Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Модифицированный Win32/injector.DJE

1 2 3 4 След.
RSS
 
Даниил Михайлов
Даниил Михайлов
Пользователь
Сообщений: 15
Баллов: 7
Регистрация: 03.04.2014
Размещено 03.04.2014 16:11:15
Не могу зайти в Steam.Каждый раз при попытке сделать это выскакивает окно антивируса с тревогой и остается только закрыть это окно (файл кидается в карантин).И так каждый раз,когда пытаюсь зайти в Steam.Помогите,пожалуйста,избавится от этого вируса.
Образ автозапуска:

http://rghost.ru/53738050
 
santy
santy
Администратор
Сообщений: 17974
Баллов: 28757
Регистрация: 16.03.2010
Размещено 03.04.2014 16:21:51
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код
;uVS v3.82.2 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\MEDIAGET2\MEDIAGET.EXE
addsgn 1A0E719A55839B8EF42B624E41B0F68B2575D9826D741FF37A964E50AFA365B356073C2232AAE84143A6E319467E55C396DF003452DAB0AFE96FF9ECAD0E9A25 8 mediaget

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\WINCERT\WIN32CERT.DLL
addsgn A7679B1928664D072C5FEBB9C7002205356296F689FA10CE4D460CC8573E8FB0DCE8285BB500951BC373849F46958DFEC5DEE872558772202DBB68E30BCAEEBF 64 Trojan.Siggen5.64541 [DrWeb]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\NEWNEXT.ME\NENGINE.DLL
addsgn 79132211B9E9317E0AA1AB59A52C1205DAFFF47DC4EA942D892B2942AF292811E11BC3DCC10016A57D0BF193CB50B67FBBABFC9ABACEB02CEA77B22FC706CA34 64 Trojan.Siggen6.685 [DrWeb]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1AF67A9B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian

del %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.URL
addsgn 9AC2599A55024C720BD4C635618912EDD9A5FCF60A3E131085C3C5BCB8235E4C23B44B527F55F5492B8084F7460649FA15DFE872553252032D7707ABC24722CB 8 Trojan.PWS.Panda.655 [DrWeb]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\FHFHHDGJ\APPLICATION DATA\SYSTEM32\CSRSS.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\CSRSS.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\FIRST\APPLICATION DATA\CSRSS.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\FIRST\APPLICATION DATA\SYSTEM32\SVCHOST.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\FHFHHDGJ\APPLICATION DATA\SYSTEM32\SVCHOST.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\FIRST\APPLICATION DATA\SVCHOST.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.URL
delall %SystemDrive%\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.URL
delall %SystemDrive%\PROGRA~1\MOVIES~1\DATAMNGR\MGRLDR.DLL
;------------------------autoscript---------------------------

chklst
delvir

; Get Styles for Opera
exec D:\Program Files\Get-Styles 2.0\op\uninstall.exe

; Get-Styles for Chrome
exec D:\Program Files\Get-Styles 2.0\ch\uninstall.exe

; Get-Styles for IE
exec D:\Program Files\Get-Styles 2.0\ie\uninstall.exe

; Get-Styles для ВКонтакте
exec D:\Program Files\Get-Styles 2.0\utils\uninstall.exe

; Movies Toolbar for Chrome (Dist. by Bandoo Media, Inc.)
exec D:\PROGRA~1\MOVIES~1\Datamngr\SRTOOL~1\GC\uninstall.exe /UN=GC /PID=LVD2-DTX

; Movies Toolbar for Internet Explorer (Dist. by Bandoo Media, Inc.)
exec D:\PROGRA~1\MOVIES~1\Datamngr\SRTOOL~1\IE\uninstall.exe /UN=IE /PID=LVD2-DTX

; WebConnect 3.0.0
exec D:\Program Files\WebConnect\WebConnectuninstall.exe

; Java(TM) 6 Update 7
exec MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160070} /quiet

; Protected Search 1.1
exec D:\Program Files\Protected Search\unins000.exe

deltmp
delnfr
;-------------------------------------------------------------
CZOO
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
Изменено: santy - 03.04.2014 16:31:50
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17974
Баллов: 28757
Регистрация: 16.03.2010
Размещено 03.04.2014 16:36:34
+
вопрос:
эта версия ESET NOD32 чего делает на компе, если уже год а то и два не выпускают для нее антивирусные базы

Цитата
Полное имя                  D:\PROGRAM FILES\ESET\NOD32KRN.EXE
Имя файла                   NOD32KRN.EXE
Тек. статус                 АКТИВНЫЙ сервис в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ сервис в автозапуске
File_Id                     46440BE689000
Linker                      6.0
Размер                      552064 байт
Создан                      13.03.2012 в 19:34:55
Изменен                     13.03.2012 в 19:34:36
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, однако сертификат УСТАРЕЛ
                           
Оригинальное имя            nod32krn.exe
Версия файла                2, 70, 39
Версия продукта             2, 70, 39
Описание                    NOD32 Kernel Service
Продукт                     NOD32 Antivirus System
Copyright                   Copyright © 1992-2005 Eset
Производитель               Eset
Комментарий                
                           
Доп. информация             на момент обновления списка
pid = 1872                  NT AUTHORITY\SYSTEM
CmdLine                     "D:\Program Files\Eset\nod32krn.exe"
Процесс создан              14:15:48 [2014.04.03]
С момента создания          01:24:30
parentid = 816              D:\WINDOWS\SYSTEM32\SERVICES.EXE
SHA1                        E1B615A68C02102D82F2163B6B035FC625159F8E
MD5                         82F52E10A4DF718FF4CA67D2DBDE8D07
                           
Ссылки на объект            
Ссылка                      HKLM\System\CurrentControlSet\Services\NOD32krn\ImagePath
ImagePath                   "D:\Program Files\Eset\nod32krn.exe"
NOD32krn                    тип запуска: Авто (2)
                           
Образы                      EXE и DLL
NOD32KRN.EXE                D:\PROGRAM FILES\ESET
                           
[ Как создать образ автозапуска? ]
 
Даниил Михайлов
Даниил Михайлов
Пользователь
Сообщений: 15
Баллов: 7
Регистрация: 03.04.2014
Размещено 03.04.2014 16:57:35
Проблема осталась.Все также не зайти в Steam.Доп.проверку сейчас сделаю.отправил на обе почты архив.
Насчет версии,честно говоря не знаю т.к. устанавливал антивирус не я,а один знакомый знакомого и было это давненько  :)
Изменено: Даниил Михайлов - 03.04.2014 16:58:28
 
Даниил Михайлов
Даниил Михайлов
Пользователь
Сообщений: 15
Баллов: 7
Регистрация: 03.04.2014
Размещено 03.04.2014 17:18:48
Сделал доп.проверку и он обнаружил немало "плохих" элементов  :(
Кстати,как прикрепить документ к сообщению?  :)
Изменено: Даниил Михайлов - 03.04.2014 17:19:31
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6233
Баллов: 4986
Регистрация: 25.05.2010
Размещено 03.04.2014 17:29:16
Прикрепите к вашему сообщению на форуме или разместите на файлообменнике ( http://rghost.ru или http://upwap.ru/ ), указав на форуме в своей теме ссылку на этот архив.
 
Даниил Михайлов
Даниил Михайлов
Пользователь
Сообщений: 15
Баллов: 7
Регистрация: 03.04.2014
Размещено 03.04.2014 17:32:20
http://rghost.ru/53740598 вот лог программы Malwarebytes
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6233
Баллов: 4986
Регистрация: 25.05.2010
Размещено 03.04.2014 17:35:47
В Malwarebytes - всё найденное удалите.

Для удаления Отметьте все найденные объекты в чек-боксах.
Примените команду: Remove Selected
( Удалить выбранное )

Далее: Выполните лог в   AdwCleaner: http://forum.esetnod32.ru/forum9/topic7084/
 
Даниил Михайлов
Даниил Михайлов
Пользователь
Сообщений: 15
Баллов: 7
Регистрация: 03.04.2014
Размещено 03.04.2014 17:43:33
Пардон,а где это сделать именно?  :)  У меня после сканирования высветилось меню и возможны только три действия в окне Actions:Карантин,Игнорировать один раз и добавить исключение.Действия удалить выбранное нет
Изменено: Даниил Михайлов - 03.04.2014 17:44:22
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6233
Баллов: 4986
Регистрация: 25.05.2010
Размещено 03.04.2014 17:48:08
Значит в карантин.
Намутили они с новой версией...
 
1 2 3 4 След.
Читают тему