Форум esetnod32.ru [тема: вирус меняет в реестре ключ]

Форум esetnod32.ru [тема: вирус меняет в реестре ключ] http://forum.esetnod32.ru Новое в теме вирус меняет в реестре ключ форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Sun, 03 May 2026 03:14:35 +0300 вирус меняет в реестре ключ вирус меняет в реестре ключ в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
dimasastana пишет:
что в «стратегическом» плане сделать?
=============

В логе чисто.

В стратегическом плане выполнить вот это

http://forum.esetnod32.ru/forum9/topic751/

НА ВСЕХ ПК!!!!

И отключить автозапуск на ПК.

+ желательно установить последнюю версию антивируса.

Вроде все.
27.05.2011 18:00:06, zloyDi.]]> http://forum.esetnod32.ru/messages/forum6/topic1884/message16463/ http://forum.esetnod32.ru/messages/forum6/topic1884/message16463/ Fri, 27 May 2011 18:00:06 +0400 Обнаружение вредоносного кода и ложные срабатывания вирус меняет в реестре ключ вирус меняет в реестре ключ в форуме Обнаружение вредоносного кода и ложные срабатывания.
Вот еще чуть не забыл, скрипт я все же выполнил, так что этот лог уже после скрипта.
27.05.2011 17:39:43, dimasastana.]]> http://forum.esetnod32.ru/messages/forum6/topic1884/message16462/ http://forum.esetnod32.ru/messages/forum6/topic1884/message16462/ Fri, 27 May 2011 17:39:43 +0400 Обнаружение вредоносного кода и ложные срабатывания вирус меняет в реестре ключ вирус меняет в реестре ключ в форуме Обнаружение вредоносного кода и ложные срабатывания.
Пока суть, да дело машину URIST3 "полечил", юзера проявили невиданную прыть и сами затолкали NOD и соответственно.........! В общем, поправил я реестр, обновил базы, провел сканирование и вот лог в студии....! Ситуация такова, что ни одной машинки зараженной в конторе нет, но если на флешке принесут, например с домашнего компа, то гемор как я понял, повториться.
Вопросы к гуру:
машина URIST3 чистая?
что в «стратегическом» плане сделать?
URIST3_2011-05-28_19-04-17.rar
27.05.2011 17:36:45, dimasastana.]]> http://forum.esetnod32.ru/messages/forum6/topic1884/message16461/ http://forum.esetnod32.ru/messages/forum6/topic1884/message16461/ Fri, 27 May 2011 17:36:45 +0400 Обнаружение вредоносного кода и ложные срабатывания вирус меняет в реестре ключ вирус меняет в реестре ключ в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
Дмитрий пишет:
Здравствуйте! Ребята,помогите пожалуйста разобраться с проблемой! После сканирования NODом вирус меняет в реестре ключ и пользователь не может войти в систему,приходиться грузиться с LIVE CD и обратно менять ключ. Вирус делает его таким (C:\WINDOWS\missAU.exe) тип вируса-Win32/TrojanDownloader.Autoit.NBD. Причем NOD его как бы удаляет но он тупо прописывается в реестре. Замучился уже... Помогите.. (NOD32.4)
=============
скорее всего, missaU.exe сразу прописываается в реестре, заменяя userinit.exe таким образом.

====quote====
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
C:\WINDOWS\missAU.exe
=============
т.к. в данном ключе отсутствует userinit.exe,
правильнее было бы вирусу прописаться так:

====quote====
userinit.exe, C:\WINDOWS\missAU.exe
=============
либо это злой умысел, либо ошибка вирусописателя.

именно такая запись в реестре в зараженной системе URIST3 по указанным логам

====quote====
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
C:\WINDOWS\missAU.exe
=============
и удаление сканером данного файла приводит к ошибке входа в систему.

Здесь явная недоработка разработчиков ESET NOD32, если они удаляют данный файл, и не проверяют при этом правильность записи в реестре.
26.05.2011 07:12:56, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic1884/message16409/ http://forum.esetnod32.ru/messages/forum6/topic1884/message16409/ Thu, 26 May 2011 07:12:56 +0400 Обнаружение вредоносного кода и ложные срабатывания вирус меняет в реестре ключ вирус меняет в реестре ключ в форуме Обнаружение вредоносного кода и ложные срабатывания.
если есть проблемы по машине urist2, или необходимо долечение здесь, на форуме, сделайте отдельную тему по данной машине (с образом автозапуска по данной машине), чтобы не было путаницы по логам, скриптам, и проч.
26.05.2011 07:00:29, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic1884/message16407/ http://forum.esetnod32.ru/messages/forum6/topic1884/message16407/ Thu, 26 May 2011 07:00:29 +0400 Обнаружение вредоносного кода и ложные срабатывания вирус меняет в реестре ключ вирус меняет в реестре ключ в форуме Обнаружение вредоносного кода и ложные срабатывания.
по машине urist3
---
1. выполните скрипт в uVS,
перезагрузка
2. пробуем обновить антивирус, выполнить полное сканирование;

далее,
3. архив из папки uVS (с копиями вирусов для вирлаба, имя автоматически формируется от текущей даты, например: 2010-10-04_13-30-55.rar/7z)
... отправить в почту virusesnod32@gmail.com, support@esetnod32.ru;
*** если архив не был создан автоматически, самостоятельно добавьте папку ZOO из каталога uVS в архив с паролем infected

далее,
4. запостить новый лог uVS для контроля выполнения скрипта
ждем дальнейших рекомендаций.
script.txt
26.05.2011 06:58:13, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic1884/message16406/ http://forum.esetnod32.ru/messages/forum6/topic1884/message16406/ Thu, 26 May 2011 06:58:13 +0400 Обнаружение вредоносного кода и ложные срабатывания вирус меняет в реестре ключ вирус меняет в реестре ключ в форуме Обнаружение вредоносного кода и ложные срабатывания.
Здравствуйте!Мой напарник не указал название продукта ESET Smart Security Business Edition 32-bit, а ситуация описана верно.....Вот логи с машин URIST3_с зараженной URIST2_ с уже пролеченной с поправленным реестром. Обидно однако Всегда NOD уважал, НО СКАНЕР КАСПЕРА незатейливо и аккуратно убрал эту заразу с компа. И никаких проблем с входом в Windows

А так у меня в конторе из за C:\WINDOWS\missAU.exe ЖУТКИЙ ГЕМОР! Скажите как "художник художнику, я чет не понимаю, нужно как то настроить антивирус или это такая "специфика" NOD32"
Спасибо!
NOD 32 Логи.rar
26.05.2011 06:36:24, dimasastana.]]> http://forum.esetnod32.ru/messages/forum6/topic1884/message16405/ http://forum.esetnod32.ru/messages/forum6/topic1884/message16405/ Thu, 26 May 2011 06:36:24 +0400 Обнаружение вредоносного кода и ложные срабатывания вирус меняет в реестре ключ вирус меняет в реестре ключ в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
Дмитрий пишет:
Еще один вопрос. Запускать прогу надо на "зараженной" машине или на поправленной? Сейчас пока все нормально, периодически "загибаются"машины. Ответьте пожелуйста
=============

Выложите сначала для "поправленной" пострим на лог.
12.05.2011 21:54:54, zloyDi.]]> http://forum.esetnod32.ru/messages/forum6/topic1884/message16125/ http://forum.esetnod32.ru/messages/forum6/topic1884/message16125/ Thu, 12 May 2011 21:54:54 +0400 Обнаружение вредоносного кода и ложные срабатывания вирус меняет в реестре ключ вирус меняет в реестре ключ в форуме Обнаружение вредоносного кода и ложные срабатывания.
Еще один вопрос. Запускать прогу надо на "зараженной" машине или на поправленной? Сейчас пока все нормально, периодически "загибаются"машины. Ответьте пожелуйста
12.05.2011 21:52:20, Дмитрий.]]> http://forum.esetnod32.ru/messages/forum6/topic1884/message16124/ http://forum.esetnod32.ru/messages/forum6/topic1884/message16124/ Thu, 12 May 2011 21:52:20 +0400 Обнаружение вредоносного кода и ложные срабатывания вирус меняет в реестре ключ вирус меняет в реестре ключ в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
Дмитрий пишет:
Спасибо большое
=============

Возникают сложности по созданию лога?
12.05.2011 21:25:35, zloyDi.]]> http://forum.esetnod32.ru/messages/forum6/topic1884/message16123/ http://forum.esetnod32.ru/messages/forum6/topic1884/message16123/ Thu, 12 May 2011 21:25:35 +0400 Обнаружение вредоносного кода и ложные срабатывания вирус меняет в реестре ключ вирус меняет в реестре ключ в форуме Обнаружение вредоносного кода и ложные срабатывания.
Спасибо большое
12.05.2011 21:08:51, Дмитрий.]]> http://forum.esetnod32.ru/messages/forum6/topic1884/message16122/ http://forum.esetnod32.ru/messages/forum6/topic1884/message16122/ Thu, 12 May 2011 21:08:51 +0400 Обнаружение вредоносного кода и ложные срабатывания вирус меняет в реестре ключ вирус меняет в реестре ключ в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
Дмитрий пишет:
Здравствуйте! Ребята,помогите пожалуйста разобраться с проблемой! После сканирования NODом вирус меняет в реестре ключ и пользователь не может войти в систему,приходиться грузиться с LIVE CD и обратно менять ключ. Вирус делает его таким (C:\WINDOWS\missAU.exe) тип вируса-Win32/TrojanDownloader.Autoit.NBD. Причем NOD его как бы удаляет но он тупо прописывается в реестре. Замучился уже... Помогите.. (NOD32.4)
=============

Лог вот такой выполните
http://forum.esetnod32.ru/forum9/topic683/

Спасибо.
12.05.2011 21:04:04, zloyDi.]]> http://forum.esetnod32.ru/messages/forum6/topic1884/message16121/ http://forum.esetnod32.ru/messages/forum6/topic1884/message16121/ Thu, 12 May 2011 21:04:04 +0400 Обнаружение вредоносного кода и ложные срабатывания вирус меняет в реестре ключ вирус меняет в реестре ключ в форуме Обнаружение вредоносного кода и ложные срабатывания.
Здравствуйте! Ребята,помогите пожалуйста разобраться с проблемой! После сканирования NODом вирус меняет в реестре ключ и пользователь не может войти в систему,приходиться грузиться с LIVE CD и обратно менять ключ. Вирус делает его таким (C:\WINDOWS\missAU.exe) тип вируса-Win32/TrojanDownloader.Autoit.NBD. Причем NOD его как бы удаляет но он тупо прописывается в реестре. Замучился уже... Помогите.. (NOD32.4)
12.05.2011 21:02:42, Дмитрий.]]> http://forum.esetnod32.ru/messages/forum6/topic1884/message16120/ http://forum.esetnod32.ru/messages/forum6/topic1884/message16120/ Thu, 12 May 2011 21:02:42 +0400 Обнаружение вредоносного кода и ложные срабатывания