Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 524 525 526 527 528 529 530 531 532 533 534 ... 1784 След.
Зашифровано с расширением BLOCK; idz0861; id70915; du1732; id6532; EnCiPhErEd; .stoppirates; ava; o11fFQ; yakmbsd; 5Hf1Ct; .DrWeb; .qwerty, Filecoder.Q / Xorist
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.08.2015 04:38:12
добавьте на форум несколько зашифрованных файлов в архиве по ссылке
[ Как создать образ автозапуска? ]
Перейти
Не лечится троян
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 31.07.2015 18:02:44
Денис,
не надо пока ничего усваивать, действуйте строго по инструкции, если не все понятно с листа.
нам сейчас важно решить вашу проблему с корков если она имеется,
а просвещением займемся чуть позже, если у вас есть интерес к работе с увс.
в инструкции все по шагам расписано как и что делать.
лечение у нас интерактивное, пользователя мы не оставляем без внимания до тех пор пока проблема не решена, или пока не убедимся в невозможности решения, или пока пользователь сам не потеряет интерес к исцелению системы и не решит делать все по своему.
-------
вот собственно и все предисловие.
пора переходить с вашей стороны к делу.
Изменено: santy - 31.07.2015 18:06:04
[ Как создать образ автозапуска? ]
Перейти
Не лечится троян
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 31.07.2015 17:42:02
в безопасный режим зайти под Администратором (или другой учетной записью с правами локального администратора) и сделать образ автозапуска
+
добавлю, что uVS анализирует профили всех учетных записей
Изменено: santy - 31.07.2015 17:43:22
[ Как создать образ автозапуска? ]
Перейти
Не лечится троян
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 31.07.2015 17:30:27
пробуйте создать образ автозапуска из безопасного режима системы
[ Как создать образ автозапуска? ]
Перейти
Не лечится троян
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 31.07.2015 17:09:54
добавьте образ автозапуска проблемной системы
http://forum.esetnod32.ru/forum9/topic2687/
[ Как создать образ автозапуска? ]
Перейти
Предложение по улучшению форума
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 31.07.2015 14:27:06
Цитата
Ego Dekker написал:
Не хватает кнопки «Жалоба». Нам тут устраивают спамотеррор.
+1
[ Как создать образ автозапуска? ]
Перейти
Тестируем HIPS
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 31.07.2015 08:07:44
на 6.2 при отключенной постоянной защите
и при отключенном расширенном модуле сканирования в памяти
сработала очистка в оперативной памяти Крякла, т.е. до шифрования файлов не дошло.

Цитата
Время;Модуль сканирования;Тип объекта;Oбъeкт;Bиpуc;Дeйcтвиe;Пoльзoвaтeль;Информация
31.07.2015 11:40:04;Модуль сканирования файлов, исполняемых при запуске системы;файл;Оперативная память = C:\Documents and Settings\safety\Local Settings\Temp\Реквизиты для выставления счёта для бухгалтерии.pdf.exe;модифицированный Win32/Filecoder.EQ троянская программа;очищен удалением - изолирован;;
31.07.2015 11:40:01;Модуль сканирования файлов, исполняемых при запуске системы;файл;C:\Program Files\Реквизиты для выставления счёта для бухгалтерии.pdf.exe;Win32/Filecoder.EQ троянская программа;очищен удалением - изолирован;;

а вот VAULT (js) запустился, и благополучно обошел проверку в памяти, и зашифровал документы, за исключением тех папок, которые были защищены правилом в HIPS.
(c:\doc)
(надо проверить еще vault в режиме включения расширенного модуля сканирования памяти -обойдет или нет)


Цитата
Время;Приложение;Операция;Объект;Действие;Правило;Дополнительная информация
31.07.2015 11:47:43;C:\WINDOWS\system32\cmd.exe;Получить доступ к файлу;C:\doc\Правила поведения вахтеров.jpg;определенный доступ заблокирован;блокировать доступ к папке документов;Удалить файл
31.07.2015 11:47:43;C:\Documents and Settings\safety\Local Settings\Temp\svchost.exe;Получить доступ к файлу;C:\doc\Правила поведения вахтеров.jpg.gpg;определенный доступ заблокирован;блокировать доступ к папке документов;Выполнить запись в файл
31.07.2015 11:47:43;C:\WINDOWS\system32\cmd.exe;Получить доступ к файлу;C:\doc\Cовещание от 26.09.2014г.rtf;определенный доступ заблокирован;блокировать доступ к папке документов;Удалить файл
31.07.2015 11:47:43;C:\Documents and Settings\safety\Local Settings\Temp\svchost.exe;Получить доступ к файлу;C:\doc\Cовещание от 26.09.2014г.rtf.gpg;определенный доступ заблокирован;блокировать доступ к папке документов;Выполнить запись в файл
31.07.2015 11:47:43;C:\WINDOWS\system32\cmd.exe;Получить доступ к файлу;C:\doc\акт.pdf;определенный доступ заблокирован;блокировать доступ к папке документов;Удалить файл
31.07.2015 11:47:43;C:\Documents and Settings\safety\Local Settings\Temp\svchost.exe;Получить доступ к файлу;C:\doc\акт.pdf.gpg;определенный доступ заблокирован;блокировать доступ к папке документов;Выполнить запись в файл
+
включение в HIPS расширенного модуля сканирования памяти не помогло. ВАУЛТ все равно обошел проверку.
Изменено: santy - 31.07.2015 08:35:31
[ Как создать образ автозапуска? ]
Перейти
Тестируем HIPS
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 30.07.2015 14:02:38
о, отличная новость, сразу два корпоративных продукта обновились, завтра протестирую HIPS в новой редакции на шифраторах.
---------------
хотелось бы визуально видеть в списке правил как фаерволла там и HIPS
для входящих и исходящих соединений;
разрешающие и блокирующие правила;

в Endpoint 5 есть визуальное отличие между исходящими и входящими соединениями (иконки - стрелки)
и между действиями: разрешающими, блокирующими (красные крестики, зеленые галки)

имхо, зря это убрали разработчики в 6 версии.
Изменено: santy - 31.07.2015 06:31:36
[ Как создать образ автозапуска? ]
Перейти
Тестируем HIPS
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 30.07.2015 12:33:41
Валентин,
там действительно, скорее всего баг, потому что в поле выбора объект с тремя точками соответствует выбору каталога. и это работает при задании исключений.
по идее, неплохо было бы не только в диалоге выбирать файл или каталоги в этом поле, но и просто вносить через копи_паст (или ручной ввод) пути на каталог или отдельный файл.
--------
вот в секции "задать исключения из проверки" через три точки можно выбрать или файл или каталог,
+ можно сделать копи_паст имени файла или каталога. (или вручную его набрать с клавиатуры)
--------
судя по настройкам - расширенный модуль сканирования оперативной памяти является частью HIPS.
Изменено: santy - 30.07.2015 12:37:53
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Powered by SkinApp, Не могу от нее избавиться
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 30.07.2015 11:41:30
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.85.26 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
addsgn 1AF4D09A5583338CF42B627DA804DEC9E946ABA0028E3B680E8FE1A8DBAA5540A8D648863D93A6B75D88BF67499421F97DDFE7C87076916F2D76D72834A2CB64 8 skinapp

zoo %SystemDrive%\PROGRAM FILES\SKINAPP\SKINAPP.EXE
;------------------------autoscript---------------------------

sreg

chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES\SKINAPP

delref %SystemRoot%\SKINAPP.SYS
del %SystemRoot%\SKINAPP.SYS

deltmp
delnfr
areg

;-------------------------------------------------------------

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 524 525 526 527 528 529 530 531 532 533 534 ... 1784 След.