logo Обзор КриптоПро NGate для защищённого доступа к корпоративным ресурсам
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Максим Коллегин  
#1 Оставлено : 17 апреля 2014 г. 15:41:24(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 5,580
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 11 раз
Поблагодарили: 536 раз в 486 постах
Если при установке КриптоПро CSP вы получаете следующее сообщение:
Цитата:
Не удается записать значение FileName в раздел \SYSTEM\CurrentControlSet\Control\Session Manager\CProExclude\AudioDg
.
То с большой долей вероятностью Ваш компьютер заражен.
Служба зловреда выглядит и называется так, нужно удалить этот ключ реестра и перезагрузиться:
Цитата:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SafetyNutManager]
"Type"=dword:00000110
"Start"=dword:00000004
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):43,00,3a,00,5c,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,\
20,00,46,00,69,00,6c,00,65,00,73,00,5c,00,4d,00,6f,00,76,00,69,00,65,00,73,\
00,20,00,54,00,6f,00,6f,00,6c,00,62,00,61,00,72,00,5c,00,53,00,61,00,66,00,\
65,00,74,00,79,00,4e,00,75,00,74,00,5c,00,53,00,61,00,66,00,65,00,74,00,79,\
00,4e,00,75,00,74,00,4d,00,61,00,6e,00,61,00,67,00,65,00,72,00,2e,00,65,00,\
78,00,65,00,00,00
"DisplayName"="SafetyNut Manager"
"ObjectName"="LocalSystem"
"Description"="Manages SafetyNut functionality"

Спасибо коллегам из СКБ Контур!

Отредактировано модератором 15 мая 2014 г. 7:41:46(UTC)  | Причина: Не указана

Знания в базе знаний, поддержка в техподдержке
thanks 2 пользователей поблагодарили Максим Коллегин за этот пост.
Андрей Писарев оставлено 17.04.2014(UTC), lboikov оставлено 18.04.2014(UTC)
Offline Максим Коллегин  
#2 Оставлено : 17 апреля 2014 г. 15:43:50(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 5,580
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 11 раз
Поблагодарили: 536 раз в 486 постах
Российские антивирусы пока не знают такого:
https://www.virustotal.c...5ba/analysis/1397734563/

Знания в базе знаний, поддержка в техподдержке
Offline blangel  
#3 Оставлено : 17 апреля 2014 г. 15:46:59(UTC)
blangel

Статус: Новичок

Группы: Участники
Зарегистрирован: 26.09.2013(UTC)
Сообщений: 4
Российская Федерация
Откуда: СКБ Контур

Поблагодарили: 3 раз в 2 постах
Удаление службы из реестра не всегда помогает - у вируса есть вторая часть - надстройка в IE, которая умеет пересоздавать службу и запускать ее (проверено лично).

Самый простой способ, что я нашел - запустить uninstall.exe из указанной папки (точнее, там их два - запустить оба).

Вроде бы все по-честному удалилось (проверил папки и реестр + в автозапуске тоже чисто).

P.S. Авторы вируса - спасибо вам хотя бы за честность =) (в IE в надстройке играет онлайн радио VirusFM)
thanks 2 пользователей поблагодарили blangel за этот пост.
Maximus69 оставлено 18.04.2014(UTC), брэндмауер оставлено 22.12.2014(UTC)
Offline Maximus69  
#4 Оставлено : 18 апреля 2014 г. 9:03:34(UTC)
Maximus69

Статус: Участник

Группы: Участники
Зарегистрирован: 02.03.2009(UTC)
Сообщений: 18

Сказал(а) «Спасибо»: 1 раз
А можете точно указать какая папка и как называется надстройка в IE?
Offline blangel  
#5 Оставлено : 18 апреля 2014 г. 9:15:32(UTC)
blangel

Статус: Новичок

Группы: Участники
Зарегистрирован: 26.09.2013(UTC)
Сообщений: 4
Российская Федерация
Откуда: СКБ Контур

Поблагодарили: 3 раз в 2 постах
Автор: Maximus69 Перейти к цитате
А можете точно указать какая папка и как называется надстройка в IE?
Вчера разгребли еще пару десятков случаев...
Оказалось, что имя службы и имя надстройки могут меняться на почти любые 2-3 слова.
А вот папка одна и та же:
C:\Program Files\Movies Toolbar\
C:\Program Files (x86)\Movies Toolbar\
внутри заходим еще в одну подпапку, имя которой каждый раз разное,
и там внутри запускаем uninstall.exe,
затем заходим в остальные подпапки и там тоже запускаем uninstall.exe
thanks 1 пользователь поблагодарил blangel за этот пост.
lboikov оставлено 18.04.2014(UTC)
Offline Максим Коллегин  
#6 Оставлено : 18 апреля 2014 г. 15:06:27(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 5,580
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 11 раз
Поблагодарили: 536 раз в 486 постах
Если будет инсталятор тулбара- можно добавить лечилку в установщик CSP.
Знания в базе знаний, поддержка в техподдержке
Offline blangel  
#7 Оставлено : 18 апреля 2014 г. 15:27:44(UTC)
blangel

Статус: Новичок

Группы: Участники
Зарегистрирован: 26.09.2013(UTC)
Сообщений: 4
Российская Федерация
Откуда: СКБ Контур

Поблагодарили: 3 раз в 2 постах
Автор: maxdm Перейти к цитате
Если будет инсталятор тулбара- можно добавить лечилку в установщик CSP.
Вряд ли. Оказалось, что папка Movies Toolbar теперь тоже меняется на произвольное имя из 2 слов.
Offline Максим Коллегин  
#8 Оставлено : 18 апреля 2014 г. 16:16:55(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 5,580
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 11 раз
Поблагодарили: 536 раз в 486 постах
Можно детектировать по содержимому
Знания в базе знаний, поддержка в техподдержке
Offline gvittorja  
#9 Оставлено : 20 сентября 2014 г. 22:40:20(UTC)
gvittorja

Статус: Новичок

Группы: Участники
Зарегистрирован: 20.09.2014(UTC)
Сообщений: 1
Откуда: Санкт-Петербург

Автор: maxdm Перейти к цитате
Если при установке КриптоПро CSP вы получаете следующее сообщение:
Цитата:
Не удается записать значение FileName в раздел \SYSTEM\CurrentControlSet\Control\Session Manager\CProExclude\AudioDg
.
То с большой долей вероятностью Ваш компьютер заражен.
Служба зловреда выглядит и называется так, нужно удалить этот ключ реестра и перезагрузиться:
Цитата:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SafetyNutManager]
"Type"=dword:00000110
"Start"=dword:00000004
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):43,00,3a,00,5c,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,\
20,00,46,00,69,00,6c,00,65,00,73,00,5c,00,4d,00,6f,00,76,00,69,00,65,00,73,\
00,20,00,54,00,6f,00,6f,00,6c,00,62,00,61,00,72,00,5c,00,53,00,61,00,66,00,\
65,00,74,00,79,00,4e,00,75,00,74,00,5c,00,53,00,61,00,66,00,65,00,74,00,79,\
00,4e,00,75,00,74,00,4d,00,61,00,6e,00,61,00,67,00,65,00,72,00,2e,00,65,00,\
78,00,65,00,00,00
"DisplayName"="SafetyNut Manager"
"ObjectName"="LocalSystem"
"Description"="Manages SafetyNut functionality"

Спасибо коллегам из СКБ Контур!


Доброго времени суток! У меня такая же ошибка при установке программы, прочитала предыдущие посты, в своем компьютере ничего не нашла ни в реестре, ни на диске с.Подскажите, что мне делать?
Offline blangel  
#10 Оставлено : 20 сентября 2014 г. 22:58:07(UTC)
blangel

Статус: Новичок

Группы: Участники
Зарегистрирован: 26.09.2013(UTC)
Сообщений: 4
Российская Федерация
Откуда: СКБ Контур

Поблагодарили: 3 раз в 2 постах
Автор: gvittorja Перейти к цитате
Доброго времени суток! У меня такая же ошибка при установке программы, прочитала предыдущие посты, в своем компьютере ничего не нашла ни в реестре, ни на диске с.Подскажите, что мне делать?
Вирусная служба может называться по-другому. Проверьте свой компьютер с помощью DrWeb CureIt
и попробуйте поискать другие подозрительные службы в Панель управления => Администрирование => Службы.
Offline RoyalSaleGold  
#11 Оставлено : 11 марта 2015 г. 11:57:24(UTC)
RoyalSaleGold

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.04.2014(UTC)
Сообщений: 129
Мужчина
Российская Федерация
Откуда: Karafuto-Maoka

Сказал «Спасибо»: 6 раз
Поблагодарили: 9 раз в 8 постах
Проверьте свой компьютер с помощью DrWeb CureIt он ничего не находит :)
Вчера пытался общатся на форуме dr.web там модератор неразумный или не в себе.
[img=https://fotki.yandex.ru/next/users/webvopli/album/431140/view/1138701]Рассылка писем из ФНС с требованиями[/img]
Почитал их мнения,они собственно сами ждут решения ,может им кто подскажет.
Шифрует все файлы и вообщем неприятная штука.
Требует скачать TOR и заплатить выкуп за расшифровку.
Шифрование PGP /

Отредактировано пользователем 11 марта 2015 г. 11:59:54(UTC)  | Причина: Не указана

Пользователь RoyalSaleGold прикрепил следующие файлы:
txcxGqT3Qb8.jpg (72kb) загружен 21 раз(а).

У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
Offline RoyalSaleGold  
#12 Оставлено : 11 марта 2015 г. 12:48:56(UTC)
RoyalSaleGold

Статус: Активный участник

Группы: Участники
Зарегистрирован: 09.04.2014(UTC)
Сообщений: 129
Мужчина
Российская Федерация
Откуда: Karafuto-Maoka

Сказал «Спасибо»: 6 раз
Поблагодарили: 9 раз в 8 постах
аудит системы-какие права -HDR1 (или HDD ) свойства -Безопасность -Дополнительно.
ок"мы видим Аудит.
(прошу удалить) не в ту тему ответил.

Отредактировано пользователем 11 марта 2015 г. 12:53:15(UTC)  | Причина: Не указана

Offline брэндмауер  
#13 Оставлено : 13 марта 2015 г. 8:50:56(UTC)
брэндмауер

Статус: Участник

Группы: Участники
Зарегистрирован: 26.09.2013(UTC)
Сообщений: 28
Мужчина
Российская Федерация
Откуда: ООО "Компания Тензор"

Сказал «Спасибо»: 3 раз
Поблагодарили: 2 раз в 2 постах
По поводу вируса-шифровальщика - он уже много шороху навёл. Причем ни один антивирус его не определяет (пробовали актуальными и касперским и доктором вебом и авастом), так что здесь спасёт только разум чтобы не открывать подозрительные файлы
В нашей стране можно все!!! ...только по-тихому
Offline Ирина П  
#14 Оставлено : 13 марта 2015 г. 9:02:52(UTC)
Ирина П

Статус: Новичок

Группы: Участники
Зарегистрирован: 13.03.2015(UTC)
Сообщений: 1
Откуда: Красноярск

Добрый день, не могу установить криптопро 3.6, ранее в течении года все работало отлично, затем программа перестала видеть подпись, на форуме прочитала о переустановке криптопро, 3.9 установила без проблем, но мне пояснили, что за нее нужно доплачивать и в ней нет необходимости сейчас, поэтому решили, все вернуть как было и теперь никак не могу установить версию 3.6
Вложение(я):
ошибка.pdf (298kb) загружен 26 раз(а).

У Вас нет прав для просмотра или загрузки вложений. Попробуйте зарегистрироваться.
Offline Максим Коллегин  
#15 Оставлено : 13 марта 2015 г. 10:08:49(UTC)
Максим Коллегин

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC)
Сообщений: 5,580
Мужчина
Откуда: КРИПТО-ПРО

Сказал «Спасибо»: 11 раз
Поблагодарили: 536 раз в 486 постах
а как с вирусами на машине? лучше бы вылечить.
Знания в базе знаний, поддержка в техподдержке
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.