Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 1072 1073 1074 1075 1076 1077 1078 1079 1080 1081 1082 ... 1784 След.
[ Закрыто] Dorkbot.B помогите избавиться
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.10.2012 15:45:27
ДОркбота (уже ли еще )нет.
-----
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
------------
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Dorkbot.B помогите избавиться
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.10.2012 13:53:40
1. обновите антивирусные базы
Цитата
Версия базы данных сигнатур вирусов: 7621 (20121024)
(актуальная версия 7625)
и еще раз сделайте скан толкьо оперативной памяти.

2. сделайте образ автозапуска в безопасном режиме
(для контроля)
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Обнаружена уязвимость скрытого канала в ICMP-пакете, антивирус постоянно выдает сообщение
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.10.2012 13:22:26
Отключите ваш антивирус.
Кликните по кнопке Пуск.
Выберите пункт Выполнить.
Введите combofix /uninstall и нажмите Enter. (Обязательно должен быть пробел между combofix и /u)
--------
если не получится, то
скачайте отсюда программу
http://oldtimer.geekstogo.com/OTC.exe
запустите, нажмите Clean up

--------
Изменено: santy - 25.10.2012 13:28:45
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Dorkbot.B помогите избавиться
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.10.2012 13:17:35
судя по журналу угроз - активных угроз в памяти нет сегодня.
Цитата
25.10.2012 18:06:25 Защита в режиме реального времени файл C:\WINDOWS\SYSTEM32\66.exe Win32/AutoRun.KS червь очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло при попытке запуска файла следующим приложением: C:\Documents and Settings\Admin\Мои документы\програмки\Malwarebytes' Anti-Malware\mbam.exe.
25.10.2012 18:06:25 Защита в режиме реального времени файл C:\WINDOWS\SYSTEM32\37.exe Win32/Injector.XXS троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло при попытке запуска файла следующим приложением: C:\Documents and Settings\Admin\Мои документы\програмки\Malwarebytes' Anti-Malware\mbam.exe.
24.10.2012 22:33:11 Защита в режиме реального времени файл C:\System Volume Information\_restore{CE9CCE34-6117-44F3-AB57-9B0CBDC8C7E9}\RP439\A0162168.exe модифицированный Win32/Injector.XRY троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в файле модифицированном приложением: C:\WINDOWS\System32\svchost.exe.
24.10.2012 21:00:59 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = winlogon.exe(984) модифицированный Win32/Dorkbot.B червь очистка невозможна
для контроля выполните сканирование в ESETNOD32 только оперативной памяти

лог сканирования добавьте на форум.
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Dorkbot.B помогите избавиться
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.10.2012 12:32:02
удалите найденное в мбам, кроме
Цитата
Объекты реестра обнаружены: 1
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
далее,
перегрузите систему, и еще раз выполните сканирование в мбам
+
добавьте лог журнала обнаружения угроз
(уточняю ссылку)
http://forum.esetnod32.ru/forum9/topic1408/
Изменено: santy - 25.10.2012 12:32:58
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Оперативная память = schedhlp.exe(3920) - модифицированный Win32/Spy.SpyEye.CA троянская программа - очистка невозможна, Антивирь выдает, машинка стала заметно подтормаживать
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.10.2012 11:20:42
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Dorkbot.B помогите избавиться
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.10.2012 11:02:12
1. добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic682/

2. сделайте образ автозапуска из безопасного режима системы [safe mode]
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Обнаружен эксплойт скрытого канала в ICMP-пакете 87.248.122.122
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.10.2012 10:59:59
чисто,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Оперативная память = schedhlp.exe(3920) - модифицированный Win32/Spy.SpyEye.CA троянская программа - очистка невозможна, Антивирь выдает, машинка стала заметно подтормаживать
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.10.2012 10:41:57
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
addsgn 988C1FE2842A4C9ACFD0AEB1DB5C120525013B1E3DED1F780CA62D37A45F4F1ADC02EB877E5516073B0989576A5749713BDB4BA6799BB0A77B7F2D3A1F2A6373 8 SpyEye.1026
zoo %SystemDrive%\SYSTEMHOST\24FC2AE32A4.EXE
delall %SystemDrive%\SYSTEMHOST\24FC2AE32A4.EXE
delall %SystemDrive%\USERS\GA\APPDATA\LOCAL\TEMP\UEXVOGI.EXE
chklst
delvir
deltmp
delnfr
setdns Беспроводное сетевое соединение 2\4\{CA016B1E-3F26-4619-B741-800BAECA6583}\
setdns Сетевое подключение Bluetooth\4\{3DC8DA4C-CD4E-441C-B4EC-A58FF9CA8AEB}\
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS, созданный после скрипта (например: ZOO_2011-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Оперативная память = explorer.exe(588) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.10.2012 10:08:24
выполните рекомендуемое сканирование в мбам,

если все будет чисто,
(это чтоб впредь не попасться на них.)
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/
Изменено: santy - 25.10.2012 10:08:39
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 1072 1073 1074 1075 1076 1077 1078 1079 1080 1081 1082 ... 1784 След.