Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 673 674 675 676 677 678 679 680 681 682 683 ... 1784 След.
Защита от вирусных шифровщиков с помощью HIPS
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 03.10.2014 05:33:38
будут переименовывать sdelete всякий раз.
Изменено: santy - 03.10.2014 07:19:55
[ Как создать образ автозапуска? ]
Перейти
Защита от вирусных шифровщиков с помощью HIPS
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 02.10.2014 20:17:54
в текущем варианте бат энкодера (от 01.10.2014) используется данный ключ для шифрования secring.gpg
keybtc (keybtc) <[email protected]>
0xAAB62875
отпечаток: EC80 5D63 134E B513 86FB B2DB 852C 16FC AAB6 2875
подключ: 0xA3CE7DBE

Цитата
:public key packet:
version 4, algo 1, created 1407221140, expires 0
pkey[0]: [2048 bits]
pkey[1]: [17 bits]
keyid: 852C16FCAAB62875
:user ID packet: "keybtc (keybtc) <[email protected]>"
:signature packet: algo 1, keyid 852C16FCAAB62875
version 4, created 1407221140, md5len 0, sigclass 0x13
digest algo 2, begin of digest 97 2e
hashed subpkt 2 len 4 (sig created 2014-08-05)
hashed subpkt 27 len 1 (key flags: 03)
hashed subpkt 11 len 5 (pref-sym-algos: 9 8 7 3 2)
hashed subpkt 21 len 5 (pref-hash-algos: 8 2 9 10 11)
hashed subpkt 22 len 3 (pref-zip-algos: 2 3 1)
hashed subpkt 30 len 1 (features: 01)
hashed subpkt 23 len 1 (key server preferences: 80)
subpkt 16 len 8 (issuer key ID 852C16FCAAB62875)
data: [2048 bits]
:public sub key packet:
version 4, algo 1, created 1407221140, expires 0
pkey[0]: [2048 bits]
pkey[1]: [17 bits]
keyid: F2075C4EA3CE7DBE
:signature packet: algo 1, keyid 852C16FCAAB62875
version 4, created 1407221140, md5len 0, sigclass 0x18
digest algo 2, begin of digest 0a 77
hashed subpkt 2 len 4 (sig created 2014-08-05)
hashed subpkt 27 len 1 (key flags: 0C)
subpkt 16 len 8 (issuer key ID 852C16FCAAB62875)
data: [2045 bits]

File: C:\Documents and Settings\safety\Local Settings\Temp\impubkey.keybtc

правило защиты %temp%\pubring.gpg работает.

http://chklst.ru/forum/discussion/532/bat-encoder
[ Как создать образ автозапуска? ]
Перейти
Защита от вирусных шифровщиков с помощью HIPS
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 02.10.2014 16:14:13
1.
Цитата
На Касперском пострадавший выложил шифровальщика, куда скинуть?
только в личные сообщения.

2.
Цитата
C:\Windows\System32\wscript.exe
это приложение блокировать нельзя, поскольку оно будет обрабатывать и легальные js
[ Как создать образ автозапуска? ]
Перейти
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 02.10.2014 09:56:49
Цитата
Полное имя HTTP://ADVERTTRAFF.ORG
Имя файла HTTP://ADVERTTRAFF.ORG
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Удовлетворяет критериям
CURRENTVERSION.RUN (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1)
RUN.CMD.HTTP (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1) AND ( ~ CMD.EXE)(1)

Сохраненная информация на момент создания образа
Статус в автозапуске

Ссылки на объект
Ссылка HKEY_USERS\S-1-5-21-3070656606-3463346820-2616747403-500\Software\Microsoft\Windows\CurrentVersion\Run\CMD
CMD cmd.exe /c start http://adverttraff.org && exit
http://forum.esetnod32.ru/forum6/topic11249/
Изменено: santy - 03.10.2014 07:30:39
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Не по теме.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.10.2014 16:46:43
да, его удалите
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] vbs/agent.nkb, Вирус
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.10.2014 16:16:31
удалите теперь Комбофикс. этой утилитой
http://oldtimer.geekstogo.com/OTC.exe

пишем результат.

если проблема не решится, деинсталлируйте вместе с профилем проблемные браузеры, и заново установите актуальные их версии.
Изменено: santy - 01.10.2014 16:16:43
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Не по теме.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.10.2014 16:13:28
а чье сообщение выходит: Касперского или малваребайт?
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Проблема с adverttraff.org.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.10.2014 16:12:42
добавьте орбаз автозапуска
http://forum.esetnod32.ru/forum9/topic2687/
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Не по теме.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.10.2014 14:25:12
пусть деинсталлирует его совсем.
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] vbs/agent.nkb, Вирус
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.10.2014 12:15:43
Цитата
Такое уже было при попытке удалить вот эту прогу в панели управления !
да,
это просто была попытка через скрипт деинсталлировать эту программу.
по оставшейся проблеме:
сделайте проверку в Комбофикс
http://forum.esetnod32.ru/forum9/topic735/
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 673 674 675 676 677 678 679 680 681 682 683 ... 1784 След.