Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 1213 1214 1215 1216 1217 1218 1219 1220 1221 1222 1223 ... 1784 След.
[ Закрыто] ESET не удаляет вирус, Удаление Win32/Dorkbot.A червь
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.04.2012 12:18:37
dorkbot-а точно нет, а вот червей Delf в папках много в журнале обнаружений, причем самые свежие следы, так что не откладывайте сканирование.
Изменено: santy - 18.04.2012 12:18:52
Перейти
[ Закрыто] ESET не удаляет вирус, Удаление Win32/Dorkbot.A червь
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.04.2012 11:50:40
Dorkbot был, но это было давно
[QUOTE]06.04.2012 23:16:11 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = svchost.exe(1252) модифицированный Win32/Dorkbot.A червь очистка невозможна [/QUOTE]
сейчас сделайте полное сканирование системы антивирусом и результат добавьте на форум.
Перейти
[ Закрыто] ESET не удаляет вирус, Удаление Win32/Dorkbot.A червь
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.04.2012 11:39:41
добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/
Перейти
[ Закрыто] ESET не удаляет вирус, Удаление Win32/Dorkbot.A червь
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.04.2012 11:33:51
куда сохраните, там и сохраняется. но лучше сохранять в распакованную папку с uVS
Перейти
[ Закрыто] ESET не удаляет вирус, Удаление Win32/Dorkbot.A червь
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.04.2012 11:26:39
написано там:
[QUOTE]5. Сохраненный файл образа автозапуска автоматически добавится в архив 7z.

6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. [/QUOTE]
формат имени файла: ваш_компьютер_дата_время.7z
что -то не так делаете.
еще почитайте и сделайте правильно образ автозапуска.
Перейти
[ Закрыто] Оперативная память = explorer.exe(2256), Оперативная память = explorer.exe(2256)
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.04.2012 09:59:55
нет, новые рождаются. логи нужны теперь от малваребайт после выполнения скрипта в безопасном режиме.
Перейти
[ Закрыто] Оперативная память = explorer.exe(2256), Оперативная память = explorer.exe(2256)
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.04.2012 08:44:56
[QUOTE]trostyan пишет:
santy, скажите а как можно узнать источник ,откуда эта зараза забегает...у меня уже вторую машину заражает...думаю что где то в сетке лежит[/QUOTE]
это пробивает не из локльной сети, а из инета. Carberp+RDPDoor, к тому же подменены настройки DNS, а это значит, что браузеры идут не туда - куда думают, а куда им говорят.
Перейти
[ Закрыто] Оперативная память = explorer.exe(2256), Оперативная память = explorer.exe(2256)
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.04.2012 08:41:42
данный скрипт выполните [B]в безопасном режиме[/B].
--------------
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
delall %Sys32%\DRIVERS\BETWINKF.SYS
delall %Sys32%\DRIVERS\BETWINMF.SYS
delall %Sys32%\BETWINSERVICEXP.EXE
delall %Sys32%\DRIVERS\BETWINSYSTEM.SYS
delall %Sys32%\DRIVERS\BETWINVF.SYS
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
deltmp
delnfr
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно [URL=http://forum.esetnod32.ru/forum9/topic682/]быструю проверку системы в малваребайт[/URL]
Изменено: santy - 18.04.2012 08:41:56
Перейти
[ Закрыто] Оперативная память = explorer.exe(2256), Оперативная память = explorer.exe(2256)
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.04.2012 08:38:41
нет, логи веба некогда смотреть. Я так понимаю вы у нас рабочие компьютеры лечите.
Перейти
[ Закрыто] Оперативная память = explorer.exe(2256), Оперативная память = explorer.exe(2256)
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.04.2012 08:08:10
[SIZE="4"][COLOR="Red"]выполняем скрипт в uVS[/COLOR][/SIZE]
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
zoo %Sys32%\MSWXMKSL.EXE
addsgn 964D779A556A19FBEEBE51D978E853054D10ECB689AA7BF1A0C3C5BC5055­9D5C704194DE5BBDCD9017A4E21E4A3249F9A4F3CCF191DEDA2C4777CC07­E747221B 14 tr.Agent
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\M4E0K18VKJA.EXE
addsgn A7679B1BB9F24C720B87F8E6A38DA605258AFC31CC0E1F7885C302F9C8B2­714C23D086A73D559D49ECC57C9F4616493D3867E87255DA7769B176A42F­C766AB5E 8 tr.Carberp
bl 2F00381FB9E7AEC54D523D3251ACE134 299560
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\M4E0K18VKJA.EXE
delall %Sys32%\MSWXMKSL.EXE
addsgn A7679B19B93AA4AA3CD4AEE2ED8DC26D251ABCD461122678854001B806BC­B02423BDEEAD54C9759B1180841C821A1E90BDB7E80B03C0DAD9C523982F­C785E67F 8 tr.Carberp
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\JQSK9WSINO0.EXE
bl FEED27537AEFF3747A652F92798091AB 184320
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\JQSK9WSINO0.EXE
addsgn A76592C9033DCF0F07D5DBB48CD41205256257FC89FAE00D953CB0B0AFA3­79ED2327C347C185C217704946934643C01FFE33E4253FDADADAC50AAF2F­C78F678B 64 rdpdoor
zoo %Sys32%\XTGINA.DLL
delall %Sys32%\XTGINA.DLL
deltmp
delnfr
setdns Local\4\{B0D2B843-5410-4032-8651-46D22AF435AE}\
setdns Подключение по локальной сети 2\4\{51FF7190-9224-4085-BA1E-CE21510EA33F}\
setdns Подключение по локальной сети 3\4\{38D6D195-DB0E-4C27-943A-ED08A564CFD8}\
setdns Подключение по локальной сети\4\{D8740166-E042-456B-8174-401A0855CB92}\
EXEC cmd /c"ipconfig /flushdns"
CZOO
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив, из каталога uVS, созданный после скрипта (например: 2011-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
------------
далее,
сделайте новый образ автозапуска;

сделайте дополнительно [URL=http://forum.esetnod32.ru/forum9/topic682/]быструю проверку системы в малваребайт[/URL]
Перейти
Пред. 1 ... 1213 1214 1215 1216 1217 1218 1219 1220 1221 1222 1223 ... 1784 След.