Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

вирус меняет в реестре ключ

1 2 След.
RSS
 
Дмитрий
Дмитрий
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 12.05.2011
Размещено 12.05.2011 21:02:42
Здравствуйте! Ребята,помогите пожалуйста разобраться с проблемой! После сканирования NODом вирус меняет в реестре ключ и пользователь не может войти в систему,приходиться грузиться с LIVE CD и обратно менять ключ. Вирус делает его таким (C:\WINDOWS\missAU.exe) тип вируса-Win32/TrojanDownloader.Autoit.NBD. Причем NOD его как бы удаляет но он тупо прописывается в реестре. Замучился уже... Помогите..  (NOD32.4)
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 12.05.2011 21:04:04
Цитата
Дмитрий пишет:
Здравствуйте! Ребята,помогите пожалуйста разобраться с проблемой! После сканирования NODом вирус меняет в реестре ключ и пользователь не может войти в систему,приходиться грузиться с LIVE CD и обратно менять ключ. Вирус делает его таким (C:\WINDOWS\missAU.exe) тип вируса-Win32/TrojanDownloader.Autoit.NBD. Причем NOD его как бы удаляет но он тупо прописывается в реестре. Замучился уже... Помогите.. (NOD32.4)

Лог вот такой выполните
http://forum.esetnod32.ru/forum9/topic683/

Спасибо.
 
Дмитрий
Дмитрий
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 12.05.2011
Размещено 12.05.2011 21:08:51
Спасибо большое
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 12.05.2011 21:25:35
Цитата
Дмитрий пишет:
Спасибо большое

Возникают сложности по созданию лога?
 
Дмитрий
Дмитрий
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 12.05.2011
Размещено 12.05.2011 21:52:20
Еще один вопрос. Запускать прогу надо на "зараженной" машине или на поправленной? Сейчас пока все нормально, периодически "загибаются"машины. Ответьте пожелуйста
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 12.05.2011 21:54:54
Цитата
Дмитрий пишет:
Еще один вопрос. Запускать прогу надо на "зараженной" машине или на поправленной? Сейчас пока все нормально, периодически "загибаются"машины. Ответьте пожелуйста

Выложите сначала для "поправленной" пострим на лог.
 
dimasastana
dimasastana
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 25.05.2011
Размещено 26.05.2011 06:36:24
Здравствуйте!Мой напарник не указал название продукта ESET Smart Security Business Edition 32-bit, а ситуация описана верно.....Вот логи с машин URIST3_с зараженной URIST2_ с уже пролеченной с поправленным реестром. Обидно однако Всегда NOD уважал, НО СКАНЕР КАСПЕРА незатейливо и аккуратно убрал эту заразу с компа. И никаких проблем с входом в Windows :( А так у меня в конторе из за C:\WINDOWS\missAU.exe ЖУТКИЙ ГЕМОР! Скажите как "художник художнику, я чет не понимаю, нужно как то настроить антивирус или это такая "специфика" NOD32"
Спасибо!
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 26.05.2011 06:58:13
по машине urist3
---
1. выполните скрипт в uVS,
перезагрузка
2. пробуем обновить антивирус, выполнить полное сканирование;

далее,
3. архив из папки uVS (с копиями вирусов для вирлаба, имя автоматически формируется от текущей даты, например: 2010-10-04_13-30-55.rar/7z)
... отправить в почту [email protected], [email protected];
*** если архив не был создан автоматически, самостоятельно добавьте папку ZOO из каталога uVS в архив с паролем infected

далее,
4. запостить новый лог uVS для контроля выполнения скрипта
ждем дальнейших рекомендаций.
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 26.05.2011 07:00:29
если есть проблемы по машине urist2, или необходимо долечение здесь, на форуме, сделайте отдельную тему по данной машине (с образом автозапуска по данной машине), чтобы не было путаницы по логам, скриптам, и проч.
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 26.05.2011 07:12:56
Цитата
Дмитрий пишет:
Здравствуйте! Ребята,помогите пожалуйста разобраться с проблемой! После сканирования NODом вирус меняет в реестре ключ и пользователь не может войти в систему,приходиться грузиться с LIVE CD и обратно менять ключ. Вирус делает его таким (C:\WINDOWS\missAU.exe) тип вируса-Win32/TrojanDownloader.Autoit.NBD. Причем NOD его как бы удаляет но он тупо прописывается в реестре. Замучился уже... Помогите..  (NOD32.4)
скорее всего, missaU.exe сразу прописываается в реестре, заменяя userinit.exe таким образом.

Цитата
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
C:\WINDOWS\missAU.exe
т.к. в данном ключе отсутствует userinit.exe,
правильнее было бы вирусу прописаться так:
Цитата
userinit.exe, C:\WINDOWS\missAU.exe
либо это злой умысел, либо ошибка вирусописателя.

именно такая запись в реестре в зараженной системе URIST3 по указанным логам
Цитата
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
C:\WINDOWS\missAU.exe
и удаление сканером данного файла приводит к ошибке входа в систему.

Здесь явная недоработка разработчиков  ESET NOD32, если они удаляют данный файл, и не проверяют при этом правильность записи в реестре.
[ Как создать образ автозапуска? ]
 
1 2 След.
Читают тему