Страницы: 1 2 3 4 5 6 След.
RSS
eset_sysrescue на базе Linux от ESET RUSSIA, загрузочный диск на базе Linux с установленным ESET NOD32 4 for Linux Desktop
 
используем данный загрузочный диск для лечения системы от файловых вирусов.

1. скачиваем отсюда.
http://esetsupport.ru/eset_sysrescue.iso
2. пишем на CD или usb согласно инструкции,
3. устанавливаем в BIOS приоритет загрузки системы с CD или USB
4. выходим на экран.

выбираем режим: Eset Live-CD graphics mode
далее, грузится система,
5 и выходим на рабочий стол

6. обновляем базы данных, если необходимы актуальные базы
( по ссылке здесь http://www.esetnod32.ru/.download/livecd/ вы можете увидеть дату последней сборки баз данных на диске)

7. выбираем цель сканирования

8. и устанавливаем режим тщательной очистки

9. запускаем процесс сканирования,
при настроенной сети вы можете использовать встроенный браузер для поиска необходимой информации на esetnod32.ru, или для консультаций на форуме forum.esetnod32.ru
Изменено: santy - 25.05.2012 12:18:23
 
вопрос к разработчикам загрузочного диска - какие действия выполняет функция user_init.fix, запускаемая с рабочего стола.

имеем такой отзыв

Цитата
Winlok банер. закрыл все возможные лазейки в ОС. не помогало вообще ни чего. Пробовал через безопасный режим, пробовал с поддержкой командной строки и т.д.
Короче решил проблему спомощью eset_sysrescue. очень приятная оказалась вещь. Она все почистила реестр привела в порядок и я включил полноценную винду, казалось бы. но увы.
Первое что я заметил это "Вход в систему невозможен. Проверьте правильность имени пользователя и домена. Пароли вводятся с учетом регистра." нажимаю ок, вижу учетные записи. ввожу пороль, вхожу значит и вижу только картинку рабочего стала и стрелку мышки. неработают комбинации кнопок, правая кнопка мышки и т.д... короче вообще ни чего не работает. пот вообще ни чего, это значит что даже конпка винды на клаве и cntr+alt+delete тоже не реагируют. даже сообщения ни какого не появляется.
Пробую через безопасный режим, пытаюсь войти в одну из учетных записей и вижу снова "Вход в систему невозможен. Проверьте правильность имени пользователя и домена. Пароли вводятся с учетом регистра." и опять выбор учетки.
http://defendium.info/showthread.php/2344-WIN-XP-SP-3!-%D0%97%D0%B0%D0%B1%D0%B0%D0%B2%D0%BD%D0%B0%D1%8F-%D1%84%D0%B8%D0%B3%D0%BD%D1%8F-%D0%BE%D1%82-%D0%BA%D0%BE%D1%82%D0%BE%D1%80%D0%BE%D0%B9-%D0%B5%D0%B4%D0%B5%D1%82-%D0%BA%D1%80%D1%8B%D1%88%D0%B0!?p=13294&viewfull=1#post13294
Изменено: santy - 07.06.2011 15:33:56
 
просьба к разработчикам Live.CD (sysrescue) добавить в скрипт userinit_fix  возможность лечение данного типа Winlock, блокирующего запуск userinit.exe через свой отладчик.
например:
--------------
Цитата
Полное имя                  C:\WINDOWS\TEMP\AS.EXE
Имя файла                   AS.EXE
Тек. статус                 ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер                      197632 байт
Создан                      21.09.2011 в 17:32:11
Изменен                     20.09.2011 в 04:03:34
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Оригинальное имя            Dope.exe
Версия файла                8.1
Описание                    Tang Teach Rims
Производитель               Stay Shone
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Тип запуска                 Неизвестный отладчик приложения(ий)
Путь до файла               Типичен для вирусов и троянов
                           
Доп. информация             на момент обновления списка
SHA1                        897EE897D0166B5A3F2C3825E7842FADC0197056
MD5                         337A03667BAD1CC78B5930C07E9B428F
                           
Ссылки на объект            
Ссылка                      HKLM\wiqteirap\Software\Microsoft\Windows\CurrentVersion\Run­\s5ch0st
s5ch0st                     C:\WINDOWS\temp\as.exe
                           
Ссылка                      HKLM\uvs_software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe\Debugger
                           
Ссылка                      HKLM\uvs_software\Microsoft\Windows\CurrentVersion\Run\s5ch0­st
s5ch0st                     C:\WINDOWS\temp\as.exe
                           
т.е. в данном случае необходимо проверить наличие в реестре
Цитата
HKLM\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe\Debugger
определить полный путь на файл отладчика,
поместить в карантин данный файл, удалить его из системы,
найти в реестре все записи, где в качестве параметра указан данный путь, и удалить данные записи из реестра.

удаление просто файла, в данном случае as.exe, не решает проблему доступа к рабочему столу.
(будет автоматическое завершение сессии, и новое приглашение ввести пароль),

удаление только записи с отладчиком приведет к старту файла локера, поскольку есть дополнительная запись в реестре откуда он может стартовать.
Изменено: santy - 21.09.2011 19:20:18
 
Огромное спасибо, santy, за полезную информацию!  :)  Обязательно добавим.
ESET Technical Support
 
Обновил скрипт Userini_fix

Ключ Debugger  удаляется, файл помещается в запароленный архив.

Еще раз спасибо santy за помощь. :D
 
Sergey Kuznetsov,
проверил на двух однотипных локерах (as.exe, ajax.exe), нормально отрабатывает скрипт userini_fix,
разблокирует доступ к рабочему столу.
но вопрос:
почему в архиве infected оказывается файл с другим именем? по размеру такой же как as или ajax.
в реестре именно эти файлы прописаны, смотрел по образу автозапуска в uVS
 
Файлу присваивается другое имя исключительно для меня) просто собираю статистику. (На каком диске установлена зараженная система.)
 
ясно,
система на диске C. естественно это виртуальная машина для тестов. :)
 
Возможно ли сделать так, чтобы после перезагрузки (образ записан на флешку) обновления сохранялись? Т.е. чтобы не приходилось каждый день новый образ скачивать и перезаписывать на флеху - обновился и всё.
Спасибо.
 
Цитата
J-Man пишет:
Возможно ли сделать так, чтобы после перезагрузки (образ записан на флешку) обновления сохранялись? Т.е. чтобы не приходилось каждый день новый образ скачивать и перезаписывать на флеху - обновился и всё.
Спасибо.

Если настройки интернета позволяют осуществить подключение и обновление непосредственно при загружен LiveCD, базы обновятся. иначе увы никак.
ESET Technical Support
Страницы: 1 2 3 4 5 6 След.
Читают тему (гостей: 1)