Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 1143 1144 1145 1146 1147 1148 1149 1150 1151 1152 1153 ... 1784 След.
[ Закрыто] taskhost.exe
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 15.07.2012 19:56:00
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код
;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
addsgn 1A98539A55835A8CF42BFB3A8849FE2D268AFC5549B95D780CCE79FF12D6F8599B548157B748290A69800DAAF6550BFAF4E2443117DAD6A038AFE76DC760AE7E 8 SpyVoltar.0715
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\TASKHOST.EXE
zoo D:\-АНДРЕЙ-\ИГРЫ\AIRXONIX\MUSIC\COOKIES\TASKHOST.EXE
zoo H:\TASKHOST.EXE
chklst
delvir
delall D:\PING.EXE
addsgn A7679BC9033DC72F035FDBBDE13E997835FFF575B4DEDB7BE9C32E9AD328733826943D564B773C09E283E81A866240AD2B8C17A2D01AC4207A21F7C7CFF9DD8C 64 majachok.0715
zoo %Sys32%\ZWJRGUN.DLL
delref %Sys32%\ZWJRGUN.DLL
deltmp
delnfr
regt 14
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Помогите пожалуйста, =)
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 15.07.2012 11:19:16
да, теперь все верно.
удалите найденное в мбам,
далее,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Вирус
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 15.07.2012 11:17:57
по логу мбам чисто.
если проблема решена, выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Помогите пожалуйста, =)
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 15.07.2012 11:15:08
Rec, будьте внимательны до конца.
Цитата
ссылку на лог малваребайт добавьте на форум
еще раз повторяю, нужен лог быстрого сканирования в малваребайт.

это лог необходимо записать на http://rghost.ru и дать нам ссылку на форум.
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Помогите пожалуйста, =)
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 15.07.2012 11:12:08
лог добавьте на форум, посмотрим и скажем что удалять, а что оставить
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Помогите пожалуйста, =)
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 15.07.2012 10:58:14
ссылку на лог малваребайт добавьте на форум
[ Как создать образ автозапуска? ]
Перейти
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 15.07.2012 10:42:48
трояны пошли врукопашную.
Цитата
Polymorphic bootstrap code
Since Rovnix.B the modified bootstrap code has used polymorphic code in order to bypass static antivirus signature detection. Originally, polymorphic decryption code was detected in Carberp samples incorporating bootkit code. The following figure shows the basic workings of the polymorphic decryption code.
http://blog.eset.com/2012/07/13/rovnix-bootkit-framework-updated

собственно, в последнее время это было заметно, что сигнатура загрузчиков стала часто меняться.
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Помогите пожалуйста, =)
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 15.07.2012 10:40:02
да, желательно не отклоняться от выполнения наших рекомендаций, пока не завершится лечение.
затем можете самостоятельно выполнить полное сканирование штатными антивирусами, или утилитами для лечения заражений.
------
сейчас нужен лог быстрого сканирования мбам для проверки и закрепления результата
[ Как создать образ автозапуска? ]
Перейти
Update NOD
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 15.07.2012 10:13:13
это не всегда помогает.
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Помогите пожалуйста, =)
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 15.07.2012 10:09:14
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код
;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
zoo %SystemRoot%\TEMP\JLTYITZ.EXE
addsgn 7BC9DF8B156AF3127597AE80A471727B668AD50F7509B5E35E20952789EA55D7A31BE768E779B911950096DF46A9C1E83DDFD18523DC4C81D2A74FD9AD07CAB2 8 smallHTTP
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\MRXIPWPEXVK.EXE
addsgn A7679B1BB98E4C720BBCAE31D342FA06048AFC754DFEF702A8C3C5EF38D675F80B7DD73D6E3D9D00B208EC9F3E8159126CF6E872D61EA4468D1D3F4592EE6E54 8 tr.carberp
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\9EA239.EXE
addsgn 733F2BAE556A19F9E75742BDA38DEAEAC574DA778C29D0388545CEBC50BEB58763170412C6BB7DB70D4781BC895649356FDFE88D40C2E06C2DB0A10C084622BE 8 Dorkbot.0714
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\C9FD71.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\C9FD71.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\C9FD71.EXE
delall %SystemRoot%\TEMP\JLTYITZ.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\MRXIPWPEXVK.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS.WINDOWS.0\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS.WINDOWS.0\APPLICATION DATA\VKSAVER\VKSAVER.EXE
delall %SystemRoot%\TEMP\TAINW.BAT
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA
chklst
delvir
delref COPY
delref HTTP://WEBALTA.RU/SEARCH
delref HTTP://WWW.APEHA.RU
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
deltmp
delnfr
regt 5
regt 12
regt 14
addsgn A7679BC9033DC72F035FDBBDE13E997835FFF575B4DEDB79E9C32E9AD328733826943D564B773C09E281E81A866240AD2B8C17A2D01AC4207A21F7C7CFF9DD8C 64 majachok.0714
zoo %Sys32%\JGOCZUE.DLL
delref %Sys32%\JGOCZUE.DLL
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 1143 1144 1145 1146 1147 1148 1149 1150 1151 1152 1153 ... 1784 След.