Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] помогите атакует троянская программа

1 2 След.
RSS
 
zenja-spb
zenja-spb
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 15.12.2011
Размещено 15.12.2011 17:44:25
Здравствуйте! атакует троян! пишет угроза Win32
сканировала и нодом и Malwarebytes' Anti-Malware(было найдено 32 объекта,все удалила)
атакует за 2 часа 2000 атак!
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 15.12.2011 17:53:02
1. включите брэндмауэр (если нет установленного фаерволла),

2. сделайте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/
(только последние угрозы, все 2000 не нужны в логе)
3.
сделайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/
[ Как создать образ автозапуска? ]
 
zenja-spb
zenja-spb
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 15.12.2011
Размещено 26.12.2011 11:18:29
Здравствуйте, вот добралась и сделала:
1. брендмауер включила
2. лог журнала не получается сохранить, пишет "не удалось сохранить файл журнала"
3. образ автозапуска:
 
Валентин
Валентин
Администратор
Сообщений: 5270
Баллов: 8441
Регистрация: 12.05.2010
Размещено 26.12.2011 11:29:33
zenja-spb, Вы не прикрепили образ. Попробуйте ещё раз (под сообщением кнопка "прикрепить файл").
ESET Technical Support
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 26.12.2011 12:49:06
запишите на http://rghost.ru или http://zalil.ru
[ Как создать образ автозапуска? ]
 
zenja-spb
zenja-spb
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 15.12.2011
Размещено 26.12.2011 23:24:07
http://rghost.ru/35617978
 
zenja-spb
zenja-spb
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 15.12.2011
Размещено 26.12.2011 23:26:43
а что делать с файлом журнала обнаружения угроз?
 
zenja-spb
zenja-spb
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 15.12.2011
Размещено 26.12.2011 23:29:25
26.12.2011 23:28:36 Защита в режиме реального времени файл C:\WINDOWS\system32\drivers\etc\hosts Win32/Qhost троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\Documents and Settings\Admin\Local Settings\Application Data\Yandex\Updater\fixhosts.exe.   Вот запись из журнала... И один и тот же вирус атакует 2 недели
Изменено: zenja-spb - 26.12.2011 23:30:18
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 27.12.2011 00:18:17
В программе которую скачали выше, запускаем еще раз, только теперь Меню Скрипт выполнить скрипт находящийся в буфере обмена

И вставляем текст скрипта

ПЕРЕД ВЫПОЛНЕНИКМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!

Код
;uVS v3.73 script [http://dsrt.dyndns.org]

delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\LH071CT5.DEFAULT\EXTENSIONS\{6F6E09F6-35F8-4F8A-8BD8-E61E073F8BCE}\COMPONENTS\RADIOWMPCOREGECKO9.DLL
delref HTTP://WEBALTA.RU
delref HTTP://WWW.YANDEX.RU/?CLID=41529
regt 1
regt 2
regt 3
regt 7
regt 14
regt 17
regt 18
deltmp
delnfr
restart


И жмем выполнить.

ПК перезагрузится
Изменено: zloyDi - 27.12.2011 00:18:30

 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.12.2011 06:01:41
+
выполните следующий скрипт в uVS
------------
выполнить скрипт в uVS
скопировать содержимое кода в буфер обмена
закрыть браузеры перед выполнением скрипта
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена

Код

;uVS v3.73 script [http://dsrt.dyndns.org]

delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
delall %SystemDrive%\PROGRAM FILES\ASK.COM\UPDATER\UPDATER.EXE
delall %SystemDrive%\PROGRAM FILES\VPETS\VPETS.EXE
delall %SystemDrive%\PROGRAM FILES\PCHD\PCHDPLAYER.EXE
deltmp
delnfr
restart


перезагрузка, пишем о старых и новых проблемах.
[ Как создать образ автозапуска? ]
 
1 2 След.
Читают тему