Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

hzmksreiuojy , трафик ссыпиться с hzmksreiuojy на мой хост.

1 2 3 След.
RSS
 
Александр Подлесный
Александр Подлесный
Пользователь
Сообщений: 30
Баллов: 15
Регистрация: 31.07.2014
Размещено 31.07.2014 16:51:23
Здравствуйте Уважаемые Тех. специалисты, форумчани!
У меня вот такая проблема на сервере gateway.
Пользуюсь лицензионным антивирусом ESET Endpoint.
Он постоянно блокирует обращение каких-то разных хостов, IP по адресу
http://hzmksreiuojy.ru/ldr.php
http://hzmksreiuojy.biz/ldr.php

Я не знаю, каким образом можно решить этот вопрос.
В службах ничего не нашел подозрительного, по TCPview тоже не вижу откуда происходит запуск и куда обращается.
Но вижу что много пакетов идут в обращения моего хоста.

Можете что то по рекомендовать? от есета или же альтернативные решения.

Спасибо за рассмотренный вопрос.

С Уважением.
 
santy
santy
Администратор
Сообщений: 17971
Баллов: 28752
Регистрация: 16.03.2010
Размещено 31.07.2014 16:58:43
добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

можно из безопасного режима системы
[ Как создать образ автозапуска? ]
 
Александр Подлесный
Александр Подлесный
Пользователь
Сообщений: 30
Баллов: 15
Регистрация: 31.07.2014
Размещено 01.08.2014 11:47:44
Здравствуйте, Уважаемый Модератор.
Спасибо за Ваши рекомендации и правила.
Я сделал следующее:
1. При обычном запуске Windows и запуска uVS , снятия образа не получилось, сразу дает синий экран.
это так должно быть или это о чем то уже говорит??
2. При загрузки в безопасном режиме с сетевыми драйверами, запустил uVS  и снял полный образ.
http://rghost.ru/57199266

Высылаю его Вам.
Хотел узнать как его анализировать и на что ориентироваться?
какие есть проблемы ?
Как их можно устранить?

Спасибо Вам за оказанное внимание и помощь.

С Уважением.
 
santy
santy
Администратор
Сообщений: 17971
Баллов: 28752
Регистрация: 16.03.2010
Размещено 01.08.2014 12:07:07
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.83 BETA 11 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
delall %SystemDrive%\PROGRAMDATA\SEARCH PROTECTION\SEARCHPROTECTION.EXE
delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

+
добавьте логи расширений браузеров
http://forum.esetnod32.ru/forum9/topic7084/
[ Как создать образ автозапуска? ]
 
Александр Подлесный
Александр Подлесный
Пользователь
Сообщений: 30
Баллов: 15
Регистрация: 31.07.2014
Размещено 01.08.2014 12:49:22
Я выполнил код, потом перезагрузка пошла, и все равно ситуация не изменилась.
Все равно идут какие то обращения, и ESET их блокирует.
Malwarebytes Anti-Malware я изначально пробовал, но он ничего не обнаружил и не нашел.
а 3ий вариант не пробовал, он что может сделать?
 
santy
santy
Администратор
Сообщений: 17971
Баллов: 28752
Регистрация: 16.03.2010
Размещено 01.08.2014 12:59:15
показать какие установлены расширения в браузерах. если добавлены левые расширения (они могут быть причиной соединений, которые детектирует Есет, то их надо будет отключить.)
Изменено: santy - 01.08.2014 13:00:14
[ Как создать образ автозапуска? ]
 
Александр Подлесный
Александр Подлесный
Пользователь
Сообщений: 30
Баллов: 15
Регистрация: 31.07.2014
Размещено 01.08.2014 13:11:34
да, произвел результата нет.
Просто идет какой то трафик на мой хост и есет его блокирует.
и оно идет постоянное обращение.
Как можно про анализировать обращения или блокирования?
у меня там стоит Kerio WinRoute
есть ли методы через AVZ и скрипт к этому вирусу или обращения от сайта hzmksreiuojy.biz/ldr.php
 
santy
santy
Администратор
Сообщений: 17971
Баллов: 28752
Регистрация: 16.03.2010
Размещено 01.08.2014 13:17:01
Александр, по правилам форума вы должны добавить все логи для анализа, которые мы запрашиваем.
[ Как создать образ автозапуска? ]
 
Александр Подлесный
Александр Подлесный
Пользователь
Сообщений: 30
Баллов: 15
Регистрация: 31.07.2014
Размещено 01.08.2014 13:35:42
Понял Вас.
Вот выкладываю.
 
santy
santy
Администратор
Сообщений: 17971
Баллов: 28752
Регистрация: 16.03.2010
Размещено 01.08.2014 13:58:04
сорри, последнюю ссылку неверную дал на ccleaner

еще раз
добавьте логи расширений браузеров
http://forum.esetnod32.ru/forum9/topic10570/
[ Как создать образ автозапуска? ]
 
1 2 3 След.
Читают тему