Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 1611 1612 1613 1614 1615 1616 1617 1618 1619 1620 1621 ... 1783 След.
Баннер в контакте
 
santy
santy
Администратор
Сообщений: 17973
Баллов: 28756
Регистрация: 16.03.2010
Размещено 25.01.2011 07:36:42
[QUOTE]RP55 RP55 пишет:

Вот давно хочу предложить сделать страницу взаимопомощи.
Очевидно - Официально компания не может оказывать помощь в подобных случаях - однако данное ограничение не касается  пользователей/посетителей форума.
Соответственно - речь в данном случае идёт о взаимопомощи.
Выгода компании: Получение архивов с тем лечения и добавление новых сигнатур в базу антивируса.
[/QUOTE]
если вы заметили, мы в теме заражения оказываем помощь всем, даже пользователям других антивирусов, поскольку считаем, что оперативный сбор свежих сэмплов для вирлаба - это вещь полезная и в интересах всех пользователей Есета.
Перейти
Баннер в контакте
 
santy
santy
Администратор
Сообщений: 17973
Баллов: 28756
Регистрация: 16.03.2010
Размещено 25.01.2011 07:29:28
[QUOTE]Виктор пишет:
Предлагаю создать несколько самых простых стандартных скриптов    [/QUOTE]
простых стандартных скриптов полным полно в темах заражения - другое дело, что в каждом случае скрипт может быть уникален - разные сигнатуры, разные имена вредоносных программ, стандартная часть здесь только -

блок удаления и ZOO
...
chklst
delvir
...
зачистка
delnfr
deltmp
...
твики
...
czoo
restart
Перейти
[ Закрыто] Сообщение "Адрес заблокирован"
 
santy
santy
Администратор
Сообщений: 17973
Баллов: 28756
Регистрация: 16.03.2010
Размещено 25.01.2011 07:23:09
[QUOTE]zloyDi пишет:
Чет не нравится мне юзеринит...
[/QUOTE]
userinit похоже левый.
[QUOTE]Типичное для вирусов или содержит Non-ASCII символы
\\.\globalroot\systemroot\system32\usеrinit.exe
Имя файла слишком похоже на имя известного модуля USERINIT.EXE[/QUOTE]
Перейти
Баннер в контакте
 
santy
santy
Администратор
Сообщений: 17973
Баллов: 28756
Регистрация: 16.03.2010
Размещено 24.01.2011 22:18:55
[QUOTE]zloyDi пишет:
Немного офпота
Файл будет добавлен как
SGOPE.SYS - Win32/Rootkit.Qhost.I trojan
[/QUOTE]
отлично, продолжаем офтоп,
потому что к темам открываемым Виктором,
я отношусь не как к необходимости оказать оперативную помощь, а как к учебным вариантам :).

Мне вот сигнатура от [B]ev er[/B] помогла задетектить этот драйвер.
Перейти
Баннер в контакте
 
santy
santy
Администратор
Сообщений: 17973
Баллов: 28756
Регистрация: 16.03.2010
Размещено 24.01.2011 21:19:28
[QUOTE]RP55 RP55 пишет:
Скрипт будет у нас такой.[/QUOTE]
а смысл в таком скрипте? файл руткита остается в системе, хотя может и неактивен, в вирлаб соответственно данный сэмпл не попадает, и пользователи (ДРУГИЕ да и этот же) снова будут продолжать заражаться этим руткитом.
Перейти
Сносил nod на два дня, атеперь не могу обновить, и на сайт зайти не могу
 
santy
santy
Администратор
Сообщений: 17973
Баллов: 28756
Регистрация: 16.03.2010
Размещено 24.01.2011 21:15:33
[QUOTE]Дмитрий Чернышев пишет:
В итоге он выдал мне инфу о том что необходимо обновить систему windows.[/QUOTE]
об обновлении Win и мы вам напомним еще в конце темы лечения,
а пока выполните полное сканирование обновленным антивирусом,
а потом все таки попытайтесь скачать малваребайт, и сделать лог, о котором вам выше написал ZloyDi.
Перейти
Сносил nod на два дня, атеперь не могу обновить, и на сайт зайти не могу
 
santy
santy
Администратор
Сообщений: 17973
Баллов: 28756
Регистрация: 16.03.2010
Размещено 24.01.2011 20:53:21
[QUOTE]Дмитрий Чернышев пишет:
Теперь не могу установить malwarebytes. Нажимаю на download free version, открывается новая страничка, а где она (malwarebytes)[/QUOTE]
вы скрипт в uVS выполнили?
Перейти
NewHeur_PE вирус что за зверь и как от него избавиться
 
santy
santy
Администратор
Сообщений: 17973
Баллов: 28756
Регистрация: 16.03.2010
Размещено 24.01.2011 20:51:23
1. выполните в [b]uVS[/b] приложенный скрипт;

после перезагрузки,
2. пробуем обновить антивирус, выполнить полное сканирование;

далее,
3. архив из папки uVS (имя автоматически формируется от текущей даты, например: 2010-10-04_13-30-55.rar/7z)
*** в него автоматически помещены копии вирусов для отправки в вирлаб
... отправить в почту [b][email protected][/b], [b][email protected][/b];
*** если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем [b]infected[/b]

далее,
4. запостить новый лог uVS (предварительно поместите в архив rar).
*** просьба, каждый последующий лог переименовывать в uvs1, uvs2 и т.д.

[b]p.s.[/b]
*** просьба, пройти лечение до конца т.е. предоставить по ходу лечения другие запрашиваемые логи
*** + после завершения лечения установить обновление по всем указанным программам
Перейти
Баннер в контакте
 
santy
santy
Администратор
Сообщений: 17973
Баллов: 28756
Регистрация: 16.03.2010
Размещено 24.01.2011 20:39:12
[QUOTE]Виктор пишет:
Каспер признает как рукит, может ложное.
От DrWeb пришло письмо - Угроза: Trojan.PWS.Banker.53079[/QUOTE]

то что это руткит - несомненно. Посмотрите информацию об этом объекте.

HKLM\System\CurrentControlSet\Services\mkdrv\ImagePath
Перейти
Баннер в контакте
 
santy
santy
Администратор
Сообщений: 17973
Баллов: 28756
Регистрация: 16.03.2010
Размещено 24.01.2011 20:34:41
я предлагаю добавить еще свой скрипт - все смешать в один, и выполнить в безопасном режиме с поддержкой командной строки. :)
здесь ключевое слово - выполнить [B]в безопасном режиме.[/B]
вот. вот еще пусть RP55 тоже напишет. :).
Изменено: santy - 24.01.2011 20:35:19
Перейти
Пред. 1 ... 1611 1612 1613 1614 1615 1616 1617 1618 1619 1620 1621 ... 1783 След.