Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Помогите, непонятный процесс "c0r81wg.exe"

1 2 След.
RSS
 
razin
razin
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 26.01.2013
Размещено 26.01.2013 08:37:49
Приработе нетбука каждые 10-20 минут запускается процесс "c0r81wg.exe". Нот его не останавливает. Процесс ничего видимого не делает, но подгружае физ.память. Что всетаки тормозит комп. Остановка процесса в диспечере не помагает, он снова запускается (за ночь запустился около 70 раз).
 
santy
santy
Администратор
Сообщений: 17973
Баллов: 28756
Регистрация: 16.03.2010
Размещено 26.01.2013 10:05:03
добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/
[ Как создать образ автозапуска? ]
 
razin
razin
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 26.01.2013
Размещено 26.01.2013 10:46:56
Зделал, вот архив автозагрузки
 
santy
santy
Администратор
Сообщений: 17973
Баллов: 28756
Регистрация: 16.03.2010
Размещено 26.01.2013 11:17:34
архив битый, пробуйте разархивировать его на рабочий стол,

Цитата
!   D:\Soft\users\!\RAZIN-PK_2013-01-26_12-27-56!!.rar: The archive header is corrupt
!   D:\Soft\users\!\RAZIN-PK_2013-01-26_12-27-56!!.rar: The archive header is corrupt
!   D:\Soft\users\!\RAZIN-PK_2013-01-26_12-27-56!!.rar: Unexpected end of archive
!   D:\Soft\users\!\RAZIN-PK_2013-01-26_12-27-56!!.rar: No files to extract
если не получится, то переделать образ автозапуска.
и перезалейте на http://rghost.ru
Изменено: santy - 26.01.2013 12:53:33
[ Как создать образ автозапуска? ]
 
razin
razin
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 26.01.2013
Размещено 26.01.2013 13:09:32
попытка №2
 
santy
santy
Администратор
Сообщений: 17973
Баллов: 28756
Регистрация: 16.03.2010
Размещено 26.01.2013 13:24:20
опять пустой файл.

скачайте отсюда uVS 3.77
http://rghost.ru/users/santy/releases/utilitiesLiveCd/files/42696551
и еще раз выполните процедуру создания образа автозапуска обновленным uVS

так же обратите внимание, что перед запуском uVS необходимо распаковать в отдельную папку.
(вы скорее всего запускаете start.exe из архива, что не есть правильно.)

Цитата
2. Обязательно распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
Изменено: santy - 26.01.2013 13:26:44
[ Как создать образ автозапуска? ]
 
razin
razin
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 26.01.2013
Размещено 27.01.2013 06:48:27
Слил новую версию, распоковал, сделал новый образ:
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 27.01.2013 07:56:04
Здравствуйте!

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);
Код
;;uVS v3.77.5 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

bl 4005D5616283EE9DB9F62442DE469E07 40448
delref %Sys32%\PQDAAYL.DLL
zoo %SystemDrive%\USERS\RAZIN\APPDATA\LOCAL\TEMP\C0R81WG.EXE
bl 1E5E8F2142EEC42EC6AF6991114D3B06 158208
delall %SystemDrive%\USERS\RAZIN\APPDATA\LOCAL\TEMP\C0R81WG.EXE
deltmp
delnfr
delref HTTP://DOSEARCH.RU
setdns Беспроводное сетевое соединение 2\4\{80CEA95D-BE8E-408C-AC46-69B8A8F54DB9}\
setdns Беспроводное сетевое соединение\4\{A9B3F4B9-34B1-4214-9005-56E89894D311}\
setdns Подключение по локальной сети\4\{B6D18301-F8C3-44D7-97DC-97C5B1618A49}\
czoo
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
- в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например 2012-03-09_09-29-00.7z - это архив с вирусами, его нужно прислать на электронный адрес [email protected].
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.
Правильно заданный вопрос - это уже половина ответа
 
razin
razin
Пользователь
Сообщений: 7
Баллов: 3
Регистрация: 26.01.2013
Размещено 27.01.2013 14:26:47
Скрипт выполнил, архив отослал, лог Mbam здесь:
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 27.01.2013 14:29:30
не получается ваш лог просмотреть. выложите его сюда текстом.
что с проблемой?
Правильно заданный вопрос - это уже половина ответа
 
1 2 След.
Читают тему