Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи Андрей Пинчук
Выбрать дату в календареВыбрать дату в календаре

1 2 След.
[ Закрыто] Вирусы мешали установке ESET Antivirus
 
Андрей Пинчук
Андрей Пинчук
Пользователь
Сообщений: 13
Баллов: 6
Регистрация: 27.10.2016
Размещено 28.10.2020 15:40:14
Спасибо за помощь! Антивирус теперь работает штатно.
Перейти
[ Закрыто] Вирусы мешали установке ESET Antivirus
 
Андрей Пинчук
Андрей Пинчук
Пользователь
Сообщений: 13
Баллов: 6
Регистрация: 27.10.2016
Размещено 28.10.2020 14:40:41
Благодарю за ответ. Выполнил то, что вы указали. Странно, что после обновления до последней верии Антивируса возникла проблема с запуском службы.
Перейти
[ Закрыто] Вирусы мешали установке ESET Antivirus
 
Андрей Пинчук
Андрей Пинчук
Пользователь
Сообщений: 13
Баллов: 6
Регистрация: 27.10.2016
Размещено 28.10.2020 10:32:18
Нужно было поставить антивирус на компьютер. Ранее там был только "Защитник Windows".
С помощью CureIT удалось избавиться от активной зловредной деятельности, однако остались хвосты в системе. В частности, при установки ESET Antivirus выдало ошибку MSI 1303. Почитав ваш форум посмотрел содержимое папок Program Files, Program Files(x86) и ProgramData. Там были созданы папки по названию антивирусов различных компаний. Удалив их, Eset установился. Теперь хотелось бы убедиться, что ничего не осталось в системе. Помогите, пожалуйста.

Образ и скриншот CureIT приложил.
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
Андрей Пинчук
Андрей Пинчук
Пользователь
Сообщений: 13
Баллов: 6
Регистрация: 27.10.2016
Размещено 28.10.2016 09:37:02
santy,
1) привычка из других форумов.
2) со стороны да. Выглядит всё запутанно.
3) Да, но как вижу, скрипт вычищает из автозагрузки системы подгрузку вирусов из сети. Вручную это лучше не делать, как я понял.
4) ОГромное спасибо!
5) Вот по последнему - есть ли какие хвосты?
6) понял..
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
Андрей Пинчук
Андрей Пинчук
Пользователь
Сообщений: 13
Баллов: 6
Регистрация: 27.10.2016
Размещено 27.10.2016 20:10:57
Цитата
santy написал:
Цитата
 Андрей Пинчук  написал:
2. У меня сомнение в чистоте двух файлов.
1) C:\users\ДАНИЛИНА.INCRGP\APPDATA\ROAMING\roamingrbq51.exe
2) C:\PROGRAMDATA\WINDOWS\CSRSS.EXE
Я так понял, что скрипт по первому образу автозапуска из сообзщения 312 вы до сих пор не выполнили?
правильно?
Ещё пока не сделал.
Цитата
santy написал:
судя по второму образу этот файлик на месте.
Цитата
Полное имя                  C:\PROGRAMDATA\WINDOWS\CSRSS.EXE
Имя файла                   CSRSS.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
RUN.LIST                    (ССЫЛКА ~ \RUN\CLIENT SERVER RUNTIME SUBSYSTEM)(1) [auto (1)]
RUN                         (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
SHIFR.LIST                  (ССЫЛКА ~ \RUN\CLIENT SERVER RUNTIME SUBSYSTEM)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
File_Id                     5795639761000
Linker                      6.0
Размер                      956483 байт
Создан                      22.03.2016 в 11:24:19
Изменен                     26.10.2016 в 11:46:55
                           
TimeStamp                   25.07.2016 в 00:55:51
EntryPoint                  +
OS Version                  4.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               проверка не производилась
                           
Версия файла                1.50.2
Описание                    PS3 Media Server
Продукт                     PS3 Media Server
Copyright                  
Производитель               A. Brochard
Комментарий                
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Не_типичен для этого файла [имя этого файла есть в известных]
                           
Доп. информация             на момент обновления списка
SHA1                        61DFEC318DAC5309AD5627DA716A3F1EA2194B60
MD5                         2B6BC30E37B7B919D5D1187CE633C339
                           
Ссылки на объект            
Ссылка                      HKEY_USERS\S-1-5-21-1352719698-2803580862-2519816203-1429\Software\Microsoft\Windows\CurrentVersion\Run\Client Server Runtime Subsystem
Client Server Runtime Subsystem"C:\ProgramData\Windows\csrss.exe"
Prefetcher                  C:\WINDOWS\Prefetch\Layout.ini
я вижу у вас свое мнение по этому поводу. Ну-ну.
Уже нет этого файла. И UAC окон больше не появляется. Я обязательно выполню скрипт, только сделаю копию всего ЖД на всякий случай.
Второй образ автозапуска я делал до того, как убрал csrss.

И те два файла я в архивах RAR на флешке на рабочем компе антивирусом ESET со свежими базами проверил - детект есть.
-----
Не стал умничать...
По времени первый образ до скрипта. Второй - после. Скрипт выполнил самый последний только последние две команды местами поменял. ZOO*.7z файл есть  Отправил на оба, указанных вами, почтовых ящика.
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
Андрей Пинчук
Андрей Пинчук
Пользователь
Сообщений: 13
Баллов: 6
Регистрация: 27.10.2016
Размещено 27.10.2016 17:33:47
Цитата
santy написал:
1. по теневым копиям.
как проверить.
используйте shadowExplorer
http://www.shadowexplorer.com/downloads.html
но прежде чем восстанвить что-то из теневых копий (если они сохранились), надо точно знать, что в системе нет уже активного шифратора.
поэтому.
2. добавьте лог выполнения скрипта uVS.
файл дата_времяlog.txt
+
добавьте новый образ автозапуска.
1. Поэтому теневые копии пока не трогаю. Последняя надежда на них.

2. У меня сомнение в чистоте двух файлов.
1) C:\users\ДАНИЛИНА.INCRGP\APPDATA\ROAMING\roamingrbq51.exe
2) C:\PROGRAMDATA\WINDOWS\CSRSS.EXE

Размер у файлов одинаковый и иконка одна - как у установщиков INNO. Пока что не применял скрипт, который вы выслали ранее, но эти файлы выцепил из системы. Они у меня в архивах. На моём рабочем компьютере антивирус ESET определяет эти оба файла как NSIS/Injector.HV
В безопасном режиме сделал ещё один образ автозагрузки. Теперь от имени заражённого пользователя.

Кстати, у пользователя сменились обои. Теперь и там требование денег. Файл с рандомным значением в имени. 475395B1475395B1.bmp
Изменено: Андрей Пинчук - 27.10.2016 18:05:00
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
Андрей Пинчук
Андрей Пинчук
Пользователь
Сообщений: 13
Баллов: 6
Регистрация: 27.10.2016
Размещено 27.10.2016 16:12:31
Цитата
santy написал:
Цитата
 Андрей Пинчук  написал:
Когда выполнял указания техподдержки ESET по сбору данных для отправки, запустил компьютер в обычном режиме с входом в пользователь, который запустил инфекцию (от сети отключен физически). В карантине никаких данных по вирусу нет. При этом через некоторое время появилось окно UAC с просьбой разрешить запуск программы для управления теневыми копиями файлов. В подробностях видно было, что это запрос на удаление теневых копий.
возможно шифратор, если он активен,  с каждым новым запуском в системе пытается проверить наличие теневых копий, и удалить их.
если UAC у вас был включен на момент шифрования, возможно шифратор в процессе шифрования не смог удалить теневые копии, так что проверьте: живые они или нет.
Есть надежда, что живы (см. скриншот). Или они в другом месте хранятся?
Цитата
santy написал:
Цитата
 Андрей Пинчук  написал:
Кроме того. Пока выполнял указания техподдержки вирус зашифровал данные на загрузочной флешке. Так что вирус всё ещё активен.
здесь поясните.
шифрование флэшки было до рекомендации по очистке в uVS из безопасного режима?
если есть сомнения в очистке системы, сделайте новый образ автозапуска, и добавьте лог выполнения скрипта.
это файл дата_времяlog.txt из папки, откуда вы запускали uVS
Цитата
Кроме того. Сегодня утром в почтовый ящик организации прилетело ещё одно письмо с шифратором. Во вложение два файла: пустой rtf и js файл с кодом, похожим на шифратор. Куда можно отправить указанные файлы?
отправьте в почту [email protected] в архиве, с паролем infected
1) После. Вначале я систему запустил в безопасном режиме, НО от имени пользователя, который локальный админ. uVC при запуске написал, что загружен реестр 6 пользователей.
2) сделал.
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
Андрей Пинчук
Андрей Пинчук
Пользователь
Сообщений: 13
Баллов: 6
Регистрация: 27.10.2016
Размещено 27.10.2016 14:46:06
Цитата
Андрей Пинчук написал:
Цитата
Когда выполнял указания техподдержки ESET по сбору данных для отправки, запустил компьютер в обычном режиме с входом в пользователь, который запустил инфекцию (от сети отключен физически). В карантине никаких данных по вирусу нет. При этом через некоторое время появилось окно UAC с просьбой разрешить запуск программы для управления теневыми копиями файлов. В подробностях видно было, что это запрос на удаление теневых копий.
Кроме того. Пока выполнял указания техподдержки вирус зашифровал данные на загрузочной флешке. Так что вирус всё ещё активен.
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
Андрей Пинчук
Андрей Пинчук
Пользователь
Сообщений: 13
Баллов: 6
Регистрация: 27.10.2016
Размещено 27.10.2016 13:40:26
Кроме того. Сегодня утром в почтовый ящик организации прилетело ещё одно письмо с шифратором. Во вложение два файла: пустой rtf и js файл с кодом, похожим на шифратор. Куда можно отправить указанные файлы?
Перейти
файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt
 
Андрей Пинчук
Андрей Пинчук
Пользователь
Сообщений: 13
Баллов: 6
Регистрация: 27.10.2016
Размещено 27.10.2016 13:28:35
Цитата
santy написал:
да, файл шифратора в автозапуске еще.

по очистке системы выполните. (можно так же из безопасного режима системы)

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код
 
;uVS v3.87.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v388c
OFFSGNSAVE
addsgn 7300A398556A1F245CBE8EEE57137A04A58AFC7FD5DE0BBFC1E7D58CF29671C57F33DFA82BE11D092B7F912FC656499C40D9E8064489584B1C77A4140472251B 8 da_vinci_code

zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\USERS\ДАНИЛИНА.INCRGP\APPDATA\ROAMING\JGUPMKO.DLL

delref HTTPS://LAREVANTE.COM/F6D3BVD/BOL57.EUP

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBEJNPNKHFGFKCPGIKIINOJLMDCJIMOBI%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHJCGOMKANPKPBLOKEBECKNHAHGKCMOO%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDKEKDLKMDPIPIHONAPOLEOPFEKMAPADH%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (файл по формату: ZOO_yyyy-mm-dd_hh-mm-ss.rar/или 7z)  отправить в почту [email protected], [email protected]  
------------
+
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

поскольку в системе был добавлен левый прокси.
LAREVANTE.COM/F6D3BVD/BOL57.EUP

задачи на компе здесь серьезные.
имеет смысл подумать о смене паролей в инете, поскольку трафик шел через левый прокси.
Заявка в техподдержке - № 1125441
delref %SystemDrive%\USERS\ДАНИЛИНА.INCRGP\APPDATA\ROAMING\JGUPMKO.DLL
Файл был удалён проверкой DrWeb. Загрузка была сделана с флешки. Этот файл классифицировался как вирус - Trojan.PWS.Spy.ХХХХХ цифры уже не помню.

Когда выполнял указания техподдержки ESET по сбору данных для отправки, запустил компьютер в обычном режиме с входом в пользователь, который запустил инфекцию (от сети отключен физически). В карантине никаких данных по вирусу нет. При этом через некоторое время появилось окно UAC с просьбой разрешить запуск программы для управления теневыми копиями файлов. В подробностях видно было, что это запрос на удаление теневых копий.
Перейти
1 2 След.