Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 1285 1286 1287 1288 1289 1290 1291 1292 1293 1294 1295 ... 1784 След.
[ Закрыто] Оперативная память » gcauthc.exe(2140) - модифицированный Win32/Spy.Shiz.NCE троянская программа - очистка невозможна, Помогите пож-та
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.02.2012 19:17:16
сделайте лог журнала обнаружения угроз.
http://forum.esetnod32.ru/forum9/topic1408/
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] модифицированный Win32/TrojanDownloader.Carberp.AH троянская программа - очистка невозможна, Подскажите, пожалуйста что делать?
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.02.2012 16:04:13
хорошо, тему закрываем.
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] модифицированный Win32/TrojanDownloader.Carberp.AH троянская программа - очистка невозможна, Подскажите, пожалуйста что делать?
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.02.2012 15:37:02
ок, сейчас чисто.
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] модифицированный Win32/TrojanDownloader.Carberp.AH троянская программа - очистка невозможна, Подскажите, пожалуйста что делать?
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.02.2012 15:04:38
все должно быть ок.
Цитата
14:47:04.0140 1792 \Device\Harddisk0\DR0\# - copied to quarantine
14:47:04.0140 1792 \Device\Harddisk0\DR0 - copied to quarantine
14:47:04.0140 1792 \Device\Harddisk0\DR0 ( Rootkit.Win32.BackBoot.gen ) - User select action: Quarantine
14:47:04.0140 1792 \Device\Harddisk0\DR0\Partition0 - copied to quarantine
14:47:04.0140 1792 \Device\Harddisk0\DR0\Partition0 ( Rootkit.Boot.Cidox.b ) - will be cured on reboot
14:47:04.0140 1792 \Device\Harddisk0\DR0\Partition0 - ok
14:47:04.0140 1792 \Device\Harddisk0\DR0\Partition0 ( Rootkit.Boot.Cidox.b ) - User select action: Cure
сделайте повторный лог tdsskiller.
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] модифицированный Win32/TrojanDownloader.Carberp.AH троянская программа - очистка невозможна, Подскажите, пожалуйста что делать?
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.02.2012 15:02:43
ZloyDi, верное решение,
это модифицированный бутовый вариант Carberp/Cidox/Majachok
https://www.virustotal.com/file/93672673b8ca1c13d9fda122c9e7afc1112f24e5a53f4df0302­04e062208bf60/analysis/1330081113/
[ Как создать образ автозапуска? ]
Перейти
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.02.2012 11:04:25
пофиксится. это другая разновидность. скорее всего "обычный" бутовый Cidox.A
тем более в комплекте обычный маячок.
Цитата
Полное имя                  IPL NTFS [C:]
Имя файла                   IPL NTFS [C:]
Тек. статус                 ?ВИРУС? ВИРУС загрузчик                            
www.virustotal.com          2011-12-15 [2011-12-15 10:55:48 UTC ( 2 months, 1 week ago )]
AntiVir                     BOO/Cidox.A                          
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Помогите пожалуйста!
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.02.2012 10:57:41
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\FJCCKNNHDNKBANJILPJDDJHMKGHMACHN\1.0.29_0\PLUGIN\CONVENIENCE.DLL
delall %Sys32%\GHETID.DLL
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\APPLICATION DATA\YAHOO!\BROWSERPLUS\2.9.8\PLUGINS\YBPADDON_2.9.8.DLL
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
----------
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Помогите пожалуйста!
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 23.02.2012 23:22:34
в образе, кроме этой записи более ничего нет подозрительного
---------
Цитата
Полное имя                  C:\WINDOWS\SYSTEM32\GHETID.DLL
Имя файла                   GHETID.DLL
Тек. статус                 сервисная_DLL в автозапуске [SVCHOST]
                           
Сохраненная информация      на момент создания образа
Статус                      сервисная_DLL в автозапуске [SVCHOST]
Инф. о файле                Не удается найти указанный файл.
Цифр. подпись               проверка не производилась
                           
Ссылки на объект            
Ссылка                      HKLM\System\CurrentControlSet\Services\psbzc\Parameters\Serv­iceDLL
ServiceDLL                  C:\WINDOWS\system32\ghetid.dll
сделайте лог ESET Inspector из интерфейса антивируса.
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Помогите пожалуйста!
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 23.02.2012 22:37:10
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\WINLOGON.EXE
delall %SystemRoot%\DEBUG\RGLOM.EXE
deltmp
delnfr
regt 12
restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
[ Как создать образ автозапуска? ]
Перейти
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 23.02.2012 22:34:54
Carberp с защитой от перезаписи VBR из активной системы.
Цитата
fixvbr C: 5
--------------------------------------------------------
Запись загрузчика в VBR:
C:
Ошибка записи [Запрос не был выполнен из-за ошибки ввода/вывода на устройстве. ]
http://pchelpforum.ru/f26/t88668/
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 1285 1286 1287 1288 1289 1290 1291 1292 1293 1294 1295 ... 1784 След.