Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 1309 1310 1311 1312 1313 1314 1315 1316 1317 1318 1319 ... 1784 След.
Оперативная память » explorer.exe(1908) модифицированный Win32/TrojanDownloader.Carberp.AH троянская программа!!!!! помогите!!!!
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.02.2012 21:17:32
blandin,
вам уже дважды написали хелперы - добавить лог сканирования tdsskiller на форум.
что вы там видите - нам неизвестно,
добавьте лог и  тогда мы увидим, что там находит или не находит tdsskiller.
[ Как создать образ автозапуска? ]
Перейти
требуются срочная помощб, пойман вирус
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.02.2012 21:14:27
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

zoo %SystemRoot%\APPPATCH\LDORDD.EXE
addsgn A7679B19B94E1B24380669F48CC812052501A91EDB3D1AD6C99BC5BC50D671C72EB98F0F3E0426492B8084CCB9036D8A2BDF4B561B82B0927A6F482F0043D6C0 8 Spy.shiz

delall %SystemDrive%\USERS\САШЕНЬКА\APPDATA\LOCAL\TEMP\HUVGCVO.EXE
bl F0913E64D690D4674F019C3A57810C25 256000
delall %SystemRoot%\APPPATCH\LDORDD.EXE
delall %SystemDrive%\PROGRAM FILES\ANTIRUN\ANTIRUN.EXE
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
deltmp
delnfr
regt 12
restart

перезагрузка, пишем о старых и новых проблемах.
архив (например: 2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту [email protected], [email protected]
(если архив не был создан автоматически, добавить папку ZOO (если она не пуста) в архив с паролем infected )
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
[ Как создать образ автозапуска? ]
Перейти
Оперативная память » explorer.exe(1908) модифицированный Win32/TrojanDownloader.Carberp.AH троянская программа!!!!! помогите!!!!
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.02.2012 20:53:46
еще раз.
Скачайте, распакуйте и запустите TDSSKiller:
http://support.kaspersky.ru/faq/?qid=208636926
Если программа найдет файл WINDOWS\system32\Drivers\sptd.sys, то не удаляйте его.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.
[ Как создать образ автозапуска? ]
Перейти
требуются срочная помощб, пойман вирус
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.02.2012 20:51:37
образ автозапуска по правилам
http://forum.esetnod32.ru/forum9/topic2687/
[ Как создать образ автозапуска? ]
Перейти
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.02.2012 19:48:57
интересный факт:

Цитата
07.02.2012 17:54:34 Защита в режиме реального времени файл C:\$UVS_285\ctjkdr Win32/Spy.SpyEye.CA троянская программа очищен удалением - изолирован MICROSOF-070D84\Admin Событие произошло в новом файле, созданном следующим приложением: C:\$uvs_285\hthgpz.
07.02.2012 17:54:33 Защита в режиме реального времени файл C:\SYSTEMHOST\24FC2AE3515.EXE Win32/Spy.SpyEye.CA троянская программа очищен удалением - изолирован MICROSOF-070D84\Admin Событие произошло при попытке доступа к файлу следующим приложением: C:\$uvs_285\hthgpz.
07.02.2012 17:39:31 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » winlogon.exe(1672) модифицированный Win32/Spy.SpyEye.CA троянская программа очистка невозможна
похоже ESET NOD32 обнаружил SpyEye после действия антисплайсинга от uVS, до этого не детектил, хотя файлик находился в автозапуске.
http://forum.esetnod32.ru/forum6/topic4033/
[ Как создать образ автозапуска? ]
Перейти
Троян Оперативная память » winlogon.exe(748) - модифицированный Win32/Spy.SpyEye.CA троянская программа - очистка невозможна
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.02.2012 19:47:34
интересный факт:
Цитата
07.02.2012 17:54:34 Защита в режиме реального времени файл C:\$UVS_285\ctjkdr Win32/Spy.SpyEye.CA троянская программа очищен удалением - изолирован MICROSOF-070D84\Admin Событие произошло в новом файле, созданном следующим приложением: C:\$uvs_285\hthgpz.
07.02.2012 17:54:33 Защита в режиме реального времени файл C:\SYSTEMHOST\24FC2AE3515.EXE Win32/Spy.SpyEye.CA троянская программа очищен удалением - изолирован MICROSOF-070D84\Admin Событие произошло при попытке доступа к файлу следующим приложением: C:\$uvs_285\hthgpz.
07.02.2012 17:39:31 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » winlogon.exe(1672) модифицированный Win32/Spy.SpyEye.CA троянская программа очистка невозможна
похоже ESET NOD32 обнаружил SpyEye после действия антисплайсинга от uVS, до этого не детектил, хотя файлик находился в автозапуске.
[ Как создать образ автозапуска? ]
Перейти
Троян Оперативная память » winlogon.exe(748) - модифицированный Win32/Spy.SpyEye.CA троянская программа - очистка невозможна
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.02.2012 18:49:58
добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] svchost.exe - teamviewer, svchost.exe - teamviewer
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.02.2012 16:44:54
возможно, вместе с Carberp был установлен. вот с этим.
Цитата
delall %SystemDrive%\DOCUMENTS AND SETTINGS\OMIROVA\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\TB8UZ9Q7FFN.EXE
была инфо, что вирусописатели в охоте за банковской информацией устанавливают и легитимные программы для удаленного доступа.
---------
включить/отключить ввод пароля при входе в Win - видимо здесь.
Цитата
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"LogonType"=dword:00000001 - значит включен, чтобы выключить измените 00000001 на 00000000.
------
как обезопасить систему на будущее:
http://forum.esetnod32.ru/forum9/topic3998/
Изменено: santy - 07.02.2012 17:03:15
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] svchost.exe - teamviewer, svchost.exe - teamviewer
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.02.2012 13:53:30
по svсhost левому понятно,
используется легитимный, подписанный TeamViewer GmbH  файл, переименованный в svchost.exe
-------
а вот с какой целью установлен? возможно для несанкционированного доступа. возможно c уже прописанным ID.
Цитата
Полное имя                  C:\WINDOWS\SVCHOST.EXE
Имя файла                   SVCHOST.EXE
Тек. статус                 в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      ПРОВЕРЕННЫЙ в автозапуске
Размер                      4380968 байт
Создан                      08.12.2009 в 14:52:22
Изменен                     08.12.2009 в 14:52:22
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано TeamViewer GmbH
                           
Оригинальное имя            TeamViewer.exe
Версия файла                5.0.7478.0
Версия продукта             5.0
Описание                    TeamViewer
Продукт                     TeamViewer
Copyright                   TeamViewer GmbH
Производитель               TeamViewer GmbH
                           
Доп. информация             на момент обновления списка
SHA1                        81A41C116AF135AE25D8BB72BAF4B7F6DA6B6EC1
MD5                         9DFA2BD6BDDC746ACEA981DA411D59D3
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Expl­orer\Run\svchost
svchost                     C:\WINDOWS\svchost.exe
Изменено: santy - 07.02.2012 13:55:16
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] svchost.exe - teamviewer, svchost.exe - teamviewer
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.02.2012 13:40:14
по логам чисто.
решилась проблема? нет?
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 1309 1310 1311 1312 1313 1314 1315 1316 1317 1318 1319 ... 1784 След.