КриптоПро CSP 3.6 обнаруживает очередного зловреда

Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Error

2 Страницы12 >

КриптоПро CSP 3.6 обнаруживает очередного зловреда - 'Session Manager'CProExclude'AudioDg

Опции

Предыдущая тема Следующая тема

Максим Коллегин		#1 Оставлено : 17 апреля 2014 г. 15:41:24(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,391 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз Поблагодарили: 715 раз в 620 постах		Если при установке КриптоПро CSP вы получаете следующее сообщение: Цитата: Не удается записать значение FileName в раздел \SYSTEM\CurrentControlSet\Control\Session Manager\CProExclude\AudioDg . То с большой долей вероятностью Ваш компьютер заражен. Служба зловреда выглядит и называется так, нужно удалить этот ключ реестра и перезагрузиться: Цитата: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SafetyNutManager] "Type"=dword:00000110 "Start"=dword:00000004 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):43,00,3a,00,5c,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,\ 20,00,46,00,69,00,6c,00,65,00,73,00,5c,00,4d,00,6f,00,76,00,69,00,65,00,73,\ 00,20,00,54,00,6f,00,6f,00,6c,00,62,00,61,00,72,00,5c,00,53,00,61,00,66,00,\ 65,00,74,00,79,00,4e,00,75,00,74,00,5c,00,53,00,61,00,66,00,65,00,74,00,79,\ 00,4e,00,75,00,74,00,4d,00,61,00,6e,00,61,00,67,00,65,00,72,00,2e,00,65,00,\ 78,00,65,00,00,00 "DisplayName"="SafetyNut Manager" "ObjectName"="LocalSystem" "Description"="Manages SafetyNut functionality" Спасибо коллегам из СКБ Контур! Отредактировано модератором 15 мая 2014 г. 7:41:46(UTC) \| Причина: Не указана
		Знания в базе знаний, поддержка в техподдержке
		WWW
2 пользователей поблагодарили Максим Коллегин за этот пост.		Андрей * оставлено 17.04.2014(UTC), lboikov оставлено 18.04.2014(UTC)
Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»


	Wanna join the discussion?! Login to your Форум КриптоПро forum account, or Register a new forum account.

Максим Коллегин		#2 Оставлено : 17 апреля 2014 г. 15:43:50(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,391 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз Поблагодарили: 715 раз в 620 постах		Российские антивирусы пока не знают такого: https://www.virustotal.c...5ba/analysis/1397734563/
		Знания в базе знаний, поддержка в техподдержке
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

blangel		#3 Оставлено : 17 апреля 2014 г. 15:46:59(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 26.09.2013(UTC) Сообщений: 4 Откуда: СКБ Контур Сказал(а) «Спасибо»: 1 раз Поблагодарили: 3 раз в 2 постах		Удаление службы из реестра не всегда помогает - у вируса есть вторая часть - надстройка в IE, которая умеет пересоздавать службу и запускать ее (проверено лично). Самый простой способ, что я нашел - запустить uninstall.exe из указанной папки (точнее, там их два - запустить оба). Вроде бы все по-честному удалилось (проверил папки и реестр + в автозапуске тоже чисто). P.S. Авторы вируса - спасибо вам хотя бы за честность =) (в IE в надстройке играет онлайн радио VirusFM)

2 пользователей поблагодарили blangel за этот пост.		Maximus69 оставлено 18.04.2014(UTC), брэндмауер оставлено 22.12.2014(UTC)
Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Maximus69		#4 Оставлено : 18 апреля 2014 г. 9:03:34(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 02.03.2009(UTC) Сообщений: 23 Сказал(а) «Спасибо»: 4 раз		А можете точно указать какая папка и как называется надстройка в IE?


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

blangel		#5 Оставлено : 18 апреля 2014 г. 9:15:32(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 26.09.2013(UTC) Сообщений: 4 Откуда: СКБ Контур Сказал(а) «Спасибо»: 1 раз Поблагодарили: 3 раз в 2 постах		Автор: Maximus69 А можете точно указать какая папка и как называется надстройка в IE? Вчера разгребли еще пару десятков случаев... Оказалось, что имя службы и имя надстройки могут меняться на почти любые 2-3 слова. А вот папка одна и та же: C:\Program Files\Movies Toolbar\ C:\Program Files (x86)\Movies Toolbar\ внутри заходим еще в одну подпапку, имя которой каждый раз разное, и там внутри запускаем uninstall.exe, затем заходим в остальные подпапки и там тоже запускаем uninstall.exe

1 пользователь поблагодарил blangel за этот пост.		lboikov оставлено 18.04.2014(UTC)
Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Максим Коллегин		#6 Оставлено : 18 апреля 2014 г. 15:06:27(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,391 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз Поблагодарили: 715 раз в 620 постах		Если будет инсталятор тулбара- можно добавить лечилку в установщик CSP.
		Знания в базе знаний, поддержка в техподдержке
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

blangel		#7 Оставлено : 18 апреля 2014 г. 15:27:44(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 26.09.2013(UTC) Сообщений: 4 Откуда: СКБ Контур Сказал(а) «Спасибо»: 1 раз Поблагодарили: 3 раз в 2 постах		Автор: maxdm Если будет инсталятор тулбара- можно добавить лечилку в установщик CSP. Вряд ли. Оказалось, что папка Movies Toolbar теперь тоже меняется на произвольное имя из 2 слов.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

Максим Коллегин		#8 Оставлено : 18 апреля 2014 г. 16:16:55(UTC)
Статус: Сотрудник Группы: Администраторы Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,391 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз Поблагодарили: 715 раз в 620 постах		Можно детектировать по содержимому
		Знания в базе знаний, поддержка в техподдержке
		WWW

Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

gvittorja		#9 Оставлено : 20 сентября 2014 г. 22:40:20(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 20.09.2014(UTC) Сообщений: 1 Откуда: Санкт-Петербург		Автор: maxdm Если при установке КриптоПро CSP вы получаете следующее сообщение: Цитата: Не удается записать значение FileName в раздел \SYSTEM\CurrentControlSet\Control\Session Manager\CProExclude\AudioDg . То с большой долей вероятностью Ваш компьютер заражен. Служба зловреда выглядит и называется так, нужно удалить этот ключ реестра и перезагрузиться: Цитата: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SafetyNutManager] "Type"=dword:00000110 "Start"=dword:00000004 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):43,00,3a,00,5c,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,\ 20,00,46,00,69,00,6c,00,65,00,73,00,5c,00,4d,00,6f,00,76,00,69,00,65,00,73,\ 00,20,00,54,00,6f,00,6f,00,6c,00,62,00,61,00,72,00,5c,00,53,00,61,00,66,00,\ 65,00,74,00,79,00,4e,00,75,00,74,00,5c,00,53,00,61,00,66,00,65,00,74,00,79,\ 00,4e,00,75,00,74,00,4d,00,61,00,6e,00,61,00,67,00,65,00,72,00,2e,00,65,00,\ 78,00,65,00,00,00 "DisplayName"="SafetyNut Manager" "ObjectName"="LocalSystem" "Description"="Manages SafetyNut functionality" Спасибо коллегам из СКБ Контур! Доброго времени суток! У меня такая же ошибка при установке программы, прочитала предыдущие посты, в своем компьютере ничего не нашла ни в реестре, ни на диске с.Подскажите, что мне делать?


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

blangel		#10 Оставлено : 20 сентября 2014 г. 22:58:07(UTC)
Статус: Новичок Группы: Участники Зарегистрирован: 26.09.2013(UTC) Сообщений: 4 Откуда: СКБ Контур Сказал(а) «Спасибо»: 1 раз Поблагодарили: 3 раз в 2 постах		Автор: gvittorja Доброго времени суток! У меня такая же ошибка при установке программы, прочитала предыдущие посты, в своем компьютере ничего не нашла ни в реестре, ни на диске с.Подскажите, что мне делать? Вирусная служба может называться по-другому. Проверьте свой компьютер с помощью DrWeb CureIt и попробуйте поискать другие подозрительные службы в Панель управления => Администрирование => Службы.


Профиль пользователя Просмотр всех сообщений пользователя Просмотр «Спасибо»

RSS Лента

Atom Лента

Пользователи, просматривающие эту тему
Guest

2 Страницы12 >

Быстрый переход

Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Important Information: The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies. More Details Close