Нужна помощь! - Форум технической поддержки ESET NOD32

Сообщений: 155

Баллов: 124

Регистрация: 20.08.2011

Размещено 24.12.2012 18:53:25

Здравствуйте господа! Запустил сегодня скан UVS и что то меня насторожил, уж больно, большой список файлов в автозагрузке. Если у кого есть время посмотрите пожалуйста! И еще - когда пытался сохранить полный отчет автозапуска в UVS файрволл ESS среагировал следующим образом:
Приложение запускаемое на локальном компьютере пытается установить связь с удаленным компьютером!
E:\Downloads\UVS\hpswzc
Источник: Неизвестен
Удаленный компьютер: ocsp.verising.com 199.75.9.72
Удаленный порт: TCP 80 (http)
Я нажал "Разрешить" исходящий трафик!
Вообщем выслушаю все комментарии! Заранее благодарен!

p.s. Когда сканирование UVS только началось высветилась надпись: Загружено реестров пользователей 2! Это нормально?

Прикрепленные файлы

DWARF_2012-12-24_18-32-43.zip (499.26 КБ)

Изменено: Arxangel - 24.12.2012 18:55:07

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 24.12.2012 18:56:26

а в чем проблема то? в логах чисто.

Правильно заданный вопрос - это уже половина ответа

Сообщений: 197

Баллов: 157

Регистрация: 25.10.2012

Размещено 24.12.2012 19:03:13

Взгляните в учетные записи,нет ли там папок - типа "неизвестный пользователь"?

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 24.12.2012 19:35:37

Цитата
Arxangel пишет: Приложение запускаемое на локальном компьютере пытается установить связь с удаленным компьютером! E:\Downloads\UVS\hpswzc Источник: Неизвестен Удаленный компьютер: ocsp.verising.com 199.75.9.72 Удаленный порт: TCP 80 (http) Я нажал "Разрешить" исходящий трафик!

Цитата

Arxangel пишет:
Приложение запускаемое на локальном компьютере пытается установить связь с удаленным компьютером!
E:\Downloads\UVS\hpswzc
Источник: Неизвестен
Удаленный компьютер: ocsp.verising.com 199.75.9.72
Удаленный порт: TCP 80 (http)
Я нажал "Разрешить" исходящий трафик!

а что здесь удивительного. uVS проверяет цифровые подписи файлов, входящих в автозапуск.
обращается в сервису сертификации VeriSign
http://www.verisign.com/

из учетных записей, кроме этой

Цитата
C:\USERS\DWARF33\APPDATA\LOCALLOW\RAIDCALL\PLUGINS\WEBPLUGIN.DLL

видимо есть еще и Администратор.

из подозрительных файлов, возможно что-то есть на флэшке.

Цитата
Полное имя G:\AUTORUN.INF Имя файла AUTORUN.INF Тек. статус ПОДОЗРИТЕЛЬНЫЙ АВТОРАНОВЫЙ Сохраненная информация на момент создания образа Статус ПОДОЗРИТЕЛЬНЫЙ АВТОРАНОВЫЙ Размер 36 байт Создан 28.04.2011 в 20:44:28 Изменен 17.10.2002 в 06:56:50 Атрибуты СКРЫТЫЙ R/O Цифр. подпись Отсутствует либо ее не удалось проверить Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Атрибут файла "Скрытый" или "Системный" [типично для вирусов] Автозапуск AUTORUN.INF в корне диска [типично для авторановых вирусов] Доп. информация на момент обновления списка SHA1 3D3BC7405B13E841107D80C538C90A0B149D09EF MD5 C6303049E763D59A6110147BAA4CAA3F

Цитата

Полное имя G:\AUTORUN.INF
Имя файла AUTORUN.INF
Тек. статус ПОДОЗРИТЕЛЬНЫЙ АВТОРАНОВЫЙ

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ АВТОРАНОВЫЙ
Размер 36 байт
Создан 28.04.2011 в 20:44:28
Изменен 17.10.2002 в 06:56:50
Атрибуты СКРЫТЫЙ R/O
Цифр. подпись Отсутствует либо ее не удалось проверить

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Атрибут файла "Скрытый" или "Системный" [типично для вирусов]
Автозапуск AUTORUN.INF в корне диска [типично для авторановых вирусов]

Доп. информация на момент обновления списка
SHA1 3D3BC7405B13E841107D80C538C90A0B149D09EF
MD5 C6303049E763D59A6110147BAA4CAA3F

Изменено: santy - 24.12.2012 19:45:17

[ Как создать образ автозапуска? ]

Сообщений: 197

Баллов: 157

Регистрация: 25.10.2012

Размещено 24.12.2012 20:16:27

Ув.santy,я почему про "учетки"спросил - некоторые пользователи устанавливая...к примеру Виндовс 7 про,почему то игнорируют установку пароля на "учетку" админа,а далее...не мне Вам объяснять.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 24.12.2012 20:44:53

TAVI, я не подвергаю сомнению ваше предположение, всего лишь комментирую сообщение ТС.

Цитата
Источник: Неизвестен

для ESS модуль uVS естественно будет неизвестным. не имеет цифровой подписи, имя модуля меняется от старта к старту, поэтому настроить разрешение на доступ к VSign можно лишь в пределах одной сессии запуска uVS.

Изменено: santy - 24.12.2012 20:45:09

[ Как создать образ автозапуска? ]

Сообщений: 197

Баллов: 157

Регистрация: 25.10.2012

Размещено 24.12.2012 20:52:49

Я это понял,спасибо! А в "учетках" - RaidCall - бесплатная программа для голосового общения,как то сомнительно,что ли...

Сообщений: 5270

Баллов: 8441

Регистрация: 12.05.2010

Размещено 25.12.2012 16:05:13

Тема перенесена в соответствующий раздел.

ESET Technical Support

Сообщений: 155

Баллов: 124

Регистрация: 20.08.2011

Размещено 26.12.2012 02:01:41

Здравствуйте господа! Появилась еще одна большая проблема! Файрволл, при включении роутера, выдает следующее:

Обнаружена атака путем подделки записей кеша DNS. 192.168.1.1

Я бы не обратил на это внимания, но мой роутер стал самолично отключаться от интернета каждые пять минут. Или когда я пытаюсь обновить страницу! Обратился в службу поддержки провайдера обещали, что мастер свяжется со мной в течении суток. Но пока ни ответа, ни привета! Есть идеи как мне быть? Заранее спасибо!

Сообщений: 197

Баллов: 157

Регистрация: 25.10.2012

Размещено 26.12.2012 02:05:14

Взгляните здесь http://forum.esetnod32.ru/forum9/topic5130/

Нужна помощь! , К сожалению давно не делал скан UVS и поплатился!