Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 1104 1105 1106 1107 1108 1109 1110 1111 1112 1113 1114 ... 1784 След.
Модифицированный Win32/Spy.SpyEye.CA троянская программа - очистка невозможна
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.09.2012 12:41:18
этот файлик уже удалили?
Цитата
Полное имя                  C:\USERS\АНДРЕЙ\APPDATA\LOCAL\TEMP\937C31F.EXE
Имя файла                   937C31F.EXE
Тек. статус                 АКТИВНЫЙ ПРОВЕРЕННЫЙ
                           
www.virustotal.com          2012-09-24 [2009-12-21 11:05:57 UTC ( 2 years, 9 months ago )]
-                           Файл был чист на момент проверки.
                           
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ
Процесс                     32-х битный
Размер                      3072 байт
Создан                      24.09.2012 в 10:28:28
Изменен                     24.09.2012 в 10:28:28
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Оригинальное имя            systray.exe
Версия файла                5.2.3790.1830 (srv03_sp1_rtm.050324-1447)
Описание                    Systray .exe stub
Производитель               Microsoft Corporation

не мешает проверить его на virustotal.com
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Оперативная память = taskhost.exe(2736) - модифицированный Win32/Spy.Shiz.NCE троянская программа - очистка невозможна
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.09.2012 12:33:55
удалите все  найденное в мбам,
перегрузите систему
и еще раз выполните быстрое сканирование системы в мбам
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Оперативная память = taskhost.exe(2736) - модифицированный Win32/Spy.Shiz.NCE троянская программа - очистка невозможна
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.09.2012 05:39:41
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

;OFFSGNSAVE
addsgn 1A488365AAD159720BD42F6289DA03054E5196DF94CB6538854EB4AF79E3F2D563178D7E0B8F37092B3D849F4616981FF61AC1775F7DF02CAC7299B68706355E 8 Shiz.0924

zoo %SystemRoot%\APPPATCH\FIWVBJ.EXE
delall %SystemRoot%\APPPATCH\FIWVBJ.EXE
chklst
delvir
deltmp
delnfr
regt 12
regt 14
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS, созданный после скрипта (например: ZOO_2011-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] не удаляется "win32 spy.shiz.ncf "
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 23.09.2012 21:07:14
к вашему сведению,
на официальном техническом форуме компании ESET
мы не оказываем помощь в лечении заражений,
пользователям, которые нарушают лицензионное соглашение

Цитата
"C:\Program Files (x86)\TNod User & Password Finder\TNODUP.exe" /i

тему закрываем,
обратитесь за помощью на другой форум.
[ Как создать образ автозапуска? ]
Перейти
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.09.2012 11:54:23
1. похоже сайт eset.eu прекратил свое существование, поскольку с него идет редирект на eset.com

2. threat-энциклопедия, которая была на *.eu перемещена на virusradar.com
http://www.eset.eu/encyclopaedia/win32-corkow-a-trojan-yakes-goc

сравнить можно с описанием объекта в uVS

Цитата
Полное имя                  C:\USERS\ЮЛИАНА\APPDATA\ROAMING\MICROSOFT CORPORATION\SYSRCPL.RC3
Имя файла                   SYSRCPL.RC3
Тек. статус                 ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
_CORKOW                     (ССЫЛКА ~ CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\INPROCSERVER32\)(1)   AND   ( !~ STOBJECT.DLL)(1)
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер                      254464 байт
Создан                      02.10.2011 в 16:25:01
Изменен                     02.10.2011 в 16:25:01
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Оригинальное имя            QUtil.DLL
Версия файла                6.1.7601.17514 (win7sp1_rtm.101119-1850)
Описание                    Quarantine Utilities
Copyright                   © Microsoft Corporation. All rights reserved.
Производитель               Microsoft Corporation
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
Автозапуск                  Неизвестный файл использует ключ реестра часто используемый вирусами
                           
Доп. информация             на момент обновления списка
SHA1                        F0E0F1F5EC47AB1A67347388A4E9154C14E2E833
MD5                         FB3ED55942F1BA06FDE7B52ECFFD9E85
                           
Ссылки на объект            
Ссылка                      HKEY_USERS\S-1-5-21-2229413025-3452629496-3526477641-1000_Classes\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\InprocServer32\
[ Как создать образ автозапуска? ]
Перейти
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 21.09.2012 22:48:24
Например, что есть такое в инфо об объекте uVS, чего нет в описании данного зловреда из threat_encyclopaedia
http://www.virusradar.com/en/threat_encyclopaedia
[ Как создать образ автозапуска? ]
Перейти
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 21.09.2012 21:46:49
Цитата
RP55 RP55 пишет:
Обновил базу проверенных.
поскольку ты работаешь со множеством образов интересно будет как раз систематизация знаний по типовым заражениям.
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Ошибка при обмене данными с ядром, ESS перестал работать. Лог SysInspector прилагается
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 21.09.2012 17:43:28
ESET Uninstaller не спросит пароль, если вы имеете ввиду пароль к настройкам, если же пароль к обновлениям, спросите у владельца компа, или пусть сам настроит обновление после нормальной установки, если дело этим завершится.
Изменено: santy - 21.09.2012 17:45:00
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Ошибка при обмене данными с ядром, ESS перестал работать. Лог SysInspector прилагается
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 21.09.2012 17:20:20
пробуйте в безопасном режиме системы удалить продукты ESET используя EsetUninstaller
http://esetnod32.ru/.support/knowledge_base/solution/?IBLOCK_ID=53&SECTION_ID=413&ELEMENT_ID=6823

после удаления, сразу не ставьте антивир, а сделайте лог Eset Sysinspector
Изменено: santy - 21.09.2012 17:21:33
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Ошибка при обмене данными с ядром, ESS перестал работать. Лог SysInspector прилагается
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 21.09.2012 15:55:23
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

;OFFSGNSAVE
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 1104 1105 1106 1107 1108 1109 1110 1111 1112 1113 1114 ... 1784 След.