http://forum.esetnod32.ru Новое в теме Возникают интересные ключи в реестре форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Sat, 02 May 2026 08:07:40 +0300 Возникают интересные ключи в реестре Почему малваре байтс ругается в форуме Обнаружение вредоносного кода и ложные срабатывания.
Ну, вы сами понимаете, что образ вылеченной системы мало интересен для анализа, куда прописывается вирус.
21.10.2011 09:35:36, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2552/message22051/ http://forum.esetnod32.ru/messages/forum6/topic2552/message22051/ Fri, 21 Oct 2011 09:35:36 +0400 Обнаружение вредоносного кода и ложные срабатывания Возникают интересные ключи в реестре Почему малваре байтс ругается в форуме Обнаружение вредоносного кода и ложные срабатывания.
Ссылки удалила малваре байт. После перезагрузки. Как встретиться еще на каком либо пк такое чудо, то удалять не буду а сразу образ вам залью. Посмотрите. А этот образ делался после работы малваре. А вообще можно узнать как нод прописался в строку реестра имеено ту что малваре увидел. Поидее он пишется совсем в другое место реестра даже в другой куст.
21.10.2011 08:33:29, LOVCHIY .]]> http://forum.esetnod32.ru/messages/forum6/topic2552/message22050/ http://forum.esetnod32.ru/messages/forum6/topic2552/message22050/ Fri, 21 Oct 2011 08:33:29 +0400 Обнаружение вредоносного кода и ложные срабатывания Возникают интересные ключи в реестре Почему малваре байтс ругается в форуме Обнаружение вредоносного кода и ложные срабатывания.
вообще то в этом образе на egui нет выше указанных ссылок


====quote====
Полное имя                  C:\PROGRAM FILES\ESET\ESET NOD32 ANTIVIRUS\EGUI.EXE
Имя файла                   EGUI.EXE
Тек. статус                 АКТИВНЫЙ ПРОВЕРЕННЫЙ в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ПРОВЕРЕННЫЙ в автозапуске
Размер                      2145000 байт
Создан                      07.04.2010 в 21:07:04
Изменен                     07.04.2010 в 21:07:04
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано "ESET, spol. s r.o."
                           
Оригинальное имя            egui.exe
Версия файла                4.2.40.10
Версия продукта             4.2.40.10
Описание                    ESET GUI
Продукт                     ESET Smart Security
Copyright                   Copyright © ESET 1992-2010. All rights reserved.
Производитель               ESET
                           
Доп. информация             на момент обновления списка
pid = 2016                  SEREDA\Середа
CmdLine                     "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
Процесс создан              11:22:45 [2011.10.19]
С момента создания          02:40:20
parentid = 492              C:\WINDOWS\EXPLORER.EXE
SHA1                        02E95F078D9DE02AADFB1ECF67625D8104965B10
MD5                         126EED659167ECFD15E277301DD80470
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows\CurrentVersion\Run\egui
egui                        "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
                           

=============

а реально на этой системе есть ссылки в реестре, которые указаны выше?
19.10.2011 14:17:18, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2552/message21948/ http://forum.esetnod32.ru/messages/forum6/topic2552/message21948/ Wed, 19 Oct 2011 14:17:18 +0400 Обнаружение вредоносного кода и ложные срабатывания Возникают интересные ключи в реестре Почему малваре байтс ругается в форуме Обнаружение вредоносного кода и ложные срабатывания.
вот лог
SEREDA_2011-10-19_14-03-02.TXT
19.10.2011 14:11:54, LOVCHIY .]]> http://forum.esetnod32.ru/messages/forum6/topic2552/message21946/ http://forum.esetnod32.ru/messages/forum6/topic2552/message21946/ Wed, 19 Oct 2011 14:11:54 +0400 Обнаружение вредоносного кода и ложные срабатывания Возникают интересные ключи в реестре Почему малваре байтс ругается в форуме Обнаружение вредоносного кода и ложные срабатывания.
НОД не будет стартовать, в том случае если прописан отладчик, но интерес представляет не записи из лога МБАМ, а образ автозапуска такой системы.
19.10.2011 11:59:52, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic2552/message21936/ http://forum.esetnod32.ru/messages/forum6/topic2552/message21936/ Wed, 19 Oct 2011 11:59:52 +0400 Обнаружение вредоносного кода и ложные срабатывания Возникают интересные ключи в реестре Почему малваре байтс ругается в форуме Обнаружение вредоносного кода и ложные срабатывания.
похоже на работу вируса. сам Нод стартует?
сделай лог Малвара и uVS - http://forum.esetnod32.ru/forum9/topic683/
19.10.2011 11:51:11, Арвид.]]> http://forum.esetnod32.ru/messages/forum6/topic2552/message21935/ http://forum.esetnod32.ru/messages/forum6/topic2552/message21935/ Wed, 19 Oct 2011 11:51:11 +0400 Обнаружение вредоносного кода и ложные срабатывания Возникают интересные ключи в реестре Почему малваре байтс ругается в форуме Обнаружение вредоносного кода и ложные срабатывания.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\egui.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ekrn.exe (Security.Hijack) -> Delete on reboot.


Вот эти ключи. В штате 50 ПК. На 10 ПК после проверки малваре дает вот такой результат.
19.10.2011 11:33:28, LOVCHIY .]]> http://forum.esetnod32.ru/messages/forum6/topic2552/message21930/ http://forum.esetnod32.ru/messages/forum6/topic2552/message21930/ Wed, 19 Oct 2011 11:33:28 +0400 Обнаружение вредоносного кода и ложные срабатывания