Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

УСИЛЕННЫЙ РЕЖИМ

RSS
 
NGUgeneral
NGUgeneral
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 24.06.2011
Размещено 24.06.2011 22:39:19
Доброго времени суток.
Аналогичная проблема, все не было времени пофиксить.
Лог в аттаче.
Заранее благодарен.

Ответы

Пред. 1 2 3 4 След.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 26.06.2011 14:23:24
3. в трее висит процесс

Цитата
Полное имя                  C:\WINDOWS\UPDATE.TRAY-3-0\SVCHOST.EXE
Имя файла                   SVCHOST.EXE
Тек. статус                 АКТИВНЫЙ ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер                      1172992 байт
Создан                      20.06.2011 в 20:43:20
Изменен                     20.06.2011 в 20:32:54
Атрибуты                    СКРЫТЫЙ  
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Атрибут файла               "Скрытый" или "Системный" [типично для вирусов]
Путь до файла               Не_типичен для этого файла [имя этого файла есть в известных]
                           
Доп. информация             на момент обновления списка
pid = 728                   WINXPSP3\Admin
CmdLine                     "C:\WINDOWS\update.tray-3-0\svchost.exe"
Процесс создан              16:41:34 [2011.06.25]
С момента создания          00:50:25
parentid = 392              C:\WINDOWS\EXPLORER.EXE
SHA1                        88E325DCA277FFF1F37A8E59BE01CE61908DEF6C
MD5                         D2A3874D904978ED4FFAC21CF671BC10
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows\CurrentVersion\Run\tray_ico0­
tray_ico0                   C:\WINDOWS\update.tray-3-0\svchost.exe
                           
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 26.06.2011 14:24:49
4. запущена служба, с сетевой активностью

Цитата
Полное имя                  C:\WINDOWS\SYSDRIVER32.EXE
Имя файла                   SYSDRIVER32.EXE
Тек. статус                 АКТИВНЫЙ ВИРУС сервис в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ]
                           
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ сервис в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ]
Размер                      224768 байт
Создан                      22.06.2011 в 11:05:08
Изменен                     22.06.2011 в 11:04:58
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Доп. информация             на момент обновления списка
pid = 504                   NT AUTHORITY\SYSTEM
CmdLine                     C:\WINDOWS\sysdriver32.exe srv
Процесс создан              16:41:36 [2011.06.25]
С момента создания          00:50:23
parentid = 1164            
SYN_SENT                    109.201.247.245:4661 <-> 93.79.51.252:8080
SYN_SENT                    109.201.247.245:4683 <-> 46.55.20.111:8080
SYN_SENT                    109.201.247.245:4649 <-> 178.74.212.121:8080
SYN_SENT                    109.201.247.245:4648 <-> 94.137.222.234:8080
SYN_SENT                    109.201.247.245:4640 <-> 77.122.72.181:8080
SYN_SENT                    109.201.247.245:4653 <-> 93.78.89.40:8080
SYN_SENT                    109.201.247.245:4668 <-> 94.51.126.154:8080
SYN_SENT                    109.201.247.245:4667 <-> 90.130.135.127:8080
SYN_SENT                    109.201.247.245:4639 <-> 178.74.202.226:8080
SYN_SENT                    109.201.247.245:4660 <-> 188.232.142.238:8080
LISTEN                      0.0.0.0:8081
SHA1                        EAB4B10A8B8F925844E26EAE472FCC48037EE8AD
MD5                         D1D4BBC13272C5BAD74AD0A42BCACA88
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows\CurrentVersion\Run\sysdriver­32.exe
sysdriver32.exe             "C:\WINDOWS\sysdriver32.exe" rezerv
                           
Ссылка                      HKLM\System\CurrentControlSet\Services\srvsysdriver32\ImageP­ath
ImagePath                   C:\WINDOWS\sysdriver32.exe srv
srvsysdriver32              тип запуска: Авто (2)
                           
Образы                      EXE и DLL
SYSDRIVER32.EXE             C:\WINDOWS
Изменено: santy - 26.06.2011 14:25:27
[ Как создать образ автозапуска? ]
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6241
Баллов: 4992
Регистрация: 25.05.2010
Размещено 26.06.2011 14:26:49
Цитата
santy пишет:
Видел сообщения по КИС 2011, Comodo....

Что, тоже выдаёт там картинку: Nod НЕ NOD.jpg   :o
Под каждый Антивирус использует свой шаблон ?
Какой алгоритм работы?
Сам файл разделяемый - как боеголовка к межконтинентальной ракете ?  :cry:
:)
Nod НЕ NOD.jpg (24.96 КБ)
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 26.06.2011 14:26:53
Цитата
5. процесс в автозапуске

Полное имя                  C:\WINDOWS\SYSDRIVER32_.EXE
Имя файла                   SYSDRIVER32_.EXE
Тек. статус                 ВИРУС в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
Размер                      224768 байт
Создан                      22.06.2011 в 11:05:22
Изменен                     22.06.2011 в 11:04:58
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Доп. информация             на момент обновления списка
SHA1                        EAB4B10A8B8F925844E26EAE472FCC48037EE8AD
MD5                         D1D4BBC13272C5BAD74AD0A42BCACA88
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows\CurrentVersion\Run\sysdriver­32_.exe
sysdriver32_.exe            "C:\WINDOWS\sysdriver32_.exe" rezerv
                           
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 26.06.2011 14:29:32
Цитата
RP55 RP55 пишет:

Что, тоже выдаёт там картинку: Nod НЕ NOD.jpg    
Под каждый Антивирус использует свой шаблон ?
Какой алгоритм работы?
Сам файл разделяемый - как боеголовка к межконтинентальной ракете ?    
картинки не видел, но скорее всего да, под каждый антивир - выдает свои картинки.
некоторое время назад, было сообщение от ДрВеб - там вирусняк прибивал антивиры, и выдавал сообщение в трее по текущему, удаленному антивиру, но было это в безопасном режиме.

Остальные вопросы - к нашему центру аналитики и вирусных исследований.
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 26.06.2011 14:31:45
удивляет следующий факт: uVS вычищает его моментально, точно так же как вирусняк зачищает текущий антивирус.
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 26.06.2011 14:34:12
Цитата
RP55 RP55 пишет:
Сам файл разделяемый - как боеголовка к межконтинентальной ракете ?    
если есть инсталлятор, скиньте в лично - проверим, как он адаптируется к разным антивирусам.
[ Как создать образ автозапуска? ]
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6241
Баллов: 4992
Регистрация: 25.05.2010
Размещено 26.06.2011 14:37:34
Цитата
santy пишет:
Некоторое время назад, было сообщение от ДрВеб
По моему первое такое сообщение у них было в конце 2009 года.
Вирус загружался.
Перезагружал PC в безопасный режим.
Удалял Антивирус.
После чего выдавал сообщения, что всё нормально, всё в порядке.
И вроде бы даже вирусы отлавливал.  :o  :D

*Вот интересно это от одних разработчиков или от разных ?
** Надо думать, что официального заявления от ESET по этому поводу не будет ?
DrWeb вот написал...
 
EVE N
EVE N
Пользователь
Сообщений: 317
Баллов: 253
Регистрация: 16.03.2010
Размещено 26.06.2011 14:37:57
Automatic mode
Edit rule -> target registry -> Operations 3 нижние.
HKEY_LOCAL_MACHINE\BCD00000000\*
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\*
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\*
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot­\*
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\*


Action-> Ask/Block
Виря в безопасном режиме удаляет. :)
Проверял на первой бете и Windows 7 x64, с такой блокировкой ключей реестра эта виря в обломе. :)

Вот сейчас закончат разработку и наверно поставят новый "забор" то есть - Self-defense support module. :)
Изменено: EVE N - 26.06.2011 14:47:59
ESET Smart Security 7 - The next generation of NOD32 Technology. ESET - Essential Security against Evolving Threats
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6241
Баллов: 4992
Регистрация: 25.05.2010
Размещено 26.06.2011 14:39:06
Цитата
santy пишет:
Если есть инсталлятор...
Чего нет - того нет.  :cry:
 
Пред. 1 2 3 4 След.
Читают тему