Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 32 33 34 35 36 37 38 39 40 41 42 ... 1784 След.
msil/injector.vof
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 17.06.2022 16:44:53
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v4.12 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
regt 39
regt 41
restart

перезагрузка, сделайте, пожалуйста, образ автозапуска с отслеживанием процессов и задач.
------------
[ Как создать образ автозапуска? ]
Перейти
msil/injector.vof
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 17.06.2022 16:42:40
по логу ESVC:
Vulnerable SMBv1 protocol is enabled. To disable it, please check "How to remove SMBv1" at:
https://docs.microsoft.com/en-us/windows-server/storage/file-server/troubleshoot/detect-enable-and-disable-smbv1-v2-v3#how-to-remove-smbv1

Logon events auditing is probably partially (or fully) disabled.
To enable it, launch secpol.msc and in Local Policies -> Audit Policy -> Audit logon events, check both Success and Failure.

A tool that might have been misused by hackers to uninstall or disable ESET was detected:
- Process Hacker 2.39 (r124)  (installed on 08.05.2022 18:52:58)

The following critical patches are missing:
- MS16-032  (https://technet.microsoft.com/en-us/library/security/MS16-032)
[ Как создать образ автозапуска? ]
Перейти
msil/injector.vof
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 17.06.2022 16:37:41
17.06.2022 8:57:19 Advanced memory scanner file Operating memory » powershell.exe(1532) a variant of MSIL/Injector.VOF trojan cleaned - contained infected files 02BF98C88F11F998F15E6418695A17EC2FD51618
17.06.2022 2:56:36 Advanced memory scanner file Operating memory » powershell.exe(1620) a variant of MSIL/Injector.VOF trojan cleaned - contained infected files 02BF98C88F11F998F15E6418695A17EC2FD51618


Цитата
27.05.2022 14:43:16 Advanced memory scanner file Operating memory » taskeng.exe(1984) a variant of Win64/Rootkit.Agent.AZ trojan cleaned (after the next restart) - contained infected files 7DE35EDDF40ED09D65E6DC2122BE85D78DA83773
27.05.2022 14:43:15 Advanced memory scanner file Operating memory » taskeng.exe(2772) a variant of Win64/Rootkit.Agent.AZ trojan cleaned (after the next restart) - contained infected files 2BF64E68A5CB864127D1BC4DE3D65B759ACCDB81
27.05.2022 14:43:15 Advanced memory scanner file Operating memory » CCleaner64.exe(384) a variant of Win64/Rootkit.Agent.AZ trojan cleaned (after the next restart) - contained infected files 5437FA266CCB37ABD17D332120D4FBCDD53EB4BF
27.05.2022 14:43:14 Advanced memory scanner file Operating memory » dllhost.exe(4004) a variant of Win64/Rootkit.Agent.AZ trojan unable to clean 9F213E2E081104D00D7927D623251674309FB057

Систему уже пролечивали от руткита?
[ Как создать образ автозапуска? ]
Перейти
Правило файервола по маске
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 12.06.2022 16:34:36
Цитата
БлагоЯр Тишина написал:
Можно ли одним правилом как-то разрешить выход любому приложению из определённого каталога?

Любому приложению из каталога - нет, необходимо в каждом правиле указать точный путь для приложения.
[ Как создать образ автозапуска? ]
Перейти
ESET заблокировал наши домены
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 12.06.2022 13:09:01
Цитата
Станислав Кондрашов написал:
Что необходимо для исправления этой ситуации?Как быть?
Информация о блокировке сайтов отправлена в антивирусную лабораторию, ждем ответ.

Мы получили ответ из антивирусной лаборатории, сайты будут разблокированы.
---------------
Thank you for your submission.
The site / IP address will be unblocked.
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Win32/Spy.Agent.QFL троянская программа в оперативной памяти
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 04.06.2022 12:20:31
Вадим, посмотри пожалуйста, в этих папках что-то еще осталось?
%SystemDrive%\USERS\KVV80\APPDATA\LOCAL\ACTIVISION\CALL OF DUTY VANGUARD\CRASH_REPORTS\FULLDUMP\2CED3B14\DB31E98E\
%SystemDrive%\USERS\KVV80\APPDATA\LOCAL\ACTIVISION\CALL OF DUTY VANGUARD\CRASH_REPORTS\A63750E0\

подозрение на то, что для запуска вредоносного кода, использовались легальные файлы, которые при запуске могли загружать вредоносные dll
---------------
Теперь можно отменить отслеживание процессов и лог DNS
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
Код
;uVS v4.12 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
regt 40
regt 42
QUIT

без перезагрузки системы
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Win32/Spy.Agent.QFL троянская программа в оперативной памяти
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 04.06.2022 12:18:12
Отлично, спасибо Вам за все предоставленные оперативно  логи и файлы.
[ Как создать образ автозапуска? ]
Перейти
Почему то заблокирован сайт. ESET ENDPOINT SECURITY
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 04.06.2022 12:00:46
Цитата
Sasha Rus написал:
Буду рад, если можно что-то исправить по этому поводу

Хорошо, информация о блокировке сайта будет отправлена в антивирусную лабораторию, ждем ответ.
---------
Мы получили ответ из антивирусной лаборатории: сайт будет разблокирован.

Thank you for your submission.
The site / IP address will be unblocked.
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Win32/Spy.Agent.QFL троянская программа в оперативной памяти
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 04.06.2022 11:38:15
Хорошо. Выполняем скрипт с перезагрузкой системы. Проверяем результат после перезагрузки.
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Win32/Spy.Agent.QFL троянская программа в оперативной памяти
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 04.06.2022 09:57:47
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код
;uVS v4.12 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\USERS\KVV80\APPDATA\LOCAL\PROGRAMS\ADLOCK\D2C1BEE53B.MSI
zoo %SystemDrive%\USERS\KVV80\APPDATA\ROAMING\VLC.EXE
zoo %SystemDrive%\USERS\KVV80\APPDATA\LOCAL\ACTIVISION\CALL OF DUTY VANGUARD\CRASH_REPORTS\FULLDUMP\2CED3B14\DB31E98E\VLC.EXE
zoo %SystemDrive%\USERS\KVV80\APPDATA\LOCAL\ACTIVISION\CALL OF DUTY VANGUARD\CRASH_REPORTS\A63750E0\VXPLAYER.EXE
;---------command-block---------
delall %SystemDrive%\USERS\KVV80\APPDATA\ROAMING\VLC.EXE
delall %SystemDrive%\USERS\KVV80\APPDATA\LOCAL\ACTIVISION\CALL OF DUTY VANGUARD\CRASH_REPORTS\FULLDUMP\2CED3B14\DB31E98E\VLC.EXE
delall %SystemDrive%\USERS\KVV80\APPDATA\LOCAL\ACTIVISION\CALL OF DUTY VANGUARD\CRASH_REPORTS\A63750E0\VXPLAYER.EXE
delall %SystemDrive%\USERS\KVV80\APPDATA\LOCAL\TEMP\XVEASRLJH.QTD
delall %SystemDrive%\USERS\KVV80\APPDATA\LOCAL\TEMP\EC905A47.PNG
delall %SystemDrive%\USERS\KVV80\APPDATA\LOCAL\PROGRAMS\ADLOCK\D2C1BEE53B.MSI
delall %SystemDrive%\USERS\KVV80\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DRIVER.URL

apply

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_гггг-мм-дд_чч-мм-сс.rar/7z)  отправить в почту [email protected]
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 32 33 34 35 36 37 38 39 40 41 42 ... 1784 След.