Размещено 15.02.2012 06:12:29
посмотрю сегодня систему по методу поиска руткитов в uVS, может еще будут какие то нюансы замечены.
Изменено: santy - 15.02.2012 20:32:36
по сети пробивает. Conficker.
Дорогие участники форума!
Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.
Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новые продукты компании PRO32.
PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.
поговорить о uVS, Carberp, планете Земля
не могу вычислить вирус или червь, помогите
поговорить о uVS, Carberp, планете Земля
поговорить о uVS, Carberp, планете Земля
Размещено 14.02.2012 23:11:33
Scan Log
| Цитата |
|---|
| Version of virus signature database: 6884 (20120214) Date: 15.02.2012 Time: 1:05:59 Scanned disks, folders and files: Operating memory Operating memory » iexplore.exe(2224) - a variant of Win32/PSW.Papras.CA trojan - unable to clean Number of scanned objects: 359 Number of threats found: 1 Number of cleaned objects: 0 Time of completion: 1:06:24 Total scanning time: 25 sec (00:00:25) |
поговорить о uVS, Carberp, планете Земля
поговорить о uVS, Carberp, планете Земля
поговорить о uVS, Carberp, планете Земля
Размещено 14.02.2012 22:10:54
лог сканирования ESET Endpoint Security Suite при зараженном VBR (IPL)
то о чем пишет VBA32 (по отчету VBA32arkit_beta)
| Цитата |
|---|
| Scan Log Version of virus signature database: 6883 (20120214) Date: 14.02.2012 Time: 23:45:35 Scanned disks, folders and files: Operating memory;C:\Boot sector Number of scanned objects: 332 Number of threats found: 0 Time of completion: 23:45:46 Total scanning time: 11 sec (00:00:11) |
то о чем пишет VBA32 (по отчету VBA32arkit_beta)
| Цитата |
|---|
| \Driver\atapi IRP_MJ_INTERNAL_DEVICE_CONTROL 0x8080377E C:\WINDOWS\system32\ntkrnlpa.exe Signed Anomaly detected |
Изменено: santy - 14.02.2012 22:14:18
поговорить о uVS, Carberp, планете Земля
Размещено 14.02.2012 22:01:28
хм,
по логу uVS
| Цитата |
|---|
| подтверждаю, что в новом варианте Rootkit.Cidox.B есть защита от перезаписи в VBR из активной системы. 23:17:09.0734 0140 TDSS rootkit removing tool 2.7.12.0 Feb 11 2012 16:58:52 23:17:11.0749 0140 ============================================================ 23:17:11.0749 0140 Current date / time: 2012/02/14 23:17:11.0749 23:17:11.0749 0140 SystemInfo: 23:17:11.0749 0140 23:17:11.0749 0140 OS Version: 5.1.2600 ServicePack: 3.0 23:17:11.0749 0140 Product type: Workstation 23:17:11.0749 0140 ComputerName: VM-XP 23:17:11.0749 0140 UserName: safety 23:17:46.0702 1284 ============================================================ 23:17:46.0702 1284 Scan finished 23:17:46.0702 1284 ============================================================ 23:17:46.0718 1584 Detected object count: 2 23:17:46.0718 1584 Actual detected object count: 2 23:18:35.0405 1584 \Device\Harddisk0\DR0\# - copied to quarantine 23:18:35.0405 1584 \Device\Harddisk0\DR0 - copied to quarantine 23:18:35.0405 1584 \Device\Harddisk0\DR0 ( Rootkit.Win32.BackBoot.gen ) - User select action: Quarantine 23:18:35.0421 1584 \Device\Harddisk0\DR0\Partition0 - copied to quarantine 23:18:35.0421 1584 \Device\Harddisk0\DR0\Partition0 ( Rootkit.Boot.Cidox.b ) - User select action: Quarantine 23:19:03.0140 1008 Deinitialize success |
по логу uVS
| Цитата |
|---|
| IPL NTFS [C:] Дата: 2012-02-14 [2012-02-14 16:30:00 UTC ( 52 minutes ago )] Имя: vbr_infected.bin BOO/Cidox.A [AntiVir] Детектов: 1 из 8 -------------------------------------------------------- Запись загрузчика в VBR: C: Ошибка записи [Запрос не был выполнен из-за ошибки ввода/вывода на устройстве. ] |
[ Закрыто] Опять вирусы, помогите
Размещено 14.02.2012 21:40:03
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
| Код |
|---|
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 delall %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\VBACAP32.1_0 deltmp delnfr clrmd restart |
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно
поговорить о uVS, Carberp, планете Земля