Мы разрабатываем сервис удаленного доступа с названием PRO32 Connect https://pro32connect.ru/. Столкнулись с проблемой работы нашего приложения на компьютерах с вашим антивирусом. При попытке установки сервиса Windows с названием “PRO32 Connect” антивирус считает это подозрительным действием и удаляет исполняемый файл.
Опытным путём выяснили что антивирусу не нравится "32" в названии сервиса, сервис с именем “PRO Connect” устанавливается без проблем.

К сожалению мы не можем поменять название сервиса, так как наши текущие пользователи столкнуться с проблемами.

Добавление в белый список приложения по хэш сумме для нас не подходит так-как блокировка происходит именно по имени нашего сервиса и в новых версиях снова будет происходить блокировка, так антивирус реагирует именно на имя сервиса.

Добавьте, пожалуйста, имя сервиса Windows “PRO32 Connect” в белый список ваших разрешенных сервисов для Windows.

kl_to_1c.txt.[d6cdb5cc7f].[*****@*****.tld].nigra

есть ли решение проблемы?

требуют денги  штоби рашифраватю

Есть такая софтина, Ace stream media, позволяющая смотреть фильмы через торрент-протокол, не загружая их предварительно. Разработчик, насколько я помню, проживает на территории Украины.

В состав установки входит, собственно, движок программы, который подгружает необходимый фрагмент видео в папку с кэшем, и модифицированный для этой задачи VLC проигрыватель.

Разумеется, плеер предполагает возможность "раздавать" скачанный кэш во время просмотра другим пользователям. Именно тут и обустроена ловушка: движок программы, насколько я могу судить, использует компьютер и IP адрес пользователя в качестве прокси для закачки торрентов кем-то ещё (возможно, оформившем "премиум" подписку на других сервисах).

Как я пришёл к таким выводам? Существует сервис "iknowwhatyoudownload", где по IP адресу всем желающим предоставляется доступ к истории загруженных данных через торрент-протокол. Какое-то время назад я заметил, что там появились файлы, которые я совершенно точно не качал. Понимая, к чему это может привести (загрузке кем-то 100% криминального контента с моего IP адреса), проверил на вирусы все домашние устройства, включил в маршрутизаторе привязку устройств по мак-адресу... но история несколько раз повторилась

Через какое-то время до меня дошло, что время попадания "неизвестных" закачек в список в точности совпадает со временем запуска движка ace stream media, конкретно версии 3.1.28. Таким образом, данный софт безоговорочно является вредоносным инструментом в руках его разработчика.

К сожалению, практически все вендоры на virustotal рассматривают установочный файл Ace_Stream_Media_3.1.28 как безопасный, также как и продукты Касперского. В то время как, учитывая механизм его использования, угрозу для безопасности и благополучия пользователей, он несёт, без преувеличения, максимальную.

К зашифрованным файлам приложен текстовый файл с содержанием: 

!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: *****@*****.tld
In case of no answer in 24h, send e-mail to this address: *****@*****.tld
All your files will be lost on 13 декабря 2022 г. 23:46:45.
Your SYSTEM ID : 2C448228

Моя логика подсказывает что вредоносный код прописан в vbios видеокарты. И при пуске инфицирует основной раздел UEFI.
Если есть идеи - буду признателен) Сжечь все это хозяйство - пока рука не поднимается. На опыты - никто не берет. Новую сборку не хочу делать пока с этой полностью не разберусь. Пациент находится в С-Пб.

У меня на борту: Windows 10 x64 22H2 build 19045.4046 + Kaspersky Premium с последними обновлениями.
Версия крайнего дистрибутива CyberBackupPersonal: v26.4.1.41990.exe. После установки, в поведении ПО обнаружен троян.
Сам дистрибутив от вирусов чист. Т.е. именно поведение самого ПО из коробки подозрительно.
К установщику вопросов нет. Есть проблемы с самим ПО. Уже после установки, при запуске ПО, Kaspersky полностью блокирует и удаляет подозрительные файлы.

После удаления ПО, в каталоге продукта остаётся tishell64_26_4_41990.dll (tishell64_26_3_39520.dll на предыдущей версии). 
Анализ dll в File Locksmith (MS Power Toys) и завершение связанных процессов (это отдельный вопрос каким образом) - не даёт доступа на удаление файла.
Чтобы её удалить, необходимо поиграться с правами доступа. Что тоже есть подозрительно.

Что предлагает Техническая Поддержка от разработчика:
- Добавить в исключения каталог с ПО (подозрительно).
- Дистрибутив CyberBackupPersonal v26.3.1.39520.exe предоставить отказались (подозрительно).
- Прислать файла на анализ (Kaspersky Premium их удаляет, в исключения точно нет желания это добавлять).

Открыл журнал защиты, а там два адреса остановленных переходов с интервалом в 2 секунды. Один по которому я перешел, второй же адрес начинается так же но после знака "/" другой путь.

Вопрос: Как работает остановка перехода? Он превентивно останавливает переход (сверив сайт с базой) и никакого вреда не могло в принципе нанестись мне или же с сайта что то начинает грузится и только после этого обрывает соединение? Вторая заблокированная ссылка, не свидетельствует ли о том что с сайта что то началось грузится по второму адресу ?

 P.S. Можно мне куда то написать эти мошеннические ссылки, что бы кто то проанализировал и разъяснил как меня пытался развести/навредить недруг? Можно ли их написать Здесь?

p.p.s. Версия приложения 21.16.6.467.   Windows 10

Предполагаю, что это из-за того, что после продажи бесплатного домена narod -> платному uCoz я не стал платить им.

Но это было уже несколько лет назад и всё было нормально. А с 12.2.24 Вы что-то там "нашли".

Что там стало "не так"?

ссылку прилагаю:

На ноуте уже лет пять стоит KMS, который активирую, когда появляется сообщение от виндовс. Но при последней активации KMS повёл себя странно - появился запрос на установку TAP-адаптера, затем принудительная установка GVLK с ключами. До этого я никогда не получала этих сообщений, я не обновляла KMS, пользовалась в обычном режиме. Я отказалась от установки, но она всё равно произошла. После этого в ProgramData появилась вторая папка KMSAutoS, прямо под старой KMSAuto.

Изначально у меня был доступ к папке KMSAutoS, в ней был файл KMSSS.exe Я попыталась удалить папку, но не смогла. В диспетчере задач появился странный процесс из символов, букв и цифр. Я его отменила, после чего смогла удалить папку. Запустила Defender, который среагировал на kms_ini! и удалил. Но затем я обнаружила, что предупреждение появилось снова, несмотря ни на что папка восстановилась и теперь у меня нет к ней доступа.

Кроме того я обнаружила странности со смартфоном - почему-то исчезла двухфакторная аутентификация моего аккаунта, которая была у меня подключена а в браузере было открыто несколько страниц с попытками входа в мой аккаунт и одна страница справки google о Play-защите. 

Утилита Dr. Web при сканировании компьютера проигнорировала два последних пункта и завершила, ничего не обнаружив. Утилита Kaspersky, запущенная в безопасном режиме, не видит проблемы вообще.

Установила антивирус Kaspersky Premium, проблему не выявил. Ни одно из приложений не нашло вирус при сканировании указанной мной папки.

Kaspersky Premium заблокировал сайт платежей login.wmtransfer.com, на который я никогда не заходила.

Кроме того 3 приложениям был заблокирован доступ к камере и микрофону: ocsetuphlp.dll, run.bat и conexant audio message.

Что интересно, пока я писала папка KMSAutoS волшебным образом разблокировалась. Но там ерунда, на которую антивирус никак не может среагировать. До этого у папки было более пяти администраторов и мне в доступе было отказано. Иначе говоря злоумышленники полностью захватили устройство. 

Вот по этому адресу скрипты были подключены, может сможете посмотреть что с ними? Или там ничего опасного нет?

b00m.site /dumper/new/pic.js
b00m.site /dumper/new/main.js

Касперский их блокирует, говорит что HEUR:Trojan.Script.Generic

                                ВНИМАНИЕ!!!

Все ваши файлы зашифрованы криптографически стойким алгоритмом!

Без нашей помощи расшифровка невозможна! Вам нужно купить дешифратор - программу для расшифровки файлов.

В качестве гарантии наличия дешифратора у нас, отправьте нам один зашифрованный файл небольшого размера.

После оплаты мы предоставим вам программу для расшифровки.

Важно! Не удаляйте и не изменяйте зашифрованные файлы - это приведет к проблеме с восстановлением!

Не пытайтесь использовать бесплатные сторонние дешифраторы - это бесполезно и испортит все ваши файлы,
без возможности восстановления!

Не прибегайте к помощи сторонних помощников - вы переплатите им за посредничество.

Рекомендуем использовать для связи с нами почту mail.ru или gmail.com 

Если от нас долго нет ответа - проверьте папку спам.

Наши контакты:
        
- Основной адрес электронной почты: *****@*****.tld

- Дополнительный адрес электронной почты: *****@*****.tld 

Ваш личный идентификатор, укажите его в первом письме ID : 7F31424E42D9FD50FCDFDC769CE401F2 "

Если это возможно, помогите с этой проблемой, пожалуйста!