Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Выбрать дату в календареВыбрать дату в календаре

Вирус удалил антивирус, Вирус
по образу uVS:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v4.11.12 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
hide %SystemDrive%\USERS\USER\DESKTOP\НОВАЯ ПАПКА (4)\FRST64.EXE
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAMDATA\WINDOWSTASK\WINLOGON.EXE
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemRoot%\SYSWOW64\VID.DLL
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\WEVTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
delref %SystemRoot%\SYSWOW64\APPVETWCLIENTRES.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
delref %SystemRoot%\SYSWOW64\W32TIME.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DXGMMS2.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\WINNAT.SYS
delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBUSR.SYS
delref %SystemRoot%\SYSWOW64\BTHSERV.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SMBDIRECT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\REFS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL
delref %SystemRoot%\SYSWOW64\LSM.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {0D012ABD-CEED-11D2-9C76-00105AA73033}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {56A58823-AE99-11D5-B90B-0050DACD1F75}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {E01D1C6A-4F40-11D3-8958-00105A272DCF}\[CLSID]
delref %SystemRoot%\SYSWOW64\IE4USHOWIE.EXE
delref %SystemRoot%\SYSWOW64\IE4UINIT.EXE
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\50.0.2661.94\INSTALLER\CHRMSTP.EXE
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B}\[CLSID]
delref {B298D29A-A6ED-11DE-BA8C-A68E55D89593}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref SWPRV\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref BROWSER\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %SystemRoot%\TEMP\CPUZ145\CPUZ145_X64.SYS
delref IRENUM\[SERVICE]
delref %Sys32%\TETHERINGSETTINGHANDLER.DLL
delref %Sys32%\QUICKACTIONSPS.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.102\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE
delref %SystemRoot%\SYSWOW64\TAPILUA.DLL
delref %SystemRoot%\SYSWOW64\LOCATIONFRAMEWORK.DLL
delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL
delref %SystemRoot%\SYSWOW64\COMPPKGSRV.EXE
delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL
delref %SystemRoot%\SYSWOW64\LISTSVC.DLL
delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL
delref %SystemRoot%\SYSWOW64\WPCREFRESHTASK.DLL
delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL
delref %SystemRoot%\SYSWOW64\RMSROAMINGSECURITY.DLL
delref %SystemRoot%\SYSWOW64\SYSTEMSETTINGSBROKER.EXE
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SAPI_EXTENSIONS.DLL
delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.102\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL
delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref %SystemRoot%\SYSWOW64\WIREDNETWORKCSP.DLL
delref F:\EPIC GAMES\LAUNCHER\PORTAL\BINARIES\WIN64\EPICGAMESLAUNCHER.EXE
delref D:\PROGRAM FILES (X86)\WINDSCRIBE\WINDSCRIBE.EXE
delref F:\EPIC GAMES\LAUNCHER\PORTAL\BINARIES\WIN32\EPICGAMESLAUNCHER.EXE
delref F:\RED SOLSTICE 2 SURVIVORS\SURVIVORS.EXE
delref F:\STEAM\STEAM.EXE
delref F:\UBISOFT\UBISOFT GAME LAUNCHER\UPLAY.EXE
delref D:\PROGRAM FILES (X86)\WINDSCRIBE\WINDSCRIBELAUNCHER.EXE
delref F:\MMDOC_REVIVAL\GAME.EXE
delref F:\MMDOC_REVIVAL\UNINS000.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\THE KMPLAYER\KMPLAYER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE\ASC.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\DRIVER BOOSTER\8.1.0\DRIVERBOOSTER.EXE
delref F:\FOLLAUT ONLINS\FONLINE REQUIEM\FOCONFIG.EXE
delref F:\PATHFINDER WRATH OF THE RIGHTEOUS\WRATH.EXE
delref F:\VORTEX\VORTEX.EXE
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

+
вопрос:
статические маршруты у вас для чего используются?:
65.52.100.94,255.255.255.255,0.0.0.0,1
Вирус удалил антивирус, Вирус
нет такой возможности, логи сейчас проверю
Вирус удалил антивирус, Вирус
+
выполните скрипт в FRST

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Код
HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ

2021-11-18 07:57 - 2021-09-07 00:53 - 000000000 __SHD C:\rdp
2021-11-18 07:12 - 2021-09-07 00:53 - 000000000 __SHD C:\ProgramData\Windows
2021-11-17 23:42 - 2021-09-07 00:53 - 000000000 __SHD C:\ProgramData\WindowsTask
2021-11-17 23:42 - 2021-09-07 00:53 - 000000000 __SHD C:\ProgramData\install
2021-11-17 23:41 - 2021-09-07 00:53 - 000000000 __SHD C:\ProgramData\Setup

2021-09-07 00:53 C:\AdwCleaner
2021-09-07 00:53 C:\KVRT_Data
2021-09-07 00:53 C:\Program Files\AVAST Software
2021-09-07 00:53 C:\Program Files\AVG
2021-09-07 00:53 C:\Program Files\ByteFence
2021-09-07 00:53 C:\Program Files\Cezurity
2021-09-07 00:53 C:\Program Files\COMODO
2021-09-07 00:53 C:\Program Files\Enigma Software Group
2021-11-18 06:17 C:\Program Files\ESET
2021-09-07 00:53 C:\Program Files\Kaspersky Lab
2021-09-07 00:53 C:\Program Files\Malwarebytes
2021-09-07 00:53 C:\Program Files\SpyHunter
2021-09-07 00:53 C:\Program Files (x86)\360
2021-09-07 00:53 C:\Program Files (x86)\AVAST Software
2021-09-07 00:53 C:\Program Files (x86)\AVG
2021-09-07 00:53 C:\Program Files (x86)\Cezurity
2021-09-07 00:53 C:\Program Files (x86)\GRIZZLY Antivirus
2021-09-07 00:53 C:\Program Files (x86)\Microsoft JDX
2021-09-07 00:53 C:\Program Files (x86)\Panda Security
2021-09-07 00:53 C:\Program Files (x86)\SpyHunter
2021-09-07 00:53 C:\Windows\speechstracing
2020-12-19 10:48 C:\Program Files\Common Files\McAfee
2021-09-07 00:53 C:\ProgramData\360safe
2021-09-07 00:53 C:\ProgramData\AVAST Software
2021-09-07 00:53 C:\ProgramData\Avira
2021-09-07 00:53 C:\ProgramData\Doctor Web
2021-11-18 06:17 C:\ProgramData\ESET
2021-09-07 00:53 C:\ProgramData\grizzly
2021-09-07 00:53 C:\ProgramData\Indus
2021-09-07 00:53 C:\ProgramData\Kaspersky Lab
2021-09-07 00:53 C:\ProgramData\Kaspersky Lab Setup Files
2021-09-07 00:53 C:\ProgramData\Malwarebytes
2021-09-07 00:53 C:\ProgramData\MB3Install
2020-12-19 10:48 C:\ProgramData\McAfee
2021-09-07 00:53 C:\ProgramData\Norton

EmptyTemp:
Reboot:
Вирус удалил антивирус, Вирус
+
нужен образ автозапуска - это основная программа для анализа
Цитата
Создайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/
поговорить о uVS, Carberp, планете Земля
кстати, есть тема на forum.eset.com по эксплуатации уязвимости на серверах с MS Exchange

https://forum.eset.com/topic/30336-exchange-hafniumproxyshell-exploit-malicious-files-submitted-but-no-action-taken/
[ Закрыто] запуск майнера на сервере с MS Exchange 2016
[KB7855] Does ESET protect me from the Hafnium zero-day exploit in Microsoft Exchange?

https://support.eset.com/en/kb7855-does-eset-protect-me-from-hafnium
[ Закрыто] запуск майнера на сервере с MS Exchange 2016
по найденным файлам:
App_Web_logout.aspx.f5dba9b9.rlmjc4uk.dll
https://www.virustotal.com/gui/file/05447261bafc1159965e6fa448a28c90595c056fe620663­cecc48dcce61e18bb?nocache=1
_iisstart._aspx_
https://www.virustotal.com/gui/file/ebdd241f3aa2d900d0f6d51dc865466ba8f03fa99c202d4­36216cb770c691dff?nocache=1
_Logout._aspx_
https://www.virustotal.com/gui/file/c078a79f233f7d3784ae4d7f4a38f5ac4cd574af7c4d4ba­ffdc3e5d4a1c9cc0c?nocache=1
[ Закрыто] Не могу обновить AIMP. Ругается антивирус (ESET Internet Security)
[QUOTE]vk10952476 написал:
Я santy отписал вчера в ЛС. Или спрошу здесь. Как создать лог журнала обнаруженных угроз? Там по ссылке очень старая версия антивируса ESET.. В новой непонятно где это найти..[/QUOTE]
в новой версии
[B]Сервис - дополнительные средства - файлы журнала - обнаружения.[/B]
принцип создания лога остается прежний  - надо перейти в функции просмотра журналов, и выбрать из списка нужный журнал.
поговорить о uVS, Carberp, планете Земля
[QUOTE]RP55 RP55 написал:
[QUOTE] santy написал:
C:\WINDOWS\TEMP\RAR.EXE[/QUOTE]
Есть отчёт по Ростелекому.[/QUOTE]
более свежий отчет
https://rt-solar.ru/upload/iblock/abb/Naibolee-populyarnye-VPO.PDF

SOC (Security Operations Center) — это команда, состоящая в основном из аналитиков по безопасности, в задачи которой входит обнаружение и анализ инцидентов кибербезопасности, оперативное реагирование, предотвращение их возникновения и составление отчетности.

https://rvision.pro/blog-posts/2-1-chto-takoe-soc-perevod-gajda-mitre/
Файлы зашифрованы с расширением .Lazarus; Lazarus+; .Angus; .Skynet; .Kronos; .Void; .mifr; .onion; Spade; crypter; .RTX; .ADA; .gts; .help; .Iwan; .killer; .lama; .professor; .zxc; solo; .PAY; MrWhite; .rar; RYKCRYPT; .MRN, VoidCrypt/Filecoder.Ouroboros
судя по записке о выкупе и ключе, похоже на шифрование вариантом Void Ransomware
вот пример записки о выкупе для Void.onion

#Decrypt-me.txt
[QUOTE][B]All Your Files Has Been Encrypted[/B]

[B]You Have to Pay to Get Your Files Back[/B]

[B]1-Go to C:\ProgramData\ folder and send us prvkey*.txt.key file , * might be a number (like this : prvkey3.txt.key)

2-You can send some file little than 1mb for Decryption test to trust us But the test File should not contain valuable data

3-Payment should be with Bitcoin
[/B]

Our Email:[email protected]

in Case of no Answer:[email protected][/QUOTE]

для сравнения с вашим вариантом .ADA
#read-me.txt
[QUOTE]All Your Files Has Been Encrypted

You Have to Pay to Get Your Files Back

1-Go to C:\ProgramData\ or in Your other Drives   and send us prvkey.txt.key  file  

2-You can send some file little than 1mb for Decryption test to trust us But the test File should not contain valuable data

3-Payment should be with Bitcoin


4-Changing Windows without saving prvkey.txt.key file will cause permanete Data loss


Our Email:  [email protected]

in Case of no Answer:  [email protected]


Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.
[/QUOTE]
+
совпадают имена ключей:
prvkey.txt.key
и маски имен зашифрованных файлов
filename.ext.[[email protected]][MJ-JC5304928617](1).ADA
и
fileName.ext.[[email protected]][MJ-VB3406819725].onion

больше информации о VOIDCRYPT здесь
https://id-ransomware.blogspot.com/2020/04/void-voidcrypt-ransomware.html

ESET реагирует записку о выкупе как G:\DATA\shifr\encode_files\Void\ADA\read-me.txt;Win32/Filecoder.Ouroboros троянская программа


если есть такая возможность, сделайте образ автозапуска из зашифрованной системы+ можно добавить [URL=https://forum.esetnod32.ru/forum9/topic10671/][B]лог ESETlogCollector[/B][/URL] для получения большей информации о зашифрованной системе.