Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.
Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новые продукты компании PRO32.
PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.
Андрей Пинчук написал: Кроме того. Пока выполнял указания техподдержки вирус зашифровал данные на загрузочной флешке. Так что вирус всё ещё активен.
здесь поясните. шифрование флэшки было до рекомендации по очистке в uVS из безопасного режима? если есть сомнения в очистке системы, сделайте новый образ автозапуска, и добавьте лог выполнения скрипта. это файл дата_времяlog.txt из папки, откуда вы запускали uVS
Цитата
Кроме того. Сегодня утром в почтовый ящик организации прилетело ещё одно письмо с шифратором. Во вложение два файла: пустой rtf и js файл с кодом, похожим на шифратор. Куда можно отправить указанные файлы?
Андрей Пинчук написал: Когда выполнял указания техподдержки ESET по сбору данных для отправки, запустил компьютер в обычном режиме с входом в пользователь, который запустил инфекцию (от сети отключен физически). В карантине никаких данных по вирусу нет. При этом через некоторое время появилось окно UAC с просьбой разрешить запуск программы для управления теневыми копиями файлов. В подробностях видно было, что это запрос на удаление теневых копий.
возможно шифратор, если он активен, с каждым новым запуском в системе пытается проверить наличие теневых копий, и удалить их. если UAC у вас был включен на момент шифрования, возможно шифратор в процессе шифрования не смог удалить теневые копии, так что проверьте: живые они или нет.
по очистке системы выполните. (можно так же из безопасного режима системы)
выполняем скрипт в uVS: - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
перезагрузка, пишем о старых и новых проблемах. архив из каталога uVS (файл по формату: ZOO_yyyy-mm-dd_hh-mm-ss.rar/или 7z) отправить в почту [email protected], [email protected] ------------ + далее, сделайте дополнительно быструю проверку системы в малваребайт
поскольку в системе был добавлен левый прокси. LAREVANTE.COM/F6D3BVD/BOL57.EUP
задачи на компе здесь серьезные. имеет смысл подумать о смене паролей в инете, поскольку трафик шел через левый прокси.
далее выполните рекомендацию по FRST (см. выше сообщение от RP55) а так же кратко пишите, решены ли проблемы, о которых вы написали в первом сообщении, появились ли новые продлемы по ходу очистки системы.
Андрей Пинчук написал: Здравствуйте! Точно такая же ситуация. Один из компьютеров организации поймал вирус-шифровальщик, скорее всего, через почту. Есть активная лицензия на ESET Endpoint 5. Писал 2 раза в техподдержку через форму обратной связи в ответ ничего. Какие действия нужно мне предпринять? Если я буду писать непосредственно в support@ , то это нужно делать с почтового ящика, на который приходили письма с продлением антивируса?
Андрей, сделайте образ автозапуска системы для контроля и очистки системы, возможно в системе еще активен шифратор.
Максим Иванов написал: Добрый день! Поймали da_vinci_code
Расширения у файлов стали da_vinci_code
Помогите, пожалуйста!!!
Максим, система уже очищена от файлов шифратора. по расшифровке, так же как и для всех:
Цитата
на сегодня и завтра расшифровке нет. тем не менее напишите в [email protected] при наличие лицензии на антивирус ESET или соответственно в LK/DrWeb при наличие лицензии на антивирусы этих компаний.
Михаил Вершинин написал: Здравствуйте, все файлы на компьютере зашифрованы с расширением da_vinci_code. Как восстановить файлы? образ автозапуска системы по ссылке
Михаил, активности шифратора судя по образу уже нет.
по очистке системы выполните скрипт в uVS
выполняем скрипт в uVS: - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
судя по образу признаков заражения нет. по очистке системы ТЕМПовых папок, а так же ссылок в реестре на отсутствующие файлы можно выполнить такой скрипт.
иногда помогает стабилизировать работу системы.
выполняем скрипт в uVS: - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
@Павел Андреевич, активности шифратора уже нет в системе,
по очистке системы выполните:
выполняем скрипт в uVS: - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
