Размещено 24.02.2012 19:17:16
сделайте лог журнала обнаружения угроз.
хорошо, тему закрываем.
Дорогие участники форума!
Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.
На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения
PRO32
— надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.
Приглашаем вас присоединиться к новому форуму PRO32.
Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.
[ Закрыто] Оперативная память » gcauthc.exe(2140) - модифицированный Win32/Spy.Shiz.NCE троянская программа - очистка невозможна, Помогите пож-та
[ Закрыто] модифицированный Win32/TrojanDownloader.Carberp.AH троянская программа - очистка невозможна, Подскажите, пожалуйста что делать?
[ Закрыто] модифицированный Win32/TrojanDownloader.Carberp.AH троянская программа - очистка невозможна, Подскажите, пожалуйста что делать?
[ Закрыто] модифицированный Win32/TrojanDownloader.Carberp.AH троянская программа - очистка невозможна, Подскажите, пожалуйста что делать?
Размещено 24.02.2012 15:04:38
все должно быть ок.
сделайте повторный лог tdsskiller.
| Цитата |
|---|
| 14:47:04.0140 1792 \Device\Harddisk0\DR0\# - copied to quarantine 14:47:04.0140 1792 \Device\Harddisk0\DR0 - copied to quarantine 14:47:04.0140 1792 \Device\Harddisk0\DR0 ( Rootkit.Win32.BackBoot.gen ) - User select action: Quarantine 14:47:04.0140 1792 \Device\Harddisk0\DR0\Partition0 - copied to quarantine 14:47:04.0140 1792 \Device\Harddisk0\DR0\Partition0 ( Rootkit.Boot.Cidox.b ) - will be cured on reboot 14:47:04.0140 1792 \Device\Harddisk0\DR0\Partition0 - ok 14:47:04.0140 1792 \Device\Harddisk0\DR0\Partition0 ( Rootkit.Boot.Cidox.b ) - User select action: Cure |
[ Закрыто] модифицированный Win32/TrojanDownloader.Carberp.AH троянская программа - очистка невозможна, Подскажите, пожалуйста что делать?
поговорить о uVS, Carberp, планете Земля
Размещено 24.02.2012 11:04:25
пофиксится. это другая разновидность. скорее всего "обычный" бутовый Cidox.A
тем более в комплекте обычный маячок.
тем более в комплекте обычный маячок.
| Цитата |
|---|
| Полное имя IPL NTFS [C:] Имя файла IPL NTFS [C:] Тек. статус ?ВИРУС? ВИРУС загрузчик 2011-12-15 [2011-12-15 10:55:48 UTC ( 2 months, 1 week ago )] AntiVir BOO/Cidox.A |
[ Закрыто] Помогите пожалуйста!
Размещено 24.02.2012 10:57:41
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
перезагрузка, пишем о старых и новых проблемах.
----------
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
| Код |
|---|
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\FJCCKNNHDNKBANJILPJDDJHMKGHMACHN\1.0.29_0\PLUGIN\CONVENIENCE.DLL delall %Sys32%\GHETID.DLL delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\APPLICATION DATA\YAHOO!\BROWSERPLUS\2.9.8\PLUGINS\YBPADDON_2.9.8.DLL deltmp delnfr restart |
перезагрузка, пишем о старых и новых проблемах.
----------
[ Закрыто] Помогите пожалуйста!
Размещено 23.02.2012 23:22:34
в образе, кроме этой записи более ничего нет подозрительного
---------
сделайте лог ESET Inspector из интерфейса антивируса.
---------
| Цитата |
|---|
| Полное имя C:\WINDOWS\SYSTEM32\GHETID.DLL Имя файла GHETID.DLL Тек. статус сервисная_DLL в автозапуске [SVCHOST] Сохраненная информация на момент создания образа Статус сервисная_DLL в автозапуске [SVCHOST] Инф. о файле Не удается найти указанный файл. Цифр. подпись проверка не производилась Ссылки на объект Ссылка HKLM\System\CurrentControlSet\Services\psbzc\Parameters\Serv ServiceDLL C:\WINDOWS\system32\ghetid.dll |
[ Закрыто] Помогите пожалуйста!
Размещено 23.02.2012 22:37:10
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
| Код |
|---|
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\WINLOGON.EXE delall %SystemRoot%\DEBUG\RGLOM.EXE deltmp delnfr regt 12 restart |
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно
поговорить о uVS, Carberp, планете Земля