Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Win32/Spy.Banker.ZNX , Словили вирус

RSS
 
makaray
makaray
Пользователь
Сообщений: 20
Баллов: 10
Регистрация: 21.06.2013
Размещено 21.06.2013 14:22:25
Добрый день, прошу помощи в лечении от этой гадости,
при загрузке НОД обнаруживает этот вирус и пишет о невозможности лечения.
21.06.2013 14:17:48 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = svchost.exe(2456) модифицированный Win32/Spy.Banker.ZNX троянская программа очистка невозможна
Изменено: makaray - 21.06.2013 14:30:03

Ответы

Пред. 1 2 3 4 5 След.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 22.06.2013 14:24:56
ок, получил все.
попробуйте переименовать этот файл в agent.vexe и перегрузить систему.
(чтобы он не попал в автозапуск.)

посмотрим результат.
будет ESET что-то детектировать или нет.

я пока отправлю файл в вирлаб.
Изменено: santy - 22.06.2013 14:25:50
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 22.06.2013 14:31:25
судя по айпишнику, который есть в файле cfg, перекидывает куда то не туда.
https://www.nic.ru/whois/?query=198.100.144.39
айпишник канадский
в этом файле прописан.
Цитата
bifit_a.cfg
[ Как создать образ автозапуска? ]
 
makaray
makaray
Пользователь
Сообщений: 20
Баллов: 10
Регистрация: 21.06.2013
Размещено 22.06.2013 14:34:46
Цитата
santy пишет:
судя по айпишнику, который есть в файле cfg, перекидывает куда то не туда.
https://www.nic.ru/whois/?query=198.100.144.39
айпишник канадский
в этом файле прописан.
Цитата
bifit_a.cfg

ага, я тоже уже посмотрел..
точно зараза
переименовал сейчас, перегрузил, НОД не ругается, оперативка чистая..
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 22.06.2013 14:38:27
теперь надо проверить, чтобы ваш банк нормально выполнял все транзакции, файл я отправил в вирлаб, будем ждать результат.
[ Как создать образ автозапуска? ]
 
makaray
makaray
Пользователь
Сообщений: 20
Баллов: 10
Регистрация: 21.06.2013
Размещено 22.06.2013 14:39:50
я предупрежу бухгалтера, комп ее, огромное Вам спасибо за помощь!
жду результатов
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 22.06.2013 14:42:14
еще,
если для работы банка необходима java, то установите актуальную версию java

поскольку скриптом мы удалили старую версию
Цитата
; Java™ 6 Update 31
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216031FF} /quiet

возможно, через нее и пробили систему, поскольку актуальный бильд для java 6 v 45
http://www.oracle.com/technetwork/java/javase/downloads/jre6downloads-1902815.html
Изменено: santy - 22.06.2013 14:43:05
[ Как создать образ автозапуска? ]
 
makaray
makaray
Пользователь
Сообщений: 20
Баллов: 10
Регистрация: 21.06.2013
Размещено 22.06.2013 14:46:51
обновился
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 22.06.2013 14:53:56
ок, проверяйте как банк будет работать без этого "лишнего" файлика. можно дополнительно связаться с техподдержкой банка и выяснить, нужен ли этот файлик для работы банка.
Изменено: santy - 22.06.2013 14:54:46
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 22.06.2013 15:53:42
+
имеет смысл перейти на 6.0.316 версию ESET вместо четверки.

Цитата
"Модуль" = "c:\program files\eset\eset nod32 antivirus\ekrn.exe" ( 1: Безопасно ) ; ESET Service ; ESET ;
"Версия файла" = "4.2.71.3 " ( 1: Безопасно ) ;
"Имя продукта" = "ESET Smart Security" ( 1: Безопасно ) ;
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 23.06.2013 11:11:29
троянчик можно смело удалить. детект по нему уже есть в новой антивирусной базе.

Цитата
23.06.2013 14:08:28 Защита в режиме реального времени файл D:\Soft\test\agent.exe Win32/Spy.Banker.ZNX троянская программа очищен удалением - изолирован **** Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\Total Commander\Totalcmd.exe.
[ Как создать образ автозапуска? ]
 
Пред. 1 2 3 4 5 След.
Читают тему