Размещено 24.02.2012 19:17:16
сделайте лог журнала обнаружения угроз.
http://forum.esetnod32.ru/forum9/topic1408/
http://forum.esetnod32.ru/forum9/topic1408/
хорошо, тему закрываем.
Уважаемые пользователи!
Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новый антивирус от компании PRO32.
Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.
Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.
[ Закрыто] Оперативная память » gcauthc.exe(2140) - модифицированный Win32/Spy.Shiz.NCE троянская программа - очистка невозможна, Помогите пож-та
[ Закрыто] модифицированный Win32/TrojanDownloader.Carberp.AH троянская программа - очистка невозможна, Подскажите, пожалуйста что делать?
[ Закрыто] модифицированный Win32/TrojanDownloader.Carberp.AH троянская программа - очистка невозможна, Подскажите, пожалуйста что делать?
[ Закрыто] модифицированный Win32/TrojanDownloader.Carberp.AH троянская программа - очистка невозможна, Подскажите, пожалуйста что делать?
Размещено 24.02.2012 15:04:38
все должно быть ок.
[QUOTE]14:47:04.0140 1792 \Device\Harddisk0\DR0\# - copied to quarantine
14:47:04.0140 1792 \Device\Harddisk0\DR0 - copied to quarantine
14:47:04.0140 1792 \Device\Harddisk0\DR0 ( Rootkit.Win32.BackBoot.gen ) - User select action: Quarantine
14:47:04.0140 1792 \Device\Harddisk0\DR0\Partition0 - copied to quarantine
14:47:04.0140 1792 \Device\Harddisk0\DR0\Partition0 ( Rootkit.Boot.Cidox.b ) - will be cured on reboot
14:47:04.0140 1792 \Device\Harddisk0\DR0\Partition0 - ok
14:47:04.0140 1792 \Device\Harddisk0\DR0\Partition0 ( Rootkit.Boot.Cidox.b ) - User select action: Cure
[/QUOTE]
сделайте повторный лог tdsskiller.
[QUOTE]14:47:04.0140 1792 \Device\Harddisk0\DR0\# - copied to quarantine
14:47:04.0140 1792 \Device\Harddisk0\DR0 - copied to quarantine
14:47:04.0140 1792 \Device\Harddisk0\DR0 ( Rootkit.Win32.BackBoot.gen ) - User select action: Quarantine
14:47:04.0140 1792 \Device\Harddisk0\DR0\Partition0 - copied to quarantine
14:47:04.0140 1792 \Device\Harddisk0\DR0\Partition0 ( Rootkit.Boot.Cidox.b ) - will be cured on reboot
14:47:04.0140 1792 \Device\Harddisk0\DR0\Partition0 - ok
14:47:04.0140 1792 \Device\Harddisk0\DR0\Partition0 ( Rootkit.Boot.Cidox.b ) - User select action: Cure
[/QUOTE]
сделайте повторный лог tdsskiller.
[ Закрыто] модифицированный Win32/TrojanDownloader.Carberp.AH троянская программа - очистка невозможна, Подскажите, пожалуйста что делать?
поговорить о uVS, Carberp, планете Земля
Размещено 24.02.2012 11:04:25
пофиксится. это другая разновидность. скорее всего "обычный" бутовый Cidox.A
тем более в комплекте обычный маячок.
[QUOTE]Полное имя IPL NTFS [C:]
Имя файла IPL NTFS [C:]
Тек. статус ?ВИРУС? ВИРУС загрузчик
www.virustotal.com 2011-12-15 [2011-12-15 10:55:48 UTC ( 2 months, 1 week ago )]
AntiVir BOO/Cidox.A
[/QUOTE]
тем более в комплекте обычный маячок.
[QUOTE]Полное имя IPL NTFS [C:]
Имя файла IPL NTFS [C:]
Тек. статус ?ВИРУС? ВИРУС загрузчик
www.virustotal.com 2011-12-15 [2011-12-15 10:55:48 UTC ( 2 months, 1 week ago )]
AntiVir BOO/Cidox.A
[/QUOTE]
[ Закрыто] Помогите пожалуйста!
Размещено 24.02.2012 10:57:41
[SIZE="4"][COLOR="Red"]выполняем скрипт в uVS[/COLOR][/SIZE]
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\FJCCKNNHDNKBANJILPJDDJHMKGHMACHN\1.0.29_0\PLUGIN\CONVENIENCE.DLL
delall %Sys32%\GHETID.DLL
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\APPLICATION DATA\YAHOO!\BROWSERPLUS\2.9.8\PLUGINS\YBPADDON_2.9.8.DLL
deltmp
delnfr
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
----------
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\FJCCKNNHDNKBANJILPJDDJHMKGHMACHN\1.0.29_0\PLUGIN\CONVENIENCE.DLL
delall %Sys32%\GHETID.DLL
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\APPLICATION DATA\YAHOO!\BROWSERPLUS\2.9.8\PLUGINS\YBPADDON_2.9.8.DLL
deltmp
delnfr
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
----------
[ Закрыто] Помогите пожалуйста!
Размещено 23.02.2012 23:22:34
в образе, кроме этой записи более ничего нет подозрительного
---------
[QUOTE]Полное имя C:\WINDOWS\SYSTEM32\GHETID.DLL
Имя файла GHETID.DLL
Тек. статус сервисная_DLL в автозапуске [SVCHOST]
Сохраненная информация на момент создания образа
Статус сервисная_DLL в автозапуске [SVCHOST]
Инф. о файле Не удается найти указанный файл.
Цифр. подпись проверка не производилась
Ссылки на объект
Ссылка HKLM\System\CurrentControlSet\Services\psbzc\Parameters\Serv
ServiceDLL C:\WINDOWS\system32\ghetid.dll
[/QUOTE]
сделайте лог ESET Inspector из интерфейса антивируса.
---------
[QUOTE]Полное имя C:\WINDOWS\SYSTEM32\GHETID.DLL
Имя файла GHETID.DLL
Тек. статус сервисная_DLL в автозапуске [SVCHOST]
Сохраненная информация на момент создания образа
Статус сервисная_DLL в автозапуске [SVCHOST]
Инф. о файле Не удается найти указанный файл.
Цифр. подпись проверка не производилась
Ссылки на объект
Ссылка HKLM\System\CurrentControlSet\Services\psbzc\Parameters\Serv
ServiceDLL C:\WINDOWS\system32\ghetid.dll
[/QUOTE]
сделайте лог ESET Inspector из интерфейса антивируса.
[ Закрыто] Помогите пожалуйста!
Размещено 23.02.2012 22:37:10
[SIZE="4"][COLOR="Red"]выполняем скрипт в uVS[/COLOR][/SIZE]
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\WINLOGON.EXE
delall %SystemRoot%\DEBUG\RGLOM.EXE
deltmp
delnfr
regt 12
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно [URL=http://forum.esetnod32.ru/forum9/topic682/]быструю проверку системы в малваребайт[/URL]
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\WINLOGON.EXE
delall %SystemRoot%\DEBUG\RGLOM.EXE
deltmp
delnfr
regt 12
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно [URL=http://forum.esetnod32.ru/forum9/topic682/]быструю проверку системы в малваребайт[/URL]
поговорить о uVS, Carberp, планете Земля
Размещено 23.02.2012 22:34:54
Carberp с защитой от перезаписи VBR из активной системы.
[QUOTE]fixvbr C: 5
--------------------------------------------------------
Запись загрузчика в VBR:
C:
Ошибка записи [Запрос не был выполнен из-за ошибки ввода/вывода на устройстве. ][/QUOTE]
http://pchelpforum.ru/f26/t88668/
[QUOTE]fixvbr C: 5
--------------------------------------------------------
Запись загрузчика в VBR:
C:
Ошибка записи [Запрос не был выполнен из-за ошибки ввода/вывода на устройстве. ][/QUOTE]
http://pchelpforum.ru/f26/t88668/