Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 2 3 4 5 6 7 8 9 10 11 ... 1784 След.
файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007, Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 19.12.2023 14:27:49
[QUOTE]Вячеслав Абубакиров написал:
Здравствуйте много лет назад жена словила шифровальщика и все фото и видео  зашифровались. Подскажите пожалуйста есть ли возможность хоть как то расшифровать их[/QUOTE]
Добрый день,
расшифровка ваших файлов возможна. Напишите, пожалуйста, в почту, [email protected]
Перейти
Уведомления о заблокированном URL-адресе.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 15.11.2023 14:40:49
Если подключение через роутер, проверьте пожалуйста, не изменились ли настройки роутера, в частности DNS.
Перейти
Уведомления о заблокированном URL-адресе.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 15.11.2023 09:07:19
да, судя по логам ELC:
[QUOTE]14.11.2023 15:51:54 http[:]//wpad.bi.everbooks.online/wpad.dat Blocked by internal IP blacklist C:\Windows\System32\svchost.exe NT AUTHORITY\LOCAL SERVICE 104.198.2.251 0000000000000000000000000000000000000000
14.11.2023 15:41:53 http[:]//wpad.bi.everbooks.online/wpad.dat Blocked by internal IP blacklist C:\Windows\System32\svchost.exe NT AUTHORITY\LOCAL SERVICE 104.198.2.251 0000000000000000000000000000000000000000
14.11.2023 15:40:52 http[:]//wpad.bi.everbooks.online/wpad.dat Blocked by internal IP blacklist C:\Windows\System32\svchost.exe NT AUTHORITY\LOCAL SERVICE 104.198.2.251 0000000000000000000000000000000000000000
14.11.2023 15:40:32 http[:]//wpad.bi.everbooks.online/wpad.dat Blocked by internal IP blacklist C:\Windows\System32\svchost.exe NT AUTHORITY\LOCAL SERVICE 104.198.2.251 0000000000000000000000000000000000000000
14.11.2023 15:32:49 http[:]//wpad.bi.everbooks.online/wpad.dat Blocked by internal IP blacklist C:\Windows\System32\svchost.exe NT AUTHORITY\LOCAL SERVICE 104.198.2.251 0000000000000000000000000000000000000000 [/QUOTE]

Уведомление по детекту происходит при загруженном браузере? (Каком?), или независимо от запущенного браузера?
Перейти
Уведомления о заблокированном URL-адресе.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 14.11.2023 02:42:17
Добавьте так же журнал ELC
https://forum.esetnod32.ru/forum9/topic10671/
Перейти
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 11.11.2023 06:15:32
[QUOTE]RP55 RP55 написал:
Это как: Кто кинул кирпич ? Кирпич кинул приличный человек... А, тогда всё в порядке  ;)[/QUOTE]
Да, примерно так :)
Перейти
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 09.11.2023 14:52:30
[QUOTE]RP55 RP55 написал:
Task: {28A5D6E2-3727-427F-BC4E-197B719C56E1} - System32\Tasks\idsTYKIuEeScJ2 => C:\WINDOWS\system32\forfiles.exe [52224 2019-12-07] (Microsoft Windows -> Microsoft Corporation) -> /p C:\WINDOWS\system32 /m wscript.exe /c "cmd /C @FNAME ^"C:\ProgramData\KpUghsKSmazBhIVB\xKdWkBL.wsf^""[/QUOTE]

HJ можно списать после такого детекта:
O22 - Tasks: idsTYKIuEeScJ2 - C:\WINDOWS\system32\forfiles.exe /p C:\WINDOWS\system32 /m wscript.exe /c "cmd /C @FNAME ^"C:\ProgramData\KpUghsKSmazBhIVB\xKdWkBL.wsf^"" [B](sign: 'Microsoft')[/B]
Но без образа все это скучно смотреть.
Перейти
файлы зашифрованы с расширением *.NO_MORE_RANSOM, * .crypted000007, Filecoder.ED / Encoder.858/ Ransom.Shade; r/n: readme*.txt
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 08.11.2023 09:29:09
[QUOTE]Дмитрий Гальцев написал:
Можете ли помочь с расшифровкой? Пример зашифрованного файла прикладываю в архиве.Буду очень очень благодарен за помощь, фото и видео очень ценны [/QUOTE]
Да, расшифровка файлов возможна. Напишите в почту [email protected]
Перейти
Вирус на просмотр видео в youtube, Помогите с вирусом
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 04.11.2023 10:23:33
[QUOTE]Валентин Поляков написал:
Здравствуйте! Не могли бы вы немного подробнее описать, как проявляет себя вирус?[/QUOTE]

[QUOTE]Полное имя C:\USERS\ASUS\APPDATA\LOCAL\BROWSERUPDPHENIX\BROWSERUPDPHENIX.EXE
Имя файла                   BROWSERUPDPHENIX.EXE
Тек. статус                 ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Обнаруженные сигнатуры      
Сигнатура                   [B]Win32/Adware.Toolbar.Webalta.IG[/B] (delall) [глубина совпадения 64(64), необх. минимум 8, максимум 64] 2023-04-05
                           
www.virustotal.com          2023-09-12 12:45 [2019-12-01]
ESET-NOD32                  a variant of Win32/Adware.Toolbar.Webalta.IG
Kaspersky                   not-a-virus:HEUR:AdWare.Win32.FakeUpd.gen
BitDefender                 Gen:Variant.Razy.575883
Avast                       Win32:Adware-gen [Adw]
Emsisoft                    Gen:Variant.Razy.575883 (B)
DrWeb                       Adware.Toolbar.912
Microsoft                   BrowserModifier:Win32/Webalta
                           
Удовлетворяет критериям    
STARTPAGE.BLACK.LIST        ( ~ WEBALTA)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске [/QUOTE]

+[QUOTE]Полное имя C:\USERS\ASUS\APPDATA\LOCAL\PROTECTBROWSER\PROTECTBROWSER.EXE
Имя файла                   PROTECTBROWSER.EXE
Тек. статус                 ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Обнаруженные сигнатуры      
Сигнатура                   JS.Siggen5.45720 [DrWeb] (delall) [глубина совпадения 64(64), необх. минимум 8, максимум 64] 2023-04-15
                           
www.virustotal.com          2023-10-09 04:43 [2023-03-30]
DrWeb                       JS.Siggen5.45720
K7AntiVirus                 Riskware ( 00584baa1 )
Symantec                    Trojan Horse
Kaspersky                   HEUR:Trojan.Win32.Agentb.gen
BitDefender                 Gen:Variant.Zusy.457792
Avast                       Win32:TrojanX-gen [Trj]
Emsisoft                    Gen:Variant.Zusy.457792 (B)
Microsoft                   Trojan:Win32/Malgent!MSR
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
[/QUOTE]

аналогичная тема чуть ниже в теме заражений.
https://forum.esetnod32.ru/forum6/topic17220/

[QUOTE]Добрый вечер!
Столкнулась с проблемой, в истории просмотров Ютуба появляются видео, которые я не смотрела.
Пробовала уже многое: 2 раза меняла пароль, чистила весь кэш, скидывала до дефолта весь гугл хром, удаляла и ставила заново, но зараза не отлипает.
Потом заметила также, что зараза липнет ко всем работающим браузерам.[/QUOTE]
Перейти
Вирус Майнер JOHN, Удаление вируса
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 04.11.2023 10:14:19
[QUOTE]сергей кратов написал:
Просьба помочь составить fixlist для добивания майнера, проверку делал через adb и frst, антивирусами удалял, ничего не помогает так как сам немогу добить[/QUOTE]
Майнер  в системе был,
[QUOTE]Task: {B35C244E-7043-41FD-8485-874F68CDADA0} - System32\Tasks\Microsoft\Windows\MUI\WindowsUpdate => C:\Windows\SysWOW64\CompatTelRunner.exe --algo rx/0 --coin monero --url stratum+tcp://xmr-eu1.nanopool.org:14444 --user 49v2HfcBmdDdUJuN9YcsGycXenvUCDoVD7L9EiCsoaBN1sjkvQeD7eN7AeRyJtLs54E2roykbDVEUbq26SVYGZAySzhsGvS.AAA --pass x --threads 2 (Нет файла)
[/QUOTE]
но для проверки активности вредоносных программ, а так же анализа цепочки их запуска нужен образ автозапуска.

[QUOTE]Создайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/

( _новые логи FRST будут нужны потом )
+уточните, какие проблемы остались в системе после чистки.
[/QUOTE]
+1
Перейти
зашифровано с расширением *.phoenix; .phobos; Caley; .Banta; .calum; .dever; .dewar; .lks; .STEEL; .Lizard; .decrypt; . Elbie; .unique; .SHTORM; .eking, Filecoder.Phobos
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 21.10.2023 05:17:02
По времени выходит шифрование было днем
2023-10-19 14:48 - 2023-10-19 14:48 - 000005462 _____ C:\Users\User\Desktop\info.hta
2023-10-19 14:48 - 2023-10-19 14:48 - 000000187 _____ C:\Users\User\Desktop\info.txt

Сэмплы шифровальщика скорее всего зачищены антивирусными сканерами.

С расшифровкой данных, к сожалению, не сможем помочь.
На текущий момент расшифровки в вирлабе нет. Сохраните важные зашифрованные документы на отдельный носитель,
возможно, в будущем, расшифровка станет возможной.
Перейти
Пред. 1 2 3 4 5 6 7 8 9 10 11 ... 1784 След.