Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 637 638 639 640 641 642 643 644 645 646 647 ... 1784 След.
[ Закрыто] Win32/Glupteba.O
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 29.01.2015 16:23:44
+
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.3 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE

hide %Sys32%\CPLDAPU\BLUESCREENVIEW.EXE
zoo %SystemDrive%\PROGRAM FILES\GORN\GORN\CRYPT.EXE
zoo %SystemDrive%\PROGRAM FILES\GORN\GORN\DNS_BABLO.VBS
;------------------------autoscript---------------------------

chklst
delvir

setdns Подключение по локальной сети 2\4\{7C88CC64-CE53-4F69-87DE-2E6726CB5AB0}\8.8.8.8,8.8.4.4
delref {DBC80044-A445-435B-BC74-9C25C1C588A9}\[CLSID]

delref HTTP:\\WWW.JAHSHAKA.ORG

regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

dnsreset
CZOO
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Win32/Glupteba.O
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 29.01.2015 16:21:25
эта программа вам известна?
Цитата
C:\Program Files\Gorn\Gorn\
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] нужна помощ!, в браузере открываются новые вкладки с рекламой
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 29.01.2015 13:58:00
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
delall %SystemDrive%\USERS\ALIENWARE\APPDATA\ROAMING\LPPKXS.EXE
delall %SystemDrive%\USERS\ALIENWARE\APPDATA\LOCAL\YANDEX\UPDATER2\BROWSERMANAGERSHOW.EXE
;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
[ Как создать образ автозапуска? ]
Перейти
зашифровано в CTBlocker
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 29.01.2015 13:52:02
дешифратор, если есть (или будет) на то добрая воля человека, заплатившего 3 бтк (целое состояние!) можно выложить на обменник, например http://rghost.ru и дать ссылку на него для всех желающих погрызть гранит криптологии.
можно так же добавить пару файлов, из тех что были зашифрованы, чтобы проверить работу данного дешифратора.
[ Как создать образ автозапуска? ]
Перейти
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 29.01.2015 13:45:32
Encoder.102 /DrWeb/Filecoder.NAM
зашифрованный файл имеет расширение *[email protected]_116
пример зашифрованного файла:
[email protected]_116

исполняемый файл, скорее всего доставляется в почту во вложении по всем правилам соц_инженерии:
ПОСТАНОВЛЕНИЕ СУДА.EXE.
Цитата
Полное имя                  C:\DOCUMENTS AND SETTINGS\user\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ПОСТАНОВЛЕНИЕ СУДА.EXE
Имя файла                   ПОСТАНОВЛЕНИЕ СУДА.EXE
Тек. статус                 ВИРУС в автозапуске [Запускался неявно или вручную]
                           
Статус                      ВИРУС
Сигнатура                   Encoder.102 [глубина совпадения 64(64), необх. минимум 8, максимум 64]                                                    
Доп. информация             на момент обновления списка
SHA1                        240229E216F70C4E3CC29B3BF6C79F36884DCA55
MD5                         8049FEA2BE222D4A44629B25F78751F5                            
Ссылки на объект            
Ссылка                      C:\DOCUMENTS AND SETTINGS\user\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА
процесс шифрование завершается заставкой:

Изменено: santy - 29.01.2015 13:46:11
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] нужна помощ!, в браузере открываются новые вкладки с рекламой
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 29.01.2015 10:48:14
пробуйте из безопасного режима создать образ автозапуска.
(без проверки цифровых подписей)

если так же будет вылетать с ошибкой,
выполните проверку в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
[ Как создать образ автозапуска? ]
Перейти
[email protected], файлы зашифрованы [email protected]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 29.01.2015 08:32:04
1. на вашем компе шифратор прекратил свою работу, поэтому риска нового шифрования нет.
2. если есть общие папки, которые доступны для записи другим пользователям в вашей сети, тогда возможно шифрование повторится, в случае если другой комп будет заражен подобным шифровальщиком.
рекомендации будут такие:
(можете переслать этот текст вашим коллегам)

Уважаемые руководители и сотрудники!

По прежнему (и далее, скорее всего будет еще более) актуальна проблема заражения локальных и сетевых ресурсов шифраторами.

принцип работы шифраторов:
приходит письмо(составленное по всем правилам соц_инженерии), на первый взгляд будто действительно адресовано Вам и от доверенного (или известного) адресата.
например с таким содержанием:
ознакомьтесь с архивом документации по судебному иску в качестве свидетеля по делу.... и т.п.


сообщение содержит архивное вложение, как правило(rar или zip)
например: Архивная документация  о привлечении  в качестве свидетеля по гражданскому делу №233669.zip

в архиве может быть документ с длинным наименованием и видимой иконкой (соответственно doc, pdf, xls и др),

на самом деле, в архиве может быть вложен исполняемый файл с расширением: .bat, .cmd,.exe, .com, .js, .hta, .pif, .scr

иногда в письме может быть добавлена ссылка на файл, который необходимо выкачать из сети.
---------------
если уж вы решили все таки запустить (неизвестный вам) исполняемый файл из архива, прежде всего
проверьте его антивирусом, но лучше всего выполнить комплексную проверку на http://virustotal.com
---------------

при открытии этого документа из вложенного архива, (или из архива, скаченного по ссылке из сети)
на самом деле запускается исполняемая программа (с указанным расширением), которая выкачивает из сети необходимые файлы
и запускает процесс шифрования ваших документов.
при этом шифруются документы (doc, docx, xls, xlsx, pdf, jpg, и др.) на вашем персональном компьютере, а так же на всех сетевых и съемных дисках,
которые будут подключены в данный момент.
------------

чтобы этот процесс не случился на вашем компьютере, обратите внимание на следующие моменты:

1. на вашем компьютере обязательно должен быть установлен антивирус.
(если не установлен антивирус - сообщите в вашу техническую поддержку или администратору.)

2. антивирус должен быть в актуальном состоянии, с регулярным обновлением антивирусных баз;

3. вложенные документы, которые приходят в почту (pdf, doc, xls, jpg) не могут быть малого размера, даже в архиве.
4. документы не могут иметь расширение .bat, .cmd,.exe, .com, .js, .hta, .pif, .scr
5. не пересылайте это сообщение вашим коллегам с просьбой посмотреть что там за вложение, которое не открывается на вашем компьютере.
перешлите данное сообщение для проверки в администратору

6. не забываем классику. (песенку персонажей Алисы и Базилио из "Приключения Буратино";)



7. документы зашифрованные (подобными методами) скорее всего не получится расшифровать. (или придется ждать недели и месяцы, пока будет найдено решение по расшифровке).
Если не будет копий ваших документов, вы можете потерять результаты вашей работы в течение нескольких лет.
А значит регулярно выполняйте создание копий ваших документов и храните их во возможности отдельно от вашего компьютера.

8. если вы обнаружили, что ваши файлы не открываются и имеют странное и длинное расширение, то самое опасное уже произошло, и процесс шифрования запущен.
  в этом случае, необходимо сразу выключить компьютер, сообщить об этом (инциденте) администраторам. и ждать проверки вашей системы.
Изменено: santy - 29.01.2015 09:53:24
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] нужна помощ!, в браузере открываются новые вкладки с рекламой
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 29.01.2015 05:50:25
добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Атака путем подделки записей кэша DNS, атака путем подделки записей кэша DNS
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 29.01.2015 05:49:07
в АдвКлинере, после завершения сканирования, в секции [b]Папки[/b] снимите галки с записей mail.ru, yandex

остальное удалите по кнопке [b]Очистить[/b]

далее,

если проблема не решится, добавьте логи расширений браузеров
http://forum.esetnod32.ru/forum9/topic10570/
[ Как создать образ автозапуска? ]
Перейти
[email protected], файлы зашифрованы [email protected]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 29.01.2015 05:47:20
да, заставку надо еще удалить, чтобы не пугала, и не садилась на рабочий стол.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.3 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\FOXMAIL.BMP
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\FOXMAIL.BMP
CZOO
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
------------
все архивы ZOO которые созданы в программе uVS отправьте в почту, сюда
[email protected]
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 637 638 639 640 641 642 643 644 645 646 647 ... 1784 След.