Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 3 4 5 6 7 8 9 10 11 12 13 ... 1784 След.
[ Закрыто] Не устанавливается eset_internet_security_live_installer
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 10.10.2023 15:27:27
FRST.exe переименуйте с Clean.exe и пробуйте еще раз собрать логи FRST
+пришлите файл ZOO_дата_время* в почту [email protected] для анализа.
[ Как создать образ автозапуска? ]
Перейти
Прошу помочь и разобраться в блокировке наших доменов?
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 30.09.2023 17:15:43
Цитата
Василий Шилов написал:
Добрый день!
Прошу помочь разобраться, почему именно блокируете наши домены?
В описании мы видим только слово вредоносное ПО и не понимаем о чем именно идет речь. Конечно же я прочитал предыдущие темы, которые обсуждались на форуме. Хотелось бы услышать ответ от вас именно по нашим доменам.
Ссылки на заблокированные домены
-  rqsvqjqdje.com
-  ahzxppktgc.com  
Вы можете написать в техническую поддержку по поводу блокировки ваших доменов [email protected]
https://support.eset.com/en/kb141-submit-a-virus-website-or-potential-false-positive-sample-to-the-eset-lab#SubmitWebsite
[ Как создать образ автозапуска? ]
Перейти
шифровальщик Ouroboros/VoidCrypt. файлы с расширением MRN, заплатили мошенникам voidCrypt. получили дешифратор и RSA ключ. но дешифратор не отрабатывает
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.09.2023 05:15:08
Цитата
Юрий Мисюрин написал:
Очень интересная тема, у нас такая же беда. Не подскажете, чем дело закончилось?
Как видите, по данному случаю шифрования *([email protected]).MRN
дешифратор и ключ, который предоставляют за выкуп является нерабочим.
[ Как создать образ автозапуска? ]
Перейти
Централизованное удаление антивируса
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 23.09.2023 06:05:06
Настройки на антивирусных клиентах защищены паролем?

Посмотрите тему с аналогичной проблемой на оф.форуме eset.com
https://forum.eset.com/topic/26169-eset-uninstallation-error-0x643/
[ Как создать образ автозапуска? ]
Перейти
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 23.09.2023 05:57:26
К блокировке запуска установщиков и путей установки антивирусов добавилось блокировка записи данных в реестре.
Последняя выполняется, скорее всего другим зловредом. (Не Microsofthost.exe)
Предположительно, майнером, который маскируется под апдейтер Google Chrome.
Из активных зловредов в системе был файл, запускаемый через задачу

C:\PROGRAM FILES\GOOGLE\CHROME\UPDATER.EXE

https://www.virustotal.com/gui/file/6e9b3d4db604e79c053e69230ba3fe2981a045796566f72­9c5dd782322d8ff2b/behavior

Цитата
Полное имя                  C:\PROGRAM FILES\GOOGLE\CHROME\UPDATER.EXE
Имя файла                   UPDATER.EXE
Тек. статус                 ВИРУС в автозапуске
                           
Обнаруженные сигнатуры      
Сигнатура                   Win64/GenKryptik.GIIA (delall) [глубина совпадения 64(64), необх. минимум 8, максимум 64] 2023-08-28
                           
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
File_Id                     647305189F0000
Linker                      2.38
Размер                      10381312 байт
Создан                      04.06.2023 в 12:10:53
Изменен                     16.06.2023 в 18:07:21
                           
TimeStamp                   28.05.2023 в 07:39:04
EntryPoint                  +
OS Version                  0.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Версия файла                70,0,3538,110
Описание                    Google Chrome
Производитель               Google Inc.
                           
Доп. информация             на момент обновления списка
SHA1                        F646E84DC91A32D2C06CC36E6FC7DF1F6C3D0D87
MD5                         CBF41D5AA487E94FE7F1DBF6C1AE2ABB
                           
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\GOOGLEUPDATETASKMACHINEQC
Task                        \GoogleUpdateTaskMachineQC
                           
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{88932E95-EB12-423E-8FEB-B562CDB83B62}\Actions
Actions                     "C:\Program Files\Google\Chrome\updater.exe"
Задача создана              04.06.2023 в 12:10:53
Последний запуск            28.08.2023 в 11:14:07
Код ошибки                  0x0
                           
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{88932E95-EB12-423E-8FEB-B562CDB83B62}\
                           

В ветку реестра HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node добавляют наименования антивирусных вендоров, и обрезают права записи, или вообще удаляют всех пользователей.

[ Как создать образ автозапуска? ]
Перейти
шифровальщик Ouroboros/VoidCrypt. файлы с расширением MRN, заплатили мошенникам voidCrypt. получили дешифратор и RSA ключ. но дешифратор не отрабатывает
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 23.09.2023 05:46:30
Цитата
Юрий Мисюрин написал:
Приветствую, комрады!
Очень интересная тема, у нас такая же беда. Не подскажете, чем дело закончилось?
Добрый день,
добавьте, пожалуйста, несколько зашифрованных файлов+записку о выкупе в одном архиве в ваше сообщение.
Если необходима очистка зараженной системы сделайте дополнительно образ автозапуска.
[ Как создать образ автозапуска? ]
Перейти
Централизованное удаление антивируса
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.09.2023 13:43:04
Уточните, пожалуйста, какую версию консоли используете, и какие версии продукта установлены.
[ Как создать образ автозапуска? ]
Перейти
Фаервол от разработчика uVS
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.09.2023 08:14:38
Пока в стадии бета
Цитата
---------------------------------------------------------
2.00
---------------------------------------------------------
o Добавлены дополнительные функции повышающие уровень защиты от повреждения и утечки данных:
  o История запуска процессов с момента старта системы.
  o Защита от внедрения потоков в процессы, в т.ч. и опциональная активная защита,
    прерывающая внедрение потока на этапе его создания с информированием о процессе.
    (!) Не рекомендуется использовать эту функцию в Windows 7.
  o Добавлены параметры процессов. Процессам можно запрещать запуск, разрешать внедрение потоков
    или включить информирование при запуске конкретного процесса.
    (например cmd.exe, что часто является признаком активности зловреда)
  o Установка прав доступа к каталогам (например для защиты файлов от шифровальщиков или утечки данных).
    В том числе можно разграничить права доступа на уровне приложений.
    Поддерживается настраиваемый лог операций для каждого каталога.
  o Защита каталогов приложений от модификации сторонними приложениями.
  o Защита файла драйвера, усилена защита файла фильтров.
  o Защита параметров запуска служб BFE, FltMgr.
  o Защита от запуска svchost зловредами.
  o Защита настроек паролем.
  (!) О влиянии новых функций на производительность см. readme, по умолчанию все доп. функции
  (!) влияющие на производительность отключены. Для их активации перейдите в окно настройки, после
  (!) чего потребуется перезагрузить компьютер.

o Драйвер Ф теперь загружается раньше, до старта BFE.

o Добавлена функция сохранения и восстановления настроек, в т.ч. можно переносить все настройки
  на другой компьютер. (кроме наименования и размера шрифта, которые хранятся в F.ini).

o Исправлена ошибка первоначальной регистрации фильтров в новой системе.
----------------
Для тестирования были использованы каталог с тестовыми файлами, каталог запуска фаервола и каталог запуска uVS. В предыдущем тесте Lockbit v3 шифровал все файлы в каталоге uVS за исключением исполняемых *.exe и это приводило к завершению контрольного процесса uVS.

Настройка защиты каталогов достаточно удобна. Можно запретить запись (или доступ) в данный каталог, и предоставить различные права доступа для определенных процессов, или полный доступ для приложения, которое запускается из данного каталога.

По результату нового запуска сэмпла Lockbit v3 были зашифрованы файлы во всех каталогах, за исключением защищенных. При этом после самоудаления сэмпла процессы uVS и Ф продолжали работать и зафиксировали в логах запуск процесса шифрования, все безрезультатные попытки добавить записку о выкупе,  и перезаписи оригинальных файлов зашифрованными копиями.

Проверил сегодня защиту каталогов  дополнительно  на сэмплах  crysis(*onion), FONIX(*RYUK), Crylock v2, Conti(*RUSSIA), LokiLocker, aesni_april

Никому не удалось прорваться в защищенные каталоги. (Lockbit делал 6 попыток записи файлов, Crylock - дважды)

А комбинация uVS+Fv очень удачная для наблюдения за поведением шифровальщика.

FV фиксирует сетевую активность всех процессов. Интересно было наблюдать за поведением AES_NI (*aes_ni_0day). После запуска сэмпл самоудалился, но при этом запустил системный svchost.exe из SysWOW64, внедрил в него несколько потоков, svchost.exe попытался выйти во внешнюю сеть.



Далее шифрование пошло из под процесса SysWOW64\svchost.exe,  После завершения шифрования процесс SysWOW64/svhost.exe  остается активным. Т.е. все добавленные новые файлы будут зашифрованы. Перед расшифровкой файлов (для AES_NI есть универсальный дешифратор) через uVS заморозил все потоки. Шифрование новых файлов прекратилось.

Update: В настройках фаервола добавилась блокировка запуска svchost.exe вредоносами,  "aes_ni_april" при этом изменил свое поведение: не смог запустить процесс SysWOW64\svchost.exe, чтобы добавить в него вредоносные потоки шифровальщика, процесс "aes_ni" сохранился, в него были добавлены потоки, шифрование продолжилось, но защищенные каталоги не были затронуты шифрованием.
[ Как создать образ автозапуска? ]
Перейти
При сканировании антивирусом не открывает файлы
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 12.09.2023 15:06:30
[4] Объект невозможно открыть. Он используется другим приложением или операционной системой.

Чтобы проверить эти объекты необходимо проверить систему из под загрузочного диска. С большой вероятностью - это чистые файлы.

по очистке системы в uVS:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\20.8.3.115\SERVICE_UPDATE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\22.9.1.1095\SERVICE_UPDATE.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {D2CBF5F7-5702-440B-8D8F-8203034A6B82}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\NEFARIUS SOFTWARE SOLUTIONS\VIGEM BUS DRIVER\VIGEMBUSUPDATER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\BORLAND\DELPHI7\BIN\BORDBG70.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\CREDO\ЦЕНТР УПРАВЛЕНИЯ ПО CREDO\CSM.EXE
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {4A7C4306-57E0-4C0C-83A9-78C1528F618C}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref {2D8B3101-E025-480D-917C-835522C7F628}\[CLSID]
delref {A910D941-9DA9-4656-8933-AA1EAE01F76E}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\ADOBE\OOBE\PDAPP\CCM\UTILITIES\NPADOBEAAMDETECT64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL
delref %Sys32%\PWCREATOR.EXE
delref %Sys32%\HVSICONTAINERSERVICE.DLL
delref %Sys32%\DRIVERS\NVDIMMN.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %SystemDrive%\PROGRAM FILES\CREDO\ECHELON-II\ECHMONITOR.EXE
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\PROGRAM FILES\CREDO\ECHELON-II\ECHSERVICE.EXE
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\EXTENSIONS\{972CE4C6-7E08-4474-A285-3208198CE6FD}.XPI
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\DDG.XML
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\GOOGLE.XML
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\MAILRU.XML
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\OZONRU.XML
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\PRICERU.XML
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\WIKIPEDIA-RU.XML
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\YANDEX-SLOVARI.XML
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\YANDEX.XML
delref E:\HISUITEDOWNLOADER.EXE
delref %SystemDrive%\PROGRAM FILES\4KDOWNLOAD\4KVIDEODOWNLOADER\4KVIDEODOWNLOADER.EXE
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
[ Как создать образ автозапуска? ]
Перейти
Нет связи с серверами Eset livegrid
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 09.09.2023 11:02:22
Цитата
Oleksii Kononenko написал:
Антивирус ESET Smart Security Premium постоянно выдает сообщение: Нет связи с серверами Eset livegrid.

Проверьте доступен ли  сервис ESET Live Grid на вашем устройстве,
https://support.eset.com/ru/kb332-ports-and-addresses-required-to-use-your-eset-product-with-a-third-party-firewall
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 3 4 5 6 7 8 9 10 11 12 13 ... 1784 След.