santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

Universal Virus Sniffer (uVS)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 17.06.2023 09:53:59

---------------------------------------------------------
4.14.1 от 16.06.2023
---------------------------------------------------------

Цитата
o Добавлена возможность работать с файлами на разделах без присвоенной буквы диска. Например: \DEVICE\HARDDISKVOLUME1\EFI\MICROSOFT\BOOT\RECOVERY.EXE Файлы с аналогичным путем автоматически попадают в раздел подозрительных файлов. Доступна вся информация о таких файлах в списке автозапуска, кроме иконки. Доступны все операции с файлом. (Возможно функция не будет работать на устаревших версиях Windows) ---------------------------------------------------------

Цитата

o Добавлена возможность работать с файлами на разделах без присвоенной буквы диска.
Например: \DEVICE\HARDDISKVOLUME1\EFI\MICROSOFT\BOOT\RECOVERY.EXE
Файлы с аналогичным путем автоматически попадают в раздел подозрительных файлов.
Доступна вся информация о таких файлах в списке автозапуска, кроме иконки.
Доступны все операции с файлом.
(Возможно функция не будет работать на устаревших версиях Windows)

---------------------------------------------------------

[ Как создать образ автозапуска? ]

Перейти

Eset NoD 32 Antivirus 8, Не могу установить

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 16.06.2023 05:01:24

создайте образ автозапуска вашей системы в uVS

[ Как создать образ автозапуска? ]

Перейти

Ошибка MSI.1303 при установке антивируса

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 15.06.2023 14:15:30

по новым логам:
Папка почему то с атрибутами System и Hiden
2023-06-12 12:55 - 2023-03-08 22:49 - 000000000 __SHD C:\Program Files\ESET
можно снять эти атрибуты, чтобы папка отображалась.

остался драйвер от Касперского
S3 eaf1cc15; C:\Windows\System32\Drivers\eaf1cc15.sys [89392 2023-04-23] (AO Kaspersky Lab -> AO Kaspersky Lab)

по Windef:
U4 WinDefend; отсутствует ImagePath
Возможно его необходимо переустанавливать.

служба терминалов не работает
S2 TermService; C:\Windows\System32\svchost.exe [46472 2023-01-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL) <==== ВНИМАНИЕ (отсутствует ServiceDLL)

- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v4.14 [http://dsrt.dyndns.org:8888] ;Target OS: NTv10.0 v400c OFFSGNSAVE ;---------command-block--------- delall %Sys32%\DRIVERS\EAF1CC15.SYS apply

без перезагрузки системы, пишем о старых и новых проблемах.
------------

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 15.06.2023 00:04:16

«Доктор Веб»: в пиратских сборках Windows обнаружен стилер для кражи криптовалюты, который проникает в EFI-раздел

Компания «Доктор Веб» выявила троянскую программу-стилер в ряде неофициальных сборок ОС Windows 10, которые злоумышленники распространяли через один из торрент-трекеров. Получившее имя Trojan.Clipper.231, это вредоносное приложение подменяет адреса криптокошельков в буфере обмена на адреса, заданные мошенниками.

https://news.drweb.ru/show/?lng=ru&i=14712

Злоумышленники распространяют Windows 10 с помощью торрентов, которые скрывают угонщиков криптовалюты в разделе EFI (Extensible Firmware Interface), чтобы избежать обнаружения.

https://www.bleepingcomputer.com/news/security/pirated-windows-10-isos-install-clipper-malware-via-efi-partitions/

-----------------

Цитата
Полное имя C:\WINDOWS\INSTALLER\ISCSICLI.EXE Имя файла ISCSICLI.EXE Тек. статус ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске Обнаруженные сигнатуры Сигнатура Trojan.MulDrop22.7578 [DrWeb] (delall) [глубина совпадения 64(64), необх. минимум 8, максимум 64] 2023-06-14 Сохраненная информация на момент создания образа Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске File_Id 6408C4D3D000 Linker 14.32 Размер 91880 байт Создан 15.03.2023 в 15:46:56 Изменен 08.03.2023 в 20:34:04 TimeStamp 08.03.2023 в 17:24:35 EntryPoint + OS Version 0.0 Subsystem Windows graphical user interface (GUI) subsystem IMAGE_FILE_DLL - IMAGE_FILE_EXECUTABLE_IMAGE + Тип файла 64-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись НАРУШЕНА, файл модифицирован или заражен Цифровая подпись Microsoft Windows Оригинальное имя iscsicli.exe Версия файла 10.0.19041.1766 (WinBuild.160101.0800) Версия продукта 10.0.19041.1766 Описание iSCSI Discovery tool Продукт Microsoft® Windows® Operating System Copyright © Microsoft Corporation. All rights reserved. Производитель Microsoft Corporation Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Цифровая подпись Недействительна (файл поврежден/заражен) Доп. информация на момент обновления списка pid = 5644 DESKTOP-*\** Процесс создан 15:11:01 [2023.05.24] Процесс завершен 15:11:07 [2023.05.24] CmdLine "C:\Windows\Installer\iscsicli.exe" parentid = 1348 C:\WINDOWS\SYSTEM32\SVCHOST.EXE SHA1 32C7B6629FABE6254431A558B57D30CD2F2D43D7 MD5 BFEC28E480DFC2814A2C762D0ADEE018 Ссылки на объект Ссылка C:\WINDOWS\SYSTEM32\TASKS\Microsoft\Windows\License Manager\LICENSE VALIDATION Task \Microsoft\Windows\License Manager\License Validation Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{3CD413B8-9C9D-40A2-84D3-E5527D58F091}\Actions Actions "%SystemDrive%\Windows\Installer\iscsicli.exe" Задача создана 15.03.2023 в 15:30:18 Последний запуск 24.05.2023 в 15:11:01 Код ошибки 0x1 Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{3CD413B8-9C9D-40A2-84D3-E5527D58F091}\

Цитата

Полное имя C:\WINDOWS\INSTALLER\ISCSICLI.EXE
Имя файла ISCSICLI.EXE
Тек. статус ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Обнаруженные сигнатуры
Сигнатура Trojan.MulDrop22.7578 [DrWeb] (delall) [глубина совпадения 64(64), необх. минимум 8, максимум 64] 2023-06-14

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске
File_Id 6408C4D3D000
Linker 14.32
Размер 91880 байт
Создан 15.03.2023 в 15:46:56
Изменен 08.03.2023 в 20:34:04

TimeStamp 08.03.2023 в 17:24:35
EntryPoint +
OS Version 0.0
Subsystem Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла 64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись НАРУШЕНА, файл модифицирован или заражен
Цифровая подпись Microsoft Windows

Оригинальное имя iscsicli.exe
Версия файла 10.0.19041.1766 (WinBuild.160101.0800)
Версия продукта 10.0.19041.1766
Описание iSCSI Discovery tool
Продукт Microsoft® Windows® Operating System
Copyright © Microsoft Corporation. All rights reserved.
Производитель Microsoft Corporation

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Цифровая подпись Недействительна (файл поврежден/заражен)

Доп. информация на момент обновления списка
pid = 5644 DESKTOP-***\****
Процесс создан 15:11:01 [2023.05.24]
Процесс завершен 15:11:07 [2023.05.24]
CmdLine "C:\Windows\Installer\iscsicli.exe"
parentid = 1348 C:\WINDOWS\SYSTEM32\SVCHOST.EXE
SHA1 32C7B6629FABE6254431A558B57D30CD2F2D43D7
MD5 BFEC28E480DFC2814A2C762D0ADEE018

Ссылки на объект
Ссылка C:\WINDOWS\SYSTEM32\TASKS\Microsoft\Windows\License Manager\LICENSE VALIDATION
Task \Microsoft\Windows\License Manager\License Validation

Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{3CD413B8-9C9D-40A2-84D3-E5527D58F091}\Actions
Actions "%SystemDrive%\Windows\Installer\iscsicli.exe"
Задача создана 15.03.2023 в 15:30:18
Последний запуск 24.05.2023 в 15:11:01
Код ошибки 0x1

Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{3CD413B8-9C9D-40A2-84D3-E5527D58F091}\

Цитата
Полное имя \DEVICE\HARDDISKVOLUME3\EFI\MICROSOFT\BOOT\KD_08_5E78.DLL Имя файла KD_08_5E78.DLL Тек. статус АКТИВНЫЙ ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ DLL Удовлетворяет критериям EFI_DETECT ( ~ \EFI\MICROSOFT\BOOT)(1) [auto (0)] Сохраненная информация на момент создания образа Статус АКТИВНЫЙ DLL Процессы на момент обновления списка Процесс C:\WINDOWS\SYSTEM32\LSAISO.EXE [7792]

Цитата

Полное имя \DEVICE\HARDDISKVOLUME3\EFI\MICROSOFT\BOOT\KD_08_5E78.DLL
Имя файла KD_08_5E78.DLL
Тек. статус АКТИВНЫЙ ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ DLL

Удовлетворяет критериям
EFI_DETECT ( ~ \EFI\MICROSOFT\BOOT)(1) [auto (0)]

Сохраненная информация на момент создания образа
Статус АКТИВНЫЙ DLL

Процессы на момент обновления списка
Процесс C:\WINDOWS\SYSTEM32\LSAISO.EXE [7792]

Цитата
Полное имя \DEVICE\HARDDISKVOLUME3\EFI\MICROSOFT\BOOT\RECOVERY.EXE Имя файла RECOVERY.EXE Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную] Удовлетворяет критериям EFI_DETECT ( ~ \EFI\MICROSOFT\BOOT)(1) [auto (0)] Сохраненная информация на момент создания образа Статус [Запускался неявно или вручную] Доп. информация на момент обновления списка pid = 7488 DESKTOP-**\* Процесс создан 15:11:05 [2023.05.24] Процесс завершен 15:11:06 [2023.05.24] CmdLine M:\EFI\Microsoft\Boot\recovery.exe parentid = 6424 C:\WINDOWS\SYSTEM32\CMD.EXE

Цитата

Полное имя \DEVICE\HARDDISKVOLUME3\EFI\MICROSOFT\BOOT\RECOVERY.EXE
Имя файла RECOVERY.EXE
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]

Удовлетворяет критериям
EFI_DETECT ( ~ \EFI\MICROSOFT\BOOT)(1) [auto (0)]

Сохраненная информация на момент создания образа
Статус [Запускался неявно или вручную]

Доп. информация на момент обновления списка
pid = 7488 DESKTOP-****\***
Процесс создан 15:11:05 [2023.05.24]
Процесс завершен 15:11:06 [2023.05.24]
CmdLine M:\EFI\Microsoft\Boot\recovery.exe
parentid = 6424 C:\WINDOWS\SYSTEM32\CMD.EXE

[ Как создать образ автозапуска? ]

Перейти

Срабатывание на расширение Сhrome, The Great Suspender в связке с NOD32

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 14.06.2023 07:52:10

Для анализа проблемы и поиска решения сделайте, пожалуйста, лог ESETLogCollector
https://forum.esetnod32.ru/forum9/topic10671/
и образ автозапуска системы в uVS
https://forum.esetnod32.ru/forum9/topic2687/
Приложите полученные логи в ваше сообщение.

[ Как создать образ автозапуска? ]

Перейти

Ошибка MSI.1303 при установке антивируса

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 14.06.2023 01:29:14

Цитата
Артём Захаров написал: А, да, кстати, в Windows Defender до сих пор пишет "Некоторыми параметрами управляет ваша организация"

Хорошо.
Это у вас рабочий ПК судя по установленной системе?
Возможно, так и есть, что часть параметров Windef управляется через локальные политики.
В любом случае, сделайте пожалуйста, лог ESETLogCollector для проверки журнала обнаружений.
https://forum.esetnod32.ru/forum9/topic10671/
и свежие логи FRST для контроля
https://forum.esetnod32.ru/forum9/topic2798/

[ Как создать образ автозапуска? ]

Перейти

Зашифровано с расширением .repter; .FONIX; .XINOF; .Eking; .RYK; .RYKCRYPT, Filecoder.FONIX

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.06.2023 11:05:54

Для очистки задач в системе:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v4.14 [http://dsrt.dyndns.org:8888] ;Target OS: NTv10.0 v400c OFFSGNSAVE ;---------command-block--------- delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START delref MENU\PROGRAMS\STARTUP\RYUK.EXE delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\RYUKREADME.HTML apply QUIT

Код


;uVS v4.14 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START
delref MENU\PROGRAMS\STARTUP\RYUK.EXE
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\RYUKREADME.HTML
apply

QUIT

без перезагрузки, пишем о старых и новых проблемах.

[ Как создать образ автозапуска? ]

Перейти

Зашифровано с расширением .repter; .FONIX; .XINOF; .Eking; .RYK; .RYKCRYPT, Filecoder.FONIX

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.06.2023 10:28:25

По расшифровке, увы, к сожалению, это новый вариант FONIX/RYUK
Акт сверки № 00000000109 от 23.05.2023 (2).pdf.[[email protected]].[C6B0931E].RYK
и прежний дешифратор для RYK уже не сработает.
Пока что важные зашифрованные файлы+hrmlog1 лучше сохранить на отдельный носитель, как только станет ясно, возможна или нет расшифровка данного варианта без мастер-ключа (которого у нас нет). Сообщим дополнительно.
Предварительный ответ - невозможна сейчас.

[ Как создать образ автозапуска? ]

Перейти

Зашифровано с расширением .repter; .FONIX; .XINOF; .Eking; .RYK; .RYKCRYPT, Filecoder.FONIX

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.06.2023 10:22:06

файлы Crypted и Filecoder сейчас посмотрю. это еще сделайте для очистки системы.

Для очистки системы сделайте пожалуйста, образ автозапуска системы
https://forum.esetnod32.ru/forum9/topic2687/

Файл образа прикрепите к вашему сообщению.

[ Как создать образ автозапуска? ]

Перейти

Зашифровано с расширением .repter; .FONIX; .XINOF; .Eking; .RYK; .RYKCRYPT, Filecoder.FONIX

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.06.2023 10:16:43

а куда файлы выслали? возможно, почтовый антивирус не пропустил архивы.
пробуйте архивы прикрепить к вашему сообщению здесь, как вы прикрепили логи ELC и ESVC

[ Как создать образ автозапуска? ]

Перейти