Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 1300 1301 1302 1303 1304 1305 1306 1307 1308 1309 1310 ... 1784 След.
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 12.02.2012 18:33:25
Цитата
RP55 RP55 пишет:
Посмотрим,что в версии 374 будет.
Если повториться...
если в 374 будет делать образ стартуя uVS из архива, то результат повторится.
Цитата
(!) БАЗА ИЗВЕСТНЫХ ФАЙЛОВ ОТСУТСТВУЕТ (!)
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Оперативная память » explorer.exe(1068) вероятно модифицированный Win32/TrojanDownloader.Carberp.AD
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 12.02.2012 17:20:30
хорошо,
выполните наши рекомендации по безопасной работе.
http://forum.esetnod32.ru/forum9/topic3998/
[ Как создать образ автозапуска? ]
Перейти
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 12.02.2012 17:17:03
Цитата
RP55 RP55 пишет:
santy пишет:
возможно, файла известных не было в каталоге uVS, отсюда записи образа системы не получили статус - известные.
Понял.      

Цитата
(!) БАЗА ИЗВЕСТНЫХ ФАЙЛОВ ОТСУТСТВУЕТ (!)
Текущий пользователь: COMPUTER-3F930A\Admin
uVS запущен под пользователем: NT AUTHORITY\SYSTEM
Имя компьютера: COMPUTER-3F930A
по моему это один и тот же образ.
http://pchelpforum.ru/f26/t87321/
Изменено: santy - 12.02.2012 17:18:04
[ Как создать образ автозапуска? ]
Перейти
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 12.02.2012 17:00:35
Цитата
RP55 RP55 пишет:
Вчера на форуме встретил образ. uVS 373
Не работает функция: "Скрыть известные" или мне кажется ?
Если не кажется...
То нужно сообщить Дмитрию ?
возможно, файла известных не было в каталоге uVS, отсюда записи образа системы не получили статус - известные.
по v3.73 не замечал, чтобы этот режим не работал.
[ Как создать образ автозапуска? ]
Перейти
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 12.02.2012 15:33:19
да, ATF_cleaner мы уже не используем. а так... и здесь почти те же проблемы, только без маячка.
[ Как создать образ автозапуска? ]
Перейти
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 12.02.2012 15:21:04
ну, теперь, главное не тяни одеяло на adminplanet. :).
----------
вот проблема. уже второй случай.
http://forum.esetnod32.ru/forum6/topic4074/
при удалении троянской dll прописанной в Winsock2 (из uVS), выход в сеть отрубается, необходимо пересоздавать winsock. /winsockfix или netsh winsock reset /  
отписался пока на АМ.
[ Как создать образ автозапуска? ]
Перейти
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 12.02.2012 14:46:17
Цитата
Арвид пишет:
Саш, он наверное лог переделал и ссылку заменил. Глянь на время  
Я точно помню что версия была 3.73
возможно, потому что первая тема уже отредактирована, но и в первой (отредактированной) с v374 еще нет файлов. только в новом образе после скрипта
adddir + crimg
[ Как создать образ автозапуска? ]
Перейти
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 12.02.2012 14:38:44
Цитата
Арвид пишет:
Вот еще интересный случай -  http://pchelpforum.ru/f26/t87325/
Dorkbot не попал в лог uVS версии 3.73
по моему, там изначально был образ v374, хотя усеченный какой-то.
----
вот на эти сообщения следует смотреть, что обнаруживает антисплайсинг.
Цитата
(!) Обнаружен сплайсинг: NtQueryDirectoryFile
(!) Обнаружен сплайсинг: LdrLoadDll
(!) Обнаружен сплайсинг: NtEnumerateValueKey
(!) Обнаружен сплайсинг: RegCreateKeyExW
[ Как создать образ автозапуска? ]
Перейти
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 12.02.2012 14:17:29
Цитата
RP55 RP55 пишет:
Да, файлы в образ по  ADDDIR попадут - но если sha1 нет на V.T...?
по моему ты уже обсуждал это ранее с Дмитрием.
разгребать карантины с файлообменников - думаю, не хватит на это время. Да, и вирлабу это тоже не нужно.
копировать в карантин неизвестно что... не лучшее решение.
adddir добавил каталог, который тебя интересует, посмотрел какие есть файлы, и карантинь в ZOO,
чуть помедленнее (как у Высоцкого), но надежный и отработанный вариант. Какого-то принципиального улучшения в adddir_zoo не видно пока.
-------------------
можно посмотреть... - а в образе разве нельзя посмотреть, добавить сигнатуры и прочее?
* не стоит перегружать uVS бесполезными командами.
---
по функции - скрыть известные.... сейчас смотрю образ v373 (из под Live.CD), все работает.
Изменено: santy - 12.02.2012 14:39:38
[ Как создать образ автозапуска? ]
Перейти
сообщение о повреждении ядра
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 12.02.2012 13:02:12
это тоже можно сделать, и отправить лог в [email protected] ,
да и здесь можно выложить.
------
но все таки: доведите до конца это решение.
по отсутствующей службе.
If the Base Filtering Engine entry is missing, please proceed to Part II below.
Если Base Filtering Engine запись отсутствует, пожалуйста, перейдите к части II ниже.

II. Reinstall Base Filtering Engine
т.е. надо переустановить эту службу.
1. Download and install Microsoft’s SubInACL.exe from the following Microsoft knowledgebase article:
скачать и установить данный файл.

2. Click the following .zip file and click "Save" when prompted and save it to your Desktop:
скачать указанный по ссылке архив и распаковать на рабочий стол.
и далее, по пунктам.
Изменено: santy - 12.02.2012 13:03:18
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 1300 1301 1302 1303 1304 1305 1306 1307 1308 1309 1310 ... 1784 След.