Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] taskhost.exe(2764) вероятно модифицированный Win32/AutoRun.Spy.Banker.M

1
RSS
 
rapax
rapax
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 15.02.2012
Размещено 15.02.2012 15:18:48
Столкнулся с такой проблемой. Помогите пожалуйста.
http://rghost.ru/36530742
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 15.02.2012 15:55:25
Запускаем uVS еще раз, только теперь меню Скрипт - Выполнить скрипт находящийся в буфере обмена
Вставляем текст скрипта:
Перед выполнением скрипта, закрыть браузеры!
Код
;;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

addsgn A7679BF0AA021C524BD4C65177881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CBA5D9FE82BD6D7B03C6F775BACCA023231 16 Virus
zoo %SystemDrive%\USERS\AUTO12\APPDATA\ROAMING\KB00361300.EXE
bl 27C12FE6E52F9BEE4C0F1BA0384C3FA7 62464
delmz %SystemDrive%\USERS\AUTO12\APPDATA\ROAMING\KB00361300.EXE
delall %SystemDrive%\USERS\AUTO12\APPDATA\ROAMING\KB00361300.EXE
adddir %SystemDrive%\USERS\AUTO12\APPDATA\ROAMING
chklst
delvir
deltmp
delnfr
delall %SystemDrive%\USERS\AUTO12\APPDATA\LOCAL\TEMP\JNA2710168428481855045.DLL
czoo
regt 12
restart

И жмем Выполнить. После выполнения скрипта - ПК перезагрузится.
В папке с программой UVS появится архив с сегодняшней датой\временем (без имени ПК) - его надо прислать на адрес [email protected].  Если архив не появился, то сами архивируем папку ZOO, ставим пароль virus и отправляем на адрес.
После перезагрузки сделать лог Malwarebytes и выложить сюда. Можно сделать быструю проверку, а не полную.
Правильно заданный вопрос - это уже половина ответа
 
rapax
rapax
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 15.02.2012
Размещено 15.02.2012 16:40:53
http://rghost.ru/36532171
лог Malwarebytes
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 15.02.2012 16:43:54
Цитата
C:\Windows\System32\admdll.dll (PUP.RemoteAdmin) -> Действие не было предпринято.
C:\Windows\System32\raddrv.dll (PUP.RemoteAdmin) -> Действие не было предпринято.
Это библиотеки Радмина. Если юзаете его - то не удаляйте. Если не знаете что это такое - удалите.
Что с проблемой?
Правильно заданный вопрос - это уже половина ответа
 
rapax
rapax
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 15.02.2012
Размещено 15.02.2012 16:54:24
Странно, раньше не было такого сообщения и Radmin стоит у нескольких людей, а Nod32 выдает алерты только у меня.
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 15.02.2012 16:57:13
Эти алерты не на Радмин, а на вирус который мы выше убили. Сейчас антивирус молчит?
Правильно заданный вопрос - это уже половина ответа
 
rapax
rapax
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 15.02.2012
Размещено 15.02.2012 17:04:58
Да после перезагрузки Нод32 молчит.
Огромное спасибо за помощь)
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 15.02.2012 17:05:54
Выполните рекомендации
Правильно заданный вопрос - это уже половина ответа
 
1
Читают тему