Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 8 9 10 11 12 13 14 15 16 17 18 ... 1784 След.
Universal Virus Sniffer (uVS)
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 17.06.2023 09:53:59
---------------------------------------------------------
4.14.1 от 16.06.2023
---------------------------------------------------------
Цитата
o Добавлена возможность работать с файлами на разделах без присвоенной буквы диска.
  Например: \DEVICE\HARDDISKVOLUME1\EFI\MICROSOFT\BOOT\RECOVERY.EXE
  Файлы с аналогичным путем автоматически попадают в раздел подозрительных файлов.
  Доступна вся информация о таких файлах в списке автозапуска, кроме иконки.
  Доступны все операции с файлом.
  (Возможно функция не будет работать на устаревших версиях Windows)

---------------------------------------------------------
[ Как создать образ автозапуска? ]
Перейти
Eset NoD 32 Antivirus 8, Не могу установить
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 16.06.2023 05:01:24
создайте образ автозапуска вашей системы в uVS
[ Как создать образ автозапуска? ]
Перейти
Ошибка MSI.1303 при установке антивируса
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 15.06.2023 14:15:30
по новым логам:
Папка почему то с атрибутами System и Hiden
2023-06-12 12:55 - 2023-03-08 22:49 - 000000000 __SHD C:\Program Files\ESET
можно снять эти атрибуты, чтобы папка отображалась.

остался драйвер от Касперского
S3 eaf1cc15; C:\Windows\System32\Drivers\eaf1cc15.sys [89392 2023-04-23] (AO Kaspersky Lab -> AO Kaspersky Lab)

по Windef:
U4 WinDefend; отсутствует ImagePath
Возможно его необходимо переустанавливать.

служба терминалов не работает
S2 TermService; C:\Windows\System32\svchost.exe [46472 2023-01-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL) <==== ВНИМАНИЕ (отсутствует ServiceDLL)

- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код

;uVS v4.14 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;---------command-block---------
delall %Sys32%\DRIVERS\EAF1CC15.SYS
apply

без перезагрузки системы, пишем о старых и новых проблемах.
------------
[ Как создать образ автозапуска? ]
Перейти
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 15.06.2023 00:04:16
«Доктор Веб»: в пиратских сборках Windows обнаружен стилер для кражи криптовалюты, который проникает в EFI-раздел

Компания «Доктор Веб» выявила троянскую программу-стилер в ряде неофициальных сборок ОС Windows 10, которые злоумышленники распространяли через один из торрент-трекеров. Получившее имя Trojan.Clipper.231, это вредоносное приложение подменяет адреса криптокошельков в буфере обмена на адреса, заданные мошенниками.

https://news.drweb.ru/show/?lng=ru&i=14712

Злоумышленники распространяют Windows 10 с помощью торрентов, которые скрывают угонщиков криптовалюты в разделе EFI (Extensible Firmware Interface), чтобы избежать обнаружения.

https://www.bleepingcomputer.com/news/security/pirated-windows-10-isos-install-clipper-malware-via-efi-partitions/

-----------------
Цитата
Полное имя                  C:\WINDOWS\INSTALLER\ISCSICLI.EXE
Имя файла                   ISCSICLI.EXE
Тек. статус                 ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Обнаруженные сигнатуры      
Сигнатура                   Trojan.MulDrop22.7578 [DrWeb] (delall) [глубина совпадения 64(64), необх. минимум 8, максимум 64] 2023-06-14
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
File_Id                     6408C4D3D000
Linker                      14.32
Размер                      91880 байт
Создан                      15.03.2023 в 15:46:56
Изменен                     08.03.2023 в 20:34:04
                           
TimeStamp                   08.03.2023 в 17:24:35
EntryPoint                  +
OS Version                  0.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               НАРУШЕНА, файл модифицирован или заражен
Цифровая подпись            Microsoft Windows
                           
Оригинальное имя            iscsicli.exe
Версия файла                10.0.19041.1766 (WinBuild.160101.0800)
Версия продукта             10.0.19041.1766
Описание                    iSCSI Discovery tool
Продукт                     Microsoft® Windows® Operating System
Copyright                   © Microsoft Corporation. All rights reserved.
Производитель               Microsoft Corporation
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Цифровая подпись            Недействительна (файл поврежден/заражен)
                           
Доп. информация             на момент обновления списка
pid = 5644                  DESKTOP-***\****
Процесс создан              15:11:01 [2023.05.24]
Процесс завершен            15:11:07 [2023.05.24]
CmdLine                     "C:\Windows\Installer\iscsicli.exe"
parentid = 1348             C:\WINDOWS\SYSTEM32\SVCHOST.EXE
SHA1                        32C7B6629FABE6254431A558B57D30CD2F2D43D7
MD5                         BFEC28E480DFC2814A2C762D0ADEE018
                           
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\Microsoft\Windows\License Manager\LICENSE VALIDATION
Task                        \Microsoft\Windows\License Manager\License Validation
                           
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{3CD413B8-9C9D-40A2-84D3-E5527D58F091}\Actions
Actions                     "%SystemDrive%\Windows\Installer\iscsicli.exe"
Задача создана              15.03.2023 в 15:30:18
Последний запуск            24.05.2023 в 15:11:01
Код ошибки                  0x1
                           
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{3CD413B8-9C9D-40A2-84D3-E5527D58F091}\


Цитата
Полное имя                  \DEVICE\HARDDISKVOLUME3\EFI\MICROSOFT\BOOT\KD_08_5E78.DLL
Имя файла                   KD_08_5E78.DLL
Тек. статус                 АКТИВНЫЙ ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ DLL
                           
Удовлетворяет критериям    
EFI_DETECT                  ( ~ \EFI\MICROSOFT\BOOT)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ DLL
                           
Процессы                    на момент обновления списка
Процесс                     C:\WINDOWS\SYSTEM32\LSAISO.EXE [7792]

Цитата
Полное имя                  \DEVICE\HARDDISKVOLUME3\EFI\MICROSOFT\BOOT\RECOVERY.EXE
Имя файла                   RECOVERY.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
                           
Удовлетворяет критериям    
EFI_DETECT                  ( ~ \EFI\MICROSOFT\BOOT)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      [Запускался неявно или вручную]
                           
Доп. информация             на момент обновления списка
pid = 7488                  DESKTOP-****\***
Процесс создан              15:11:05 [2023.05.24]
Процесс завершен            15:11:06 [2023.05.24]
CmdLine                     M:\EFI\Microsoft\Boot\recovery.exe
parentid = 6424             C:\WINDOWS\SYSTEM32\CMD.EXE
                           



[ Как создать образ автозапуска? ]
Перейти
Срабатывание на расширение Сhrome, The Great Suspender в связке с NOD32
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 14.06.2023 07:52:10
Для анализа проблемы и поиска решения сделайте, пожалуйста, лог ESETLogCollector
https://forum.esetnod32.ru/forum9/topic10671/
и образ автозапуска системы в uVS
https://forum.esetnod32.ru/forum9/topic2687/
Приложите полученные логи в ваше сообщение.
[ Как создать образ автозапуска? ]
Перейти
Ошибка MSI.1303 при установке антивируса
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 14.06.2023 01:29:14
Цитата
Артём Захаров написал:
А, да, кстати, в Windows Defender до сих пор пишет "Некоторыми параметрами управляет ваша организация"
Хорошо.
Это у вас рабочий ПК судя по установленной системе?
Возможно, так и есть, что часть параметров Windef управляется через локальные политики.
В любом случае, сделайте пожалуйста, лог ESETLogCollector для проверки журнала обнаружений.
https://forum.esetnod32.ru/forum9/topic10671/
и свежие логи FRST для контроля
https://forum.esetnod32.ru/forum9/topic2798/
[ Как создать образ автозапуска? ]
Перейти
Зашифровано с расширением .repter; .FONIX; .XINOF; .Eking; .RYK; .RYKCRYPT, Filecoder.FONIX
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 13.06.2023 11:05:54
Для очистки задач в системе:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код

;uVS v4.14 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START
delref MENU\PROGRAMS\STARTUP\RYUK.EXE
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\RYUKREADME.HTML
apply

QUIT

без перезагрузки, пишем о старых и новых проблемах.
[ Как создать образ автозапуска? ]
Перейти
Зашифровано с расширением .repter; .FONIX; .XINOF; .Eking; .RYK; .RYKCRYPT, Filecoder.FONIX
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 13.06.2023 10:28:25
По расшифровке, увы, к сожалению, это новый вариант FONIX/RYUK
Акт сверки № 00000000109 от 23.05.2023 (2).pdf.[[email protected]].[C6B0931E].RYK
и прежний дешифратор для RYK уже не сработает.
Пока что важные зашифрованные файлы+hrmlog1 лучше сохранить на отдельный носитель, как только станет ясно, возможна или нет расшифровка данного варианта без мастер-ключа (которого у нас нет). Сообщим дополнительно.
Предварительный ответ - невозможна сейчас.
[ Как создать образ автозапуска? ]
Перейти
Зашифровано с расширением .repter; .FONIX; .XINOF; .Eking; .RYK; .RYKCRYPT, Filecoder.FONIX
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 13.06.2023 10:22:06
файлы Crypted и Filecoder сейчас посмотрю. это еще сделайте для очистки системы.

Для очистки системы сделайте пожалуйста, образ автозапуска системы
https://forum.esetnod32.ru/forum9/topic2687/

Файл образа прикрепите к вашему сообщению.
[ Как создать образ автозапуска? ]
Перейти
Зашифровано с расширением .repter; .FONIX; .XINOF; .Eking; .RYK; .RYKCRYPT, Filecoder.FONIX
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 13.06.2023 10:16:43
а куда файлы выслали? возможно, почтовый антивирус не пропустил архивы.
пробуйте архивы прикрепить к вашему сообщению здесь, как вы прикрепили логи ELC и ESVC
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 8 9 10 11 12 13 14 15 16 17 18 ... 1784 След.