Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.
Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новые продукты компании PRO32.
PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.
Сергей Черный написал: Будет ли пункт "при входе пользователя" срабатывать в момент после выхода из гибернации?
вы можете выбрать пункт обновления "при определенных условиях", и выбрать подходящее для вас условие: при каждой загрузке системы, при входе пользователя. (заодно и проверите, как это будет работать после выхода из гибернизации.) думаю, что это повлияет на частоту обновлений баз, которые будет получать ваш компьютер (как правило 4-5 раз в день, т.е. в течение рабочего дня вы не будете получать свежие обновления.)
так же можете отключить в настройках обновления оповещение об успешном обновлении.
вы можете настроить обновление по расписанию в планировщике задач как вам удобно:
ежедневно - один раз в течение дня в указанное время многократно - несколько раз в течение дня, по мере выпуска баз данных еженедельно - один раз в неделю, в указанный день, в указанное время
Не могу удалить, ни зайти в настройки Eset Smart Security 12, Восстановление пароля входа в программу Eset
судя по скрину, установленный File Security работает нормально. установите критические обновления системы,
A remote code execution vulnerability exists in Remote Desktop Services – formerly known as Terminal Services – when an unauthenticated attacker connects to the target system using RDP and sends specially crafted requests. An attacker who successfully exploited this vulnerability could execute arbitrary code on the target system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. The update addresses the vulnerability by correcting how Remote Desktop Services handles connection requests. ----------------- Уязвимость удаленного выполнения кода существует в службах удаленных рабочих столов, которые ранее назывались службами терминалов, когда злоумышленник, не прошедший проверку подлинности, подключается к целевой системе с помощью RDP и отправляет специально созданные запросы. Злоумышленник, успешно воспользовавшийся этой уязвимостью, может выполнить произвольный код в целевой системе. Затем злоумышленник может установить программы; просматривать, изменять или удалять данные; или создать новые учетные записи с полными правами пользователя. Это обновление устраняет уязвимость, исправляя способ, которым службы удаленных рабочих столов обрабатывают запросы на подключение.
Microsoft утверждает, что критическая уязвимость RDS, отслеживаемая как CVE-2019-0708, распространяется только на более старые версии поддержки (например, Windows 7, Windows Server 2008 R2 и Windows Server 2008)
+ разрешите доступ к серверу только с доверенных внешних ip адресов
по расшифровке *.adobe не поможем. нет расшифровки у вирлаба по этому варианту Crysis
судя по рисункам у вас новая версия ESET либо не активирована, либо какие то из модулей не работают. проверьте, чтобы все модули работали корректно, и обновлялись антивирусные базы. Используете ли ERAC для управления антивирусными клиентами? + если установка шифратора была через подключение по RDP, то скорее всего был взлом этой учетки, C:\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-15E3731A.[[email protected]].ADOBE
необходимо установить сложные пароли на эту и другие учетные записи + установите в политиках ограничение на число попыток при неверном вводе пароля. + необходимо установить актуальные обновления для серверной системы, иначе возможен повторный взлом и новое шифрование с рабочего стола. + вопрос по детекту в KVRT: какой детект был по найденным и удаленным файлам?
RP55 RP55 написал: Айдар Билалов1) После завершения лечения Антивирус нужно обязательно обновить. ( и всегда следить за актуальностью версий )У вас: 4.5.12017.0Актуальная версия: 5 7
имеет смысл перейти на актуальные версии ESET File Security, (6.5 или 7.0) поскольку поддержка версии 4.5 уже прекращена.
Код
ESET File Security for Microsoft Windows Server
Version Release Date Latest build Updated Status Next Status Expected EOL
7.0 16-Aug-18 7.0.12018.0 29-Jan-19 Full Support Limited Support TBA
6.5 28-Feb-17 6.5.12018.0 28-Aug-18 Full Support Limited Support TBA
6.4 7-Sep-16 6.4.12004.0 30-Nov-16 Full Support Limited Support TBA
6.3 2-Mar-16 6.3.12006.0 19-May-16 Limited Support Basic Support TBA
6.2 25-Feb-15 6.2.12007.0 3-Sep-15 Limited Support Basic Support TBA
6.0 11-Dec-14 6.0.12035.0 Limited Support Basic Support TBA
5 N/A N/A N/A N/A N/A N/A
4.5 7-Feb-12 4.5.12017.0 5-Aug-15 End of Life End of Life
4.3 18-Oct-11 4.3.12014 End of Life End of Life
Айдар Билалов написал: Доброго времени суток! Нужна ваша помощь!
по очистке системы: ( в системе еще активен, скорее всего майнер (или агент), который прописан в автозапуск 192.168.2.42:64445 <-> 46.17.175.28:443 HKEY_USERS\S-1-5-21-3749085011-2254468566-2580908841-1001\Software\Microsoft\Windows\CurrentVersion\Run\Host Process for Windows Tasks )
выполняем скрипт в uVS: - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта;
без перезагрузки, пишем о старых и новых проблемах. архив из каталога uVS (по формату: ZOO_гггг-мм-дд_чч-мм-сс.rar/7z) отправьте в почту [email protected], [email protected]
по расшифровке: судя по детектированию зашифрованного файла на ID Ransomware (а так же по наличию записок о выкупе info.hta и FILES ENCRYPTED.txt), это все таки Crysis (не Phobos)
Цитата
Опознан как
sample_extension: .id-<id>.[<email>].adobe ransomnote_email: [email protected] sample_bytes: [0x9A0 - 0x9E0] 0x00000000020000000CFE7A410000000000000000000000002000000000000000 custom_rule: Original filename "account.xml" after filemarker
------------
вы можете добавить лог обнаружения угроз, чтобы видеть все реакции установленного антивируса.
с расшифровкой файлов не сможем помочь, восстановление в вашем случае возможно только из архивных копий и бэкапов.
Борис Мыгденко написал: Быстро сказка сказывается, да не быстро дело делается.
Outpost деинсталлируйте, если необходима защита от нежелательных сетевых подключений, включите системный брэндмауэр. пишем результат. + новый образ автозапуска.
