santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

Защита от шифровальщиков

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.07.2016 16:04:02

хорошо, не устанавливается например таким образом Firefox, Thunderbird, Cryptopro... Что делать юзеру?
(у меня техподдержка ленится например, или не знает, как посмотреть лог события в журнале событий, так первое время просто сносило весь ключ safer,
пока я не научил пользоваться Cryptoprevent-ом, как посмотреть ,какое правило блокирует установку, и как временно отключить это правило.)
как ему узнать какое правило блокирует запуск данной программы, и что нужно сделать чтобы завершить нормально установку программы?
------
пока статью перенесу в полезные программы.

Изменено: santy - 11.07.2016 16:08:06

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.07.2016 15:53:34

Цитата
Александр Веденеев написал: а как понять есть у них дешифратор или нет?

никак не понять. вам без лицензии могут просто не ответить.

[ Как создать образ автозапуска? ]

Перейти

win32\rukometa.x

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.07.2016 15:52:29

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.4 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE delref HTTP://CHATOZOV.RU/?UTM_CONTENT=706DAF58C4C295E14015A61BF477685C&UTM_SOURCE=STARTPM&UTM_TERM=D39327F63AA106343563DBDDE89A9F4F&UTM_D=20160525 ;------------------------autoscript--------------------------- chklst delvir delref HTTP://CHATOZOV.RU/?UTM_SOURCE=UOUA03N&UTM_CONTENT=1F1A7D4E6784534601121B44B7BE8052&UTM_TERM=D39327F63AA106343563DBDDE89A9F4F&UTM_D=20160525 delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID] delref {E7E8ED77-2FBA-4EC6-BC07-65DE4DE6709F}\[CLSID] delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHJCGOMKANPKPBLOKEBECKNHAHGKCMOO%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNECFMKPLPMINFJAGBLFABGGOMDPAAKAN%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛ\APPDATA\ROAMING\ADOBE FLASH PLAYER\ADOBE.EXE delref HTTP://WWW.SWEET-PAGE.COM/?TYPE=HP&TS=1391257789&FROM=COR&UID=395049983_1052499_C4F2117C delref HTTP://WWW.SWEET-PAGE.COM/WEB/?TYPE=DS&TS=1391257789&FROM=COR&UID=395049983_1052499_C4F2117C&Q={SEARCHTERMS} deldirex %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛ\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER deldirex %SystemDrive%\USERS\ГЕОРГИЙ\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDHDGFFKKEBHMKFJOJEJMPBLDMPOBFKFO%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLBJJFIIHGFEGNIOLCKPHPNFAOKDKBMDM%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLMJEGMLICAMNIMMFHCMPKCLMIGMMCBEH%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛ\APPDATA\ROAMING\GLISTER\NVM.DLL delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=18CAEC4C9E7BDEBAB864BFE137901122&TEXT={SEARCHTERMS} regt 28 regt 29 ; Java(TM) 6 Update 26 (64-bit) exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F86416026FF} /quiet ; Kinoroom Browser exec C:\Program Files (x86)\Kinoroom Browser\Uninstall.exe ; OpenAL exec C:\Program Files (x86)\OpenAL\oalinst.exe" /U ; GPU Monitor exec C:\Program Files (x86)\VLC Player GPU+\uninstall.exe" "/U:C:\Program Files (x86)\VLC Player GPU+\Uninstall\uninstall.xml exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216026FF} /quiet exec MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160020} /quiet deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
delref HTTP://CHATOZOV.RU/?UTM_CONTENT=706DAF58C4C295E14015A61BF477685C&UTM_SOURCE=STARTPM&UTM_TERM=D39327F63AA106343563DBDDE89A9F4F&UTM_D=20160525
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://CHATOZOV.RU/?UTM_SOURCE=UOUA03N&UTM_CONTENT=1F1A7D4E6784534601121B44B7BE8052&UTM_TERM=D39327F63AA106343563DBDDE89A9F4F&UTM_D=20160525

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]

delref {E7E8ED77-2FBA-4EC6-BC07-65DE4DE6709F}\[CLSID]

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHJCGOMKANPKPBLOKEBECKNHAHGKCMOO%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNECFMKPLPMINFJAGBLFABGGOMDPAAKAN%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛ\APPDATA\ROAMING\ADOBE FLASH PLAYER\ADOBE.EXE

delref HTTP://WWW.SWEET-PAGE.COM/?TYPE=HP&TS=1391257789&FROM=COR&UID=395049983_1052499_C4F2117C

delref HTTP://WWW.SWEET-PAGE.COM/WEB/?TYPE=DS&TS=1391257789&FROM=COR&UID=395049983_1052499_C4F2117C&Q={SEARCHTERMS}

deldirex %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛ\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

deldirex %SystemDrive%\USERS\ГЕОРГИЙ\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDHDGFFKKEBHMKFJOJEJMPBLDMPOBFKFO%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLBJJFIIHGFEGNIOLCKPHPNFAOKDKBMDM%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLMJEGMLICAMNIMMFHCMPKCLMIGMMCBEH%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛ\APPDATA\ROAMING\GLISTER\NVM.DLL

delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=18CAEC4C9E7BDEBAB864BFE137901122&TEXT={SEARCHTERMS}

regt 28
regt 29
; Java(TM) 6 Update 26 (64-bit)
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F86416026FF} /quiet
; Kinoroom Browser
exec  C:\Program Files (x86)\Kinoroom Browser\Uninstall.exe
; OpenAL
exec  C:\Program Files (x86)\OpenAL\oalinst.exe" /U
; GPU Monitor
exec  C:\Program Files (x86)\VLC Player GPU+\uninstall.exe" "/U:C:\Program Files (x86)\VLC Player GPU+\Uninstall\uninstall.xml
exec  MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216026FF} /quiet
exec  MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160020} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
+
вопрос: зачем у вас установлено два антивируса: ESET и CEZURITY
могут конфликтовать между собой.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.07.2016 15:46:01

лицензия необходима для того, чтобы вы могли обратиться в техподдержку антивируса. Поскольку бесплатно оказывается помощь в расшифровке только лицензионным пользователям.
расшифровка возможна в том случае, если в вирлабе есть соответствующий дешифратор.

Изменено: santy - 22.02.2020 14:52:51

[ Как создать образ автозапуска? ]

Перейти

Защита от шифровальщиков

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.07.2016 15:10:31

как минимум нужны логи для того чтобы проверять какое правило блокирует установку/или запуск полезной программы.
скажем, запрет на запуск из архивов *.exe приводит к тому, что такие программы как Firefox, Thunderbird (и другие, которые в темп распаковывают свои модули в архивах) не будут установлены, а будут заблокированы. (Иначе, техподдержка, снесет под корень такую программу.)

лично меня устраивает полностью Cryptoprevent, но начинание думаю полезное, со временем отшлифуется программа.

кроме того сейчас есть возможность добавить политики (ключ safer) непосредственно из uVS одним скриптом.

Изменено: santy - 11.07.2016 15:13:27

[ Как создать образ автозапуска? ]

Перейти

Защита от шифровальщиков

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.07.2016 14:56:04

Привет, Виктор.
о каком карантине здесь идет речь?

Цитата
1) Защита от известных исполняемых файлов, которые вместо обычного запуска попадают в карантин

видимо предполагается неизвестные исполняемые...

Изменено: santy - 11.07.2016 14:57:12

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.07.2016 14:52:44

Код
;uVS v3.87.4 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE addsgn 1A074E9A5583C58CF42B254E3143FE6D79AEBEF676EF2358C7C3407C24C319000755C307C140A5696980015F3213B68F7520382F96514F79A69B5B5ACFEEEA8C 8 Win32/Filecoder.NDT [ESET-NOD32] zoo %SystemDrive%\PROGRAM FILES (X86)\SERVICE.EXE ;------------------------autoscript--------------------------- chklst delvir delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAONEDLCHKBICMHEPIMIAHFALHEEDJGBH%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\MOZILLA\EXTENSIONS\JID1-N5ARDBZHKUEDAA@JETPACK\INSTALL.RDF deldirex %SystemDrive%\PROGRAM FILES (X86)\ZAXAR delref %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\60B66472-1426926183-DD11-B527-A2EE1B23D67B\NSBCE7E.TMPFS delref %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\60B66472-1426926183-DD11-B527-A2EE1B23D67B\JNSGD67.TMP delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\60B66472-1426937229-DD11-B527-A2EE1B23D67B\SNSI6894.TMP del %SystemDrive%\IEXPLORE.BAT delref HTTP:\\WWW.ACOUSTICA.COM\?SRC=IMIX-PROG-MENU regt 27 regt 28 regt 29 ; Time tasks exec C:\ProgramData\TimeTasks\uninstall.exe deltmp delnfr ;------------------------------------------------------------- czoo restart

Код


;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE

addsgn 1A074E9A5583C58CF42B254E3143FE6D79AEBEF676EF2358C7C3407C24C319000755C307C140A5696980015F3213B68F7520382F96514F79A69B5B5ACFEEEA8C 8 Win32/Filecoder.NDT [ESET-NOD32]

zoo %SystemDrive%\PROGRAM FILES (X86)\SERVICE.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAONEDLCHKBICMHEPIMIAHFALHEEDJGBH%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\MOZILLA\EXTENSIONS\JID1-N5ARDBZHKUEDAA@JETPACK\INSTALL.RDF

deldirex %SystemDrive%\PROGRAM FILES (X86)\ZAXAR

delref %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\60B66472-1426926183-DD11-B527-A2EE1B23D67B\NSBCE7E.TMPFS

delref %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\60B66472-1426926183-DD11-B527-A2EE1B23D67B\JNSGD67.TMP

delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\60B66472-1426937229-DD11-B527-A2EE1B23D67B\SNSI6894.TMP

del %SystemDrive%\IEXPLORE.BAT

delref HTTP:\\WWW.ACOUSTICA.COM\?SRC=IMIX-PROG-MENU

regt 27
regt 28
regt 29
; Time tasks
exec C:\ProgramData\TimeTasks\uninstall.exe
deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

[ Как создать образ автозапуска? ]

Перейти

Вирус скрыт под Svchost.exe

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.07.2016 08:52:25

6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Код
Toolbar: HKU\S-1-5-21-1781546915-2971862094-1338531755-1000 -> No Name - {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} - No File CHR Extension: (Web Developer) - C:\Users\Orendar\AppData\Local\Google\Chrome\User Data\Default\Extensions\bfbameneiokkgbdmiekhjnmfkcnldhhm [2015-03-26] OPR Extension: (SaveFrom.net помощник) - C:\Users\Orendar\AppData\Roaming\Opera Software\Opera Stable\Extensions\npdpplbicnmpoigidfdjadamgfkilaak [2016-03-23] OPR Extension: (ruTorrent communicator for Opera) - C:\Users\Orendar\AppData\Roaming\Opera Software\Opera Stable\Extensions\opdagoidgpionfblfhjhebeblnpobiod [2015-10-21] EmptyTemp: Reboot:

Код

Toolbar: HKU\S-1-5-21-1781546915-2971862094-1338531755-1000 -> No Name - {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} -  No File
CHR Extension: (Web Developer) - C:\Users\Orendar\AppData\Local\Google\Chrome\User Data\Default\Extensions\bfbameneiokkgbdmiekhjnmfkcnldhhm [2015-03-26]
OPR Extension: (SaveFrom.net помощник) - C:\Users\Orendar\AppData\Roaming\Opera Software\Opera Stable\Extensions\npdpplbicnmpoigidfdjadamgfkilaak [2016-03-23]
OPR Extension: (ruTorrent communicator for Opera) - C:\Users\Orendar\AppData\Roaming\Opera Software\Opera Stable\Extensions\opdagoidgpionfblfhjhebeblnpobiod [2015-10-21]
EmptyTemp:
Reboot:

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.07.2016 01:45:57

RP55,
поменяй ссылку на инструкцию в своем сообщении
http://forum.esetnod32.ru/messages/forum6/topic13386/message93874/#message93874
на эту
http://forum.esetnod32.ru/forum9/topic2798/

[ Как создать образ автозапуска? ]

Перейти

Вирус скрыт под Svchost.exe

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 10.07.2016 16:16:34

Код
;uVS v3.87.4 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE delref HTTP://ORENDAR.COM/ delref HTTP://WWW.SG-TEAM.NET ;------------------------autoscript--------------------------- chklst delvir ; Java(TM) 6 Update 20 exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216020FF} /quiet deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
delref HTTP://ORENDAR.COM/
delref HTTP://WWW.SG-TEAM.NET
;------------------------autoscript---------------------------

chklst
delvir

; Java(TM) 6 Update 20
exec  MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216020FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

Изменено: santy - 10.07.2016 16:17:41

[ Как создать образ автозапуска? ]

Перейти