Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Оперативная память = dwm.exe(588) - вероятно модифицированный Win32/Ciavax.B троянская программа - очистка невозможна , Заражено несколько программ. Вероятно модифицированный Win32/Ciavax.B троянская программа - очистка невозможна.

1 2 След.
RSS
 
Geo777
Geo777
Пользователь
Сообщений: 12
Баллов: 6
Регистрация: 27.07.2012
Размещено 09.08.2013 22:51:48
Доброго времени суток.

После сканирования на вирусы NOD Smart Security выдал длинный список. Все программы заражены. Пишет: оперативная память = ...... вероятно модифицированный Win32/Ciavax.B троянская программа - очистка невозможна. Когда пытаюсь зайти в почту Mail.ru, появляется сообщение: введите код телефона. Сраница подвисает. Если закрыть и открыть браузер, в почту можно войти через раз. Нужна ваша помощь!
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 09.08.2013 23:03:57
Сделайте лог uVS
Правильно заданный вопрос - это уже половина ответа
 
Geo777
Geo777
Пользователь
Сообщений: 12
Баллов: 6
Регистрация: 27.07.2012
Размещено 09.08.2013 23:32:30
Вот ОНО. Подробности всплыли. Жена говорит, шарилась по интернету, появилось сообщение обновить Adobe Flash Player и она, разумеется, сделала это.  :evil:
Как с этим бороться?
Изменено: Geo777 - 10.08.2013 01:32:39
 
Geo777
Geo777
Пользователь
Сообщений: 12
Баллов: 6
Регистрация: 27.07.2012
Размещено 10.08.2013 02:38:06
NOD говорит, что поместил все на карантин, кроме этого: Оперативная память = explorer.exe(2288) - модифицированный Win32/Ciavax.B троянская программа - очистка невозможна
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 10.08.2013 02:49:35
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код
;uVS v3.80.17 [http://dsrt.dyndns.org]
;Target OS: NTv6.0

OFFSGNSAVE
delall %SystemDrive%\USERS\ГЕОРГИЙ\DOCUMENTS\APPLICATION DATA\EXPLORER.EXE
bl 1DE86B53F8FD688BA9F1BA7FC00F12D7 69632
;------------------------autoscript---------------------------

delref %Sys32%\EXPLORER.DLL

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
Изменено: santy - 10.08.2013 02:50:32
[ Как создать образ автозапуска? ]
 
Geo777
Geo777
Пользователь
Сообщений: 12
Баллов: 6
Регистрация: 27.07.2012
Размещено 10.08.2013 11:53:12
Добрый день. Проблему не удалось решить.
Сделал скрипт, перезагрузил. После перезагрузки Windows выдает сообщение, что неизвестная программа просит разрешение на установку.
Скачал, обновил, проверил Malware (4 объекта), файл прилагается.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 10.08.2013 12:06:19
1. удалите найденное в мбам,

2. перегрузите систему,

3. добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

4. добавьте логи выполнения скриптов из папки uVS
дата_времяlog.txt

3. сделайте новый образ автозапуска в uVS
Изменено: santy - 10.08.2013 12:08:06
[ Как создать образ автозапуска? ]
 
Geo777
Geo777
Пользователь
Сообщений: 12
Баллов: 6
Регистрация: 27.07.2012
Размещено 10.08.2013 12:43:46
Удалил. Перезапустил. uVS опять нашел подозрительные файлы.
Изменено: Geo777 - 10.08.2013 12:44:44
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 10.08.2013 12:55:01
это последние угрозы по журналу.

Цитата
10.08.2013 11:59:28 Защита в режиме реального времени файл C:\Users\Георгий\Documents\Application Data\explorer.exe модифицированный Win32/Kryptik.BHTH троянская программа очищен удалением - изолирован Событие произошло в новом файле, созданном следующим приложением: C:\Windows\system32\Dwm.exe.
10.08.2013 11:59:27 Защита в режиме реального времени файл C:\Users\Георгий\Documents\Application Data\explorer.exe модифицированный Win32/Kryptik.BHTH троянская программа очищен удалением - изолирован Событие произошло в новом файле, созданном следующим приложением: C:\Windows\explorer.exe.
10.08.2013 11:59:22 Защита в режиме реального времени файл C:\Users\Георгий\Documents\Application Data\explorer.exe модифицированный Win32/Kryptik.BHTH троянская программа очищен удалением - изолирован Событие произошло в новом файле, созданном следующим приложением: C:\Windows\system32\Dwm.exe.
10.08.2013 11:59:22 Защита в режиме реального времени файл C:\Users\Георгий\Documents\Application Data\explorer.exe модифицированный Win32/Kryptik.BHTH троянская программа очищен удалением - изолирован Событие произошло в новом файле, созданном следующим приложением: C:\Windows\system32\taskeng.exe.
не все подозрительные могут быть вирусы. образ чистый.

сделайте проверку в ESET NOD32 только оперативной памяти.
(возможно все мбам зачистил).
Изменено: santy - 10.08.2013 12:56:12
[ Как создать образ автозапуска? ]
 
Geo777
Geo777
Пользователь
Сообщений: 12
Баллов: 6
Регистрация: 27.07.2012
Размещено 10.08.2013 13:05:10
Smart Security пишет, что опасные объекты не найдены. Надеюсь, справились. Спасибо всем за помощь. Великое дело делаете. Честь вам и хвала. :)
 
1 2 След.
Читают тему