Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

УСИЛЕННЫЙ РЕЖИМ

1 2 3 4 След.
RSS
 
NGUgeneral
NGUgeneral
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 24.06.2011
Размещено 24.06.2011 22:39:19
Доброго времени суток.
Аналогичная проблема, все не было времени пофиксить.
Лог в аттаче.
Заранее благодарен.
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 24.06.2011 22:45:44
Выполнить скрипт в программе UVS (Меню Файл - выполнить скрипт из файла)
Скрипт будет в файле 1.txt

ПК перезагрузится.

После переустановить антивирус, обновить и выполнить полный скан ПК.

Спасибо.
 
NGUgeneral
NGUgeneral
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 24.06.2011
Размещено 24.06.2011 23:00:24
Спасибо за помощь и оперативный ответ в столь позднее время :)
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 24.06.2011 23:04:38
Цитата
NGUgeneral пишет:
Спасибо за помощь и оперативный ответ в столь позднее время
;)
Выполните также вот это
http://forum.esetnod32.ru/forum9/topic751/
 
marshal64
marshal64
Пользователь
Сообщений: 1023
Баллов: 818
Регистрация: 16.03.2010
Размещено 25.06.2011 23:06:00
Смотрю на поток одних и тех же тем. Возникли вопросы.
Что за троян/вирус? Уже детектируется нодом?
Как происходит заражение и где прописывается?
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 26.06.2011 06:08:22
Цитата
marshal64 пишет:
Смотрю на поток одних и тех же тем. Возникли вопросы. Что за троян/вирус? Уже детектируется нодом? Как происходит заражение и где прописывается?

Вирус ловится в контакте, нод уже вроде как ловит все файлы.
 
marshal64
marshal64
Пользователь
Сообщений: 1023
Баллов: 818
Регистрация: 16.03.2010
Размещено 26.06.2011 12:25:33
Цитата
нод уже вроде как ловит все файлы
Хотелось бы тогда название узнать, чтобы почитать о вирусе.
Наверное, как обычно: автозагрузка, хостс, и все дела...
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 26.06.2011 14:15:40
Цитата
marshal64 пишет:
Хотелось бы тогда название узнать, чтобы почитать о вирусе. Наверное, как обычно: автозагрузка, хостс, и все дела...

Можно увидеть такую картину...

[Windows 5.1.2600 SP3 Service Pack 3]
вирусы:        

  _a variant of Win32/Delf.QCZ_
  _a variant of Win32/TrojanDownloader.Delf.QCY_

ПОДОЗРИТ.  | C:\DOCUME~1\ADMIN\LOCALS~1\TEMP\2886919.EXE
(HKLM\Software\Microsoft\Windows\CurrentVersion\Run\2886919.exe
"C:\DOCUME~1\Admin\LOCALS~1\Temp\2886919.exe")

ПОДОЗРИТ.  | C:\DOCUME~1\ADMIN\LOCALS~1\TEMP\4206755.EXE
ПОДОЗРИТ.  | C:\DOCUME~1\ADMIN\LOCALS~1\TEMP\4567054.EXE
ПОДОЗРИТ.  | C:\DOCUME~1\ADMIN\LOCALS~1\TEMP\6815855.EXE
ПОДОЗРИТ.  | C:\DOCUME~1\ADMIN\LOCALS~1\TEMP\7596880.EXE
ПОДОЗРИТ.  | C:\DOCUME~1\ADMIN\LOCALS~1\TEMP\7912408.EXE
ПОДОЗРИТ.  | C:\DOCUME~1\ADMIN\LOCALS~1\TEMP\9480627.EXE
ПОДОЗРИТ.  | C:\DOCUME~1\ADMIN\LOCALS~1\TEMP\9509394.EXE
ПОДОЗРИТ.  | C:\DOCUMENTS AND SETTINGS\ADMIN\CBZVL.EXE
C:\WINDOWS\L1REZERV.EXE
C:\WINDOWS\SERVICES32.EXE
C:\WINDOWS\UPDATE.TRAY-3-0-LNK\SVCHOST.EXE
C:\WINDOWS\UPDATE.TRAY-3-0\SVCHOST.EXE
C:\WINDOWS\UPDATE.5.0\SVCHOST.EXE
C:\WINDOWS\UPDATE.2\SVCHOST.EXE
C:\WINDOWS\UPDATE.1\SVCHOST.EXE
C:\WINDOWS\SYSDRIVER32.EXE

C:\WINDOWS\SYSDRIVER32_.EXE
(HKLM\Software\Microsoft\Windows\CurrentVersion\Run\sysdriver­32_.exe
"C:\WINDOWS\sysdriver32_.exe" rezerv)

C:\WINDOWS\SYSTEMUP.EXE
(HKLM\Software\Microsoft\Windows\CurrentVersion\Run\systemup
"C:\WINDOWS\systemup.exe" stand)
____________________________________________________________­____
Файл отсутствует:
C:\PROGRAM FILES\ESET\ESET SMART SECURITY\EGUI.EXE
C:\PROGRAM FILES\ESET\ESET SMART SECURITY\EHTTPSRV.EXE
C:\PROGRAM FILES\ESET\ESET SMART SECURITY\EKRN.EXE
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 26.06.2011 14:18:55
1. скорее всего инсталлятор, т.е. пользователь сам его за пускает из каких-то соображений. (соц. инженерия, видимо.)

Цитата
Полное имя                  C:\DOWNLOADS\ПРОГРАММЫ\FLASH-PLAYER.EXE
Имя файла                   FLASH-PLAYER.EXE
Тек. статус                 ВИРУС [Запускался неявно или вручную]
                           
Сохраненная информация      на момент создания образа
Статус                      [Запускался неявно или вручную]
Размер                      1172992 байт
Создан                      20.06.2011 в 20:32:43
Изменен                     20.06.2011 в 20:32:54
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Доп. информация             на момент обновления списка
SHA1                        88E325DCA277FFF1F37A8E59BE01CE61908DEF6C
MD5                         D2A3874D904978ED4FFAC21CF671BC10
                           
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 26.06.2011 14:21:14
2. прибивает антивир, причем не только ESET NOD32, видел сообщения по КИС 2011, Comodo....

Цитата
Полное имя                  C:\PROGRAM FILES\ESET\ESET SMART SECURITY\EKRN.EXE
Имя файла                   EKRN.EXE
Тек. статус                 сервис в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      сервис в автозапуске
Инф. о файле                Системе не удается найти указанный путь.
Цифр. подпись               проверка не производилась
                           
Ссылки на объект            
Ссылка                      HKLM\System\CurrentControlSet\Services\ekrn\ImagePath
ImagePath                   "C:\Program Files\ESET\ESET Smart Security\ekrn.exe"
ekrn                        тип запуска: Авто (2)


Цитата
Полное имя                  C:\PROGRAM FILES\ESET\ESET SMART SECURITY\EGUI.EXE
Имя файла                   EGUI.EXE
Тек. статус                 в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
Инф. о файле                Системе не удается найти указанный путь.
Цифр. подпись               проверка не производилась
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows\CurrentVersion\Run\egui
egui                        "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
Изменено: santy - 26.06.2011 14:21:38
[ Как создать образ автозапуска? ]
 
1 2 3 4 След.
Читают тему