отдельном носителе. Подскажите, пожалуйста, не появилась ли возможность расшифровать? Файлы во вложении. Заранее благодарю! |
| Цитата |
|---|
| Сергей Проценко написал: Что-то еще, кроме рекомендаций из шапки, делать необходимо в моем случае? |
| Цитата |
|---|
| 1. Убедитесь, что установлены последние обновления безопасности. Используйте управление угрозами и уязвимостями для регулярного аудита на наличие уязвимостей, неправильной конфигурации и подозрительных действий. 2. включите аутентификацию на уровне сети (NLA). 3. Соблюдайте принцип наименьших привилегий. Избегайте использования учетных записей служб на уровне домена. Применяйте надежные случайные, своевременные пароли локальных администраторов. 4. Мониторинг использования brute forces. Проверьте чрезмерные неудачные попытки аутентификации (идентификатор события безопасности Windows 4625). 5. Мониторинг очистки журналов событий, особенно журналов событий безопасности и операционных журналов PowerShell. 6. Включите функции защиты от несанкционированного доступа, чтобы злоумышленники не могли остановить службы безопасности. 7. Определите, где учетные записи с высоким уровнем привилегий входят в систему и предоставляют учетные данные. Мониторинг и расследование событий входа (идентификатор события 4624) для атрибутов типа входа. Учетные записи администратора домена и другие учетные записи с высокими привилегиями не должны присутствовать на рабочих станциях. 8. Включите правила уменьшения поверхности атаки, включая правила, которые блокируют кражу учетных данных, действия вымогателей и подозрительное использование PsExec и WMI. Чтобы противодействовать вредоносным действиям, инициируемым с помощью документов Office используйте правила, которые блокируют расширенные действия макросов, исполняемый контент, создание процессов и внедрение процессов, инициированные приложениями Office. Чтобы оценить влияние этих правил, разверните их в режиме аудита. |
