добавьте на форум несколько зашифрованных файлов в архиве по ссылке

Денис,
не надо пока ничего усваивать, действуйте строго по инструкции, если не все понятно с листа.
нам сейчас важно решить вашу проблему с корков если она имеется,
а просвещением займемся чуть позже, если у вас есть интерес к работе с увс.
в инструкции все по шагам расписано как и что делать.
лечение у нас интерактивное, пользователя мы не оставляем без внимания до тех пор пока проблема не решена, или пока не убедимся в невозможности решения, или пока пользователь сам не потеряет интерес к исцелению системы и не решит делать все по своему.
-------
вот собственно и все предисловие.
пора переходить с вашей стороны к делу.

в безопасный режим зайти под Администратором (или другой учетной записью с правами локального администратора) и сделать образ автозапуска
+
добавлю, что uVS анализирует профили всех учетных записей

пробуйте создать образ автозапуска из безопасного режима системы

добавьте образ автозапуска проблемной системы
http://forum.esetnod32.ru/forum9/topic2687/

[QUOTE]Ego Dekker написал:
Не хватает кнопки «Жалоба». Нам тут устраивают спамотеррор.[/QUOTE]
+1

на 6.2 при отключенной постоянной защите
и при отключенном расширенном модуле сканирования в памяти
сработала очистка в оперативной памяти Крякла, т.е. до шифрования файлов не дошло.

[QUOTE]Время;Модуль сканирования;Тип объекта;Oбъeкт;Bиpуc;Дeйcтвиe;Пoльзoвaтeль;Информация
31.07.2015 11:40:04;Модуль сканирования файлов, исполняемых при запуске системы;файл;Оперативная память = C:\Documents and Settings\safety\Local Settings\Temp\Реквизиты для выставления счёта для бухгалтерии.pdf.exe;модифицированный Win32/Filecoder.EQ троянская программа;очищен удалением - изолирован;;
31.07.2015 11:40:01;Модуль сканирования файлов, исполняемых при запуске системы;файл;C:\Program Files\Реквизиты для выставления счёта для бухгалтерии.pdf.exe;Win32/Filecoder.EQ троянская программа;очищен удалением - изолирован;;
[/QUOTE]

а вот VAULT (js) запустился, и благополучно обошел проверку в памяти, и зашифровал документы, за исключением тех папок, которые были защищены правилом в HIPS.
[B](c:\doc)[/B]
(надо проверить еще vault в режиме включения расширенного модуля сканирования памяти -обойдет или нет)


[QUOTE]Время;Приложение;Операция;Объект;Действие;Правило;Дополнительная информация
31.07.2015 11:47:43;C:\WINDOWS\system32\cmd.exe;Получить доступ к файлу;C:\doc\Правила поведения вахтеров.jpg;определенный доступ заблокирован;блокировать доступ к папке документов;Удалить файл
31.07.2015 11:47:43;C:\Documents and Settings\safety\Local Settings\Temp\svchost.exe;Получить доступ к файлу;C:\doc\Правила поведения вахтеров.jpg.gpg;определенный доступ заблокирован;блокировать доступ к папке документов;Выполнить запись в файл
31.07.2015 11:47:43;C:\WINDOWS\system32\cmd.exe;Получить доступ к файлу;C:\doc\Cовещание от 26.09.2014г.rtf;определенный доступ заблокирован;блокировать доступ к папке документов;Удалить файл
31.07.2015 11:47:43;C:\Documents and Settings\safety\Local Settings\Temp\svchost.exe;Получить доступ к файлу;C:\doc\Cовещание от 26.09.2014г.rtf.gpg;определенный доступ заблокирован;блокировать доступ к папке документов;Выполнить запись в файл
31.07.2015 11:47:43;C:\WINDOWS\system32\cmd.exe;Получить доступ к файлу;C:\doc\акт.pdf;определенный доступ заблокирован;блокировать доступ к папке документов;Удалить файл
31.07.2015 11:47:43;C:\Documents and Settings\safety\Local Settings\Temp\svchost.exe;Получить доступ к файлу;C:\doc\акт.pdf.gpg;определенный доступ заблокирован;блокировать доступ к папке документов;Выполнить запись в файл

[/QUOTE]
+
включение в HIPS расширенного модуля сканирования памяти не помогло. ВАУЛТ все равно обошел проверку.

о, отличная новость, сразу два корпоративных продукта обновились, завтра протестирую HIPS в новой редакции на шифраторах.
---------------
хотелось бы визуально видеть в списке правил как фаерволла там и HIPS
для входящих и исходящих соединений;
разрешающие и блокирующие правила;

в Endpoint 5 есть визуальное отличие между исходящими и входящими соединениями (иконки - стрелки)
и между действиями: разрешающими, блокирующими (красные крестики, зеленые галки)

имхо, зря это убрали разработчики в 6 версии.

Валентин,
там действительно, скорее всего баг, потому что в поле выбора объект с тремя точками соответствует выбору каталога. и это работает при задании исключений.
по идее, неплохо было бы не только в диалоге выбирать файл или каталоги в этом поле, но и просто вносить через копи_паст (или ручной ввод) пути на каталог или отдельный файл.
--------
вот в секции "задать исключения из проверки" через три точки можно выбрать или файл или каталог,
+ можно сделать копи_паст имени файла или каталога. (или вручную его набрать с клавиатуры)
--------
судя по настройкам - расширенный модуль сканирования оперативной памяти является частью HIPS.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.85.26 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
addsgn 1AF4D09A5583338CF42B627DA804DEC9E946ABA0028E3B680E8FE1A8DBAA­5540A8D648863D93A6B75D88BF67499421F97DDFE7C87076916F2D76D728­34A2CB64 8 skinapp

zoo %SystemDrive%\PROGRAM FILES\SKINAPP\SKINAPP.EXE
;------------------------autoscript---------------------------

sreg

chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES\SKINAPP

delref %SystemRoot%\SKINAPP.SYS
del %SystemRoot%\SKINAPP.SYS

deltmp
delnfr
areg

;-------------------------------------------------------------

[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/