Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Помогите пожалуйста!

1 2 След.
RSS
 
mixpepper22
mixpepper22
Пользователь
Сообщений: 32
Баллов: 16
Регистрация: 26.11.2011
Размещено 23.02.2012 22:31:29
Помогите пожалуйста, даже не знаю как объяснить.
Недавно была видимо ддос атака на мой сайт, позаражали ифреймом и на комп кое что передалось, вроде бы все почистил. А сегодня после 10-15минут в инете Нод начинает сильно грузить проц (50%) и ничего не сделаешь, только кнопочкой ресет...
И еще начала выскакивать при входе в систему окно: windows не удалось найти C:\Documents and Settings\Администратор\winlogon.exe
Изменено: mixpepper22 - 23.02.2012 22:32:15
 
santy
santy
Администратор
Сообщений: 17971
Баллов: 28752
Регистрация: 16.03.2010
Размещено 23.02.2012 22:37:10
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\WINLOGON.EXE
delall %SystemRoot%\DEBUG\RGLOM.EXE
deltmp
delnfr
regt 12
restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
[ Как создать образ автозапуска? ]
 
mixpepper22
mixpepper22
Пользователь
Сообщений: 32
Баллов: 16
Регистрация: 26.11.2011
Размещено 23.02.2012 23:05:44
Все сделал, вроде бы все нормально, окно исчезло, но через 15-16 минут нод опять начал грузится ((
малваребайтом прошелся - ничего...
еще лог

сейчас вот обновляю нод до 5.0.95

Были кстати проблемы наверное из за этого с браузером хром, сам по себе вылетал, после скрипта в uvs не вылетел, сейчас опять вылетел ((
Изменено: mixpepper22 - 23.02.2012 23:17:48
 
santy
santy
Администратор
Сообщений: 17971
Баллов: 28752
Регистрация: 16.03.2010
Размещено 23.02.2012 23:22:34
в образе, кроме этой записи более ничего нет подозрительного
---------
Цитата
Полное имя                  C:\WINDOWS\SYSTEM32\GHETID.DLL
Имя файла                   GHETID.DLL
Тек. статус                 сервисная_DLL в автозапуске [SVCHOST]
                           
Сохраненная информация      на момент создания образа
Статус                      сервисная_DLL в автозапуске [SVCHOST]
Инф. о файле                Не удается найти указанный файл.
Цифр. подпись               проверка не производилась
                           
Ссылки на объект            
Ссылка                      HKLM\System\CurrentControlSet\Services\psbzc\Parameters\Serv­iceDLL
ServiceDLL                  C:\WINDOWS\system32\ghetid.dll
сделайте лог ESET Inspector из интерфейса антивируса.
[ Как создать образ автозапуска? ]
 
mixpepper22
mixpepper22
Пользователь
Сообщений: 32
Баллов: 16
Регистрация: 26.11.2011
Размещено 23.02.2012 23:36:04
Цитата
   
сделайте лог ESET Inspector из интерфейса антивируса.
Создал. как теперь его отправить? где он находится?

Кстати заметил нод начинает грузить когда инет подключен 15 минут...
Изменено: mixpepper22 - 23.02.2012 23:38:05
 
mixpepper22
mixpepper22
Пользователь
Сообщений: 32
Баллов: 16
Регистрация: 26.11.2011
Размещено 23.02.2012 23:39:43
Я так понял сохранить файл журнала!?
 
mixpepper22
mixpepper22
Пользователь
Сообщений: 32
Баллов: 16
Регистрация: 26.11.2011
Размещено 24.02.2012 00:33:14
Какие дальнейшие мои действия? И вообще можно ли как то это исправить, может нод вообще переустановить?
Сижу по 15минут (((
 
santy
santy
Администратор
Сообщений: 17971
Баллов: 28752
Регистрация: 16.03.2010
Размещено 24.02.2012 10:57:41
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\FJCCKNNHDNKBANJILPJDDJHMKGHMACHN\1.0.29_0\PLUGIN\CONVENIENCE.DLL
delall %Sys32%\GHETID.DLL
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\APPLICATION DATA\YAHOO!\BROWSERPLUS\2.9.8\PLUGINS\YBPADDON_2.9.8.DLL
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
----------
[ Как создать образ автозапуска? ]
 
mixpepper22
mixpepper22
Пользователь
Сообщений: 32
Баллов: 16
Регистрация: 26.11.2011
Размещено 24.02.2012 19:39:08
santy Вчера ночью решился переустановить нод, все установил с нуля, проблема решилась.
Но скрипт я этот все таки выполнил!
Кстати а что за скрипт, я так понял удалились кэши браузеров и какая то библиотека dll связанная с  svchost, когда выполнялся скрипт было окошко, "удалить библиотеку dll (дальше не помню), но svchost не будет удален". Я думаю это не смертельно?
 
santy
santy
Администратор
Сообщений: 17971
Баллов: 28752
Регистрация: 16.03.2010
Размещено 24.02.2012 19:55:09
да, svchost не должен был удалиться, а удалиться должна была левая служба с сервисной dll. это из серьезного,
остальное простые очистки кэша, темпов и прочее.
-----------
раз все благополучно решилось,
выполните наши рекомендации по безопасном работе
http://forum.esetnod32.ru/forum9/topic3998/
[ Как создать образ автозапуска? ]
 
1 2 След.
Читают тему