Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 1036 1037 1038 1039 1040 1041 1042 1043 1044 1045 1046 ... 1784 След.
[ Закрыто] атакас неизвестного iP
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.11.2012 18:55:36
лог мбам чистый,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/
Перейти
Грузятся вэб страницы очень долго! Что делать?, У работников очень долго грузятся вэб страницы. Незнаю что делать
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.11.2012 18:48:41
[B]mahtbl[/B], по каждому компьютеру логи выкладываем в отдельную тему.
+
вопрос: вы какое отношение имеете к данной рабочей сети?
Изменено: santy - 28.11.2012 18:51:57
Перейти
[ Закрыто] У меня вчера вечером
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.11.2012 13:34:33
в отдельную тему добавьте образ автозапуска, так и проверим.
http://forum.esetnod32.ru/forum6/
Изменено: santy - 28.11.2012 13:42:39
[ Как создать образ автозапуска? ]
Перейти
не является приложением Win32, не включается не одно приложение
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.11.2012 13:32:46
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\UPDATER\PRAETO­RIAN.EXE
addsgn 1AA78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6­714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F­9F5FA577 8 praetorian
zoo %SystemRoot%\SVCHOST.COM
delall %SystemRoot%\SVCHOST.COM
delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\UPDATER\PRAETO­RIAN.EXE
EXEC cmd /c"reg add HKCR\exefile\shell\open\command /ve /d "\"%1\" %*" /f"
deltmp
delnfr
regt 1
regt 2
regt 5
regt 23
regt 18
CZOO
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS, созданный после скрипта (например: ZOO_2011-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
Перейти
Вирус ПЕЧАТАЕТ ИЕРОГЛИФЫ НА СЕТЕВЫХ ПРИНТЕРАХ, У меня в организации принтеры начали сами по себе печатать иероглифы. Тратится бумага, печать невозможно остановить пока не вытащишь бумагу.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.11.2012 12:42:26
можно так же поискать файлик на машинах
[QUOTE]search.cmd[/QUOTE] наудачу, если имя не поменялось в новом варианте червя.
Перейти
Обнаружена атака на переполнение ICMP
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.11.2012 12:37:46
возможно с какой то программой идет обмен,

[QUOTE]вот с ДК лог... а чем вы его просматриваете?[/QUOTE]
просматриваем тем же uVS, тоько в режиме [B]загрузить образ.[/B]

первая опция на рисунке
[IMG]http://chklst.ru/forum/docs/start1.jpg[/IMG]
Изменено: santy - 28.11.2012 12:39:22
Перейти
Вирус ПЕЧАТАЕТ ИЕРОГЛИФЫ НА СЕТЕВЫХ ПРИНТЕРАХ, У меня в организации принтеры начали сами по себе печатать иероглифы. Тратится бумага, печать невозможно остановить пока не вытащишь бумагу.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.11.2012 11:56:43
[QUOTE]Ps: заметил сегодня ещё на нескольких компьютерах этот файл[/QUOTE]
если файлик лежит в расшаренных ресурсах, проверьте по свойствам файла, кто является владельцем данного файла, возможно определите, с какой машины он попадает в расшаренный ресурс.

[QUOTE] Worm:Win32/Tophos.A is a worm that copies itself to network shares and removable drives, displays an adult-oriented image, and may download additional malware into your computer.
Installation

Worm:Win32/Tophos.A checks if the current process running it is "search.cmd". If not, then Worm:Win32/Tophos.A copies itself as "<startup folder>\search.cmd".

Note: <startup folder> refers to a variable location that is determined by the malware by querying the operating system. The default installation location for the Startup folder for Windows 2000, XP, and 2003 is "%USERPROFILE%\Start Menu\Programs\Startup". For Windows Vista, 7, and W8, the default location is "%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup".

Worm:Win32/Tophos.A drops a picture file named "Photo.jpg" in the current folder. It opens this picture, which has adult content.
Spreads via...

Network shares

Worm:Win32/Tophos.A tries to copy itself to all writeable network shares as "Photo.scr". It may do this even through a wireless connection.
[/QUOTE]
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Worm%3AWin32%2FTophos.A

возможно, те кто открывают картинку на расшаренном ресурсе, тем самым посылают "иероглифы" на печать,
Изменено: santy - 28.11.2012 12:06:14
Перейти
Обнаружена атака на переполнение ICMP
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.11.2012 11:47:11
нет, DC  чист, пробуйте добавить в исключение айпишник DC
Перейти
[ Закрыто] атакас неизвестного iP
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.11.2012 08:21:45
обновите uVS до версии 3.76, у вас старая версия
[QUOTE]uVS v3.75: Microsoft Windows XP x86 (NT v5.1) build 2600 Service Pack 3 [C:\WINDOWS][/QUOTE]
скачать можно отсюда
http://rghost.ru/users/santy/releases/utilitiesLiveCd/files/40478212
и повторите выполнение скрипта
Изменено: santy - 28.11.2012 08:22:18
Перейти
[ Закрыто] атакас неизвестного iP
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.11.2012 21:15:57
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
ZOO %Sys32%\HREPIFA.EXE
delall %Sys32%\HREPIFA.EXE
deltmp
delnfr
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
Перейти
Пред. 1 ... 1036 1037 1038 1039 1040 1041 1042 1043 1044 1045 1046 ... 1784 След.