Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 1177 1178 1179 1180 1181 1182 1183 1184 1185 1186 1187 ... 1784 След.
[ Закрыто] никак не могу удалить klpclst.dat
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.05.2012 07:54:38
WAIK установлен в системе?
------
если не установлен, то удалите в мбам это
Цитата
Обнаруженные файлы: 3
C:\WINDOWS\system32\IMAGEX.EXE (Trojan.Dropper) -> Действие не было предпринято.
C:\WINDOWS\system32\WIMGAPI.DLL (Malware.Packer.Gen) -> Действие не было предпринято.
C:\Documents and Settings\user\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.

если же установлен WAIK,
удалите в мбам
Цитата
C:\Documents and Settings\user\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято
проверьте эти файлы на http://virustotal.com
Цитата
C:\WINDOWS\system32\IMAGEX.EXE (Trojan.Dropper) -> Действие не было предпринято.
C:\WINDOWS\system32\WIMGAPI.DLL (Malware.Packer.Gen) -> Действие не было предпринято.
Изменено: santy - 28.05.2012 07:58:53
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] никак не могу удалить klpclst.dat
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.05.2012 07:25:36
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код
;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\NMPL90KC9IE.EXE
addsgn A7679B1BB9E24C720BBEF4D964545A684F3D964761B53E78854001AC0386194C4D236E3DCCBD19552B80075B4A4021FAF123F3187BB04FC49A6FA42F44C22E24 8 Carberp.AD.0512
bl C92DA5965E6AF6397CA0C2B267527834 133632
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\NMPL90KC9IE.EXE
chklst
delvir
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
deltmp
delnfr
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS, созданный после скрипта (например: 2011-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
[ Как создать образ автозапуска? ]
Перейти
Жрет трафик
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.05.2012 07:01:50
как вы определяете что идет высокий трафик? исходящий или входящий?
+
сделайте образ автозапуска в безопасном режиме
Изменено: santy - 28.05.2012 07:02:41
[ Как создать образ автозапуска? ]
Перейти
Оперативная память = explorer.exe(364) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа - очистка невозможна, Оперативная память = explorer.exe(364) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа - очистка невозможна
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.05.2012 06:02:39
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код
;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
addsgn 499C1F9A553FC79E8838A210CC285605E2CF082C660812BFC0371E53A2DB869C82CB77173E9298F9CBC484494A1649C71EBFA53C5A5FBA2C2D77632A1BB26273 8 Carberp.0528
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\LONER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\N5HTTMPOIKO.EXE
bl E5813249F529D7D5B934689B888478FE 175104
delall %SystemDrive%\DOCUMENTS AND SETTINGS\LONER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\N5HTTMPOIKO.EXE
chklst
delvir
setdns Подключение по локальной сети\4\{C7339F87-0551-44E1-9A04-E30AFC46092D}\8.8.8.8,8.8.4.4
delall %SystemDrive%\PROGRAM FILES\PCHD\PCHDPLAYER.EXE
delref HTTP://WEBALTA.RU
delref HTTP://WWW.SMAXI.NET
deltmp
delnfr
czoo
EXEC cmd /c"ipconfig /flushdns"
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS, созданный после скрипта (например: 2011-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
[ Как создать образ автозапуска? ]
Перейти
Вирус в оперативной памяти!
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.05.2012 05:58:38
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код
;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
addsgn A7679B19B92E7FBB801527F4849B1348C5DC460389FA1FC380C3C5BC7B06F819C33E9EB76956564AE3AB4CBC8E9D141AF6A20873283A9169CD4C7C5AE6077F93 8 Carberp.0528
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\JF1VAFN2XAY.EXE
bl 41B252CF31B978E159F413C676B8A004 129536
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\JF1VAFN2XAY.EXE
chklst
delvir
delref %Sys32%\MHJHSEI.DLL
delref HTTP://NIGHTWAREZ.RU/
deltmp
delnfr
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS, созданный после скрипта (например: 2011-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Вирус в оперативной памяти!Нужна помощь!
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.05.2012 18:58:40
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/
[ Как создать образ автозапуска? ]
Перейти
Жрет трафик
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.05.2012 18:32:05
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код
;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

zoo %Sys32%\HALE.EXE
addsgn 925262BA056AC1CCE03B414E3341F788B9AE7C3776052EB8D5FA19C9AB90371F4B7AFA4F3E021E8A2FD3EC7C751E49ACFE1CEC21051DB32F2D75A4BF5796B2E3 8 malware

delall %Sys32%\HALE.EXE
deltmp
delnfr
delref HTTP://START.TICNO.COM
restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Вирус в оперативной памяти!Нужна помощь!
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.05.2012 18:26:45
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Вирус в оперативной памяти!Нужна помощь!
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.05.2012 15:40:12
сделайте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/
[ Как создать образ автозапуска? ]
Перейти
Виснет интернет, caberp detected
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.05.2012 14:42:29
проверьте так же для службы восстановления системы (srservice) какая вписана команда запуска?
поскольку в логе есть предупреждение.
Цитата
Обнаружен измененный ImagePath для сервиса: srservice

%SystemRoot%\system32\svchost.exe -k netsvcs
--------------------------------------------------------

можно экспортировать из реестра эту ветку
Цитата
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srservi­ce
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 1177 1178 1179 1180 1181 1182 1183 1184 1185 1186 1187 ... 1784 След.