santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo, Filecoder.Crysis; r/n: info.hta

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.06.2018 11:12:06

@John Berkut,
расшифровки по Crysis.arrow нет. Остальное уже написано в первом сообщении.
если необходима помощь в очистке системы, добавьте образ автозапуска.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] ESET Antivirus/Security сообщает о проблеме с LiveGrid

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.06.2018 02:47:05

Цитата
Дмитрий Гризенко написал: пишу, что отличается от того, что на фото.

укажите версию вашего продукта EIS,
покажите ваш скриншот с настройками

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] ESET Antivirus/Security сообщает о проблеме с LiveGrid

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 03.06.2018 15:01:21

@Дмитрий Гризенко,
посмотрите еще раз внимательно настройки в Internet Security:

расширенные настройки - интерфейс пользователя - состояния (изменить) - общие

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] SMB:CVE-2017-0144[Expl]

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 03.06.2018 04:29:16

+
необходимо установить патч ms-2017-010 для вашей системы,
https://docs.microsoft.com/en-us/security-updates/SecurityBulletins/2017/ms17-010

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo, Filecoder.Crysis; r/n: info.hta

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.06.2018 05:29:40

посмотрите примеры политики блокировки учетных записей при неверном вводе пароля. (защита от подбора паролей)
http://tavalik.ru/izmenenie-politiki-parolej-v-windows-server-2012-r2/

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo, Filecoder.Crysis; r/n: info.hta

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 31.05.2018 13:49:04

поясните, как вы создали образ автозапуска: с winpe
или подключали зараженный диск к чистому компу и запускали uVS соответственно в чистой системе?
+
следует добавить, что систему скорее всего взломали удаленно по RDP.
необходимо исключить возможность подключения из внешней сети к рабочим столам ваших компьютеров кроме доверенных адресов.
остальные подключения заблокировать через фаерволл.
+
обратите внимание, чтобы пароли к учетным записям были сложные,
+
настройте политики безопасности, которые ограничивают возможность перебора паролей.

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo, Filecoder.Crysis; r/n: info.hta

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 31.05.2018 10:29:56

здравствуйте,

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.0.12 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE ;---------command-block--------- delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-40DCD218.[[email protected]].BIP delall %SystemDrive%\USERS\TEZ1ASU2\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-40DCD218.[[email protected]].BIP delall %SystemDrive%\USERS\TEZ1ASU2.TEZ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-40DCD218.[[email protected]].BIP delall %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-40DCD218.[[email protected]].BIP delall %SystemDrive%\USERS\TEZ1ASU2\APPDATA\ROAMING\INFO.HTA delall %Sys32%\INFO.HTA ZOO %Sys32%\WINHOST.EXE delall %Sys32%\WINHOST.EXE delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\WINHOST.EXE delall %SystemDrive%\USERS\TEZ1ASU2\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\WINHOST.EXE czoo apply QUIT

Код

;uVS v4.0.12 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE

;---------command-block---------
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-40DCD218.[[email protected]].BIP
delall %SystemDrive%\USERS\TEZ1ASU2\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-40DCD218.[[email protected]].BIP
delall %SystemDrive%\USERS\TEZ1ASU2.TEZ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-40DCD218.[[email protected]].BIP
delall %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-40DCD218.[[email protected]].BIP
delall %SystemDrive%\USERS\TEZ1ASU2\APPDATA\ROAMING\INFO.HTA
delall %Sys32%\INFO.HTA
ZOO %Sys32%\WINHOST.EXE
delall %Sys32%\WINHOST.EXE
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\WINHOST.EXE
delall %SystemDrive%\USERS\TEZ1ASU2\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\WINHOST.EXE
czoo
apply
QUIT

без перезагрузки, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_гггг-мм-дд_чч-мм-сс.rar/7z) отправить в почту [email protected], [email protected]
------------
расшифровать .BIP в настоящее время не получится.

если нет архивных копий,
сохраните зашифрованные важные документы на отдельный носитель, возможно в будущем расшифровка документов станет возможной.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Нашли Win32/Exploit.CVE-2017-0147.A

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 30.05.2018 16:06:26

добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

источник - это внешняя сеть, из которой атакуется ваша система с использованием уязвимости системных служб.
этот файл и есть полезная нагрузка для эксплойта
C:\WINDOWS\mssecsvc.exe
в случае его запуска через этот файлик начнется подгружаться "спецназ" в виде шифратора WNCRY или червя с функцией майнера или т.п.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Нашли Win32/Exploit.CVE-2017-0147.A

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 30.05.2018 15:42:40

java лучше деинсталлировать, если не используется (оч. устаревшая версия), или обновить до актуальной версии.

судя по образу ничего серьезного не попало вместе с эксплойтом, т.е. он был прибит до выполнения полезной нагрузки.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.0.12 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE ;------------------------autoscript--------------------------- apply ; Java(TM) 6 Update 23 exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216023FF} /quiet deltmp delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID] delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID] delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID] delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID] delref %Sys32%\DRIVERS\RDVGKMD.SYS delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\[CLSID] delref {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBC}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID] delref %Sys32%\DRIVERS\TSUSBHUB.SYS delref %Sys32%\BLANK.HTM delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref HELPSVC\[SERVICE] delref SACSVR\[SERVICE] delref VMMS\[SERVICE] delref MESSENGER\[SERVICE] delref RDSESSMGR\[SERVICE] delref %SystemDrive%\PROGRAM FILES\WINPCAP\RPCAPD.INI delref %Sys32%\DRIVERS\SYNTH3DVSC.SYS delref %Sys32%\PSXSS.EXE delref %Sys32%\SHAREMEDIACPL.CPL delref {427F5631-44BE-45D4-8094-AC7ABA0FF83D}\[CLSID] delref {8658A9E4-3812-49D2-9654-278645E2ABA5}\[CLSID] delref {8E4BEB46-C00F-4719-AD49-E75E839C6889}\[CLSID] delref {935D9903-1FAB-4F46-B7F7-1AAF606DAFD7}\[CLSID] delref {97E289A5-C277-4114-8F3A-DAC14CFB7777}\[CLSID] delref {DB7ACFA2-9634-4C98-BC9D-FB9416153022}\[CLSID] delref {FF7422A6-9167-45B2-B13C-C186FE778ECA}\[CLSID] ;------------------------------------------------------------- restart

Код


;uVS v4.0.12 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

apply

; Java(TM) 6 Update 23
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216023FF} /quiet
deltmp
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref %Sys32%\DRIVERS\RDVGKMD.SYS
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\[CLSID]
delref {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBC}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %Sys32%\DRIVERS\TSUSBHUB.SYS
delref %Sys32%\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %SystemDrive%\PROGRAM FILES\WINPCAP\RPCAPD.INI
delref %Sys32%\DRIVERS\SYNTH3DVSC.SYS
delref %Sys32%\PSXSS.EXE
delref %Sys32%\SHAREMEDIACPL.CPL
delref {427F5631-44BE-45D4-8094-AC7ABA0FF83D}\[CLSID]
delref {8658A9E4-3812-49D2-9654-278645E2ABA5}\[CLSID]
delref {8E4BEB46-C00F-4719-AD49-E75E839C6889}\[CLSID]
delref {935D9903-1FAB-4F46-B7F7-1AAF606DAFD7}\[CLSID]
delref {97E289A5-C277-4114-8F3A-DAC14CFB7777}\[CLSID]
delref {DB7ACFA2-9634-4C98-BC9D-FB9416153022}\[CLSID]
delref {FF7422A6-9167-45B2-B13C-C186FE778ECA}\[CLSID]
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Перейти

После обновления системы антивирусник полетел, У программы недостаточно прав для изменения файла

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 27.05.2018 12:58:12

удалите продукты ESET из безопасного режима системы, и заново установите актуальную версию.
https://www.esetnod32.ru/support/knowledge_base/solution/?ELEMENT_ID=852896

[ Как создать образ автозапуска? ]

Перейти