Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 1340 1341 1342 1343 1344 1345 1346 1347 1348 1349 1350 ... 1784 След.
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 20.01.2012 07:58:03
по Corkow имеет смыcл сделать логи AVZ, чтобы посмотреть, какой разбор в нем CLSID
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
вот такая может запись в автозапуске,
Код
C:\Documents and Settings\User\Application Data\Microsoft Corporation\glmsvc.kmo
Скрипт: Kарантин, Удалить, Удалить через BC   Активен   Ключ реестра   HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad, SysTray
причем, удаление параметра реестра приводит к исчезновению легальных объектов в системном трее. Т.е. в этом ключе должно прописываться правильное значение dll. вместо удаляемой троянской dll.
http://virusinfo.info/showthread.php?t=114877
(кстати, очень интересный случай, dll отказывается удалиться из активной системы, и присутствует в том числе и Lanmanserver)
еще одна полезная ссылка по проблеме.
http://www.developing.ru/com/what_com_stores.html
----
возможно идет подмена этого объекта.
Цитата
Полное имя                  C:\WINDOWS\SYSTEM32\STOBJECT.DLL
Имя файла                   STOBJECT.DLL
Тек. статус                 АКТИВНЫЙ ИЗВЕСТНЫЙ DLL в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ИЗВЕСТНЫЙ DLL в автозапуске
Размер                      139776 байт
Создан                      12.03.2010 в 16:53:20
Изменен                     12.03.2010 в 16:53:20
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Оригинальное имя            stobject.dll
Версия файла                5.1.2600.5512 (xpsp.080413-2105)
Версия продукта             5.1.2600.5512
Описание                    Объект службы оболочки Systray
Продукт                     Операционная система Microsoft® Windows®
Copyright                   © Корпорация Майкрософт. Все права защищены.
Производитель               Корпорация Майкрософт
                           
Доп. информация             на момент обновления списка
SHA1                        B9A16DB183F569E00198026656D66558B44F325F
MD5                         D5D807BE9F6099F42F46456243728F39
                           
Процессы                    на момент обновления списка
Процесс                     C:\WINDOWS\EXPLORER.EXE
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceO­bjectDelayLoad\SysTray
                           
Ссылка                      HKLM\Software\Classes\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\InprocServer32\
Изменено: santy - 20.01.2012 08:44:07
[ Как создать образ автозапуска? ]
Перейти
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 20.01.2012 06:39:16
1. необходимо больше знать инфо в реестре по этому CLSID
Цитата
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

2. adddir файлы то добавит, а вот будут ли при этом ссылки на файл из реестра - это вопрос.

3.
Цитата
были уже случаи - добавляли и смотрели!
adddir добавляет исполняемые файлы по расширению? в таком случае, врядли библиотека Corkow попадет в автозапуск.
[ Как создать образ автозапуска? ]
Перейти
MBR-сектор физического диска Ripper вирус
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 20.01.2012 05:50:01
сообщение системное, или антивирус установленный реагирует?
если антивир, то добавьте для ясности логи журнала обнаружения угроз, или сканирования.
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Помоготе избавиться от TrojanProxy.Agent.NCI
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 19.01.2012 21:51:53
да, надо пролечивать с помощью Live.CD, и очень аккуратно с очисткой системных файлов.
Анализ файлов в списке...
Цитата
Нет доступа к файлу, возможно файл защищен [ C:\WINDOWS\SYSTEM32\WINLOGON.EXE ]
Доступ к файлу получен [C:\WINDOWS\SYSTEM32\WINLOGON.EXE]
Нет доступа к файлу, возможно файл защищен [ C:\WINDOWS\SYSTEM32\SERVICES.EXE ]
Доступ к файлу получен [C:\WINDOWS\SYSTEM32\SERVICES.EXE]
Нет доступа к файлу, возможно файл защищен [ C:\WINDOWS\SYSTEM32\LSASS.EXE ]
Доступ к файлу получен [C:\WINDOWS\SYSTEM32\LSASS.EXE]
Нет доступа к файлу, возможно файл защищен [ C:\WINDOWS\SYSTEM32\SVCHOST.EXE ]
Доступ к файлу получен [C:\WINDOWS\SYSTEM32\SVCHOST.EXE]
Нет доступа к файлу, возможно файл защищен [ C:\WINDOWS\SYSTEM32\SPOOLSV.EXE ]
Доступ к файлу получен [C:\WINDOWS\SYSTEM32\SPOOLSV.EXE]
Подозрительные и вирусы
Цитата
--------------------------------------------------------
C:\WINDOWS\SYSTEM32\LSASS.EXE
Хэш НЕ найден на сервере.
--------------------------------------------------------
C:\WINDOWS\SYSTEM32\SERVICES.EXE
Хэш НЕ найден на сервере.
--------------------------------------------------------
C:\WINDOWS\SYSTEM32\SPOOLSV.EXE
Дата: 2010-10-31 [2009-03-16 10:36:23 UTC ( 2 years, 10 months ago )]
probably a variant of Win32/Agent.NJOECEQ [NOD32]
Trojan Horse [Symantec]
Win32:Trojan-gen [Avast]
Trojan.Generic.1761669 [BitDefender]
TR/Patched.CX.1 [AntiVir]
Детектов: 5 из 9
--------------------------------------------------------
C:\WINDOWS\SYSTEM32\WINLOGON.EXE
Хэш НЕ найден на сервере.
--------------------------------------------------------
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
Хэш НЕ найден на сервере.
--------------------------------------------------------
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] После удаления Win32/Corkow.A пропали значки "подключение интернета и подключения флешки" в области уведомлений.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 19.01.2012 21:38:37
envil,
если проблема со значками в трее осталась,
сделайте следующее.
1.
выполните в окне cmd следующие действия:
Код
REG EXPORT HKEY_CLASSES_ROOT\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153} c:\filereg1.reg

и
Код
REG EXPORT HKEY_CURRENT_USER\Software\Classes\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\InprocServer32 c:\filereg2.reg


далее,
найти файлы c:\filereg1.reg, c:\filereg2.reg
добавить в архив filereg.rar
и добавить файл архива на форум в ваше сообщение.
----------
2. создайте новую учетную запись,
зайти под этой учетной записью в систему
и проверить, есть ли указанная выше проблема, для данной (новой) учетной записи.
[ Как создать образ автозапуска? ]
Перейти
Win32/Corkow.A в explorer.exe, очистка невозможна
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 19.01.2012 17:10:14
хорошо,
выполните наши рекомендации по безопасной работе
[ Как создать образ автозапуска? ]
Перейти
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 19.01.2012 17:06:52
Цитата
Арвид пишет:
разве мало было случаев когда Carberp был скрыт в загрузчике и uVS его не видел? да и доступ в сеть не всегда есть чтоб отправить загрузчик на анализ (а загрузчики программа проверяет всех разделов)
из под Live.CD в uVS может быть другая картина по загрузчикам.
+ еще ест ьвариант проверка на руткиты с помощью файла сверки. Если в активной системе изменение загрузчика скрыто от uVS, то по файлу сверки он обнаружит это. А значит, с большой уверенностью, без првоерки на VT можно сказать, что подменен загрузчик.
Цитата
Арвид пишет:
все утилиты из LiveCD можно использовать, все работоспособны. теперь думаю как бы там удобнее обновлять базы к Ноду, по ходу придется пересобирать образ каждое определенное время  

надоест каждый день пересобирать. А главное, выкладывать в сеть. К тому же есть eset_linux_rescue, с актуальными базами каждый день, и возможностью обновиться из сети.
Изменено: santy - 19.01.2012 17:07:57
[ Как создать образ автозапуска? ]
Перейти
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 19.01.2012 16:56:24
загрузчики можно проверить и в uVS, а вот проверяет ли tdsskiller неактивный раздел (имею ввиду драйвера неактивной системы) - это вопрос. Вообще, спору нет, утилита полезная, одна из лучших у ЛК. (если не лучшая.)
т.е. смысла нет добавлять утилиты в Live.CD только потому что они небольшие. Должны выполнять задекларированные действия в неактивном разделе.
------------------
по Corkow.
проверяйте по описанию Corkow из энциклопедии ESET. Если файл явно не обнаружен в образе автозапуска. (Возможно, не проверяется данный ключ в реестре).

Цитата
The trojan may set the following Registry entries:

   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
   lanmanserver\parameters]
   "ServiceDll" = "%commonprogramfiles%\microsoft
   shared\%variable1%.%variable2%"
   [HKEY_CURRENT_USER\Software\Classes\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\
   InprocServer32]
   "Default" = "%appdata%\Microsoft
   Corporation\%variable1%.%variable2%"

This way the trojan ensures that the file is executed on every system start.

надо запросить у пользователя, значение параметра default для выделенного ключа.
если есть такой ключ в реестре, то проверить значение параметра на VT.
Изменено: santy - 19.01.2012 16:57:21
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Вирус в оперативной памяти
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 19.01.2012 16:33:36
Цитата
DianaN пишет:
что теперь делать?
ответить на вопрос.
если лечение выполняете на машине, с которой сейчас пишите, тогда возможно, ошибка скрипта при копировании, о чем пишет Арвид.

если скрипт копируете с текущей (чистой машины), на другую (зараженную),
тогда вариант выполнения скрипта должен быть другой:

выполнить скрипт в uVS из файла.

соответственно и скрипт должен быть приложен к теме в виде файла.
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Вирус,Eset32 не находит, СОздание на рабочем столе 2-х ярлыков,вместо одного
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 19.01.2012 14:48:20
да, программа ESET NOD32 не бесплатная, необходим логин и пароль чтобы скачать коммерческую версию.
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 1340 1341 1342 1343 1344 1345 1346 1347 1348 1349 1350 ... 1784 След.