santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

Не удаляется вирус IMG001.exe

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 24.08.2017 12:38:30

+
добавьте результат проверки данного файла на http://virustotal.com

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] ESET адрес заблокирован (Как исключить сайт из проверки)?, Всплывающее окно

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 24.08.2017 10:41:35

зайдите в дополнительные настройки антивируса,
найдите секцию Интернет и электронная почта --> защита доступа в Интернет --> управление URL адресами
добавьте ваш сайт в список разрешенных адресов.
сохраните изменение списков.

проверьте результат.

[ Как создать образ автозапуска? ]

Перейти

Переход с 5ой на 6ую версию., Переход с 5ой на 6ую версию.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.08.2017 15:07:05

Цитата
Synapse Synapse написал: думал если можно создать готовый msi агента с прописанными в него настройками хоста сервера, то можно было бы его установить через админку 5ой версии, ноо видимо не судьба

В autoit возможно есть такая возможность - записать сценарий установки.
Тем более, что вводить не много информации при установке Agent.msi , разве что пароль Администратора может засветиться при установке.

[ Как создать образ автозапуска? ]

Перейти

Переход с 5ой на 6ую версию., Переход с 5ой на 6ую версию.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.08.2017 09:20:30

Цитата
Synapse Synapse написал: и такой еще вопрос, а что админка не умеет создавать установщик агента .msi? (не предлагать скачать с сайта, там много глупых вопросов задается при установке, юзверам это сложно)

ну, вашу работу никто за вас не сделает, потому не стоит перекладывать установку агентов и антивирусов на пользователей.
это вам скажут в любой антивирусной компании

сам установщик msi естественно, не создается в админке 6 (используется готовый).
можно лишь создать конфигурацию для тихой установки.
точно так же как и установочный пакет антивируса в 5 версии используется для тихой установки вместе с файлом конфигурации.

в 6ке выходит проще. ставится агент, устанавливается антивирус, и уже через агент применяются политики к установленному антивирусу.
*получается, что конфиг уже не нужен к установочному пакету,
достаточно агента, который применяет политики, созданные на сервере для клиентов.

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 22.08.2017 13:02:39

Trend Micro добавил отчет по криптомайнерам, с использованием EternalBlue и WMI скрипт

https://www.bleepingcomputer.com/news/security/cryptocurrency-miner-infects-windows-pcs-via-eternalblue-and-wmi/

[ Как создать образ автозапуска? ]

Перейти

Шифровирусы шумной толпою

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 22.08.2017 11:06:23

распространители шифратора Spora применяют метод (с внедрением вредоносного исполняемого объекта (в данном случае кодированный скрипт wsf, который загружает из сети исполняемый шифратор) в офисный документ),
который ранее был использован распространителями VAULT.

https://www.virustotal.com/#/file/cbdacafba9218a687bd0c8d3d92353b3bdea82cf1fe205c9637ac84dc03405d2/detection
https://www.hybrid-analysis.com/sample/bcae3247e67635efa58527124fef1609eb43ac28759cf00ca617fb911af8955a?environmentId=100

примечательно, что только ESET определил файл шифратора как Spora.

[ Как создать образ автозапуска? ]

Перейти

Переход с 5ой на 6ую версию., Переход с 5ой на 6ую версию.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.08.2017 10:39:38

Цитата
Synapse Synapse написал: а если сеть одноранговая и у каждого юзверов свои логины и пароли и их около 200ти, что делать?

создавать таки домен, и загонять компутеры в домен, проще будет управлять компьютерами и пользователями.

изучаем тему развертывания агента
http://help.eset.com/era_admin/65/ru-RU/

[ Как создать образ автозапуска? ]

Перейти

Переход с 5ой на 6ую версию., Переход с 5ой на 6ую версию.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.08.2017 09:26:33

Цитата
Synapse Synapse написал: Как я и думал, спасибо, тему можно закрыть.

да, пусть будет открытой тема.
Переход с 5ки на 6 версию становится все более актуальным.
Если и есть какие то препятствия для перехода,
то это некоторые неосвященные вопросы по развертыванию, установке приложений, применению политик.
удалению старых приложений.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] периодически открывается сайт, периодически открывается вкладка новая в chrome

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.08.2017 03:49:27

Илья,
добавьте образ автозапуска системы

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Обнаружена атака путем подделки записей кэша ARP, Обнаружена атака путем подделки записей кэша ARP

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 19.08.2017 16:24:56

Цитата
Любовь Гранкина написал: Здравствуйте, антивирус обнаружил атаку путем подделки записей кэша ARP. Сделала анализ системы через программу uVS и вот, что вышло.

Tor browser используете? сами ставили?

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.0.9 [http://dsrt.dyndns.org] ;Target OS: NTv6.3 v400c OFFSGNSAVE ;------------------------autoscript--------------------------- delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNECFMKPLPMINFJAGBLFABGGOMDPAAKAN%26INSTALLSOURCE%3DONDEMAND%26UC apply deltmp delref %SystemDrive%\TEMP\CHROME_BITS_4140_24942\1.4.8.970_OIMOMPECAGNAJDEJGNNJIJOBEBAEIGEK.CRX delref A9A33436-678B-4C9C-A211-7CC38785E79D\[CLSID] delref 752073A1-23F2-4396-85F0-8FDB879ED0ED\[CLSID] delref %SystemRoot%\SYSWOW64\COMPMGMTLAUNCHER.EXE delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL delref %SystemRoot%\SYSWOW64\CSCSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS delref %SystemRoot%\SYSWOW64\LSM.DLL delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {19916E01-B44E-4E31-94A4-4696DF46157B}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID] delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {DFEAF541-F3E1-4C24-ACAC-99C30715084A}\[CLSID] delref %SystemRoot%\SYSWOW64\BLANK.HTM delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID] delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref %Sys32%\BLANK.HTM delref HELPSVC\[SERVICE] delref SACSVR\[SERVICE] delref TBS\[SERVICE] delref VMMS\[SERVICE] delref MESSENGER\[SERVICE] delref RDSESSMGR\[SERVICE] delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL delref %SystemRoot%\SYSWOW64\TAPILUA.DLL delref %SystemRoot%\SYSWOW64\AEPROAM.DLL delref %SystemRoot%\SYSWOW64\RSTRUI.EXE delref %SystemRoot%\SYSWOW64\LISTSVC.DLL delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL delref %SystemRoot%\SYSWOW64\WPCCPL.DLL delref %SystemRoot%\SYSWOW64\GPSVC.DLL delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL delref F:\PROGRAM\ROCKETDOCK\ROCKETDOCK.EXE delref %SystemDrive%\USERS\ЛЮБОВЬ\APPDATA\LOCAL\YANDEX\BROWSERMANAGER\MBLAUNCHER.EXE delref %SystemDrive%\PROGRAM FILES (X86)\CONVAR\PC INSPECTOR FILE RECOVERY\FILERECOVERY.EXE delref %SystemDrive%\USERS\USER\DESKTOP\TOR BROWSER\BROWSER\FIREFOX.EXE delref %SystemDrive%\PROGRAM FILES (X86)\CONVAR\PC INSPECTOR FILE RECOVERY\UNINSTALL.EXE delref %SystemDrive%\USERS\ЛЮБОВЬ\APPDATA\LOCAL\YANDEX\YAPIN\YANDEXWORKING.EXE delref F:\PROGRAM\AIMP3\AIMP3.EXE ;------------------------------------------------------------- restart

Код


;uVS v4.0.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNECFMKPLPMINFJAGBLFABGGOMDPAAKAN%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemDrive%\TEMP\CHROME_BITS_4140_24942\1.4.8.970_OIMOMPECAGNAJDEJGNNJIJOBEBAEIGEK.CRX
delref A9A33436-678B-4C9C-A211-7CC38785E79D\[CLSID]
delref 752073A1-23F2-4396-85F0-8FDB879ED0ED\[CLSID]
delref %SystemRoot%\SYSWOW64\COMPMGMTLAUNCHER.EXE
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {19916E01-B44E-4E31-94A4-4696DF46157B}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {DFEAF541-F3E1-4C24-ACAC-99C30715084A}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\BLANK.HTM
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemRoot%\SYSWOW64\TAPILUA.DLL
delref %SystemRoot%\SYSWOW64\AEPROAM.DLL
delref %SystemRoot%\SYSWOW64\RSTRUI.EXE
delref %SystemRoot%\SYSWOW64\LISTSVC.DLL
delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL
delref %SystemRoot%\SYSWOW64\WPCCPL.DLL
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref F:\PROGRAM\ROCKETDOCK\ROCKETDOCK.EXE
delref %SystemDrive%\USERS\ЛЮБОВЬ\APPDATA\LOCAL\YANDEX\BROWSERMANAGER\MBLAUNCHER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\CONVAR\PC INSPECTOR FILE RECOVERY\FILERECOVERY.EXE
delref %SystemDrive%\USERS\USER\DESKTOP\TOR BROWSER\BROWSER\FIREFOX.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\CONVAR\PC INSPECTOR FILE RECOVERY\UNINSTALL.EXE
delref %SystemDrive%\USERS\ЛЮБОВЬ\APPDATA\LOCAL\YANDEX\YAPIN\YANDEXWORKING.EXE
delref F:\PROGRAM\AIMP3\AIMP3.EXE
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

[ Как создать образ автозапуска? ]

Перейти