Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 1160 1161 1162 1163 1164 1165 1166 1167 1168 1169 1170 ... 1784 След.
Подозрительная папка
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.06.2012 11:30:35
сделайте образ автозапуска.
http://forum.esetnod32.ru/forum9/topic2687/
Перейти
[ Закрыто] Вирус в опреативной памяти, Оперативная память = explorer.exe(1708) - модифицированный Win32/Spy.Shiz.NCE троянская программа - очистка невозможна
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.06.2012 09:26:55
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\NETPROTOCOL.EXE
addsgn 73E9D6A7146AE6690BD469B48E685205258AFCF64EFF80DCC5C3C5BC50D6­CE4C2317C3D6D1B6E8612BCF85A2BAB609FABADA1C8015DAB02C2D771B19­C70622B2 8 Shiz.0624
zoo %SystemRoot%\APPPATCH\XXMLBJC.EXE
delall %SystemRoot%\APPPATCH\XXMLBJC.EXE
delall %SystemDrive%\DOCUME~1\ADMIN\LOCALS~1\TEMP\GQDHSJV.EXE
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER3.DLL
chklst
delvir
deltmp
delnfr
exec MSIEXEC.EXE /X{86D4B82A-ABED-442A-BE86-96357B70F4FE}
exec "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL
exec C:\PROGRAM FILES\MAIL.RU\SPUTNIK\MAILRUSPUTNIK.EXE UNINSTALL
czoo
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
Перейти
тормоза с RDP
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 23.06.2012 12:54:40
надо проверить. ошибка только в EEA, или есть и в EES?
Перейти
[ Закрыто] Оперативная память = explorer.exe(732) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна, обнаружено прграммой нод 32
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 23.06.2012 12:43:25
2012.06.23 09:16
[QUOTE]Загружен скрипт: C:\script.txt
======= Начало исполнения скрипта =======
--------------------------------------------------------
fixvbr C: 5
--------------------------------------------------------
Запись загрузчика в VBR:
C:
Код в сектор 0 успешно записан.
Запись NTFS IPL:
C:
Выполнено.
[/QUOTE]
зараженный загрузчик перезаписан,

по логу tdsskiller все чисто
[QUOTE]10:28:35.0953 5084 ============================================================
10:28:35.0953 5084 Scan finished
10:28:35.0953 5084 ============================================================­
10:28:35.0968 1628 Detected object count: 0
10:28:35.0968 1628 Actual detected object count: 0
10:28:57.0656 5424 Deinitialize success

[/QUOTE]
проблема решена
Выполните наши рекомендации по безопасности,
http://forum.esetnod32.ru/forum9/topic3998/
Перейти
[ Закрыто] Оперативная память = explorer.exe(732) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна, обнаружено прграммой нод 32
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 23.06.2012 06:36:52
выполните в uVS (из под Winpe) скрипт из файла

файл скрипта скачать отсюда
http://rghost.ru/38822287

перегрузить систему в нормальный режиме.

далее,
сделайте еще раз для проверки лог tdsskiller, только скачайте обновленную версию 2.7.41 с оф.сайта.
Перейти
Заблокирован доступ к рабочему столу Windows, ПРосят положить денег
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.06.2012 20:12:11
выполните в uVS (из под winpe) скрипт из файла.

файл скрипта скачать отсюда
http://rghost.ru/38815276

после выполнения скрипта перегрузите систему в нормальный режим,
пишем результат
Перейти
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.06.2012 12:54:17
ну, да, надо было знак ©, [B]RP55[/B] поставить на этой фразе.
------
по сути ответил в личку
Изменено: santy - 22.06.2012 13:04:02
Перейти
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.06.2012 06:11:13
[QUOTE]RP55 RP55 пишет:
Сразу вспоминается фраза: "  Пастернака  не читал но осуждаю" :([/QUOTE]
[B]RP55[/B], если бы ты в каше этой поварился, так как мы, возможно стал бы ценить время, за которое мысль должна быть доведена до понимания.
Перейти
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 21.06.2012 16:23:59
ребята, перепроверяйте скрипт, если есть заминка по ходу лечения.
http://forum.esetnod32.ru/forum27/topic6066/
Перейти
Заблокирован доступ к рабочему столу Windows
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 21.06.2012 16:20:09
ребята, перепроверяйте скрипт
SpyEye еще остался на борту.
------------------
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\0.372524150919893.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\0.7324899643693232.EXE
addsgn 1A41609A55835B8CF42BFB3A8849FE2D268AFC5551575F780CCE111110D6­F859F3BA8357B74851E46B800DAA8EBB09FAF4E22CDF15DAD6A03887096F­C760AE7E 8 winlock
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\123\LOCAL SETTINGS\TEMP\124KKK290347.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\123\LOCAL SETTINGS\TEMP\124KKK290347.EXE
addsgn A7679BF0AA0274034BD4C6DD48881261848AFCF689AA7BF1A0C3C5BC5055­9D14704194DE5BBD625C1FF0C49F75C4C32EF4CA98D815DA3BE4AC965B2F­C706AB7E 8 a variant of Win32/Injector.SWC [NOD32]
zoo %SystemDrive%\SYSTEMHOST\24FC2AE3BF9.EXE
delall %SystemDrive%\SYSTEMHOST\24FC2AE3BF9.EXE
chklst
delvir
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER3.DLL
deltmp
delnfr
czoo
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
Перейти
Пред. 1 ... 1160 1161 1162 1163 1164 1165 1166 1167 1168 1169 1170 ... 1784 След.