Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Выбрать дату в календареВыбрать дату в календаре

Очень большая и неприятная история!
Цитата
Stens пишет:
Просят номер заказа. <...> А мне как вы поняли брать неоткуда... у меня никакой инфы нет... может удалил случайно может еще что то.
Цитата
В личном кабинете, в разделе оплаченные заказы есть данные
Среди этих данных и должен быть номер заказа. К тому же и-магазины обычно дублируют состояние заказа на е-майл.
Предложения по функционалу продуктов ESET
Цитата
marshal64 пишет:
А вы проверяли эту истину в отношении ESET?
Нет, и не собираюсь. У меня система для работы, а не экспериментов.
Предложения по функционалу продуктов ESET
Цитата
Арвид пишет:
А зачем отключать HIPS? Если нету никаких правил в настройках и HIPS на автомате, то он никак не будет оповещать пользователя и действиях
Откровенно глупый вопрос. Неужели нужно напоминать прописную истину: 2 или более активных HIPS[фаервол|антивирус] в системе - прямая дорога к глюкам, что бы не утверждали отдельные субъекты.
Предложения по функционалу продуктов ESET
В 5й версии (возможно и в 6й) обнаружил, мягко говоря, "особенность": самозащита стала частью появившегося HIPS. Соответственно, при отключении HIPS самозащита также отключается и ничего с этим не поделать.

Отсюда пожелание: вынести самозащиту сабжа в отдельный модуль, независимый от состояния HIPS.

HIPS использую в составе другого продукта, ESET - только антивирус. По вышеуказанной причине приходится оставаться на версии 4.2.
зашифровано Filecoder.Q, Filecoder.Q / Xorist
RP55 RP55
Валентин
Цитата
В принципе невозможно - создать универсальный дешифровщик.
Ну я бы не был так категоричен. Речь не идет об "идеальном" дешифраторе. Все зависит от реализации кода.
зашифровано Filecoder.Q, Filecoder.Q / Xorist
zloyDi
Ну, возможно, в вирлабе таки разберутся с алгоритмом генерации кода и смогут наваять универсальный дешифровщик. Заодно и в базы добавят, чтобы НОД цеплял подобные файлы не только расширенным эвристиком. Сам вирус, учитывая человеческий фактор, с зараженной машины достать затруднительно. По приведенной выше информации создается ассоциация на открытие файлов .LOCKDIR копией вируса из временной папки, к-рая после запуска самоудаляется. Когда я появился у машины, поймавший этот вирус (где-то примерно спустя 40мин после звонка), никаких следов от него в системе уже не было и решение вопроса обошлось тамошнему начальству в 5000р, столько запросили автор(ы) вируса.

Добавлено:

Валентин
Отправил.
Изменено: Voidwalker - 08.07.2016 07:24:09
зашифровано Filecoder.Q, Filecoder.Q / Xorist
Очередной вариант шифровщика.
Шифрует файлы с расширением .doc .docx .xls .xlsx .rtf .dbf .bmp .jpg .tif .zip .rar .7z (возможно больше), добавляя к ним расширение .LOCKDIR. Создает свою копию со случайным именем во временной папке пользователя, там же создает файл .bmp, также со случайным именем, к-рым заменяет обои Рабочего стола (в приложении).
Прописывает в реестр:
Код
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.LOCKDIR]

[HKEY_CLASSES_ROOT\NMMQLIXLWARCPZN]
@="CRYPTED!"

[HKEY_CLASSES_ROOT\NMMQLIXLWARCPZN\DefaultIcon]
@="C:\\DOCUME~1\\имя_пользователя\\LOCALS~1\\Temp\\x3t7cQ4jOXy8kq0.exe,0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\NMMQLIXLWARCPZN]
@="CRYPTED!"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\NMMQLIXLWARCPZN\DefaultIcon]
@="C:\\DOCUME~1\\имя_пользователя\\LOCALS~1\\Temp\\x3t7cQ4jOXy8kq0.exe,0"
(конкретные имена и пути могут отличаться в зависимости от разновидности вируса и ОС)

Добавляет в каждую папку файл ДЕБЛОКИРОВКА ФАЙЛОВ.txt с содержимым
Цитата
Внимание! На вашем компьютере,обнаружено нелицензионное
программное обеспечение.Доступ к вашим файлам запрещен !
Чтобы восстановить свои файлы и получить к ним доступ,
свяжитесь с нашим отделом безопасности [email protected]
Идентификатор 86548764 (46)
Ваш компьютер поставлен на таймер самоуничтожения 24 часа , по истечении этого времени вся информация будет безвозвратно стёрта. У вас есть 5 попыток ввода кода. При превышении этого количества, все данные необратимо удаляться. Будьте
внимательны при вводе кода !
Заранее благодарим за оплату ! Мы ценим ваш вклад в развитие инновационно-технического прогресса.
После шифрования выводит сообщение (в приложении).

NOD32 v4.2 детектирует вирус только при включении расширенной эвристики, а поскольку при ее включении выдается предупреждение о возможном снижении производительности системы, то большинство ее (расширенную эвристику) не включают, особенно если речь идет об относительно слабых машинах.

NOD32 v5.0 с базами от 08.2011 и максимальными настройками (стоял на виртуальной машине) вирус "не увидел".

На 06.03.2012, судя по virustotal, детект присутствует только у 8ми антивирусов.
По состоянию на "сейчас" - у 11 (virustotal)

-------------
В наличии есть пример исходного файла, зашифрованного, сам шифровщик, код расшифровки. Если вирлаб заинтересует, могу выложить.
Долгое сканирование файлов исполняемых при запуске
Цитата
AcS пишет:
В планировщике по умолчанию две задачи:
- одна проверят файлы запускаемые после лога пользователя
- вторая проверяет "Обычно используемые файлы" после обновления баз.
Немного уточню:
- одна должна бы проверять файлы, запускаемые после лога пользователя, но:

т.е. косяк таки (по дефолту) присутствует, должно быть так:

- вторая также (по дефолту) проверяет без наличия специфических установок:


Кстати, спасибо за подсказку по спец. параметрам, тут я стормозил... :)
Долгое сканирование файлов исполняемых при запуске
Роман Иванов,
Цитата
Ребята, ну если не хотите сканировать папки с игрушками и прочим хламом,-забейте эти директории в исключения и все..!
Прежде, чем постить, полезно вникнуть в суть проблемы, а она такова: вышеупомянутой задачей проверяются не только файлы, исполняемые при запуске системы, а и куча других, причем расположенных на НЕсистемных разделах и, более того, на момент проверки совершенно неактивных. Тут налицо баг выполнения задачи, исключения здесь - никаким боком...
[ Закрыто] Обнаружен код который ломает ОС и даже Bios, прошу обновить базы и найти подобные, вирусы., Написан через блокнот вашем антивирусником не определяется, по этому прошу обеспечить максимальную защиту, нехочу вновь попасться на такую шутку, вирус запускается только при его открытии.
ORION,
Цитата
К твоему сведению большая часть вирусов обрабатывается компьютером, и добавляется в базу автоматически без участия человека.
Цитата
Если бы все сигнатуры добавлялись в ручную, то я уверен, что ты бы сейчас не использовал этот антивирус, т.к. время реагирования на новые угрозы была бы очень медленная.
Мде... К твоему сведению, есть такое расхожее выражение: "Иногда лучше жевать, чем говорить..."
Цитата
Кухонный нож тоже предназначен чтобы им нарезать продукты - а в руках маньяка он имеет свое значение. Это так, сравнение.
Совершенно не по теме и не к месту. Если не можешь предложить ничего конструктивного - см. выше, флудилка в другом месте.

(отвечать необязательно... и топик, действительно, лучше прикрыть, а еще лучше - удалить, чтобы не позориться...)
Изменено: Voidwalker - 04.05.2010 09:47:03 (опечатка)