Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 1159 1160 1161 1162 1163 1164 1165 1166 1167 1168 1169 ... 1784 След.
[ Закрыто] Win32/TrojanDowloader.Carbert.AF
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 26.06.2012 05:42:53
о, как и здесь мистика. :), похоже смотрел не тот образ
Цитата
Boot: Fail-safe
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Win32/TrojanDowloader.Carbert.AF
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.06.2012 20:56:19
Цитата
gllbv пишет:
лог журнала обнаружения угроз и образ автозапуска полученный из безопасного режима
какой же это безопасный режим?
Цитата
Boot: Normal
переделайте образ в безопасном режиме,
Safe mode
как войти в безопасный режим -
http://netler.ru/pc/safe-mode.htm
Изменено: santy - 25.06.2012 21:08:52
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Win32/TrojanDowloader.Carbert.AF
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.06.2012 20:54:45
Цитата
zloyDi пишет:
мистика в логе вроде вируса нет,
в образе все таки есть признаки Carberp:
Цитата
(!) Обнаружен сплайсинг: NtDeviceIoControlFile
(!) Обнаружен сплайсинг: NtQueryDirectoryFile
(!) Обнаружен сплайсинг: NtClose
--------------------------------------------------------
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Win32/TrojanDowloader.Carbert.AF
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.06.2012 20:52:20
может, загрузчик стоит переписать? он хоть и чист по ВТ (никто не детектирует), но не проходит по безопасным.
https://www.virustotal.com/file/9fb2f286af7aee2e2a28050b3db2623ec84d706521b65ccc0f3­b41f7d5d35f02/analysis/
----------
хм... образ получен в нормальном режиме.
вас просили сделать его в безопасном режиме.
Изменено: santy - 25.06.2012 20:53:40
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Заблокирован доступ к рабочему столу Windows
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.06.2012 18:40:42
да, можно переустановить. Тема закрыта.
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Win32/TrojanDowloader.Carbert.AF
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.06.2012 18:30:45
+ лог журнала обнаружения угроз,
http://forum.esetnod32.ru/forum9/topic1408/

+ образ автозапуска полученный из безопасного режима
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] taskhost.exe - модифицированный Win32/SpyVoltar
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.06.2012 11:48:06
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код
;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\GLAVBUH\APPLICATION DATA\TASKHOST.EXE
addsgn 1A5D609A55835B8CF42BFB3A8849FE2D268AFC5591275E780CCED16111D6F85933CA8257B74891946A800DAA4ECB08FAF4E2ECAF14DAD6A03847796EC760AE7E 8 Spy.Voltar.0625
delall %SystemDrive%\DOCUMENTS AND SETTINGS\GLAVBUH\APPLICATION DATA\TASKHOST.EXE
chklst
delvir
deltmp
delnfr
delref HTTP://SPEEDBAR.RU
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS, созданный после скрипта (например: ZOO_2011-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Не удаляется Spy.SpyEye.CA
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.06.2012 08:33:04
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код
;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %SystemDrive%\SYSTEMHOST\24FC2AE3A28.EXE
addsgn 988C1FA2342A4C9A75D7AEB1DB5C120525013B1E33EA1F780CA62D37A45F4F1ADC02F3377E5516073B09894BD65649713BDB4B92C59AB0A77B7F2D3A23966273 8 SpyEye
delall %SystemDrive%\SYSTEMHOST\24FC2AE3A28.EXE
deltmp
delnfr
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS, созданный после скрипта (например: ZOO_2011-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
[ Как создать образ автозапуска? ]
Перейти
Заблокирован доступ к рабочему столу Windows
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.06.2012 06:51:13
создайте образ автозапуска из под Winpe&uVS по данной инструкции
http://forum.esetnod32.ru/forum27/topic2102/
[ Как создать образ автозапуска? ]
Перейти
Подозрительная папка
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.06.2012 05:46:48
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код
;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
deltmp
delnfr
delref HTTP://UK.RD.YAHOO.COM/CUSTOMIZE/YCOMP/DEFAULTS/SP/*HTTP://UK.YAHOO.COM
restart

перезагрузка, пишем о старых и новых проблемах.
------------
сделайте проверку диска chkdsk
Изменено: santy - 25.06.2012 05:47:31
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 1159 1160 1161 1162 1163 1164 1165 1166 1167 1168 1169 ... 1784 След.