Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 176 177 178 179 180 181 182 183 184 185 186 ... 1784 След.
файлы зашифрованы с расширением *.FUNNY; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .waifu, Filecoder.Crysis; r/n: info.hta
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 19.10.2018 09:25:58
@Артем а,
судя по наличию файла info.hta, по идентификатору, добавленному в заголовок зашифрованного файла,
а так же потому, что в конце файла добавлено имя оригинального файла,
(например, Port3NaPochtu.epf)
это свежий вариант Crysis, без расшифровки получается на данный момент.
активного шифрования уже нет, чуть позже напишу скрипт очистки.

посмотрите в системе, есть ли такие файлы:

FILES ENCRYPTED.txt

если есть такой файл, добавьте так же его в сообщение на форуме.
+
этот файл так же добавьте во вложение сообщения

C:\USERS\DIRECTOR\APPDATA\ROAMING\INFO.HTA


Цитата
Полное имя                  C:\USERS\DIRECTOR\APPDATA\ROAMING\INFO.HTA
Имя файла                   INFO.HTA
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
RUN                         (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
Размер                      13916 байт
Создан                      17.10.2018 в 09:12:20
Изменен                     18.10.2018 в 12:53:11
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Доп. информация             на момент обновления списка
Файл                        C:\WINDOWS\SYSTEM32\MSHTA.EXE
SHA1                        E12E090BEEA1ECF54CC107A068B44470DCDD2A6C
MD5                         4B4032E5295129C3B4B2AB652E0D511B
                           
Ссылки на объект            
Ссылка                      HKEY_USERS\S-1-5-21-1650623945-3038832851-789751919-1007\Software\Microsoft\Windows\CurrentVersion\Run\C:\Users\Director\AppData\Roaming\Info.hta
C:\Users\Director\AppData\Roaming\Info.htamshta.exe "C:\Users\Director\AppData\Roaming\Info.hta"
                           


эти файлы: FILES ENCRYPTED.txt и Info.hta нужны для точной идентификации типа шифратора, которым зашифрованы ваши файлы
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением *.FUNNY; .brrr; .gamma; .monro; .bkp; .btc; .bgtx; .waifu, Filecoder.Crysis; r/n: info.hta
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.10.2018 13:10:40
@viktor solodkiy,

добавьте образ автозапуска системы, в которой был запущен шифратор.
+
добавьте несколько зашифованных файлов и записку о выкупе. (можно предварительно поместить их в архивный файл)

возможно это вариант шифратора Crysis.
[ Как создать образ автозапуска? ]
Перейти
eset internet security и Контроль учётных записей пользователей, щитки на ярлыках
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.10.2018 06:20:29
@oldq Q,
вы сами можете это сделать. Напишите о вашем предложении в [email protected],
скажем, на моем компутере после обновления EIS до версии 11.2.63 UAC не был включен. (Win7x64)
настроек, связанных с UAC явно в конфигурации не вижу, возможно что-то есть при включении опции "защита от Ransomware"
[ Как создать образ автозапуска? ]
Перейти
eset internet security и Контроль учётных записей пользователей, щитки на ярлыках
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 17.10.2018 17:27:25
Цитата
oldq Q написал:
где он что изменил - хз....можно копать, конечно, но мне работать нужно, поэтому с eset придётся прощаться. хотя жили долго и счастливо...

вы можете откатить систему на момент переустановки продукта, и продолжать жить счастливо.
[ Как создать образ автозапуска? ]
Перейти
eset internet security и Контроль учётных записей пользователей, щитки на ярлыках
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 17.10.2018 15:53:35
Отключение UAC через командную строку

http://fastvista.ru/content/view/168/
[ Как создать образ автозапуска? ]
Перейти
eset internet security и Контроль учётных записей пользователей, щитки на ярлыках
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 17.10.2018 12:47:41
Цитата
oldq Q написал:
как это всё убрать, мне не нужны эти лишние действия с запуском от имени администратора и тому подобное...брандмауер windows и учётные записи у меня были отключены сразу после установки win7 x64 за ненадобностью,и до установки новой версии eset эти опции не подавали признаков жизни...

Настройка и отключение UAC в ОС Windows 7

http://fastvista.ru/content/view/17/
[ Как создать образ автозапуска? ]
Перейти
Часто выдается данное сообщение о скрытом канале ICMP
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 16.10.2018 14:50:20
Цитата
Egor Kondratyev написал:
Эти события во вкладке сетевых событий
а имя приложения не фигурирует в логе?
Цитата
Время; событие; действие; источник; объект; протокол; правило/название червя; приложение; пользователь
как часто это сообщение (Скрытый канал ICMP;Заблокировано) появляется после очистки системы от LOIC, (или если LOIC не запущен в системе у вас)?
[ Как создать образ автозапуска? ]
Перейти
Часто выдается данное сообщение о скрытом канале ICMP
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 15.10.2018 19:01:37
запись в логе старая.

Время;Сканер;Тип объекта;Объект;Угроза;Действие;Пользователь;Информация;Хэш;Первое обнаружение
25.09.2018 11:36:14;Модуль сканирования JavaScript;файл;https://rotumal.com/4/1241630/;JS/Adware.Agent.AA приложение;заблокирован;DESKTOP-K4B0RPC\furry;Обнаружена угроза при попытке доступа в Интернет следующим приложением: F:\Program Files (x86)\Google\Chrome\Application\chrome.exe (5C8D9AD934D9F670976AFAC0749DF1F37A6CA4EF).;376E74030E46B9637B6011D7F4B6CB9EDB757DA3;

нужны детекты, которые связаны именно с вашей проблемой.
ведь были в журнале более свежие детекты, судя по первому сообщению

Цитата
Время; событие; действие; источник; объект; протокол; правило/название червя; приложение; пользователь
13.10.2018 19:02:00;Скрытый канал ICMP;Заблокировано;213.141.***.***;80.68.78.99;ICMP;;;
[ Как создать образ автозапуска? ]
Перейти
Часто выдается данное сообщение о скрытом канале ICMP
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 15.10.2018 15:23:53
Цитата
Egor Kondratyev написал:
Выполнил скрипт последний. Пока сообщений таких нет. Обычно при старте вылезало сразу

вообще-то LOIC судя по образу запускался вручную, из архива zip
"C:\Users\furry\AppData\Local\Temp\7zOCD9B689B\LOIC.exe"
[ Как создать образ автозапуска? ]
Перейти
Часто выдается данное сообщение о скрытом канале ICMP
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 15.10.2018 15:21:20
@Egor Kondratyev,
добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 176 177 178 179 180 181 182 183 184 185 186 ... 1784 След.