Перейти к содержанию

Рекомендуемые сообщения

Да, вижу теперь, есть в автозапуске.

(Microsoft Corporation -> Microsoft Corporation) C:\Program Files\Microsoft Security Client\msseces.exe

HKLM\...\Run: [MSC] => c:\Program Files\Microsoft Security Client\msseces.exe [1353680 2016-11-14] (Microsoft Corporation -> Microsoft Corporation)

 

А через установку/удаление программ он не удаляется?

Microsoft Security Essentials

image.png

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Попробую снести эти файлы:

Цитата

АКТИВЕН    | C:\PROGRAM FILES\MICROSOFT SECURITY CLIENT\EPPMANIFEST.DLL
АКТИВЕН    | C:\PROGRAM FILES\MICROSOFT SECURITY CLIENT\MPASDESC.DLL
АКТИВЕН    | C:\PROGRAM FILES\MICROSOFT SECURITY CLIENT\MPCLIENT.DLL
           | C:\PROGRAM FILES\MICROSOFT SECURITY CLIENT\MPCMDRUN.EXE
АКТИВЕН    | C:\PROGRAM FILES\MICROSOFT SECURITY CLIENT\MPCOMMU.DLL
АКТИВЕН    | C:\PROGRAM FILES\MICROSOFT SECURITY CLIENT\MPRTP.DLL
АКТИВЕН    | C:\PROGRAM FILES\MICROSOFT SECURITY CLIENT\MPSVC.DLL
АКТИВЕН    | C:\PROGRAM FILES\MICROSOFT SECURITY CLIENT\MSMPENG.EXE
АКТИВЕН    | C:\PROGRAM FILES\MICROSOFT SECURITY CLIENT\MSMPRES.DLL
АКТИВЕН    | C:\PROGRAM FILES\MICROSOFT SECURITY CLIENT\MSSECES.EXE
автозапуск | C:\PROGRAM FILES\MICROSOFT SECURITY CLIENT\NISSRV.EXE
автозапуск | C:\PROGRAM FILES\MICROSOFT SECURITY CLIENT\SHELLEXT.DLL
автозапуск | C:\PROGRAM FILES\MICROSOFT SECURITY CLIENT\\MPCMDRUN.EXE

 

Ссылка на комментарий
Поделиться на другие сайты

Выполняем в uVS

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу c перезагрузкой системы.

;uVS v4.99.10v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
sreg

;---------command-block---------
delref %SystemDrive%\PROGRAM FILES\MICROSOFT SECURITY CLIENT\MSMPENG.EXE
delref %SystemDrive%\PROGRAM FILES\MICROSOFT SECURITY CLIENT\NISSRV.EXE
delref %SystemDrive%\PROGRAM FILES\MICROSOFT SECURITY CLIENT\MSSECES.EXE
delref %SystemDrive%\PROGRAM FILES\MICROSOFT SECURITY CLIENT\SHELLEXT.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT SECURITY CLIENT\\MPCMDRUN.EXE

areg

restart

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Добавьте новый образ автозапуска  для контроля.

Ссылка на комментарий
Поделиться на другие сайты

Это нужно для контроля очистки

Цитата

 

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

 

да и образ не помешает, посмотреть что-то осталось от MSE или нет

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

снес

ругается при установки все равно на MSE

лог щас скину

 

 

111.png

вот такое выскакивает

 

 

при этом пишет не т прав на снос папки, при удалении через панель управления вычкауивает ошибка скрины прилагаю

222.png

333.png

 

лютая дрянь))) нехочет уйти в нибытие

image.png

SERVERBOARD_2025-03-14_14-55-33_v4.99.10v x64.7z

 

я так понимаю просит заменить на каспера??

 

444.png

 

не дает поставить

555.png

 

ура победил

 

 

Ссылка на комментарий
Поделиться на другие сайты

Я вас просил выполнить скрипт в uVS и предоставить лог выполнения скрипта. И где лог выполнения скрипта? Если вы и дальше будете продолжать общаться сами с собой, то можете это делать без помощи консультанта.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

MicrosoftProgram_Install_and_Uninstall.meta.7z снес полностью MES с помощью этой утилитки затем накатил 12,8 поверх KSWS 11 и все встало как влитое тормоза также ушли.

На каком то уровне конфликтует KES и MSE.

ОГРОМНЕЙШЕЕ СПАСИБО ЗА ПОМОЩЬ Успеха и адекватных пользунов. 

Тему можно закрывать. В понедельник надеюсь не вернусь)))) я про тормозящий серв.  

Ссылка на комментарий
Поделиться на другие сайты

  • safety закрыто и открыто это тема

Тема закрыта, система почищена от остатков вирусов. С проблемами установки антивируса, торможением обращайтесь в профильный раздел.

Ссылка на комментарий
Поделиться на другие сайты

  • safety закрыл тема
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • KL FC Bot
      Автор KL FC Bot
      Атаки на информационную инфраструктуру компаний (в первую очередь с использованием ransomware) и прочие киберинциденты все чаще можно найти на вершине хит-парада рисков для непрерывности бизнеса. Но главное, они прочно захватывают внимание советов директоров — менеджмент перестал задавать вопрос «могут ли нас атаковать» и перешел к обсуждению вопроса «что мы будем делать, если нас атакуют». В результате многие компании пытаются выработать киберустойчивость.
      Всемирный экономический форум (WEF) определяет киберустойчивость как способность организации минимизировать влияние существенных киберинцидентов на ее основные бизнес-цели и задачи. Американский NIST уточняет: киберустойчивость — способность предвидеть, выдерживать, восстанавливаться и адаптироваться к неблагоприятным условиям, атакам или компрометациям ИТ-систем.
      Все согласны, что киберустойчивость нужна современной компании, но практическая реализация стратегии киберустойчивости сталкивается с многочисленными трудностями. По результатам опроса 3100 руководителей ИТ и ИБ, проведенного компанией Cohesity, 98% компаний декларируют, что должны восстанавливаться после кибератаки в течение 24 часов, но реально восстановить работу в этот срок могут лишь 2%. А 80% бизнесов на восстановление потребуется от четырех дней до трех недель.
      Семь основ киберустойчивости
      В своем «компасе киберустойчивости» консультанты WEF выделяют следующие компоненты стратегии:
      Leadership (лидерство): интеграция киберустойчивости в стратегические цели компании; отправка политических сигналов командам о важности киберустойчивости; принятие высокоуровневого решения о том, насколько компания терпима к основным киберрискам; наделение полномочиями тех, кто будет разрабатывать, а при плохом сценарии и воплощать сценарии быстрого реагирования. Governance, risk & compliance (управление, риски и соответствие): определение профиля рисков; назначение явных владельцев конкретных рисков и определение ответственности в случае их наступления; планирование и внедрение мер снижения и смягчения рисков; соблюдение регуляторных требований. People and culture (люди и культура): развитие киберкомпетенций; повышение осведомленности в сфере ИБ с учетом круга обязанностей каждого сотрудника; наем сотрудников с нужным набором ИБ-навыков; создание безопасной среды для всех сотрудников, в которой они смелее сообщают об инцидентах и ошибках. Business processes (бизнес-процессы): распределение ИТ-сервисов по уровням их важности для непрерывного ведения бизнеса; подготовка к наихудшим сценариям и внедрение адаптивности. Сюда входит детальная проработка того, как будут работать критически важные процессы при масштабных ИТ-сбоях. Technical systems (технические системы) — для каждой системы вырабатываются и регулярно пересматриваются меры по улучшению ее защиты. Такие, например, как использование максимально безопасных настроек (hardnening), подготовка запасных мощностей (redundancy), микросегментация сети, многофакторная аутентификация (MFA), создание защищенных от удаления резервных копий данных, внедрение управления журналами. Порядок внедрения защитных мер и выделяемые для этого ресурсы должны соответствовать важности системы.
      Чтобы своевременно и эффективно реагировать на угрозы, следует обязательно внедрять системы, сочетающие детальный мониторинг инфраструктуры с полуавтоматическим реагированием: XDR, комбинация SIEM и SOAR и подобные. Crisis management (кризисное управление): формирование команд реагирования; совершенствование планов восстановления; определение, кто будет принимать решения в кризисной ситуации; подготовка запасных технических средств (например, каналов общения, если корпоративная почта и мессенджеры недоступны); разработка стратегий внешней коммуникации. Ecosystem engagement (взаимодействие в экосистеме): сотрудничество с партнерами по цепочке поставок, регулирующими органами и конкурентами для повышения общей устойчивости.  
      View the full article
    • evg-gaz
      Автор evg-gaz
      Зашифровали все файлы на сервереAddition.txtvirus.rarFRST.txt
    • GLADvanger
      Автор GLADvanger
      Добрый день!
      Зашифровали файлы добавили в каждому расширение .com
      При открытии любого документы с таким расширением вылезает окошко блокнота с текстом:
      Hi!
      All your files are encrypted!
      Your decryption ID: 8FKNMypGuRjkG2BXJeXToZ28gEGiD1Coc8C_Z00tqRU*tony@mailum.com
      We will solve your problem but you need to pay to get your files back
      Write us
      Our email - tony@mailum.com
       
      KVRT просканировал, нашел троян Trojan.Multi.Ifeodeb
       
      Логи в приерепленном
       
      FRST log.rar
    • Maks666
      Автор Maks666
      Все началось с того что я решил обновить драйвера у встроенной графики, и другие за одно (т.к. на экране на рабочем столе появлялись артефакты) я их установил при помощи софта амд с официального сайта и после этого процессор начал греться сильнее обычного на 8-15 градусов в зависимости от нагрузки.
      Температура в простое обычно была в районе 38 градусов, а сейчас может быть все 45 и больше. Иногда все нормально и температура чипа в норме, но в основном она более высокая.
      В итоге я их снес все установленные дрова, при помощи того же софты, но это ситуацию не исправило, процессор как грелся сильно так и греется. 
      Дело здесь точно не в термопасте, т.к. на процессор нанесен жидкий метал, а ноутбуку чуть больше года.
    • Keldenis
      Автор Keldenis
      Здравствуйте! Наш сервер был поражен вирусом-шифровальщиком. Все зараженные файлы приобрели вид блокнота при нажатии на который выходило сообщение от мошенников. Мы воспользовались утилитой от Касперского Rakhni Decryptor. Она смогла подобрать пароль и (по её мнению) расшифровать файлы. Но ни один из "расшифрованных" файлов не открывался. При этом, мы использовали утилиту дважды. В первый раз мы не использовали функцию удаления пораженных файлов, расшифрованная копия которых уже была сделана. Таким образом, после первого использования утилиты, у нас на сервере появились копии практически всех зашифрованных файлов. При этом, сам зашифрованный файл имел вид блокнотика, а его расшифрованная копия имела обычный для такого типа файла внешний вид. У зашифрованных файлов и их расшифрованной копии, при этом, был одинаковый размер файла. Мы решили, что, возможно нам нужно было поставить галочку для функции "Удалять зашифрованные файлы после успешной расшифровки", чтобы после расшифровки файлы открывались. Кроме того, дубляж файлов съел практически всё свободное место на наших жестких дисках. Поэтому, мы удалили наиболее тяжелые копии расшифрованных файлов и запустили утилиту повторно, поставив галочку для удаления зашифрованных файлов. Утилита вновь успешно подобрала пароль и расшифровала файлы, удалив все зашифрованные. Но файлы так и не начали открываться. Как описано выше, мы удалили копии только тяжелых файлов. Те зашифрованные файлы, расшифрованные копии которых мы не удалили после первого применения утилиты, при втором использовании утилиты остались нетронутыми. Поэтому мы прикрепляем в архиве именно такие файлы, т.е. сам зашифрованный файл и его расшифрованную утилитой копию, чтобы понять на примере зашифрованного файла, можно ли его расшифровать; а на примере "расшифрованного" утилитой файла, действительно ли он был расшифрован, но не открывается, потому что испорчен и не подлежит или подлежит восстановлению, либо он не был на самом деле расшифрован, и его всё еще можно расшифровать в будущем, хоть он уже и не имеет вид того самого блокнотика. Кроме того, мы установили антивирус от Касперсого на сервер и он, вероятно, уже удалил сам файл шифровальщик.
      Зашифрованные файлы.zip Addition.txt FRST.txt
×
×
  • Создать...