Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 1333 1334 1335 1336 1337 1338 1339 1340 1341 1342 1343 ... 1784 След.
Оперативная память » explorer.exe(1756) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.01.2012 10:55:01
+
сделайте дополнительно проверку системы в малваребайт
[ Как создать образ автозапуска? ]
Перейти
Оперативная память » explorer.exe(1756) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.01.2012 10:54:25
выполнить скрипт в uVS
скопировать содержимое кода в буфер обмена
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена
закрыть браузеры перед выполнением скрипта

Код

;uVS v3.73.1 script [http://dsrt.dyndns.org]

delall D:\AUTORUN.INF
addsgn A7679B19B92A260A6161463774C81286E182AF9CB190E812522B75AF50D6F2882F41A94654A075233C80841C821E1E90C337657C55DA33E829CD242FC70648F6 8 a variant of Win32/Kryptik.ZFR [NOD32]

zoo %SystemDrive%\USERS\ДИМА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\GWBP537K7FQ.EXE
bl 7953526D3DC72D13EA339C3D8AA898B9 174592
delall %SystemDrive%\USERS\ДИМА\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\GWBP537K7FQ.EXE
chklst
delvir
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.

архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z)
отправить в почту [email protected], [email protected]
если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] После удаления Win32/Corkow.A пропали значки "подключение интернета и подключения флешки" в области уведомлений.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.01.2012 06:03:36
Цитата
Знаете,для меня это пока сложно
надо развивать знания.
пробуйте выполнить такой скрипт в uVS
-------
выполнить скрипт в uVS
скопировать содержимое кода в буфер обмена
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена
закрыть браузеры перед выполнением скрипта

Код

;uVS v3.73.1 script [http://dsrt.dyndns.org]

EXEC cmd /c"REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad /v SysTray /t REG_SZ /d {35CEC8A3-2BE6-11D2-8773-92E220524153}"
restart

перезагрузка, пишем о старых и новых проблемах.
-----
если не поможет восстановить значки в трее, тогда закроем тему.
Изменено: santy - 25.01.2012 06:04:41
[ Как создать образ автозапуска? ]
Перейти
vchost.exe(1420) - модифицированный Win32/Corkow.A
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.01.2012 17:45:49
выполнить скрипт в uVS
скопировать содержимое кода в буфер обмена
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена
закрыть браузеры перед выполнением скрипта

Код

;uVS v3.73.1 script [http://dsrt.dyndns.org]

addsgn A7679B1110660406025746BE11E87804CE9BCF360A025F078D8346440AAA84A72E7DC3A84B45623C23684661B9E923FB25822A7E55B0B3462D1DA4C777F8DD8C 8 corkow.A

zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\ICFLIB.NS4
delall %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\ICFLIB.NS4
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
delall %Sys32%\SYSUSER\SYSTEM.EXE
deltmp
delnfr
restart


перезагрузка, пишем о старых и новых проблемах.

архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z)
отправить в почту [email protected], [email protected]
если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Вирус в оперативной памяти
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.01.2012 16:53:31
ясно,
значит все у вас хорошо, и чисто. Corkow последний раз беспокоил еще до прихода на форум, значит вылечен.
-----
а мы разочарованы,
надо искать или ждать новую подобную тему с подобным активным заражением.
Изменено: santy - 24.01.2012 16:54:12
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Вирус в оперативной памяти
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.01.2012 16:32:18
файл без архива работоспособный, подтверждаю.
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Вирус в оперативной памяти
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.01.2012 13:37:55
если нужна дополнительная помощь по Skype или teamviwer, напишите в личку информацию.
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Вирус в оперативной памяти
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.01.2012 13:35:53
т.е. я упростил вам задачу, и добавил четыре команды в один файл cork.bat, который и надо запустить. чтобы получить нужный результат
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Вирус в оперативной памяти
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.01.2012 13:34:25
выполните файл cork.bat из сообщения 14, этого будет достаточно.
после выполнения запишите указанные в сообщении файлы:
Цитата
далее,
найти файлы c:\filereg1.reg, c:\filereg2.reg, c:\filereg3.reg, c:\filereg4.reg
добавить в архив filereg.rar
и добавить файл архива на форум в ваше сообщение.
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Оперативная память » explorer.exe
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.01.2012 11:27:42
сорри, но системы с установленным ломанным ESET NOD32 мы на официальном техническом форуме не пролечиваем.
возможно, на другом форуме вам помогут пролечить систему.
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 1333 1334 1335 1336 1337 1338 1339 1340 1341 1342 1343 ... 1784 След.