Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 244 245 246 247 248 249 250 251 252 253 254 ... 1784 След.
Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka; .decoder, GlobeImposter v2/Filecoder.FV; r/n: how_to_back_files.html
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 12.10.2017 01:58:52
по варианту шифратора:
Цитата
Identified by

   ransomnote_filename: how_to_back_files.html
   ransomnote_email: [email protected]
   sample_extension: .MAKGR
   custom_rule: victim ID format
https://id-ransomware.malwarehunterteam.com/identify.php?case=6dc1aba1c24aca38d636871ba889b977f67bc0ba

по образу автозапуска:
активного шифратора в системе уже нет.
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
Код

;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
deltmp
;---------command-block---------
delref %SystemDrive%\PROGRAMDATA\WINDOWS\SVCHOST.VBS
apply

QUIT

без перезагрузки системы.
------------

по восстановлению данных  - единственный вариант, восстановление из бэкапов. расшифровки по этому варианту Globeimposter нет.
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Объект: Startup Угроза: MSIL/Web Companion.A
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 11.10.2017 02:46:08
вообще-то ESS у вас версия довольно таки старая.
видимо в этой версии так же сохранилась ошибка при отображении записей из журнала угроз.
имеет смысл обновить ESS до актуальной версии. 10.1
[ Как создать образ автозапуска? ]
Перейти
Не активируются функции защиты антивируса, Обновление баз данных сигнатур проходит без замечаний
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 10.10.2017 17:31:54
здесь вы можете преобразовать вашу лицензию типа имя пользователя и пароль в  новый тип ключа
https://ela.eset.com/
если он не был вам поставлен с текущей лицензией.

в вашем случае, активировать (и администрировать) клиенты v6 не получится из  пятой консоли.
в лучшем случае, вы сможете активировать их вручную после получения лицензионного ключа.

рекомендую поднять таки сервер ERA 6, настроить администрирование нескольких клиентов с v6,
разобраться со всеми нюансами работы через веб-консоль управления,

а затем уже планировать переход с 5 на 6 версию для других клиентов.
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Объект: Startup Угроза: MSIL/Web Companion.A
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 10.10.2017 17:14:24
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref HTTP://OVGORSKIY.RU
delref HTTP://OVGORSKIY.RU/
apply

deltmp
delref %SystemDrive%\USERS\D899~1\APPDATA\LOCAL\TEMP\CHROME_BITS_4348_21937\1.4.8.1000_OIMOMPECAGNAJDEJGNNJIJOBEBAEIGEK.CRX
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\ASHAMPOO\ASHAMPOO BURNING STUDIO 6 FREE\BURNINGSTUDIO.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\RDVGKMD.SYS
delref %Sys32%\DRIVERS\TPM.SYS
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\PSXSS.EXE
delref I:\TOSHIBA PLACES.HTML
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\DISPLAY\NVLICENSINGS.DLL
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE1.8.0_131\BIN\WSDETECT.DLL
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Объект: Startup Угроза: MSIL/Web Companion.A
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 10.10.2017 17:09:26
+
добавьте записи с этой угрозой из журнала угроз
[ Как создать образ автозапуска? ]
Перейти
Зашифровано с расширением: ..au1crypt; .blcrypt; .726; .crypt; FIX; .GUST; .sambuka; .decoder, GlobeImposter v2/Filecoder.FV; r/n: how_to_back_files.html
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 10.10.2017 14:06:27
@Олег Пугачев,
добавьте в ваше сообщение записку о выкупе, один зашифрованный файл, можно в архиве, +
добавьте образ автозапуска системы
http://forum.esetnod32.ru/forum9/topic2687/

----------
предположительно, это Globeimposter v 2

Цитата
Identified by

   ransomnote_email: [email protected]
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Загрузка процессора 100% из-за процесса svchost.exe
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 09.10.2017 14:59:33
Александр,
по правилам нашего форума мы не оказываем помощь пользователям,
которые используют ломанный антивирус,
а вы судя по образу автозапуска используете его
Цитата
C:\TNOD\TNODUP.EXE

обратитесь за помощью на другой форум.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo, Filecoder.Crysis; r/n: info.hta
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 08.10.2017 17:28:16
@Ксюша Холод,
возможно, это реакция антивируса на неизвестный (для антивируса, поскольку без ЭЦП), неподписанный исполняемый файл, создаваемый с произвольным именем.
(если есть информация об этом детекте в журнале антивируса, добавьте эту запись так же в сюда же).

пробуйте временно добавить в исключение каталог uVS, и еще раз выполнить скрипт.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .cesar; .arena; .cobra; .java; .write; .arrow; .bip; .cmb;.combo, Filecoder.Crysis; r/n: info.hta
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 08.10.2017 09:42:10
а можно добавить скриншот реакции антивируса? + да, можно временно отключить антивир.
[ Как создать образ автозапуска? ]
Перейти
Eset FS на терминальных серверах, вопросы по настройке на RDS.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.10.2017 15:25:47
FS (с конфигурацией по умолчанию) будет недостаточно для защиты системы, если у вас пользователи хотят в инет с терминальных серверов, и наверняка используют почту.

нагрузка на ЦП возрастает при обновлении антивирусных модулей, и проверке автозапуска после обновления.
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 244 245 246 247 248 249 250 251 252 253 254 ... 1784 След.