santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] Как обезопасить себя от вирусы шифровальщика?, как защититься от вирусы шифровальщика

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 02.03.2015 18:07:55

1. включить защиту дисков, зарезервируйте 5-10% от дискового пространства для системного тома, и для диска, на котором храните документы.
это работает в Vista и выше
2. пробуйте настроить локальные политики по ограниченному запуску программ. Например чтобы в %temp% юзера не запускались нежелательные испольняемые файлы.

3. конечно установленный антивирус с постоянно обновляемыми базами.

4. внимательно работаем с электронной почтой
http://chklst.ru/forum/discussion/1474/shifrovirusy-shumnoy-tolpoyu-

5. если уже попали на шифратора, пробуйте восстановить доки из теневой копии, по крайней мере для тех шифраторов по которым нет расшифровки: ctb locker, xtbl, vault, creakl
восстановление из теневой копии - единственный способ. (+ еще конечно основной вариант - это архивные копии документов)

Изменено: santy - 02.03.2015 18:09:46

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 02.03.2015 17:58:32

если необходима помочь в восстановлении документов из теневой копии, отправьте в почту [email protected] id и пароль от тимвьювера.

Изменено: santy - 30.06.2017 05:56:18

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 02.03.2015 17:32:56

1. по очистке системы;

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

Код
;uVS v3.85.7 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\USERS\1\APPDATA\ROAMING\A8F5B9E6\BIN.EXE delall %SystemDrive%\USERS\1\APPDATA\ROAMING\A8F5B9E6\BIN.EXE restart czoo

Код

;uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\1\APPDATA\ROAMING\A8F5B9E6\BIN.EXE
delall %SystemDrive%\USERS\1\APPDATA\ROAMING\A8F5B9E6\BIN.EXE
restart
czoo

[/code]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected]
------------
2. по расшифровке документов:
расшифровки для данного шифратора (xtbl) на сегодня нет.

3. по восстановлению документов.
пробуем восстановить документы из чистой теневой копии.
если необходима помочь, отправьте в почту [email protected] id и пароль от тимвьювера.

Изменено: santy - 30.06.2017 05:56:18

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .vault, bat encoder /CryptVault

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 02.03.2015 16:05:05

1. когда произошло шифрование?
2. если есть письмо с которого было шифрование, то опубликуйте письмо здесь, возможно это поможет другим избежать ошибки с открытием вредоносного письма.
3. добавьте образ автозапуска для очистки системы (если есть заражение)
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Куча баннеров и непонятных программ, не возможно работать в интернете

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 02.03.2015 14:25:01

можно еще проверить расширения браузеров, может что-то добавилось из левых расширений, поскольку система была обильно загружена вирусняком, так что даже пришлось скрипт записать в отдельный файл.

[ Как создать образ автозапуска? ]

Перейти

Проблема с установкой ERA 6

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 02.03.2015 13:38:34

оказывается, вышла 26 февраля русская версия ESET Endpoint 6, ERA 6, а также шестая версия ESET File Security. что не может не радовать.
пока разобрался более-менее с лицензированием, что и зачем: конвертация старого ключа в новый, управление лицензиями, а так же с администрированием под учеткой администратора безопасности.
чуть позже буду разбираться с ERA 6

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Куча баннеров и непонятных программ, не возможно работать в интернете

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 02.03.2015 12:24:34

удалите все найденное в малваребайт,

далее,

сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/
----

в АдвКлинере, после завершения сканирования, в секции [b]Папки[/b] снимите галки с записей mail.ru, yandex

остальное удалите по кнопке [b]Очистить[/b]
-----------
пишем результат

Изменено: santy - 02.03.2015 12:25:35

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Куча баннеров и непонятных программ, не возможно работать в интернете

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 02.03.2015 09:13:04

ок, ждем логи мбам

[ Как создать образ автозапуска? ]

Перейти

Вирус зашифровал файлы

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.03.2015 16:29:11

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.7 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\PROGRAM FILES\XTAB\PROTECTSERVICE.EXE addsgn 1A2E749A5583008CF42B5194207B53054F8694F65ABB1F90DFC2C5BCD3B3954CA84ACFDCFDDEE059242F4314331E4A0AF4AAE0F13026B063A40AB457CB2DD1FA 8 Adware.Mutabaha.107 [DrWeb] zoo %SystemDrive%\PROGRAMDATA\WINDOWSMANGERPROTECT\PROTECTWINDOWSMANAGER.EXE addsgn 1A2C9D9A5583338CF42BFB3A88434711AEC7F4A00C286A75000AB0B1699B7D39022403BC10D0543D320BC193C3D63DE8F80D9D76DDCB5BC5A602B4AA317335B5 8 Adware.Mutabaha.123 [DrWeb] delall %SystemDrive%\PROGRAM FILES\GLOBALUPDATE\UPDATE\GOOGLEUPDATE.EXE zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\INOFVH.EXE addsgn 1A8B8A9A5583338CF42BFB3A889E99702D0F0A8E8012858685C3FE8C2CD199DDDD17C3DC0EBD19B72B800F9BF648143928540424BD59EC2C2DFC54AA317325CB 8 inofvn delall %SystemDrive%\PROGRAM FILES\MYPC BACKUP\SIGNUP WIZARD.EXE delall %SystemDrive%\PROGRAM FILES\REIMAGE\REIMAGE PROTECTOR\REIGUARD.EXE delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\NCEUOHJ.EXE ;------------------------autoscript--------------------------- sreg chklst delvir delref %Sys32%\DRIVERS\{BAB3007B-75F3-4020-8EEE-4C923FDCB91B}GW.SYS del %Sys32%\DRIVERS\{BAB3007B-75F3-4020-8EEE-4C923FDCB91B}GW.SYS delref HTTP:\\WWW.OMNIBOXES.COM\?TYPE=SC&TS=1425152977&FROM=OBW&UID=ST9250315AS_5VCFZPELXXXX5VCFZPEL deltmp delnfr CZOO areg ;-------------------------------------------------------------

Код

;uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES\XTAB\PROTECTSERVICE.EXE
addsgn 1A2E749A5583008CF42B5194207B53054F8694F65ABB1F90DFC2C5BCD3B3954CA84ACFDCFDDEE059242F4314331E4A0AF4AAE0F13026B063A40AB457CB2DD1FA 8 Adware.Mutabaha.107 [DrWeb]

zoo %SystemDrive%\PROGRAMDATA\WINDOWSMANGERPROTECT\PROTECTWINDOWSMANAGER.EXE
addsgn 1A2C9D9A5583338CF42BFB3A88434711AEC7F4A00C286A75000AB0B1699B7D39022403BC10D0543D320BC193C3D63DE8F80D9D76DDCB5BC5A602B4AA317335B5 8 Adware.Mutabaha.123 [DrWeb]

delall %SystemDrive%\PROGRAM FILES\GLOBALUPDATE\UPDATE\GOOGLEUPDATE.EXE
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\INOFVH.EXE
addsgn 1A8B8A9A5583338CF42BFB3A889E99702D0F0A8E8012858685C3FE8C2CD199DDDD17C3DC0EBD19B72B800F9BF648143928540424BD59EC2C2DFC54AA317325CB 8 inofvn

delall %SystemDrive%\PROGRAM FILES\MYPC BACKUP\SIGNUP WIZARD.EXE
delall %SystemDrive%\PROGRAM FILES\REIMAGE\REIMAGE PROTECTOR\REIGUARD.EXE
delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\NCEUOHJ.EXE
;------------------------autoscript---------------------------

sreg

chklst
delvir

delref %Sys32%\DRIVERS\{BAB3007B-75F3-4020-8EEE-4C923FDCB91B}GW.SYS
del %Sys32%\DRIVERS\{BAB3007B-75F3-4020-8EEE-4C923FDCB91B}GW.SYS

delref HTTP:\\WWW.OMNIBOXES.COM\?TYPE=SC&TS=1425152977&FROM=OBW&UID=ST9250315AS_5VCFZPELXXXX5VCFZPEL
deltmp
delnfr
CZOO
areg

;-------------------------------------------------------------

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected]
------------
+
вопрос: какое расширение стало у зашифрованных файлов?

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Куча баннеров и непонятных программ, не возможно работать в интернете

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 28.02.2015 14:03:16

стартуем uVS под текущим пользователем. (если текущий с правами админа)
скачайте файл скрипта отсюда
http://rghost.ru/private/6k4CrmdPg/d78bfba3764668d13b9ae05875178588
выполните в uVS скрипт из файла.
после завершения работы скрипта и автоперезагрузки системы

далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

Изменено: santy - 28.02.2015 14:03:40

[ Как создать образ автозапуска? ]

Перейти