Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

Возникают интересные ключи в реестре , Почему малваре байтс ругается

1
RSS
 
LOVCHIY
LOVCHIY
Пользователь
Сообщений: 86
Баллов: 68
Регистрация: 15.12.2010
Размещено 19.10.2011 11:33:28
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\egui.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ekrn.exe (Security.Hijack) -> Delete on reboot.


Вот эти ключи. В штате 50 ПК. На 10 ПК после проверки малваре дает вот такой результат.
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 19.10.2011 11:51:11
похоже на работу вируса. сам Нод стартует?
сделай лог Малвара и uVS - http://forum.esetnod32.ru/forum9/topic683/
Правильно заданный вопрос - это уже половина ответа
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 19.10.2011 11:59:52
НОД не будет стартовать, в том случае если прописан отладчик, но интерес представляет не записи из лога МБАМ, а образ автозапуска такой системы.
[ Как создать образ автозапуска? ]
 
LOVCHIY
LOVCHIY
Пользователь
Сообщений: 86
Баллов: 68
Регистрация: 15.12.2010
Размещено 19.10.2011 14:11:54
вот лог
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 19.10.2011 14:17:18
вообще то в этом образе на egui нет выше указанных ссылок

Цитата
Полное имя                  C:\PROGRAM FILES\ESET\ESET NOD32 ANTIVIRUS\EGUI.EXE
Имя файла                   EGUI.EXE
Тек. статус                 АКТИВНЫЙ ПРОВЕРЕННЫЙ в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ПРОВЕРЕННЫЙ в автозапуске
Размер                      2145000 байт
Создан                      07.04.2010 в 21:07:04
Изменен                     07.04.2010 в 21:07:04
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано "ESET, spol. s r.o."
                           
Оригинальное имя            egui.exe
Версия файла                4.2.40.10
Версия продукта             4.2.40.10
Описание                    ESET GUI
Продукт                     ESET Smart Security
Copyright                   Copyright © ESET 1992-2010. All rights reserved.
Производитель               ESET
                           
Доп. информация             на момент обновления списка
pid = 2016                  SEREDA\Середа
CmdLine                     "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
Процесс создан              11:22:45 [2011.10.19]
С момента создания          02:40:20
parentid = 492              C:\WINDOWS\EXPLORER.EXE
SHA1                        02E95F078D9DE02AADFB1ECF67625D8104965B10
MD5                         126EED659167ECFD15E277301DD80470
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows\CurrentVersion\Run\egui
egui                        "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
                           

а реально на этой системе есть ссылки в реестре, которые указаны выше?
[ Как создать образ автозапуска? ]
 
LOVCHIY
LOVCHIY
Пользователь
Сообщений: 86
Баллов: 68
Регистрация: 15.12.2010
Размещено 21.10.2011 08:33:29
Ссылки удалила малваре байт. После перезагрузки. Как встретиться еще на каком либо пк такое чудо, то удалять не буду а сразу образ вам залью. Посмотрите. А этот образ делался после работы малваре. А вообще можно узнать как нод прописался в строку реестра имеено ту что малваре увидел. Поидее он пишется совсем в другое место реестра даже в другой куст.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 21.10.2011 09:35:36
Ну, вы сами понимаете, что образ вылеченной системы мало интересен для анализа, куда прописывается вирус.
[ Как создать образ автозапуска? ]
 
1
Читают тему