http://forum.esetnod32.ru Новое в теме УСИЛЕННЫЙ РЕЖИМ форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Wed, 15 Apr 2026 11:13:58 +0300 УСИЛЕННЫЙ РЕЖИМ в форуме Обнаружение вредоносного кода и ложные срабатывания.
Ещё есть лог SysInspector(устаревщей версии, то есть который не в антивирусе - у меня сейчас в антивирусе SysInspector module: 1220B Ну там короче автоматически все модули обновляются)  c виртуальной машины.

SysInspector-VITALIK-ПК-110612-1635.zip
27.06.2011 09:08:25, EVE N.]]> http://forum.esetnod32.ru/messages/forum6/topic2054/message17667/ http://forum.esetnod32.ru/messages/forum6/topic2054/message17667/ Mon, 27 Jun 2011 09:08:25 +0400 Обнаружение вредоносного кода и ложные срабатывания УСИЛЕННЫЙ РЕЖИМ в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
т.е. скорее всего, скачивают к себе файлик по ссылке от "друга", и запускают flash-player.exe
=============
Понятно, что называется, проблема в безграмотности пользователей...
Смысл садиться за компьютер с интернетом, если не знать элементарных правил серфинга...
Ни одно антивирусное ПО не поможет, если юзер не знает азы компьютерной безопасности.
27.06.2011 02:04:22, marshal64.]]> http://forum.esetnod32.ru/messages/forum6/topic2054/message17655/ http://forum.esetnod32.ru/messages/forum6/topic2054/message17655/ Mon, 27 Jun 2011 02:04:22 +0400 Обнаружение вредоносного кода и ложные срабатывания УСИЛЕННЫЙ РЕЖИМ в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
marshal64 пишет:
Так, а такой вопрос.
Я так понял, что вирус из контакта.
Пользователи скачивали какие-то файлы (вроде, обновления флеш) или заражение происходит прямо по http (т.е. при загрузке страниц)?
=============
сообщение №9

====quote====
Полное имя C:\DOWNLOADS\ПРОГРАММЫ\FLASH-PLAYER.EXE
Имя файла FLASH-PLAYER.EXE
Тек. статус ВИРУС [Запускался неявно или вручную]

Сохраненная информация на момент создания образа
Статус [Запускался неявно или вручную]
Размер 1172992 байт
Создан 20.06.2011 в 20:32:43
Изменен 20.06.2011 в 20:32:54
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
=============
т.е. скорее всего, скачивают к себе файлик по ссылке от "друга", и запускают flash-player.exe
27.06.2011 00:17:54, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2054/message17654/ http://forum.esetnod32.ru/messages/forum6/topic2054/message17654/ Mon, 27 Jun 2011 00:17:54 +0400 Обнаружение вредоносного кода и ложные срабатывания УСИЛЕННЫЙ РЕЖИМ в форуме Обнаружение вредоносного кода и ложные срабатывания.
Так, а такой вопрос.
Я так понял, что вирус из контакта.
Пользователи скачивали какие-то файлы (вроде, обновления флеш) или заражение происходит прямо по http (т.е. при загрузке страниц)?
26.06.2011 23:50:41, marshal64.]]> http://forum.esetnod32.ru/messages/forum6/topic2054/message17653/ http://forum.esetnod32.ru/messages/forum6/topic2054/message17653/ Sun, 26 Jun 2011 23:50:41 +0400 Обнаружение вредоносного кода и ложные срабатывания УСИЛЕННЫЙ РЕЖИМ в форуме Обнаружение вредоносного кода и ложные срабатывания.
Avast 6.0 (с необновленными базами) так же "упал" в "защищенный режим". (Вирусяка по ходу перезагрузки грузит ситему в безопасный режим,....убивает антивир, далее (автоматически) перегружает уже в нормальный режим.

26.06.2011 18:04:01, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2054/message17651/ http://forum.esetnod32.ru/messages/forum6/topic2054/message17651/ Sun, 26 Jun 2011 18:04:01 +0400 Обнаружение вредоносного кода и ложные срабатывания УСИЛЕННЫЙ РЕЖИМ в форуме Обнаружение вредоносного кода и ложные срабатывания.
так же в hosts блокируется доступ к *vk.com, *vkontakte.ru, *facebook.com, *odnoklassniki.ru, *mts.ru
---
усиленный режим в трее не висит, если не установлен антивирус .

реакция uVS


====quote====
--------------------------------------------------------
Проверка списка...
--------------------------------------------------------
Проверено файлов: 652
Найдено вирусов: 19
Запуск служб блокирован
Построение списка процессов и модулей...
Сбор дополнительной информации...
Остановка сервисов и выгрузка драйверов...
Завершение процессов...
Успешно выгружен C:\WINDOWS\UPDATE.1\SVCHOST.EXE [pid=1064]
Успешно выгружен C:\WINDOWS\UPDATE.1\SVCHOST.EXE [pid=1868]
Успешно выгружен C:\WINDOWS\MINER2.EXE [pid=2320]
Успешно выгружен C:\WINDOWS\SYSDRIVER32.EXE [pid=3316]
Успешно выгружен C:\WINDOWS\UPDATE.5.0\SVCHOST.EXE [pid=3592]
Успешно выгружен C:\WINDOWS\UPDATE.5.0\SVCHOST.EXE [pid=3668]
Успешно выгружен C:\WINDOWS\SYSTEMUP.EXE [pid=3720]
Успешно выгружен C:\WINDOWS\UPDATE.2\SVCHOST.EXE [pid=3828]
Успешно выгружен C:\WINDOWS\L1REZERV.EXE [pid=3920]
Успешно выгружен C:\WINDOWS\UPDATE.2\SVCHOST.EXE [pid=3940]
Построение списка процессов и модулей...
Анализ автозапуска...
Построение списка системных модулей и драйверов...
Анализ файлов в списке...
Файл не найден: C:\WINDOWS\SYSTEM32\PSXSS.EXE
Файл не найден: C:\WINDOWS\SYSTEM32\DRIVERS\DUMP_ATAPI.SYS
Файл не найден: C:\WINDOWS\SYSTEM32\DRIVERS\DUMP_WMILIB.SYS
Анализ завершен.
Список готов.
--------------------------------------------------------
Проверка списка...
--------------------------------------------------------
Запуск служб разблокирован
Завершено процессов: 10 из 10
Изменено/удалено объектов автозапуска 16 из 16
Удалено файлов: 19 из 19

=============

26.06.2011 17:10:01, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2054/message17650/ http://forum.esetnod32.ru/messages/forum6/topic2054/message17650/ Sun, 26 Jun 2011 17:10:01 +0400 Обнаружение вредоносного кода и ложные срабатывания УСИЛЕННЫЙ РЕЖИМ в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====


EVE N , так он систему сразу перегружает в безопасный режим? (и там удаляет антивир)
=============

====quote====
12.06.2011 20:09:11 C:\Windows\System32\svchost.exe open process C:\Program Files\ESET\ESET Smart Security\egui.exe blocked
12.06.2011 20:09:02 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000 blocked
12.06.2011 20:09:02 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked
12.06.2011 20:09:02 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects\{3228ef15-2b94-11e0-b010-d6a6fb222995} blocked
12.06.2011 20:09:02 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked
12.06.2011 20:09:02 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects\{3228ef15-2b94-11e0-b010-d6a6fb222995} blocked
12.06.2011 20:09:02 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked
12.06.2011 20:09:02 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked
12.06.2011 20:09:02 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects\{9dea862c-5cdd-4e70-acc1-f32b344d4795} blocked
12.06.2011 20:09:02 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000 blocked
12.06.2011 20:09:02 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000 blocked
12.06.2011 20:09:02 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked
12.06.2011 20:09:01 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects\{3228ef15-2b94-11e0-b010-d6a6fb222995} blocked
12.06.2011 20:09:01 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked
12.06.2011 20:09:01 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked
12.06.2011 20:09:01 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects\{9dea862c-5cdd-4e70-acc1-f32b344d4795} blocked
12.06.2011 20:09:01 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000 blocked
12.06.2011 20:08:57 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Sa­feBoot\Ne­twork\wxpdrivers blocked
12.06.2011 20:08:57 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Sa­feBoot\Mi­nimal\wxpdrivers blocked
12.06.2011 20:08:57 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Sa­feBoot\Al­ternateShell blocked
12.06.2011 20:08:57 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Sa­feBoot\Ne­twork\wxpdrivers blocked
12.06.2011 20:08:57 C:\Users\vitalik\Desktop\Flash-Player.exe open process C:\Program Files\ESET\ESET Smart Security\x86\ekrn.exe blocked
12.06.2011 20:08:57 C:\Users\vitalik\Desktop\Flash-Player.exe open process C:\Windows\System32\lsass.exe blocked
12.06.2011 20:08:57 C:\Users\vitalik\Desktop\Flash-Player.exe open process C:\Windows\System32\csrss.exe blocked
12.06.2011 20:08:57 C:\Users\vitalik\Desktop\Flash-Player.exe open process C:\Windows\System32\csrss.exe blocked
12.06.2011 20:08:57 C:\Users\vitalik\Desktop\Flash-Player.exe open process C:\Windows\System32\smss.exe blocked
12.06.2011 20:08:57 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Sa­feBoot\Mi­nimal\wxpdrivers blocked
12.06.2011 20:08:57 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Sa­feBoot\Mi­nimal\wxpdrivers blocked
12.06.2011 20:08:57 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Sa­feBoot\Al­ternateShell blocked
12.06.2011 20:08:56 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Sa­feBoot\Ne­twork\wxpdrivers blocked
12.06.2011 20:08:56 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Sa­feBoot\Mi­nimal\wxpdrivers blocked
12.06.2011 20:08:56 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Sa­feBoot\Al­ternateShell blocked
12.06.2011 20:08:56 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Sa­feBoot\Ne­twork\wxpdrivers blocked
12.06.2011 20:08:56 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Sa­feBoot\Al­ternateShell blocked
12.06.2011 20:07:35 C:\Windows\System32\winlogon.exe open process C:\Windows\System32\csrss.exe blocked
12.06.2011 20:07:35 C:\Windows\System32\winlogon.exe open process C:\Windows\System32\csrss.exe blocked
12.06.2011 20:05:37 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000 blocked
12.06.2011 20:05:37 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked
12.06.2011 20:05:36 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects\{3228ef15-2b94-11e0-b010-d6a6fb222995} blocked
12.06.2011 20:05:36 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked
12.06.2011 20:05:36 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects\{3228ef15-2b94-11e0-b010-d6a6fb222995} blocked
12.06.2011 20:05:36 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked
12.06.2011 20:05:36 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked
12.06.2011 20:05:36 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects\{9dea862c-5cdd-4e70-acc1-f32b344d4795} blocked
12.06.2011 20:05:36 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000 blocked
12.06.2011 20:05:36 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000 blocked
12.06.2011 20:05:36 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked
12.06.2011 20:05:36 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects\{3228ef15-2b94-11e0-b010-d6a6fb222995} blocked
12.06.2011 20:05:36 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked
12.06.2011 20:05:36 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked
12.06.2011 20:05:36 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects\{9dea862c-5cdd-4e70-acc1-f32b344d4795} blocked
12.06.2011 20:05:36 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000 blocked
12.06.2011 20:05:32 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000 blocked
12.06.2011 20:05:32 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked
12.06.2011 20:05:32 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects\{3228ef15-2b94-11e0-b010-d6a6fb222995} blocked
12.06.2011 20:05:32 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked
12.06.2011 20:05:32 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects\{3228ef15-2b94-11e0-b010-d6a6fb222995} blocked
12.06.2011 20:05:31 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked
12.06.2011 20:05:31 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked
12.06.2011 20:05:31 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects\{9dea862c-5cdd-4e70-acc1-f32b344d4795} blocked
12.06.2011 20:05:31 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000 blocked
12.06.2011 20:05:31 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000 blocked
12.06.2011 20:05:31 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked
12.06.2011 20:05:31 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects\{3228ef15-2b94-11e0-b010-d6a6fb222995} blocked
12.06.2011 20:05:31 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked
12.06.2011 20:05:31 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked
12.06.2011 20:05:31 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects\{9dea862c-5cdd-4e70-acc1-f32b344d4795} blocked
12.06.2011 20:05:31 C:\Users\vitalik\AppData\Local\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000 blocked
12.06.2011 20:05:31 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Sa­feBoot\Ne­twork\wxpdrivers blocked
12.06.2011 20:05:31 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Sa­feBoot\Mi­nimal\wxpdrivers blocked
12.06.2011 20:05:31 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Sa­feBoot\Ne­twork\wxpdrivers blocked
12.06.2011 20:05:31 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Sa­feBoot\Al­ternateShell blocked
12.06.2011 20:05:31 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Sa­feBoot\Mi­nimal\wxpdrivers blocked
12.06.2011 20:05:31 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Sa­feBoot\Al­ternateShell blocked
12.06.2011 20:05:31 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Sa­feBoot\Ne­twork\wxpdrivers blocked
12.06.2011 20:05:31 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Sa­feBoot\Mi­nimal\wxpdrivers blocked
12.06.2011 20:05:31 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Sa­feBoot\Al­ternateShell blocked
12.06.2011 20:05:31 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Sa­feBoot\Ne­twork\wxpdrivers blocked
12.06.2011 20:05:31 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000 blocked
12.06.2011 20:05:31 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked
12.06.2011 20:05:31 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects\{3228ef15-2b94-11e0-b010-d6a6fb222995} blocked
12.06.2011 20:05:31 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked
12.06.2011 20:05:31 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects\{3228ef15-2b94-11e0-b010-d6a6fb222995} blocked
12.06.2011 20:05:31 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked
12.06.2011 20:05:31 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked
12.06.2011 20:05:31 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects\{9dea862c-5cdd-4e70-acc1-f32b344d4795} blocked
12.06.2011 20:05:30 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000 blocked
12.06.2011 20:05:30 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000 blocked
12.06.2011 20:05:30 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked
12.06.2011 20:05:30 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects\{3228ef15-2b94-11e0-b010-d6a6fb222995} blocked
12.06.2011 20:05:30 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked
12.06.2011 20:05:30 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects blocked
12.06.2011 20:05:29 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000\Objects\{9dea862c-5cdd-4e70-acc1-f32b344d4795} blocked
12.06.2011 20:05:29 C:\Windows\Temp\bcdedit32.exe set key security HKEY_LOCAL_MACHINE\BCD00000000 blocked
12.06.2011 20:05:29 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Sa­feBoot\Mi­nimal\wxpdrivers blocked
12.06.2011 20:05:29 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Sa­feBoot\Al­ternateShell blocked
12.06.2011 20:05:29 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Sa­feBoot\Ne­twork\wxpdrivers blocked
12.06.2011 20:05:29 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Sa­feBoot\Mi­nimal\wxpdrivers blocked
12.06.2011 20:05:29 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Sa­feBoot\Al­ternateShell blocked
12.06.2011 20:05:29 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Sa­feBoot\Mi­nimal\wxpdrivers blocked
12.06.2011 20:05:29 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Sa­feBoot\Ne­twork\wxpdrivers blocked
12.06.2011 20:05:28 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Sa­feBoot\Al­ternateShell blocked
12.06.2011 20:05:28 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Sa­feBoot\Ne­twork\wxpdrivers blocked
12.06.2011 20:05:28 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Sa­feBoot\Al­ternateShell blocked
12.06.2011 20:05:28 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Sa­feBoot\Mi­nimal\wxpdrivers blocked
12.06.2011 20:05:28 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Sa­feBoot\Al­ternateShell blocked
12.06.2011 20:05:28 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Sa­feBoot\Ne­twork\wxpdrivers blocked
12.06.2011 20:05:27 C:\Users\vitalik\Desktop\Flash-Player.exe open process C:\Program Files\ESET\ESET Smart Security\egui.exe blocked
12.06.2011 20:05:27 C:\Users\vitalik\Desktop\Flash-Player.exe open process C:\Program Files\ESET\ESET Smart Security\x86\ekrn.exe blocked
12.06.2011 20:05:27 C:\Users\vitalik\Desktop\Flash-Player.exe open process C:\Windows\System32\lsass.exe blocked
12.06.2011 20:05:26 C:\Users\vitalik\Desktop\Flash-Player.exe open process C:\Windows\System32\csrss.exe blocked
12.06.2011 20:05:25 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Sa­feBoot\Mi­nimal\wxpdrivers blocked
12.06.2011 20:05:25 C:\Windows\SysWOW64\reg.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Sa­feBoot\Al­ternateShell blocked
12.06.2011 20:05:24 C:\Users\vitalik\Desktop\Flash-Player.exe set value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Sa­feBoot\Al­ternateShell blocked
12.06.2011 20:05:20 C:\Users\vitalik\Desktop\Flash-Player.exe open process C:\Program Files\ESET\ESET Smart Security\egui.exe blocked __________________

=============
Лог HIPS первой беты.
Прописывается вот сюда:
HKEY_LOCAL_MACHINE\BCD00000000\*\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\*\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\*\
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot­\*\
В safe mode запускает свою службу и удаляет все что захочет. А это не важно самому перезагрузится или виря перезагрузит, там во время перезагрузки юзер может и увидит странную загрузку ПК, но будит уже поздно.
26.06.2011 15:20:47, EVE N.]]> http://forum.esetnod32.ru/messages/forum6/topic2054/message17646/ http://forum.esetnod32.ru/messages/forum6/topic2054/message17646/ Sun, 26 Jun 2011 15:20:47 +0400 Обнаружение вредоносного кода и ложные срабатывания УСИЛЕННЫЙ РЕЖИМ в форуме Обнаружение вредоносного кода и ложные срабатывания.
...
26.06.2011 15:15:12, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic2054/message17645/ http://forum.esetnod32.ru/messages/forum6/topic2054/message17645/ Sun, 26 Jun 2011 15:15:12 +0400 Обнаружение вредоносного кода и ложные срабатывания УСИЛЕННЫЙ РЕЖИМ в форуме Обнаружение вредоносного кода и ложные срабатывания.
из лога АВЗ

====quote====
AVP
Служба: Стоп, Удалить, Отключить, Удалить через BC Kaspersky Anti-Virus Service Не запущен C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe
Скрипт: Kарантин, Удалить, Удалить через BC

=============
http://virusinfo.info/showthread.php?t=104069
26.06.2011 15:02:06, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2054/message17644/ http://forum.esetnod32.ru/messages/forum6/topic2054/message17644/ Sun, 26 Jun 2011 15:02:06 +0400 Обнаружение вредоносного кода и ложные срабатывания УСИЛЕННЫЙ РЕЖИМ в форуме Обнаружение вредоносного кода и ложные срабатывания.
По теме:
http://virusinfo.info/showthread.php?s=3f5a8a1918bb19a1c849e452bf3e1de5&t=103480
26.06.2011 14:53:45, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic2054/message17643/ http://forum.esetnod32.ru/messages/forum6/topic2054/message17643/ Sun, 26 Jun 2011 14:53:45 +0400 Обнаружение вредоносного кода и ложные срабатывания УСИЛЕННЫЙ РЕЖИМ в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
EVE N пишет:
Action-> Ask/Block
Виря в безопасном режиме удаляет.  
Проверял на  первой бете  и Windows 7 x64, с такой блокировкой ключей реестра эта виря в обломе.  
Вот сейчас закончат разработку и наверно поставят новый "забор" то есть - Self-defense support module.  
=============
это понятно, что ESS5 HIPS-ом должен поставить шлагбаум, но, 3 и 4 версии выходит на сегодня вылетают с треском. Да, вирусяка так же грузится в безопасном режиме.


====quote====
Полное имя                  C:\WINDOWS\SERVICES32.EXE
Имя файла                   SERVICES32.EXE
Тек. статус                 ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер                      1172992 байт
Создан                      20.06.2011 в 16:02:50
Изменен                     20.06.2011 в 16:02:40
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Автозапуск                  Неизвестный файл использует ключ реестра часто используемый вирусами
                           
Доп. информация             на момент обновления списка
SHA1                        88E325DCA277FFF1F37A8E59BE01CE61908DEF6C
MD5                         D2A3874D904978ED4FFAC21CF671BC10
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows\CurrentVersion\Run\wxpdrv
wxpdrv                      C:\WINDOWS\services32.exe
                           
Ссылка                      HKLM\System\CurrentControlSet\Control\SafeBoot\AlternateShel­l
AlternateShell              services32.exe
                           

=============
EVE N, так он систему сразу перегружает в безопасный режим? (и там удаляет антивир)
26.06.2011 14:53:43, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2054/message17642/ http://forum.esetnod32.ru/messages/forum6/topic2054/message17642/ Sun, 26 Jun 2011 14:53:43 +0400 Обнаружение вредоносного кода и ложные срабатывания УСИЛЕННЫЙ РЕЖИМ в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy пишет:
Если есть инсталлятор...
=============
Чего нет - того нет.  
26.06.2011 14:39:06, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic2054/message17641/ http://forum.esetnod32.ru/messages/forum6/topic2054/message17641/ Sun, 26 Jun 2011 14:39:06 +0400 Обнаружение вредоносного кода и ложные срабатывания УСИЛЕННЫЙ РЕЖИМ в форуме Обнаружение вредоносного кода и ложные срабатывания.
Automatic mode
Edit rule -> target registry -> Operations 3 нижние.
HKEY_LOCAL_MACHINE\BCD00000000\*
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\*
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\*
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot­\*
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\*


Action-> Ask/Block
Виря в безопасном режиме удаляет.
Проверял на первой бете и Windows 7 x64, с такой блокировкой ключей реестра эта виря в обломе.

Вот сейчас закончат разработку и наверно поставят новый "забор" то есть - Self-defense support module.
26.06.2011 14:37:57, EVE N.]]> http://forum.esetnod32.ru/messages/forum6/topic2054/message17640/ http://forum.esetnod32.ru/messages/forum6/topic2054/message17640/ Sun, 26 Jun 2011 14:37:57 +0400 Обнаружение вредоносного кода и ложные срабатывания УСИЛЕННЫЙ РЕЖИМ в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy пишет:
Некоторое время назад, было сообщение от ДрВеб
=============
По моему первое такое сообщение у них было в конце 2009 года.
Вирус загружался.
Перезагружал PC в безопасный режим.
Удалял Антивирус.
После чего выдавал сообщения, что всё нормально, всё в порядке.
И вроде бы даже вирусы отлавливал.    

*Вот интересно это от одних разработчиков или от разных ?
** Надо думать, что официального заявления от ESET по этому поводу не будет ?
DrWeb вот написал...
26.06.2011 14:37:34, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic2054/message17639/ http://forum.esetnod32.ru/messages/forum6/topic2054/message17639/ Sun, 26 Jun 2011 14:37:34 +0400 Обнаружение вредоносного кода и ложные срабатывания УСИЛЕННЫЙ РЕЖИМ в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
RP55 RP55 пишет:
Сам файл разделяемый - как боеголовка к межконтинентальной ракете ?    

=============
если есть инсталлятор, скиньте в лично - проверим, как он адаптируется к разным антивирусам.
26.06.2011 14:34:12, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2054/message17638/ http://forum.esetnod32.ru/messages/forum6/topic2054/message17638/ Sun, 26 Jun 2011 14:34:12 +0400 Обнаружение вредоносного кода и ложные срабатывания УСИЛЕННЫЙ РЕЖИМ в форуме Обнаружение вредоносного кода и ложные срабатывания.
удивляет следующий факт: uVS вычищает его моментально, точно так же как вирусняк зачищает текущий антивирус.
26.06.2011 14:31:45, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2054/message17637/ http://forum.esetnod32.ru/messages/forum6/topic2054/message17637/ Sun, 26 Jun 2011 14:31:45 +0400 Обнаружение вредоносного кода и ложные срабатывания УСИЛЕННЫЙ РЕЖИМ в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
RP55 RP55 пишет:

Что, тоже выдаёт там картинку: Nod НЕ NOD.jpg    
Под каждый Антивирус использует свой шаблон ?
Какой алгоритм работы?
Сам файл разделяемый - как боеголовка к межконтинентальной ракете ?    

=============
картинки не видел, но скорее всего да, под каждый антивир - выдает свои картинки.
некоторое время назад, было сообщение от ДрВеб - там вирусняк прибивал антивиры, и выдавал сообщение в трее по текущему, удаленному антивиру, но было это в безопасном режиме.

Остальные вопросы - к нашему центру аналитики и вирусных исследований.
26.06.2011 14:29:32, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2054/message17636/ http://forum.esetnod32.ru/messages/forum6/topic2054/message17636/ Sun, 26 Jun 2011 14:29:32 +0400 Обнаружение вредоносного кода и ложные срабатывания УСИЛЕННЫЙ РЕЖИМ в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
5. процесс в автозапуске

Полное имя                  C:\WINDOWS\SYSDRIVER32_.EXE
Имя файла                   SYSDRIVER32_.EXE
Тек. статус                 ВИРУС в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
Размер                      224768 байт
Создан                      22.06.2011 в 11:05:22
Изменен                     22.06.2011 в 11:04:58
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Доп. информация             на момент обновления списка
SHA1                        EAB4B10A8B8F925844E26EAE472FCC48037EE8AD
MD5                         D1D4BBC13272C5BAD74AD0A42BCACA88
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows\CurrentVersion\Run\sysdriver­32_.exe
sysdriver32_.exe            "C:\WINDOWS\sysdriver32_.exe" rezerv
                           

=============

26.06.2011 14:26:53, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2054/message17635/ http://forum.esetnod32.ru/messages/forum6/topic2054/message17635/ Sun, 26 Jun 2011 14:26:53 +0400 Обнаружение вредоносного кода и ложные срабатывания УСИЛЕННЫЙ РЕЖИМ в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy пишет:
Видел сообщения по КИС 2011, Comodo....
=============

Что, тоже выдаёт там картинку: Nod НЕ NOD.jpg  
Под каждый Антивирус использует свой шаблон ?
Какой алгоритм работы?
Сам файл разделяемый - как боеголовка к межконтинентальной ракете ?  


26.06.2011 14:26:49, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic2054/message17634/ http://forum.esetnod32.ru/messages/forum6/topic2054/message17634/ Sun, 26 Jun 2011 14:26:49 +0400 Обнаружение вредоносного кода и ложные срабатывания УСИЛЕННЫЙ РЕЖИМ в форуме Обнаружение вредоносного кода и ложные срабатывания.
4. запущена служба, с сетевой активностью


====quote====
Полное имя                  C:\WINDOWS\SYSDRIVER32.EXE
Имя файла                   SYSDRIVER32.EXE
Тек. статус                 АКТИВНЫЙ ВИРУС сервис в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ]
                           
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ сервис в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ]
Размер                      224768 байт
Создан                      22.06.2011 в 11:05:08
Изменен                     22.06.2011 в 11:04:58
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Доп. информация             на момент обновления списка
pid = 504                   NT AUTHORITY\SYSTEM
CmdLine                     C:\WINDOWS\sysdriver32.exe srv
Процесс создан              16:41:36 [2011.06.25]
С момента создания          00:50:23
parentid = 1164            
SYN_SENT                    109.201.247.245:4661 <-> 93.79.51.252:8080
SYN_SENT                    109.201.247.245:4683 <-> 46.55.20.111:8080
SYN_SENT                    109.201.247.245:4649 <-> 178.74.212.121:8080
SYN_SENT                    109.201.247.245:4648 <-> 94.137.222.234:8080
SYN_SENT                    109.201.247.245:4640 <-> 77.122.72.181:8080
SYN_SENT                    109.201.247.245:4653 <-> 93.78.89.40:8080
SYN_SENT                    109.201.247.245:4668 <-> 94.51.126.154:8080
SYN_SENT                    109.201.247.245:4667 <-> 90.130.135.127:8080
SYN_SENT                    109.201.247.245:4639 <-> 178.74.202.226:8080
SYN_SENT                    109.201.247.245:4660 <-> 188.232.142.238:8080
LISTEN                      0.0.0.0:8081
SHA1                        EAB4B10A8B8F925844E26EAE472FCC48037EE8AD
MD5                         D1D4BBC13272C5BAD74AD0A42BCACA88
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows\CurrentVersion\Run\sysdriver­32.exe
sysdriver32.exe             "C:\WINDOWS\sysdriver32.exe" rezerv
                           
Ссылка                      HKLM\System\CurrentControlSet\Services\srvsysdriver32\ImageP­ath
ImagePath                   C:\WINDOWS\sysdriver32.exe srv
srvsysdriver32              тип запуска: Авто (2)
                           
Образы                      EXE и DLL
SYSDRIVER32.EXE             C:\WINDOWS

=============

26.06.2011 14:24:49, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2054/message17633/ http://forum.esetnod32.ru/messages/forum6/topic2054/message17633/ Sun, 26 Jun 2011 14:24:49 +0400 Обнаружение вредоносного кода и ложные срабатывания УСИЛЕННЫЙ РЕЖИМ в форуме Обнаружение вредоносного кода и ложные срабатывания.
3. в трее висит процесс


====quote====
Полное имя                  C:\WINDOWS\UPDATE.TRAY-3-0\SVCHOST.EXE
Имя файла                   SVCHOST.EXE
Тек. статус                 АКТИВНЫЙ ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер                      1172992 байт
Создан                      20.06.2011 в 20:43:20
Изменен                     20.06.2011 в 20:32:54
Атрибуты                    СКРЫТЫЙ  
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Атрибут файла               "Скрытый" или "Системный" [типично для вирусов]
Путь до файла               Не_типичен для этого файла [имя этого файла есть в известных]
                           
Доп. информация             на момент обновления списка
pid = 728                   WINXPSP3\Admin
CmdLine                     "C:\WINDOWS\update.tray-3-0\svchost.exe"
Процесс создан              16:41:34 [2011.06.25]
С момента создания          00:50:25
parentid = 392              C:\WINDOWS\EXPLORER.EXE
SHA1                        88E325DCA277FFF1F37A8E59BE01CE61908DEF6C
MD5                         D2A3874D904978ED4FFAC21CF671BC10
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows\CurrentVersion\Run\tray_ico0­
tray_ico0                   C:\WINDOWS\update.tray-3-0\svchost.exe
                           

=============

26.06.2011 14:23:24, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2054/message17632/ http://forum.esetnod32.ru/messages/forum6/topic2054/message17632/ Sun, 26 Jun 2011 14:23:24 +0400 Обнаружение вредоносного кода и ложные срабатывания УСИЛЕННЫЙ РЕЖИМ в форуме Обнаружение вредоносного кода и ложные срабатывания.
2. прибивает антивир, причем не только ESET NOD32, видел сообщения по КИС 2011, Comodo....


====quote====
Полное имя                  C:\PROGRAM FILES\ESET\ESET SMART SECURITY\EKRN.EXE
Имя файла                   EKRN.EXE
Тек. статус                 сервис в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      сервис в автозапуске
Инф. о файле                Системе не удается найти указанный путь.
Цифр. подпись               проверка не производилась
                           
Ссылки на объект            
Ссылка                      HKLM\System\CurrentControlSet\Services\ekrn\ImagePath
ImagePath                   "C:\Program Files\ESET\ESET Smart Security\ekrn.exe"
ekrn                        тип запуска: Авто (2)
=============



====quote====
Полное имя                  C:\PROGRAM FILES\ESET\ESET SMART SECURITY\EGUI.EXE
Имя файла                   EGUI.EXE
Тек. статус                 в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
Инф. о файле                Системе не удается найти указанный путь.
Цифр. подпись               проверка не производилась
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows\CurrentVersion\Run\egui
egui                        "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice

=============

26.06.2011 14:21:14, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2054/message17631/ http://forum.esetnod32.ru/messages/forum6/topic2054/message17631/ Sun, 26 Jun 2011 14:21:14 +0400 Обнаружение вредоносного кода и ложные срабатывания УСИЛЕННЫЙ РЕЖИМ в форуме Обнаружение вредоносного кода и ложные срабатывания.
1. скорее всего инсталлятор, т.е. пользователь сам его за пускает из каких-то соображений. (соц. инженерия, видимо.)


====quote====
Полное имя                  C:\DOWNLOADS\ПРОГРАММЫ\FLASH-PLAYER.EXE
Имя файла                   FLASH-PLAYER.EXE
Тек. статус                 ВИРУС [Запускался неявно или вручную]
                           
Сохраненная информация      на момент создания образа
Статус                      [Запускался неявно или вручную]
Размер                      1172992 байт
Создан                      20.06.2011 в 20:32:43
Изменен                     20.06.2011 в 20:32:54
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Доп. информация             на момент обновления списка
SHA1                        88E325DCA277FFF1F37A8E59BE01CE61908DEF6C
MD5                         D2A3874D904978ED4FFAC21CF671BC10
                           

=============

26.06.2011 14:18:55, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2054/message17630/ http://forum.esetnod32.ru/messages/forum6/topic2054/message17630/ Sun, 26 Jun 2011 14:18:55 +0400 Обнаружение вредоносного кода и ложные срабатывания УСИЛЕННЫЙ РЕЖИМ в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
marshal64 пишет:
Хотелось бы тогда название узнать, чтобы почитать о вирусе. Наверное, как обычно: автозагрузка, хостс, и все дела...
=============

Можно увидеть такую картину...

[Windows 5.1.2600 SP3 Service Pack 3]
вирусы:        

  _a variant of Win32/Delf.QCZ_
  _a variant of Win32/TrojanDownloader.Delf.QCY_

ПОДОЗРИТ.  | C:\DOCUME~1\ADMIN\LOCALS~1\TEMP\2886919.EXE
(HKLM\Software\Microsoft\Windows\CurrentVersion\Run\2886919.exe
"C:\DOCUME~1\Admin\LOCALS~1\Temp\2886919.exe")

ПОДОЗРИТ.  | C:\DOCUME~1\ADMIN\LOCALS~1\TEMP\4206755.EXE
ПОДОЗРИТ.  | C:\DOCUME~1\ADMIN\LOCALS~1\TEMP\4567054.EXE
ПОДОЗРИТ.  | C:\DOCUME~1\ADMIN\LOCALS~1\TEMP\6815855.EXE
ПОДОЗРИТ.  | C:\DOCUME~1\ADMIN\LOCALS~1\TEMP\7596880.EXE
ПОДОЗРИТ.  | C:\DOCUME~1\ADMIN\LOCALS~1\TEMP\7912408.EXE
ПОДОЗРИТ.  | C:\DOCUME~1\ADMIN\LOCALS~1\TEMP\9480627.EXE
ПОДОЗРИТ.  | C:\DOCUME~1\ADMIN\LOCALS~1\TEMP\9509394.EXE
ПОДОЗРИТ.  | C:\DOCUMENTS AND SETTINGS\ADMIN\CBZVL.EXE
C:\WINDOWS\L1REZERV.EXE
C:\WINDOWS\SERVICES32.EXE
C:\WINDOWS\UPDATE.TRAY-3-0-LNK\SVCHOST.EXE
C:\WINDOWS\UPDATE.TRAY-3-0\SVCHOST.EXE
C:\WINDOWS\UPDATE.5.0\SVCHOST.EXE
C:\WINDOWS\UPDATE.2\SVCHOST.EXE
C:\WINDOWS\UPDATE.1\SVCHOST.EXE
C:\WINDOWS\SYSDRIVER32.EXE

C:\WINDOWS\SYSDRIVER32_.EXE
(HKLM\Software\Microsoft\Windows\CurrentVersion\Run\sysdriver­32_.exe
"C:\WINDOWS\sysdriver32_.exe" rezerv)

C:\WINDOWS\SYSTEMUP.EXE
(HKLM\Software\Microsoft\Windows\CurrentVersion\Run\systemup
"C:\WINDOWS\systemup.exe" stand)
____________________________________________________________­____
Файл отсутствует:
C:\PROGRAM FILES\ESET\ESET SMART SECURITY\EGUI.EXE
C:\PROGRAM FILES\ESET\ESET SMART SECURITY\EHTTPSRV.EXE
C:\PROGRAM FILES\ESET\ESET SMART SECURITY\EKRN.EXE
26.06.2011 14:15:40, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic2054/message17629/ http://forum.esetnod32.ru/messages/forum6/topic2054/message17629/ Sun, 26 Jun 2011 14:15:40 +0400 Обнаружение вредоносного кода и ложные срабатывания УСИЛЕННЫЙ РЕЖИМ в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
нод уже вроде как ловит все файлы
=============
Хотелось бы тогда название узнать, чтобы почитать о вирусе.
Наверное, как обычно: автозагрузка, хостс, и все дела...
26.06.2011 12:25:33, marshal64.]]> http://forum.esetnod32.ru/messages/forum6/topic2054/message17628/ http://forum.esetnod32.ru/messages/forum6/topic2054/message17628/ Sun, 26 Jun 2011 12:25:33 +0400 Обнаружение вредоносного кода и ложные срабатывания УСИЛЕННЫЙ РЕЖИМ в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
marshal64 пишет:
Смотрю на поток одних и тех же тем. Возникли вопросы. Что за троян/вирус? Уже детектируется нодом? Как происходит заражение и где прописывается?
=============

Вирус ловится в контакте, нод уже вроде как ловит все файлы.
26.06.2011 06:08:22, zloyDi.]]> http://forum.esetnod32.ru/messages/forum6/topic2054/message17625/ http://forum.esetnod32.ru/messages/forum6/topic2054/message17625/ Sun, 26 Jun 2011 06:08:22 +0400 Обнаружение вредоносного кода и ложные срабатывания УСИЛЕННЫЙ РЕЖИМ в форуме Обнаружение вредоносного кода и ложные срабатывания.
Смотрю на поток одних и тех же тем. Возникли вопросы.
Что за троян/вирус? Уже детектируется нодом?
Как происходит заражение и где прописывается?
25.06.2011 23:06:00, marshal64.]]> http://forum.esetnod32.ru/messages/forum6/topic2054/message17623/ http://forum.esetnod32.ru/messages/forum6/topic2054/message17623/ Sat, 25 Jun 2011 23:06:00 +0400 Обнаружение вредоносного кода и ложные срабатывания УСИЛЕННЫЙ РЕЖИМ в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
NGUgeneral пишет:
Спасибо за помощь и оперативный ответ в столь позднее время
=============

Выполните также вот это
http://forum.esetnod32.ru/forum9/topic751/
24.06.2011 23:04:38, zloyDi.]]> http://forum.esetnod32.ru/messages/forum6/topic2054/message17586/ http://forum.esetnod32.ru/messages/forum6/topic2054/message17586/ Fri, 24 Jun 2011 23:04:38 +0400 Обнаружение вредоносного кода и ложные срабатывания УСИЛЕННЫЙ РЕЖИМ в форуме Обнаружение вредоносного кода и ложные срабатывания.
Спасибо за помощь и оперативный ответ в столь позднее время
24.06.2011 23:00:24, NGUgeneral.]]> http://forum.esetnod32.ru/messages/forum6/topic2054/message17585/ http://forum.esetnod32.ru/messages/forum6/topic2054/message17585/ Fri, 24 Jun 2011 23:00:24 +0400 Обнаружение вредоносного кода и ложные срабатывания УСИЛЕННЫЙ РЕЖИМ в форуме Обнаружение вредоносного кода и ложные срабатывания.
Выполнить скрипт в программе UVS (Меню Файл - выполнить скрипт из файла)
Скрипт будет в файле 1.txt

ПК перезагрузится.

После переустановить антивирус, обновить и выполнить полный скан ПК.

Спасибо.
1.txt
24.06.2011 22:45:44, zloyDi.]]> http://forum.esetnod32.ru/messages/forum6/topic2054/message17582/ http://forum.esetnod32.ru/messages/forum6/topic2054/message17582/ Fri, 24 Jun 2011 22:45:44 +0400 Обнаружение вредоносного кода и ложные срабатывания