http://forum.esetnod32.ru Новое в теме Нужна помощь в лечении форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Wed, 15 Apr 2026 03:18:45 +0300 Нужна помощь в лечении в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy пишет:
вот этот ключ в реестре проверьте на предмет блокирования запуска программ. (можно ветку удалить, перезагрузиться, проверить возможность запуска egui.) HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre­­ntVersio­n\Policies\Explorer\Disallowrun в этом списке должен быть egui.exe , а так же ряд других программ.
=============

Thanks!!! Была эта же проблема, удалил ветку реестра, теперь все пашет
18.11.2010 23:07:30, Александр Василенко.]]> http://forum.esetnod32.ru/messages/forum6/topic306/message9624/ http://forum.esetnod32.ru/messages/forum6/topic306/message9624/ Thu, 18 Nov 2010 23:07:30 +0300 Обнаружение вредоносного кода и ложные срабатывания Нужна помощь в лечении в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
Мария пишет:
Запустила, перезагрузила. ESET загрузился. Похоже все работает. Большое человеческое спасибо за помощь!
=============
Незачто, обращайтесь!

Есть пару советов, установить более новую версию линейки 3 или новую 4.2, также по возможности обновить Java и Adobe Reader!
21.05.2010 19:41:00, zloyDi.]]> http://forum.esetnod32.ru/messages/forum6/topic306/message2000/ http://forum.esetnod32.ru/messages/forum6/topic306/message2000/ Fri, 21 May 2010 19:41:00 +0400 Обнаружение вредоносного кода и ложные срабатывания Нужна помощь в лечении в форуме Обнаружение вредоносного кода и ложные срабатывания.
Запустила, перезагрузила. ESET загрузился. Похоже все работает. Большое человеческое спасибо за помощь!
21.05.2010 19:38:59, Мария.]]> http://forum.esetnod32.ru/messages/forum6/topic306/message1999/ http://forum.esetnod32.ru/messages/forum6/topic306/message1999/ Fri, 21 May 2010 19:38:59 +0400 Обнаружение вредоносного кода и ложные срабатывания Нужна помощь в лечении в форуме Обнаружение вредоносного кода и ложные срабатывания.
Вот файлик, запустить и перезагрузить ПК. Сообщить о результате.
help.rar
21.05.2010 19:18:45, zloyDi.]]> http://forum.esetnod32.ru/messages/forum6/topic306/message1996/ http://forum.esetnod32.ru/messages/forum6/topic306/message1996/ Fri, 21 May 2010 19:18:45 +0400 Обнаружение вредоносного кода и ложные срабатывания Нужна помощь в лечении в форуме Обнаружение вредоносного кода и ложные срабатывания.
После запуска vir_del ничего не изменилось. Антивирус ESET так же не запускается "Политика ограничения ...". После запуска keyhelp образовалось только 3 файла. Прикрепляю.
nod1.txt
nod2.txt
nod3.txt
21.05.2010 19:12:25, Мария.]]> http://forum.esetnod32.ru/messages/forum6/topic306/message1995/ http://forum.esetnod32.ru/messages/forum6/topic306/message1995/ Fri, 21 May 2010 19:12:25 +0400 Обнаружение вредоносного кода и ложные срабатывания Нужна помощь в лечении в форуме Обнаружение вредоносного кода и ложные срабатывания.
Если не поможет, к посту прикрепляю файл keyhelp.bat запустить, после запуска в корне диска С будет 4 файла
nod1.txt
nod2.txt
nod3.txt
nod4.txt

Прикрепите их к посту.
key_help.rar
21.05.2010 08:39:44, zloyDi.]]> http://forum.esetnod32.ru/messages/forum6/topic306/message1976/ http://forum.esetnod32.ru/messages/forum6/topic306/message1976/ Fri, 21 May 2010 08:39:44 +0400 Обнаружение вредоносного кода и ложные срабатывания Нужна помощь в лечении в форуме Обнаружение вредоносного кода и ложные срабатывания.
Вот

Запустить батник!После перезагрузить ПК, сообщить о результате.
vir_del.rar
21.05.2010 08:33:11, zloyDi.]]> http://forum.esetnod32.ru/messages/forum6/topic306/message1975/ http://forum.esetnod32.ru/messages/forum6/topic306/message1975/ Fri, 21 May 2010 08:33:11 +0400 Обнаружение вредоносного кода и ложные срабатывания Нужна помощь в лечении в форуме Обнаружение вредоносного кода и ложные срабатывания.
Прикрепленный Вами файл vir_del.rar скачивается как нулевой (пустой). С архивом все в порядке?
21.05.2010 08:25:03, Мария.]]> http://forum.esetnod32.ru/messages/forum6/topic306/message1974/ http://forum.esetnod32.ru/messages/forum6/topic306/message1974/ Fri, 21 May 2010 08:25:03 +0400 Обнаружение вредоносного кода и ложные срабатывания Нужна помощь в лечении в форуме Обнаружение вредоносного кода и ложные срабатывания.
Желательно обновить антивирус до актуальной версии 3.0.695, или переустановить новую версию 4.2.
21.05.2010 05:54:28, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic306/message1973/ http://forum.esetnod32.ru/messages/forum6/topic306/message1973/ Fri, 21 May 2010 05:54:28 +0400 Обнаружение вредоносного кода и ложные срабатывания Нужна помощь в лечении в форуме Обнаружение вредоносного кода и ложные срабатывания.
вот этот ключ в реестре проверьте на предмет блокирования запуска программ. (можно ветку удалить, перезагрузиться, проверить возможность запуска egui.)
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre­ntVersion­\Policies\Explorer\Disallowrun
в этом списке должен быть egui.exe , а так же ряд других программ.

так же, сохраните, распакуйте  выполните приложенный файл. (снимает некоторые виды блокировки запуска программ через реестр)

пуск -выполнить - cmd
в окне cmd выполните команду route print >>c:\route.txt
файл route.txt запостите на форум.

здесь полезная информация о блокировании программ через реестр.
http://wiki.drweb.com/index.php/%D0%95%D1%81%D0%BB%D0%B8_%D1%87%D1%82%D0%BE-%D1%82%D0%BE_%D0%BE%D1%82%D0%BA%D0%BB%D1%8E%D1%87%D0%B5%D0%B­D%D0%BE
vir_del.rar
21.05.2010 05:43:35, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic306/message1972/ http://forum.esetnod32.ru/messages/forum6/topic306/message1972/ Fri, 21 May 2010 05:43:35 +0400 Обнаружение вредоносного кода и ложные срабатывания Нужна помощь в лечении в форуме Обнаружение вредоносного кода и ложные срабатывания.
В программе hijackthis не удалось удалить
O4 - Startup: sysfbm32.exe
Unable to delete this file. The file may be in use.
Следуя рекомендациям, программу скачала, запустила, выполнила скрипт. Malwarebytes обновила, просканировала, что было предложено - удалила. В результате возобновился доступ к антивирусным сайтам, exe-файлы запускаются. Антивирус Eset не запустился - "Невозможно открыть данную программу из-за политики ограничения применения программного обеспечения". Прилагаю результат Malwarebytes, логи.
hijackthis.rar
mbam-log-2010-05-20 (23-38-02).rar
SysInspector-TTT-768B2629A1A-100520-2345.zip
21.05.2010 00:04:42, Мария.]]> http://forum.esetnod32.ru/messages/forum6/topic306/message1969/ http://forum.esetnod32.ru/messages/forum6/topic306/message1969/ Fri, 21 May 2010 00:04:42 +0400 Обнаружение вредоносного кода и ложные срабатывания Нужна помощь в лечении в форуме Обнаружение вредоносного кода и ложные срабатывания.
В программе hijackthis поставить галочки напротив

O2 - BHO: MyCentria Internet Mate v2.0 - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - (no file)
O4 - Startup: sysfbm32.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Syst­em, DisableRegedit=1
O20 - AppInit_DLLs: C:\WINDOWS\SBWIN.INI:H1Qoit+wpi8gRg2lAN1H

И нажать Fix checked

Далее выполните мои рекомендации отправленные Вам в личку, сообщите позже о результате.
20.05.2010 10:24:12, zloyDi.]]> http://forum.esetnod32.ru/messages/forum6/topic306/message1953/ http://forum.esetnod32.ru/messages/forum6/topic306/message1953/ Thu, 20 May 2010 10:24:12 +0400 Обнаружение вредоносного кода и ложные срабатывания Нужна помощь в лечении в форуме Обнаружение вредоносного кода и ложные срабатывания.
Отредактировать regedit получилось тольско с помощью загрузочного диска ERD Commander 2005. Логи HJ, SysInspector прикрепляю.
SysInspector-TTT-768B2629A1A-100519-1936.zip
hijackthis.rar
20.05.2010 10:17:49, Мария.]]> http://forum.esetnod32.ru/messages/forum6/topic306/message1951/ http://forum.esetnod32.ru/messages/forum6/topic306/message1951/ Thu, 20 May 2010 10:17:49 +0400 Обнаружение вредоносного кода и ложные срабатывания Нужна помощь в лечении в форуме Обнаружение вредоносного кода и ложные срабатывания.
Пуск - выполнить - regedit
далее необходимо найти указанные ветки реестра.
находите указанные параметры, вызываете диалог - "изменить", вносите правильное значение.

18.05.2010 13:41:06, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic306/message1915/ http://forum.esetnod32.ru/messages/forum6/topic306/message1915/ Tue, 18 May 2010 13:41:06 +0400 Обнаружение вредоносного кода и ложные срабатывания Нужна помощь в лечении в форуме Обнаружение вредоносного кода и ложные срабатывания.
Благодарю за помощь. К зараженному компьютеру буду иметь доступ вечером. Прошу, подробнее опишите каким образом в regedit.exe заменить запись. Раньше никогда этого не делала.
18.05.2010 13:11:43, Мария.]]> http://forum.esetnod32.ru/messages/forum6/topic306/message1913/ http://forum.esetnod32.ru/messages/forum6/topic306/message1913/ Tue, 18 May 2010 13:11:43 +0400 Обнаружение вредоносного кода и ложные срабатывания Нужна помощь в лечении в форуме Обнаружение вредоносного кода и ложные срабатывания.
С запятой на конце, но без кавычек:

C:\WINDOWS\System32\userinit.exe,

А то капут винде

Через интерфейс самого антивируса(четвёртая версия) SysInspector должен запуститься: Окно NOD32 - Служебные программы - SysInspector.
18.05.2010 12:50:37, AcS.]]> http://forum.esetnod32.ru/messages/forum6/topic306/message1912/ http://forum.esetnod32.ru/messages/forum6/topic306/message1912/ Tue, 18 May 2010 12:50:37 +0400 Обнаружение вредоносного кода и ложные срабатывания Нужна помощь в лечении в форуме Обнаружение вредоносного кода и ложные срабатывания.
уточняю.

значение параметра
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
"C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\fptHj9g.exe,\\?\globalroot\systemroot\system32\scAg8op.exe,"
заменить на это значение
"C:\WINDOWS\System32\userinit.exe,"

и, значение параметра,
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLS
" rgryvt.dll" ->
заменить на это значение
""
18.05.2010 11:49:15, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic306/message1910/ http://forum.esetnod32.ru/messages/forum6/topic306/message1910/ Tue, 18 May 2010 11:49:15 +0400 Обнаружение вредоносного кода и ложные срабатывания Нужна помощь в лечении в форуме Обнаружение вредоносного кода и ложные срабатывания.
Чтобы восстановить параметры файла hosts по умолчанию, выполните указанные ниже действия. Откройте меню Пуск, выберите пункт Выполнить, введите команду %systemroot%\system32\drivers\etc и нажмите кнопку ОК.

Примечание. Если используется 64-разрядная версия Windows, введите команду %systemroot%\SysWOW64\drivers\etc.
Переименуйте файл hosts в hosts.bak.
Создайте новый файл hosts по умолчанию. Для этого выполните указанные ниже действия.
Щелкните правой кнопкой мыши в свободном месте в папке %WinDir%\system32\drivers\etc, выберите пункт Создать, щелкните элемент Текстовый документ, введите имя hosts и нажмите клавишу ВВОД.
Нажмите кнопку Да, чтобы подтвердить, что имя файла не будет иметь расширение TXT.
Откройте созданный файл hosts в текстовом редакторе, например в Блокноте.
Скопируйте в файл приведенный ниже текст:

Для систем Windows XP или Windows Server 2003
# Copyright © 1993-1999 Microsoft Corp. # # This is a sample HOSTS file used by Microsoft TCP/IP for Windows. # # This file contains the mappings of IP addresses to host names. Each # entry should be kept on an individual line. The IP address should # be placed in the first column followed by the corresponding host name. # The IP address and the host name should be separated by at least one # space. # # Additionally, comments (such as these) may be inserted on individual # lines or following the machine name denoted by a '#' symbol. # # For example: # #      102.54.94.97     rhino.acme.com          # source server #       38.25.63.10     x.acme.com              # x client host

127.0.0.1       localhost

Для систем Windows Vista или Windows Server 2008
# Copyright © 1993-2006 Microsoft Corp. # # This is a sample HOSTS file used by Microsoft TCP/IP for Windows. # # This file contains the mappings of IP addresses to host names. Each # entry should be kept on an individual line. The IP address should # be placed in the first column followed by the corresponding host name. # The IP address and the host name should be separated by at least one # space. # # Additionally, comments (such as these) may be inserted on individual # lines or following the machine name denoted by a '#' symbol. # # For example: # #      102.54.94.97     rhino.acme.com          # source server #       38.25.63.10     x.acme.com              # x client host

127.0.0.1       localhost ::1             localhost

Для системы Windows 7
# Copyright © 1993-2006 Microsoft Corp. # # This is a sample HOSTS file used by Microsoft TCP/IP for Windows. # # This file contains the mappings of IP addresses to host names. Each # entry should be kept on an individual line. The IP address should # be placed in the first column followed by the corresponding host name. # The IP address and the host name should be separated by at least one # space. # # Additionally, comments (such as these) may be inserted on individual # lines or following the machine name denoted by a '#' symbol. # # For example: # #      102.54.94.97     rhino.acme.com          # source server #       38.25.63.10     x.acme.com              # x client host

# localhost name resolution is handle within DNS itself. #       127.0.0.1       localhost #       ::1             localhost

Сохраните и закройте файл.

После этого попробуйте зайти на любой антивирусный сайт и прогоните комп онлайн-антивирем!
18.05.2010 11:42:52, Евгений Павлович.]]> http://forum.esetnod32.ru/messages/forum6/topic306/message1909/ http://forum.esetnod32.ru/messages/forum6/topic306/message1909/ Tue, 18 May 2010 11:42:52 +0400 Обнаружение вредоносного кода и ложные срабатывания Нужна помощь в лечении в форуме Обнаружение вредоносного кода и ложные срабатывания.
hosts чистый.

В безопасном режиме если сможете работать, то необходимо в regedit.exe заменить запись
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit = "C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\fptHj9g.exe,\\?\globalroot\systemroot\system32\scAg8op.exe,"
вот на это значение
C:\WINDOWS\System32\userinit.exe,"
и, запись,
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLS = " rgryvt.dll" ->
на это значение ""
Перезапустить систему  сделать логи HJ, SysInspector
Если не сможе

Если запускается ESET NOD32, и если версия позволяет(>3.0.695), создайте загрузочный диск EsetSysRescue, загрузите с этого диска,
и выполните те же манипуляции с regedit.exe

Если невозможно будет создать Eset Sysrescue, найдите в сети ERD Commander 2005, создайте загрузочный диск, загрузитесь с него,
и выполните те же манипуляции с записями реестра через regedit.exe
Далее перегрузить систему и ппробуем создать логи с помощью HJ, SysInspector.
18.05.2010 11:42:48, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic306/message1908/ http://forum.esetnod32.ru/messages/forum6/topic306/message1908/ Tue, 18 May 2010 11:42:48 +0400 Обнаружение вредоносного кода и ложные срабатывания Нужна помощь в лечении в форуме Обнаружение вредоносного кода и ложные срабатывания.
Здравствуйте. Компьютер заразился вирусом. У меня стоит антивирус Esetnod32, лицензия действительна до осени 2010. Симптомы. Примерно неделю назад перестал обновляться антивирус, компьютер перестал открывать любые антивирусные сайты. Сделала сканирование Esetом – написал вирусов нет, скачала утилиту CureIt drWeb, она тоже написала, что вирусов нет (загружала компьютер в безопасном режиме). Компьютер очень тормозит. После этого проверила компьютер Norman Malware Cleaner – вирусы нашел. После этого компьютер не дает запускать ни один антивирус, не открывает антивирусные сайты, не дает переустановить антивирус, не запускает exe-файлы. При попытке запустить антивирус либо просто ничего не делает, а чаще показывает баннер с картинками с требованием отправить sms. Как правило баннер появляется при попытке запуска антивируса. При этом компьютер загружается и в Интернет на неантивирусные сайты выходит, но очень тормозит. Не дает запустить программы sysinspector и HJT, поэтому логи сделать не могу. На всякий случай прикрепляю Host и результат проверки Malware. Можно ли мне как-нибудь помочь? Если можно популярно, я простой пользователь.
EAV-22801938
NFix_2010-05-16_17-14-00.rar
hosts.rar
18.05.2010 11:18:16, Мария.]]> http://forum.esetnod32.ru/messages/forum6/topic306/message1906/ http://forum.esetnod32.ru/messages/forum6/topic306/message1906/ Tue, 18 May 2010 11:18:16 +0400 Обнаружение вредоносного кода и ложные срабатывания