santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] Процесс egui.exe грузит процессор на 100%, операционка WinXP -сервис пак 3, установил с нуля., NOD виснит, загружает процессор на 100 %

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.10.2012 10:06:57

по моим наблюдениям зависания могут происходить (100% загрузка процессора) после подключения по RDP к рабочему столу удаленной машины. (зависание происходит на удаленной (управляемой) машине).

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.10.2012 09:33:11

Посмотрите в планировщике задач: уберите лишние задачи (скажем запуск startup scanner после обновления баз). Достаточно проверки на входе в систему. Если используете на терминальных серверах, то там лучше оптимизировать настройки: скажем не нужно частое обновление, не нужны проверки при входе в систему. Если это обычные сервера, на которых работают пользователи с приложением 1с например, то лучше использовать ESET File Security for Windows Server 4.5

Изменено: santy - 09.10.2012 09:36:28

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.10.2012 09:28:43

Цитата
Sidzzz пишет: У нас рабочая версия, лицензия на 220 клиентов. пока поставил на 3 клиентах. раз в неделю, или даже чаще, egui.exe вешает компы на глухо(решается только перезагрузкой). версия 5,0,2126 скачанная с офф сайта.

А что ставите из продуктов: чистый антивирус EEA или антивир с фаерволлом EES? Посмотрите в планировщике задач: уберите лишние задачи (скажем запуск startup scanner после обновления баз).

Изменено: santy - 09.10.2012 09:31:43

[ Как создать образ автозапуска? ]

Перейти

Hidden File System Reader, Hidden File System Reader tool for TDSS, Cidox,ZeroAccess, etc.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.10.2012 18:02:27

Это наверное, Матросова утилита. вроде как против tdss заточена. скрытые файловые системы ищет.

° ESET Hidden File System Reader °

° 1.0.2.2 beta (Sep 20 2012 13:07:27) °

° Copyright © 1992-2012 ESET, spol. s r.o. All rights reserved. °

° HfsReader.exe [params] [export_path] °
° Params: °
° /help or /? - print help message °
° /no-output - no output to command line °
° /no-export - do not export files from file system(s) °
° /export-txt - export file list from file system(s) to text file °
° /mbr - make mbr dump °
° /vbr - make active drive vbr dump °
° /dump=<o>,<s> - make hard drive dump °
° <o> - offset from beginning or "end" °
° <s> - size °
° Examples: °
° /dump=515,1024 °
° /dump=end,4096 °

Изменено: santy - 08.10.2012 18:03:09

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Оперативная память = explorer.exe(2620) - модифицированный Win32/Dorkbot.B червь - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.10.2012 17:46:00

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE zoo %SystemDrive%\USERS\MOISEENKOV\APPDATA\ROAMING\289.EXE addsgn 98EC9F73516A4CD103E4EEB18C1116052529FCC6C9FAF79F81C3C5D65A29444C1357C33D3EAAA8411BC08477401649FA2D37467655DAE5A7C1F4608BAFF22373 8 Trojan.Spamlink.3 [DrWeb] adddir %SystemDrive%\USERS\MOISEENKOV\APPDATA\ROAMING delall %SystemDrive%\USERS\MOISEENKOV\APPDATA\ROAMING\289.EXE chklst delvir crimg

Код

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %SystemDrive%\USERS\MOISEENKOV\APPDATA\ROAMING\289.EXE
addsgn 98EC9F73516A4CD103E4EEB18C1116052529FCC6C9FAF79F81C3C5D65A29444C1357C33D3EAAA8411BC08477401649FA2D37467655DAE5A7C1F4608BAFF22373 8 Trojan.Spamlink.3 [DrWeb]
adddir %SystemDrive%\USERS\MOISEENKOV\APPDATA\ROAMING
delall %SystemDrive%\USERS\MOISEENKOV\APPDATA\ROAMING\289.EXE
chklst
delvir
crimg

без перезагрузки, добавьте образ автозапуска, который будет создан автоматически

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Обнаружение вируса в оперативной памяти = explorer.exe(2620) - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.10.2012 17:41:37

Код
;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE adddir %SystemDrive%\USERS\MAXIM\APPDATA\ROAMING addsgn 98EC9F73516A4CD103E4EEB18C1116052529FCC6C9FAF79F81C3C5D65A29444C1357C33D3EAAA8411BC08477401649FA2D37467655DAE5A7C1F4608BAFF22373 8 Trojan.Spamlink.3 [DrWeb] zoo %SystemDrive%\USERS\MAXIM\APPDATA\ROAMING\BC4C.EXE delall %SystemDrive%\USERS\MAXIM\APPDATA\ROAMING\BC4C.EXE chklst delvir crimg

Код

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
adddir %SystemDrive%\USERS\MAXIM\APPDATA\ROAMING
addsgn 98EC9F73516A4CD103E4EEB18C1116052529FCC6C9FAF79F81C3C5D65A29444C1357C33D3EAAA8411BC08477401649FA2D37467655DAE5A7C1F4608BAFF22373 8 Trojan.Spamlink.3 [DrWeb]
zoo %SystemDrive%\USERS\MAXIM\APPDATA\ROAMING\BC4C.EXE
delall %SystemDrive%\USERS\MAXIM\APPDATA\ROAMING\BC4C.EXE
chklst
delvir
crimg

без перезагрузки, добавьте новый образ автозапуска созданный автоматически
------------

[ Как создать образ автозапуска? ]

Перейти

Hidden File System Reader, Hidden File System Reader tool for TDSS, Cidox,ZeroAccess, etc.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.10.2012 17:31:03

http://www.eset.com/download/utilities/detail/family/173/

Этой утилитой кто-нибудь пользуется? что она умеет делать?

[ Как создать образ автозапуска? ]

Перейти

Оперативная память = explorer.exe svchost.exe модифицированный Win32/Dorkbot.B червь - очистка невозможна, помогите

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.10.2012 21:28:51

Код
;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE delall %SystemDrive%\DOCUME~1\A43D~1\LOCALS~1\TEMP\142.TMP deltmp delnfr zoo %Sys32%\HLS6\START.CMD delall %Sys32%\HLS6\START.CMD delref HTTP://ISEARCH.AVG.COM/?CID={BFBE3C22-F433-4FE8-9DA7-438AE0991C85}&MID=F0FD33AA51D647D1A2F395CEBA0018CE-AD1491BE2CE6C122F6B66FAA90E70C2DECF7D34C&LANG=RU&DS=TS024&PR=SA&D=2012-02-25 regt 5 restart

Код

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
delall %SystemDrive%\DOCUME~1\A43D~1\LOCALS~1\TEMP\142.TMP
deltmp
delnfr
zoo %Sys32%\HLS6\START.CMD
delall %Sys32%\HLS6\START.CMD
delref HTTP://ISEARCH.AVG.COM/?CID={BFBE3C22-F433-4FE8-9DA7-438AE0991C85}&MID=F0FD33AA51D647D1A2F395CEBA0018CE-AD1491BE2CE6C122F6B66FAA90E70C2DECF7D34C&LANG=RU&DS=TS024&PR=SA&D=2012-02-25
regt 5
restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

Оперативная память = explorer.exe svchost.exe модифицированный Win32/Dorkbot.B червь - очистка невозможна, помогите

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.10.2012 21:01:02

точно так же. зайти в папку с uVS, запустить staRT.EXE

[ Как создать образ автозапуска? ]

Перейти

Оперативная память = explorer.exe svchost.exe модифицированный Win32/Dorkbot.B червь - очистка невозможна, помогите

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.10.2012 20:53:37

угроза:

Цитата
07.10.2012 2:03:28 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = svchost.exe(1096) модифицированный Win32/Conficker.AQ червь очистка невозможна PC2\Тема

+
добавьте
образ в uVS полученный в безопасном режиме системы [safe mode]

[ Как создать образ автозапуска? ]

Перейти