Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 349 350 351 352 353 354 355 356 357 358 359 ... 1784 След.
[ Закрыто] Win32/Injector.DGTM троянская программа
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.10.2016 05:54:09
Цитата
Александр Терихов написал:
А можно винт снять и просто засканировать его со своего компа?
если вы самостоятельно можете выполнить проверку и очистку системы от возможных последствий открытия вредоносного файла,
то мы не против.
и да, вопрос: антивирус был установлен на компьютере пользователя?
Изменено: santy - 28.10.2016 05:55:41
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Win32/Injector.DGTM троянская программа
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.10.2016 05:51:06
в настройках Нода в постоянной защите можно включить защиту документов - интеграция с системой.
в этом случае антивирус будет тщательно проверять офисный документ на наличие макросов, эксплойтов, прежде чем дать возможность открывать его офисному приложению.
+
Цитата
можно из безопасного режима системы создать образ автозапуска для проверки системы.
Изменено: santy - 28.10.2016 05:52:03
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Win32/Injector.DGTM троянская программа
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.10.2016 05:46:38
Цитата
Расширение .dot применяется текстовым редактором Microsoft Word для хранения шаблонов документов.
Microsoft Word является одним из приложений, включенных в пакет Microsoft Office. Word позволяет создавать разнообразные текстовые документы.
файлик *.dot, скорее всего содержит эксплойт, который при отрытии dot файла в Офисе может запустить внедренный в этот файл исполняемый файл.
https://www.virustotal.com/ru/file/7138217c48c2268a57b0b9fe8eb349e680f1ca87d0648998­0b51d3bd0415c7c1/analysis/

можно из безопасного режима системы создать образ автозапуска для проверки системы.
Изменено: santy - 28.10.2016 05:47:43
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Win32/Injector.DGTM троянская программа
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.10.2016 05:33:49
похоже на файл шифратора.
-------
возможно в файле odt был внедренный объект, который он активировал нажатием.
Цитата
OLEDATA = Скан-копия документа от 26.10.2016 ПРОВЕРНО.jрg .scr

если сохранилось сообщение в почте с вложением,
заархивируйте с паролем infected и вышлите в почту [email protected]
я посмотрю файл и отвечу точнее.
---------
если этот файлик попал в карантин,
Скан-копия документа от 26.10.2016 ПРОВЕРНО.jрg .scr
то его можно "восстановить как" из карантина  в отдельную папку и проверить на http://virustotal.com
Изменено: santy - 28.10.2016 05:40:07
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Словил вирус, нужна ваша помощь.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.10.2016 04:35:34
хорошо,
+ ко всему: выполните наши рекомендации по безопасной работе в сети.
http://forum.esetnod32.ru/forum9/topic12354/
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.10.2016 04:31:51
Андрей,
1. не надо здесь никого цитировать, просто пишите по сути и не развозите ответ на целую страницу браузера.
2. я уже отчаялся следить за вашими действия,ми в какой последовательности и что вы делаете: до скрипта, после скрипта, из безопасного режима, из нормального режима,
3. полагаю что вы в состоянии самостоятельно справиться с очисткой: файлы шифратора указаны в скриптах.
4. у нас здесь все просто делается: пользователь выкладывает суть проблемы, образ автозапуска (если его об этом просят), желательно несколько зашифрованных файлов в архиве, записку о выкупе от злоумышленников, мы пишем скрипт очистки и рекомендации. и все.
5. если возникают сомнения по очистке: добавляете лог выполнения скрипта, и новый образ автозапуска для контроля.
6. и чтобы тема очистки плавно не перетекала в чатовый диалог.
Изменено: santy - 28.10.2016 04:33:54
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.10.2016 18:22:11
еще раз:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.87.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
addsgn 7300A398556A1F245CBE8EEE57137A04A58AFC7FD5DE0BBFC1E7D58CF29671C57F33DFA82BE11D092B7F912FC656499C40D9E8064489584B1C77A4140472251B 8 da_vinci_code

zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
zoo %SystemDrive%\USERS\ДАНИЛИНА.INCRGP\APPDATA\ROAMINGRBQ51.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref 0HTTPS://LAREVANTE.COM/F6D3BVD/BOL57.EUP

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBEJNPNKHFGFKCPGIKIINOJLMDCJIMOBI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHJCGOMKANPKPBLOKEBECKNHAHGKCMOO%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDKEKDLKMDPIPIHONAPOLEOPFEKMAPADH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\ДАНИЛИНА.INCRGP\APPDATA\ROAMING\JGUPMKO.DLL

delref HTTPS://LAREVANTE.COM/F6D3BVD/BOL57.EUP

deltmp
delnfr
;-------------------------------------------------------------

restart
czoo

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
------------
+
добавьте новый образ автозапуска дял контроля.
+
добавьте все логи выполнения скриптов:
файлы дата_времяlog.txt из папки, откуда запускаете uVS.
Изменено: santy - 27.10.2016 18:24:37
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.10.2016 18:15:21
судя по второму образу этот файлик на месте.

Цитата
Полное имя                  C:\PROGRAMDATA\WINDOWS\CSRSS.EXE
Имя файла                   CSRSS.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
RUN.LIST                    (ССЫЛКА ~ \RUN\CLIENT SERVER RUNTIME SUBSYSTEM)(1) [auto (1)]
RUN                         (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
SHIFR.LIST                  (ССЫЛКА ~ \RUN\CLIENT SERVER RUNTIME SUBSYSTEM)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
File_Id                     5795639761000
Linker                      6.0
Размер                      956483 байт
Создан                      22.03.2016 в 11:24:19
Изменен                     26.10.2016 в 11:46:55
                           
TimeStamp                   25.07.2016 в 00:55:51
EntryPoint                  +
OS Version                  4.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               проверка не производилась
                           
Версия файла                1.50.2
Описание                    PS3 Media Server
Продукт                     PS3 Media Server
Copyright                  
Производитель               A. Brochard
Комментарий                
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Не_типичен для этого файла [имя этого файла есть в известных]
                           
Доп. информация             на момент обновления списка
SHA1                        61DFEC318DAC5309AD5627DA716A3F1EA2194B60
MD5                         2B6BC30E37B7B919D5D1187CE633C339
                           
Ссылки на объект            
Ссылка                      HKEY_USERS\S-1-5-21-1352719698-2803580862-2519816203-1429\Software\Microsoft\Windows\CurrentVersion\Run\Client Server Runtime Subsystem
Client Server Runtime Subsystem"C:\ProgramData\Windows\csrss.exe"
Prefetcher                  C:\WINDOWS\Prefetch\Layout.ini
я вижу у вас свое мнение по этому поводу. Ну-ну.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.10.2016 18:13:39
Цитата
Андрей Пинчук написал:
2. У меня сомнение в чистоте двух файлов.
1) C:\users\ДАНИЛИНА.INCRGP\APPDATA\ROAMING\roamingrbq51.exe
2) C:\PROGRAMDATA\WINDOWS\CSRSS.EXE
Я так понял, что скрипт по первому образу автозапуска из сообзщения 312 вы до сих пор не выполнили?
правильно?
Изменено: santy - 27.10.2016 18:16:49
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.10.2016 16:19:06
1. по теневым копиям.
как проверить.
используйте shadowExplorer
http://www.shadowexplorer.com/downloads.html
но прежде чем восстанвить что-то из теневых копий (если они сохранились), надо точно знать, что в системе нет уже активного шифратора.
поэтому.
2. добавьте лог выполнения скрипта uVS.
файл дата_времяlog.txt
+
добавьте новый образ автозапуска.
Изменено: santy - 27.10.2016 16:19:36
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 349 350 351 352 353 354 355 356 357 358 359 ... 1784 След.