Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

вирус меняет в реестре ключ

1 2 След.
RSS
 
Дмитрий
Дмитрий
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 12.05.2011
Размещено 12.05.2011 21:02:42
Здравствуйте! Ребята,помогите пожалуйста разобраться с проблемой! После сканирования NODом вирус меняет в реестре ключ и пользователь не может войти в систему,приходиться грузиться с LIVE CD и обратно менять ключ. Вирус делает его таким (C:\WINDOWS\missAU.exe) тип вируса-Win32/TrojanDownloader.Autoit.NBD. Причем NOD его как бы удаляет но он тупо прописывается в реестре. Замучился уже... Помогите..  (NOD32.4)
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 12.05.2011 21:04:04
Цитата
Дмитрий пишет:
Здравствуйте! Ребята,помогите пожалуйста разобраться с проблемой! После сканирования NODом вирус меняет в реестре ключ и пользователь не может войти в систему,приходиться грузиться с LIVE CD и обратно менять ключ. Вирус делает его таким (C:\WINDOWS\missAU.exe) тип вируса-Win32/TrojanDownloader.Autoit.NBD. Причем NOD его как бы удаляет но он тупо прописывается в реестре. Замучился уже... Помогите.. (NOD32.4)

Лог вот такой выполните
http://forum.esetnod32.ru/forum9/topic683/

Спасибо.
 
Дмитрий
Дмитрий
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 12.05.2011
Размещено 12.05.2011 21:08:51
Спасибо большое
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 12.05.2011 21:25:35
Цитата
Дмитрий пишет:
Спасибо большое

Возникают сложности по созданию лога?
 
Дмитрий
Дмитрий
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 12.05.2011
Размещено 12.05.2011 21:52:20
Еще один вопрос. Запускать прогу надо на "зараженной" машине или на поправленной? Сейчас пока все нормально, периодически "загибаются"машины. Ответьте пожелуйста
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 12.05.2011 21:54:54
Цитата
Дмитрий пишет:
Еще один вопрос. Запускать прогу надо на "зараженной" машине или на поправленной? Сейчас пока все нормально, периодически "загибаются"машины. Ответьте пожелуйста

Выложите сначала для "поправленной" пострим на лог.
 
dimasastana
dimasastana
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 25.05.2011
Размещено 26.05.2011 06:36:24
Здравствуйте!Мой напарник не указал название продукта ESET Smart Security Business Edition 32-bit, а ситуация описана верно.....Вот логи с машин URIST3_с зараженной URIST2_ с уже пролеченной с поправленным реестром. Обидно однако Всегда NOD уважал, НО СКАНЕР КАСПЕРА незатейливо и аккуратно убрал эту заразу с компа. И никаких проблем с входом в Windows :( А так у меня в конторе из за C:\WINDOWS\missAU.exe ЖУТКИЙ ГЕМОР! Скажите как "художник художнику, я чет не понимаю, нужно как то настроить антивирус или это такая "специфика" NOD32"
Спасибо!
 
santy
santy
Администратор
Сообщений: 17973
Баллов: 28756
Регистрация: 16.03.2010
Размещено 26.05.2011 06:58:13
по машине urist3
---
1. выполните скрипт в uVS,
перезагрузка
2. пробуем обновить антивирус, выполнить полное сканирование;

далее,
3. архив из папки uVS (с копиями вирусов для вирлаба, имя автоматически формируется от текущей даты, например: 2010-10-04_13-30-55.rar/7z)
... отправить в почту [email protected], [email protected];
*** если архив не был создан автоматически, самостоятельно добавьте папку ZOO из каталога uVS в архив с паролем infected

далее,
4. запостить новый лог uVS для контроля выполнения скрипта
ждем дальнейших рекомендаций.
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17973
Баллов: 28756
Регистрация: 16.03.2010
Размещено 26.05.2011 07:00:29
если есть проблемы по машине urist2, или необходимо долечение здесь, на форуме, сделайте отдельную тему по данной машине (с образом автозапуска по данной машине), чтобы не было путаницы по логам, скриптам, и проч.
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17973
Баллов: 28756
Регистрация: 16.03.2010
Размещено 26.05.2011 07:12:56
Цитата
Дмитрий пишет:
Здравствуйте! Ребята,помогите пожалуйста разобраться с проблемой! После сканирования NODом вирус меняет в реестре ключ и пользователь не может войти в систему,приходиться грузиться с LIVE CD и обратно менять ключ. Вирус делает его таким (C:\WINDOWS\missAU.exe) тип вируса-Win32/TrojanDownloader.Autoit.NBD. Причем NOD его как бы удаляет но он тупо прописывается в реестре. Замучился уже... Помогите..  (NOD32.4)
скорее всего, missaU.exe сразу прописываается в реестре, заменяя userinit.exe таким образом.

Цитата
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
C:\WINDOWS\missAU.exe
т.к. в данном ключе отсутствует userinit.exe,
правильнее было бы вирусу прописаться так:
Цитата
userinit.exe, C:\WINDOWS\missAU.exe
либо это злой умысел, либо ошибка вирусописателя.

именно такая запись в реестре в зараженной системе URIST3 по указанным логам
Цитата
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
C:\WINDOWS\missAU.exe
и удаление сканером данного файла приводит к ошибке входа в систему.

Здесь явная недоработка разработчиков  ESET NOD32, если они удаляют данный файл, и не проверяют при этом правильность записи в реестре.
[ Как создать образ автозапуска? ]
 
1 2 След.
Читают тему