Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 1436 1437 1438 1439 1440 1441 1442 1443 1444 1445 1446 ... 1784 След.
[ Закрыто] Обнаружена угроза в памяти
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 19.11.2011 09:16:16
а результат? исчезла угроза или нет?
Перейти
[ Закрыто] Как создать логи FRST
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 19.11.2011 09:13:53
Скачайте и запустите [URL=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][B]Farbar Recovery Scan Tool[/B][/URL]. (Выберите программу для своей разрядности системы:32-битную или 64-битную)

После запуска программы установите галочки как показано на рисунке



И нажмите [B]Scan/Сканировать[/B]. После окончания сканирования в папке откуда запускалась программа будут файлы логов FRST.txt и Addition.txt.
добавьте файлы логов на форум, используя функцию "загрузить файлы"
или
загрузите их на http://sendspace.com и полученную ссылку выложите в вашей теме.
Изменено: santy - 05.06.2023 14:34:53
Перейти
модифицированный Win32/Corkow.A
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 19.11.2011 09:09:29
2011.11.17 22:01
Анализ автозапуска...
[QUOTE]Построение списка системных модулей и драйверов...
VBR NTFS [C:]: Неизвестный загрузчик SHA1: C3D4A7D092BF9F4ADE1609CE958873252FE8CF80
IPL NTFS [C:]: Неизвестный загрузчик SHA1: 9831CF7DF375DE8CC051FDD6174123E7F6D90A2A
MBR#0 [149.0GB]: Неизвестный загрузчик SHA1: DA67949D8E80AE4B877B861155C27C0550D2F7A3
[/QUOTE]
Сейчас напишу инструкцию по RSIT на форуме
-----
[B]ZloyDi[/B], посмотри инструкцию, все в ней правильно?
http://forum.esetnod32.ru/forum9/topic2798/
Изменено: santy - 19.11.2011 09:14:59
Перейти
модифицированный Win32/Corkow.A
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 19.11.2011 08:55:34
остается подозрение на загрузчики. хотя и чистые при проверке на VT.
Перейти
[ Закрыто] Оперативная память » explorer.exe(2168) модифицированный Win32/TrojanDownloader.Carberp.AF
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 19.11.2011 07:47:34
ну, ясно. значит причина  была все таки в загрузчиках, один из которых, не прошел проверку по списку безопасных в uVS
[QUOTE]IPL NTFS [C:]: Неизвестный загрузчик SHA1: 1A372EB4879DC8B2319153F1FB5F8DD343AB7CE6[/QUOTE]
а на ВирусТотал никто его не задетектил.
http://www.virustotal.com/file-scan/report.html?id=3f2684326e1d7ee57ac5a78869ac6208e071ed747a769fc4f33b3559d­80269a9-1321622128
отсюда и все наши поиски "третьего пути".
Перейти
[ Закрыто] Win32/TrojanDownloader.Carberp.AF
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.11.2011 16:02:53
[B]ZloyDi, iceiceicecream, [/B] не теряйте тему,
сообщения перенесу в отдельную тему в данном разделе
Перейти
Ув администраторы а так же пользователи этого форума..., проблемка
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.11.2011 13:44:29
как создать образ автозапуска системы
http://forum.esetnod32.ru/forum9/topic2687/
---
только файл start.exe перейменовать в start.cmd or start.pif
[ Как создать образ автозапуска? ]
Перейти
Win32/TrojanDownloader.Carberp.AF
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.11.2011 13:29:55
хорошо, по возможности сделайте файл сверки и поиск руткитов.

Eset Sysinspector так же показывает наличие сервисов, к которым доступ запрещен.
[QUOTE]"WmiApRpl" = "<no access>" Автoмaтичecкий ; Загружено ; ( 9: Рисковано ) ;
"TlntSvr" = "<no access>" Автoмaтичecкий ; Загружено ; ( 9: Рисковано ) ; [/QUOTE]
Перейти
[ Закрыто] Оперативная память » explorer.exe(2168) модифицированный Win32/TrojanDownloader.Carberp.AF
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.11.2011 09:19:58
последний вариант будет полное сканирование из под Live.CD (eset_rescue_linux)
http://forum.esetnod32.ru/forum9/topic1966/
если не поможет, то увы...
------------
проверьте еще систему анти_руткитными утилитами
архив скачать по ссылке
http://rghost.ru/30760461
в tdsskiller ничего не удаляйте, если будет детект.
лог tdsskiller добавить на форум.
Изменено: santy - 18.11.2011 10:46:12
Перейти
[ Закрыто] Оперативная память » explorer.exe(2168) модифицированный Win32/TrojanDownloader.Carberp.AF
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.11.2011 09:17:37
чего то подозрительного не вижу в этом образе,
разве что загрузчики не всписке проверенных, но по ВирусТотал - чистые.

пробуйте еще сделать поиск руткита по файлу сверки.
http://forum.esetnod32.ru/forum9/topic2729/
т.е. создание файла сверки в активной системе,
и поиск руткитов по файлу сверки из под WinPe
Перейти
Пред. 1 ... 1436 1437 1438 1439 1440 1441 1442 1443 1444 1445 1446 ... 1784 След.