Выбрать дату в календареВыбрать дату в календаре

Очень большая и неприятная история!
Цитата
Stens пишет:
Просят номер заказа. <...> А мне как вы поняли брать неоткуда... у меня никакой инфы нет... может удалил случайно может еще что то.
Цитата
В личном кабинете, в разделе оплаченные заказы есть данные
Среди этих данных и должен быть номер заказа. К тому же и-магазины обычно дублируют состояние заказа на е-майл.
Предложения по функционалу продуктов ESET
[QUOTE]marshal64 пишет:
А вы проверяли эту истину в отношении ESET?[/QUOTE]Нет, и не собираюсь. У меня система для работы, а не экспериментов.
Предложения по функционалу продуктов ESET
[QUOTE]Арвид пишет:
А зачем отключать HIPS? Если нету никаких правил в настройках и HIPS на автомате, то он никак не будет оповещать пользователя и действиях[/QUOTE]Откровенно глупый вопрос. Неужели нужно напоминать прописную истину: 2 или более активных HIPS[фаервол|антивирус] в системе - прямая дорога к глюкам, что бы не утверждали отдельные субъекты.
Предложения по функционалу продуктов ESET
В 5й версии (возможно и в 6й) обнаружил, мягко говоря, "особенность": самозащита стала частью появившегося HIPS. Соответственно, при отключении HIPS самозащита также отключается и ничего с этим не поделать.

Отсюда пожелание: [B]вынести самозащиту сабжа в отдельный модуль, независимый от состояния HIPS[/B].

[SIZE=3]HIPS использую в составе другого продукта, ESET - только антивирус. По вышеуказанной причине приходится оставаться на версии 4.2.[/SIZE]
зашифровано Filecoder.Q, Filecoder.Q / Xorist
[B]RP55 RP55[/B]
[B]Валентин[/B]
[QUOTE]В принципе невозможно - создать универсальный дешифровщик.[/QUOTE]Ну я бы не был так категоричен. Речь не идет об "идеальном" дешифраторе. Все зависит от реализации кода.
зашифровано Filecoder.Q, Filecoder.Q / Xorist
[B]zloyDi[/B]
Ну, возможно, в вирлабе таки разберутся с алгоритмом генерации кода и смогут наваять [U]универсальный[/U] дешифровщик. Заодно и в базы добавят, чтобы НОД цеплял подобные файлы не только расширенным эвристиком. Сам вирус, учитывая человеческий фактор, с зараженной машины достать затруднительно. По приведенной выше информации создается ассоциация на открытие файлов .LOCKDIR копией вируса из временной папки, к-рая после запуска самоудаляется. Когда я появился у машины, поймавший этот вирус (где-то примерно спустя 40мин после звонка), никаких следов от него в системе уже не было и решение вопроса обошлось тамошнему начальству в 5000р, столько запросили автор(ы) вируса.

[B]Добавлено:[/B]

[B]Валентин[/B]
Отправил.
Изменено: Voidwalker - 08.07.2016 07:24:09
зашифровано Filecoder.Q, Filecoder.Q / Xorist
Очередной вариант шифровщика.
Шифрует файлы с расширением .doc .docx .xls .xlsx .rtf .dbf .bmp .jpg .tif .zip .rar .7z (возможно больше), добавляя к ним расширение .LOCKDIR. Создает свою копию со случайным именем во временной папке пользователя, там же создает файл .bmp, также со случайным именем, к-рым заменяет обои Рабочего стола (в приложении).
Прописывает в реестр:
[CODE][HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.LOCKDIR]

[HKEY_CLASSES_ROOT\NMMQLIXLWARCPZN]
@="CRYPTED!"

[HKEY_CLASSES_ROOT\NMMQLIXLWARCPZN\DefaultIcon]
@="C:\\DOCUME~1\\имя_пользователя\\LOCALS~1\\Temp\\x3t7cQ4jOXy8kq­0.exe,0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\NMMQLIXLWARCPZN]
@="CRYPTED!"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\NMMQLIXLWARCPZN\DefaultIcon]
@="C:\\DOCUME~1\\имя_пользователя\\LOCALS~1\\Temp\\x3t7cQ4jOXy8kq­0.exe,0"[/CODE](конкретные имена и пути могут отличаться в зависимости от разновидности вируса и ОС)

Добавляет в каждую папку файл ДЕБЛОКИРОВКА ФАЙЛОВ.txt с содержимым
[QUOTE]Внимание! На вашем компьютере,обнаружено нелицензионное
программное обеспечение.Доступ к вашим файлам запрещен !
Чтобы восстановить свои файлы и получить к ним доступ,
свяжитесь с нашим отделом безопасности UNLOCKMEN@EXCITE.COM
Идентификатор 86548764 (46)
Ваш компьютер поставлен на таймер самоуничтожения 24 часа , по истечении этого времени вся информация будет безвозвратно стёрта. У вас есть 5 попыток ввода кода. При превышении этого количества, все данные необратимо удаляться. Будьте
внимательны при вводе кода !
Заранее благодарим за оплату ! Мы ценим ваш вклад в развитие инновационно-технического прогресса.[/QUOTE]После шифрования выводит сообщение (в приложении).

NOD32 v4.2 детектирует вирус [U]только при включении расширенной эвристики[/U], а поскольку при ее включении выдается предупреждение о возможном снижении производительности системы, то большинство ее (расширенную эвристику) не включают, особенно если речь идет об относительно слабых машинах.

NOD32 v5.0 с базами от 08.2011 и максимальными настройками (стоял на виртуальной машине) вирус "не увидел".

На 06.03.2012, судя по [URL=https://www.virustotal.com/file/5959b16c0075eaaac680946654bbd93879e1e13d640fbf896545cdb0e1551ea2/analysis/1331028339/]virustotal[/URL], детект присутствует только у 8ми антивирусов.
По состоянию на "сейчас" - у 11 ([URL=https://www.virustotal.com/file/5959b16c0075eaaac680946654bbd93879e1e13d640fbf896545cdb0e1551ea2/analysis/1331110920/]virustotal[/URL])

-------------
В наличии есть пример исходного файла, зашифрованного, сам шифровщик, код расшифровки. Если вирлаб заинтересует, могу выложить.
Долгое сканирование файлов исполняемых при запуске
[QUOTE]AcS пишет:
В планировщике по умолчанию две задачи:
- одна проверят файлы запускаемые после лога пользователя
- вторая проверяет "Обычно используемые файлы" после обновления баз.[/QUOTE]
Немного уточню:
- одна [B]должна бы[/B] проверять файлы, запускаемые после лога пользователя, но:
[URL=http://s58.radikal.ru/i160/1005/b4/6832b61f8468.png][IMG]http://s58.radikal.ru/i160/1005/b4/6832b61f8468t.jpg[/IMG][/URL]
т.е. косяк таки (по дефолту) присутствует, должно быть так:
[URL=http://i056.radikal.ru/1005/7d/17a78ac1adf3.png][IMG]http://i056.radikal.ru/1005/7d/17a78ac1adf3t.jpg[/IMG][/URL]
- вторая также (по дефолту) проверяет без наличия специфических установок:
[URL=http://s006.radikal.ru/i213/1005/ed/ffa420be9fa4.png][IMG]http://s006.radikal.ru/i213/1005/ed/ffa420be9fa4t.jpg[/IMG][/URL]

Кстати, спасибо за подсказку по спец. параметрам, тут я стормозил... :)
Долгое сканирование файлов исполняемых при запуске
[b]Роман Иванов,[/b]
[QUOTE]Ребята, ну если не хотите сканировать папки с игрушками и прочим хламом,-забейте эти директории в исключения и все..![/QUOTE]
Прежде, чем постить, полезно вникнуть в суть проблемы, а она такова: вышеупомянутой задачей проверяются не только файлы, [I]исполняемые при запуске системы[/I], а и куча других, причем расположенных на НЕсистемных разделах и, более того, на момент проверки совершенно неактивных. Тут налицо баг выполнения задачи, исключения здесь - никаким боком...
[ Закрыто] Обнаружен код который ломает ОС и даже Bios, прошу обновить базы и найти подобные, вирусы., Написан через блокнот вашем антивирусником не определяется, по этому прошу обеспечить максимальную защиту, нехочу вновь попасться на такую шутку, вирус запускается только при его открытии.
[b]ORION,[/b]
[QUOTE]К твоему сведению большая часть вирусов обрабатывается компьютером, и добавляется в базу автоматически без участия человека.[/QUOTE]
[QUOTE]Если бы все сигнатуры добавлялись в ручную, то я уверен, что ты бы сейчас не использовал этот антивирус, т.к. время реагирования на новые угрозы была бы очень медленная.[/QUOTE]Мде... К твоему сведению, есть такое расхожее выражение: "Иногда лучше жевать, чем говорить..."
[QUOTE]Кухонный нож тоже предназначен чтобы им нарезать продукты - а в руках маньяка он имеет свое значение. Это так, сравнение.[/QUOTE]Совершенно не по теме и не к месту. Если не можешь предложить ничего конструктивного - см. выше, флудилка в другом месте.

[I](отвечать необязательно... и топик, действительно, лучше прикрыть, а еще лучше - удалить, чтобы не позориться...)[/I]
Изменено: Voidwalker - 04.05.2010 09:47:03 (опечатка)