Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

Ошибка создания временного файла. , ESS 4.2

1 2 След.
RSS
 
Pepex
Pepex
Пользователь
Сообщений: 12
Баллов: 6
Регистрация: 30.08.2011
Размещено 20.10.2011 09:18:32
;uVS v3.71 [Windows 5.1.2600 SP3 Service Pack 3]
; Подозрительные и вирусы          <=

ПОДОЗРИТ.  | D:\PROFIT\ARP\ARP.EXE
ПОДОЗРИТ(А)| C:\WINDOWS\SYSTEM32\DRIVERS\EHDRV.SYS
ПОДОЗРИТ(А)| C:\PROGRAM FILES\FIREBIRD\FIREBIRD_2_0\BIN\FBCLIENT.DLL
ПОДОЗРИТ(А)| C:\PROGRAM FILES\FIREBIRD\FIREBIRD_2_0\BIN\MSVCP71.DLL
ПОДОЗРИТ(А)| C:\PROGRAM FILES\FIREBIRD\FIREBIRD_2_0\BIN\MSVCR71.DLL
ПОДОЗРИТ(А)| C:\PROGRAM FILES\COMMON FILES\ABBYY\FINEREADER\9.00\LICENSING\PE\MSVCR71.DLL
ПОДОЗРИТ(А)| C:\WINDOWS\SYSTEM32\RSERVER30\NEWTSTOP.DLL
ПОДОЗРИТ(А)| C:\WINDOWS\SYSTEM32\DRIVERS\SPTD.SYS
ПОДОЗРИТ.  | GOLAC\\\TORNADO.EXЕ

2 последних меня смущают как то..
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 20.10.2011 14:17:56
Pepex,
сделай лог - http://forum.esetnod32.ru/forum9/topic683/
Правильно заданный вопрос - это уже половина ответа
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 20.10.2011 15:24:13
Цитата
Pepex пишет:
ПОДОЗРИТ. | GOLAC\\\TORNADO.EXЕ
Без образа это конечно гадание на коффе...
Тип :
\GOLAC\tornado.exe
\GOLAC\\tornado.exe
\golac\\\tornado.exe ( DrWEB: Trojan.Packed.20312 )

ESET :
Win32/Bflient.K-это червь, который распространяется через съемные носители. Червь содержит backdoor. Может управляться удаленно. Файл run-time сжаты с помощью UPX.
Установка
При запуске червь копирует себя в следующем местоположении:

   %appdata%\sjlp.exe

В целях исполнения на каждом запуске системы, червь устанавливает следующие ключи Реестра:

   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Winlogon]
   "Taskman" = "%appdata%\sjlp.exe"
   "Shell" = "explorer.exe,%appdata%\sjlp.exe"
Распространение на сменных носителях
Червь копирует себя в следующем местоположении:
%drive%\GOLAC\tornado.exe

Червь создает следующие файлы:
%диск%\autorun.inf

Таким образом, червь обеспечивает его запуске зараженных носителей вставляется в компьютер.
Информация воровство
Червь собирает следующую информацию:
"cookies"
имя пользователя
имя компьютера
версия операционной системы

Червь может отправить информацию удаленной машине.
Другая информация
Червь создает и запускает новый поток с собственным кодом программы, в рамках следующих процессов:

   explorer.exe
   iexplore.exe

Червь собирает данные и команды от удаленного компьютера или Интернета.
Червь содержит список (4) Url.
Он может выполнять следующие операции:

   загрузка файлов с удаленного компьютера и/или сети Интернет
   запустите исполняемые файлы
   открытие определенного URL-адреса
   обновляться до новой версии,
   монитор сетевого трафика
   отправка собранной информации

Так, что образ в студию...
Изменено: RP55 RP55 - 20.10.2011 15:28:04
 
Pepex
Pepex
Пользователь
Сообщений: 12
Баллов: 6
Регистрация: 30.08.2011
Размещено 20.10.2011 15:41:09
Вот.
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 20.10.2011 16:07:02
Цитата
Pepex пишет:
Вот.

Вирусы есть!
Отдельный вопрос по файлам:
D:\PROFIT\AUM\AUM.EXE
D:\PROFIT\SKL\SKL.EXE
Вам они известны ?
 
Pepex
Pepex
Пользователь
Сообщений: 12
Баллов: 6
Регистрация: 30.08.2011
Размещено 20.10.2011 16:17:40
да. это модули бугалтерской програмы.
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 20.10.2011 16:20:54
Pepex,
выполни скрипт из буфера обмена
Код
;uVS v3.71 script [http://dsrt.dyndns.org] 

sreg 
delref C:\WINDOWS\FGTHS.SYS
areg
Правильно заданный вопрос - это уже половина ответа
 
Pepex
Pepex
Пользователь
Сообщений: 12
Баллов: 6
Регистрация: 30.08.2011
Размещено 20.10.2011 16:48:59
после удаления  антивирус обновился. Вирус удален? или от него ещё запчасти остались??
что с TORNADO.EXЕ ??
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 20.10.2011 16:50:46
Для зачистки выполните скрипт №2

Цитата

;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %Sys32%\RSERVER30\NEWTSTOP.DLL

zoo %SystemRoot%\FGTHS.SYS
bl 53BAC9C10D479965FB348DE086559AED 47648
addsgn 943FA75B8D737FB56DE766709CC601CF43592E1F9405E08784C3C0B855D2­704C22FF9DD83E5577A2CD676278ACFDA3633BD90F2796D55AC7C69143C9­20ECC999 8  Win32/Rootkit.Kryptik.DP [NOD32]

chklst
delvir
zoo F:\GOLAC\\\\TORNADO.EXE
delall F:\GOLAC\\\\TORNADO.EXE
zoo GOLAC\\\TORNADO.EXЕ
delall GOLAC\\\TORNADO.EXЕ
deltmp
delnfr
regt 5
regt 18
czoo
restart
Изменено: RP55 RP55 - 20.10.2011 16:56:04
 
Pepex
Pepex
Пользователь
Сообщений: 12
Баллов: 6
Регистрация: 30.08.2011
Размещено 20.10.2011 17:02:08
а что делает zoo %Sys32%\RSERVER30\NEWTSTOP.DLL
оно мне радмина убьет?? или эта ДЛЛ к радмину не относится??
Изменено: Pepex - 20.10.2011 17:02:47
 
1 2 След.
Читают тему