Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.
Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новые продукты компании PRO32.
PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.
Специальные возможности очистки. Обнаружение комплекта из 3–5 наиболее распространенных вредоносных программ, которые являются наиболее вероятной причиной проблем
+ +
Цитата
The Specialized Cleaner available in ESET Smart Security and ESET NOD32 Antivirus 7 removes the following malware (more types are to be added in future releases):
Conficker Sirefef
Details
Antivirus vendors provide standalone tools (cleaners) to help users remove particularly resilient malware. ESET has combined commonly used cleaners for the most prevalent threats into one solution that will be available with the new generation of ESET products for user convenience.
The ESET Specialized Cleaner is available directly from ESET NOD32 Antivirus and ESET Smart Security version 7 and later. Log files
ESET Specialized cleaner logs are available from the following location (be sure to Show hidden files or folders):
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA adddir %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\MICROSOFT
адддир будет сканировать каталог и все покаталоги внутри
Цитата
o Для скриптовой команды adddir разрешено использование флага отмены рекурсии как и в случае параметра AddDirs. Пример: adddir >c: где ">" отменяет рекурсию и соотв. добавляются лишь файлы находящиеся в корне диска С.
в нормальном режиме uVS и AVZ не увидели в образе файлик в автозапуске. но uVS увидел при включенном сплайсинге, что
Цитата
(!) Обнаружен сплайсинг: NtQueryDirectoryFile
без сплайсинга в логи попало лишь сообщение о доп. потоках, внедренных в uVS
Цитата
Обнаружен доп. поток в uVS: поток не принадлежит загруженным библиотекам
AVZ не увидел так же ничего в автозапуске но есть в логах сообщение о перехвате функций API
Цитата
Функция ntdll.dll:NtCreateThread (140) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C90D190->04D406 Функция ntdll.dll:NtEnumerateValueKey (161) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C90D2D0->04D4FC Функция ntdll.dll:NtQueryDirectoryFile (234) перехвачена, метод APICodeHijack.PushAndRet Функция ntdll.dll:ZwCreateThread (950) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C90D190->04D406 Функция ntdll.dll:ZwEnumerateValueKey (970) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C90D2D0->04D4FC Функция ntdll.dll:ZwQueryDirectoryFile (1043) перехвачена, метод APICodeHijack.PushAndRet
порадовал ESETSysinspector, который в нормальном режиме показал и файл трояна, и ключ в автозапуске
Полное имя C:\DOCUMENTS AND SETTINGS\user\APPLICATION DATA\MICROSOFT\CRYPTNETURLCACHE\WINFXDOCOBJ.EXE Имя файла WINFXDOCOBJ.EXE Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
2013-11-01 [2013-10-29 08:13:49 UTC ( 4 days, 8 hours ago )] Symantec Trojan.Shylock Avast Win32:Trojan-gen Kaspersky Trojan.Win32.Agent.acolm BitDefender Trojan.GenericKDV.1367635 DrWeb BackDoor.Caphaw.2 AntiVir TR/CeeInject.A.38 Microsoft Backdoor:Win32/Caphaw.A ESET-NOD32 Win32/Caphaw.I
Сохраненная информация на момент создания образа Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске File_Id 6284BF8A61000 Linker 6.0 Размер 393216 байт Создан 08.03.2009 в 04:34:48 Изменен 08.03.2009 в 04:34:48 Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись проверка не производилась
Оригинальное имя upackfize Описание AX_LOCKFEJaz Copyright Copyright 12.13
Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Путь до файла Типичен для вирусов и троянов
Доп. информация на момент обновления списка SHA1 D9918C592E5B84A00D204D1E85DBFAE27340DC3A MD5 E6D741E42B80443FD8150EF5B5A525BD
Ссылки на объект Ссылка HKEY_USERS\S-1-5-21-1645522239-854245398-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run \MnX8Dv2tSsBvjshflKUim4AByqc= MnX8Dv2tSsBvjshflKUim4AByqc=C:\Documents and Settings\safety\Application Data\Microsoft\CryptnetUrlCache\WinFXDocObj.exe
и в AVZ
Цитата
C:\Documents and Settings\user\Application Data\Microsoft\CryptnetUrlCache\WinFXDocObj.exe Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, MnX8Dv2tSsBvjshflKUim4AByqc=
" в нем любая запись с помощью гиперссылок может быть связана с другими " Я это к тому, что предлагаю посмотреть - подумать. Может принцип работы элементы и логика найдут применение при создании в взаимосвязанных объектах для uVS При работе с критериями поиска. Вопрос в адаптации идей.
