Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 1084 1085 1086 1087 1088 1089 1090 1091 1092 1093 1094 ... 1784 След.
[ Закрыто] нерабочие facebook.com и др
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 14.10.2012 16:32:01
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
deltmp
delnfr
CEXEC cmd /c"ipconfig /flushdns"
CEXEC cmd /c"ping vk.com"
CEXEC cmd /c"tracert vk.com"
crimg

без перезагрузки, добавьте новый образ автозапуска, который будет создан автоматически
------------
Изменено: santy - 14.10.2012 17:21:05
[ Как создать образ автозапуска? ]
Перейти
Hidden File System Reader, Hidden File System Reader tool for TDSS, Cidox,ZeroAccess, etc.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 14.10.2012 11:09:59
Hidden File System Reader tool

Implementing hidden storage makes forensic analysis more difficult since:

   Malicious files are not stored in the file system (difficult to extract)
   Hidden storage cannot be decrypted without malware analysis
   Typical forensic tools do not work out of the box

To tackle the problem of retrieving the contents of the hidden storage areas one needs to perform malware analysis and reconstruct algorithms used to handle the data stored inside it. In the course of our research into complex threats we have developed a tool intended to recover the contents of hidden storage used by such complex threats as:

   TDL3 and modifications
   TDL4 and modifications
   Olmasco
   Rovnix.A
   Rovnix.B
   Sirefef (ZeroAccess)
   Goblin (XPAJ)
   Flame (dump decrypted resource section)

The tool is very useful in incident response and threat analysis and monitoring. It is able to dump the malware’s hidden storage, as well as to dump any desired range of sectors of the hard drive. In the next figure a screenshot of the tool’s output is presented:

http://blog.eset.com/2012/10/11/defeating-anti-forensics-in-contemporary-complex-threats
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Тесты на лечение активного заражения
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 14.10.2012 08:33:52
Цитата
mike 1 пишет:
santy Да я слышал о таком зловреде, но с ним еще не доводилось сталкиваться. Вообще уж лучше пускай лечит зловреда чем он будет видеть его, но ничего с ним не сможет сделать.
дак портал ВирусИнфо знает о нем не понаслышке. Юзеры же могут думать по другому - они откатывают систему в состояние, когда кнопка Пуск работала. Пусть уж лучше побуду с вирусом, чем с покалеченной системой. примерно так. так что Касперский нарисовал себе 100% и спокоен. всех победили. Большая ложь всегда начинается с малой неправды.
Изменено: santy - 14.10.2012 08:34:05
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Win32/Qhost, Помогите с вирусом
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 13.10.2012 18:20:53
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\EOOELRR.EXE
addsgn 7BC9DF8B156AF3127597AE80A471727B668AD50F7509B5E35E20952789EA55D7A31BE768E779B911950096DF46A9C1E83DDFD18523DC4C81D2A74FD9AD07CAB2 8 smallHTTP
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\EOOELRR.EXE
chklst
delvir
delref COPY
deltmp
delnfr
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
regt 14
exec MSIEXEC.EXE /X{86D4B82A-ABED-442A-BE86-96357B70F4FE}
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Тесты на лечение активного заражения
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 13.10.2012 09:22:04
mike_1, 100% Касперского - это явная погонка, дальше как говорится расти некуда. А расти есть куда. В июле-августе мы все видели как лечит Касперский бэкдор crexv. (полно на форумах подобных тем), как после сканирования Касперским, или AVPtool перестает работать Пуск. И это продолжалось бы бесконечно, если бы не усилия энтузиастов.
-------------
до сих пор приходят юзеры, у которых не работает Пуск. Система вылечена антивирусом Касперским.
Изменено: santy - 13.10.2012 09:27:35
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] модифицированный Win32/Spy.SpyEye.CA троянская программа очистка невозможна Как удалить?
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 12.10.2012 19:51:59
1. зайти в безопасный режим.
http://forum.esetnod32.ru/forum9/topic5917/

2. сделать образ автозапуска.
http://forum.esetnod32.ru/forum9/topic2687/
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] модифицированный Win32/Spy.SpyEye.CA троянская программа очистка невозможна Как удалить?
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 12.10.2012 14:44:52
я так понимаю, две рекомендации в одном сообщении  - это многовато для вас выходит.
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] модифицированный Win32/Spy.SpyEye.CA троянская программа очистка невозможна Как удалить?
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 12.10.2012 14:43:03
это не лог сканирования. это лог выполнения скрипта называется.
----------------

сделайте еще раз образ автозапуска в безопасном режиме системы
Изменено: santy - 12.10.2012 14:44:06
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Оперативная память = explorer.exe(1800) модифицированный Win32/Spy.Shiz.NCE троянская программа очистка невозможна, Вирус в оперативной памяти модифицированный Win32/Spy.Shiz.NCE
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 12.10.2012 13:49:11
сделайте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] модифицированный Win32/Spy.SpyEye.CA троянская программа очистка невозможна Как удалить?
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 12.10.2012 13:48:29
не вижу лог сканирования.

Цитата
по журналу угроз
12.10.2012 10:53:09 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » userinit.exe(2796) модифицированный Win32/Spy.SpyEye.CA троянская программа очистка невозможна CAMARO\777

сделайте еще раз образ автозапуска в безопасном режиме системы
образ залить на обмен, ссылку на образ добавить сюда.
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 1084 1085 1086 1087 1088 1089 1090 1091 1092 1093 1094 ... 1784 След.