Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 1437 1438 1439 1440 1441 1442 1443 1444 1445 1446 1447 ... 1784 След.
модифицированный Win32/Corkow.A
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.11.2011 09:09:54
сделайте лог журнала обнаруженных угроз
http://forum.esetnod32.ru/forum9/topic1408/
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Оперативная память » explorer.exe(2168) модифицированный Win32/TrojanDownloader.Carberp.AF
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.11.2011 08:56:59
обычно такое бывает для vista или Win7 при загрузке с Live.CD
Цитата
uVS v3.71: Windows 7 Ultimate x86 (NT v6.1) build 7600  [C:\WINDOWS]
,
при загрузке с Live.CD под C резервируется область загрузчиков, а каталог с Windows действительно будет на другом диске.
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Вирус Оп.Памяти., Просьба помочь.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.11.2011 07:42:30
хорошо, тему закрываю.
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Вирус Оп.Памяти., Просьба помочь.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.11.2011 07:27:40
лог чистый, что с проблемой? решена? нет?
если решена, выполните наши рекомендации по безопасной работе применительно к вашей системе
http://forum.esetnod32.ru/forum9/topic751/
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Оперативная память » explorer.exe(2168) модифицированный Win32/TrojanDownloader.Carberp.AF
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.11.2011 07:00:38
подведем некоторые итоги.
-------------
1. Carberp обнаруживается в памяти

Цитата
17.11.2011 19:48:32 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » explorer.exe(704) модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа очистка невозможна 1-ПК\1
17.11.2011 19:27:58 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » explorer.exe(1444) модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа очистка невозможна 1-ПК\1
17.11.2011 17:26:57 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » explorer.exe(1212) модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа очистка невозможна
система загружена с C.
2. ESI 17.11.2011 в 21:03 не находит аномалий никаких.

3. скан оперативной памяти
Цитата
Дaтa: 17.11.2011  Время: 22:11:31
Просканированные диски, папки и файлы: Оперативная память
Оперативная память » svchost.exe(2444) - модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна
Количество просканированных объектов: 614
Количество обнаруженных угроз: 1
т.е. вирусяка присутствует все время оперативной памяти.

4.  MBAB  18.11.2011 0:50:13
находит только хвосты
Цитата
mbam-log-2011-11-18 (00-50-13).txt

Тип сканирования: Быстрое сканирование
Просканированные объекты: 170048
Времени прошло: 3 минут, 43 секунд

Зараженные процессы в памяти: 0
Зараженные модули в памяти: 0
Зараженные ключи в реестре: 0
Зараженные параметры в реестре: 0
Объекты реестра заражены: 0
Зараженные папки: 0
Зараженные файлы: 1
5. образы автозапуска с Live.CD сделаны неверно. Сделаны для системы с диска I.
Изменено: santy - 18.11.2011 07:01:52
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Оперативная память » explorer.exe(2168) модифицированный Win32/TrojanDownloader.Carberp.AF
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.11.2011 06:38:26
Цитата
Heify пишет:
попробовал с флэшки, каталог цифровых подписей также не установился
Лог при загрузке с флэшки
Второй образ тоже сделан для системы с диска I. Что там у вас? загрузочный диск? Нужен образ системы которая у вас на жестком диске C.
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Оперативная память » explorer.exe(2168) модифицированный Win32/TrojanDownloader.Carberp.AF
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.11.2011 06:35:16
Цитата
Heify пишет:
сделал с диска загрузился, выбрал папку windows запустил скан. После он пытался создать какую то папку для проверки цифровых подписей, но неудачно.
Система у вас на диске C, вы же делаете здесь образ автозапуска с диска I.
Цитата
I:\WINDOWS\EXPLORER.EXE
[ Как создать образ автозапуска? ]
Перейти
Нашествие Carberp напоминает прошлогоднюю атаку Spy.Shiz
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.11.2011 06:15:14
Цитата
RP55 RP55 пишет:
*В принципе тело вируса, можно найти при работе с Live CD + добавление файлов каталогов.
все остальное - от лукавого.
---------
пока есть две (известные) материальные причины присутствия Carberp в оперативной памяти:
1. IGFXTRAY.EXE стартует из папки автозапуска
2. зараженный IPL, в котором (сигнатурами и проверкой на VT) определяется в uVS как Rt.Cidox, который ESET принимает за Carberp в оперативной памяти, т.е. после перезаписи VBR в uVS симптом в оперативной памяти исчезает.
--
Изменено: santy - 18.11.2011 07:29:14
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Вирус Оп.Памяти., Просьба помочь.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 18.11.2011 05:51:27
удалите все найденное в МБАМ, за исключением
Цитата
Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
перезагрузка,
новый лог МБАМ
[ Как создать образ автозапуска? ]
Перейти
модифицированный Win32/Corkow.A
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 17.11.2011 23:19:45
что сейчас с проблемой? есть сообщение о Win32/Corkow.A или нет?
Изменено: santy - 17.11.2011 23:20:25
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 1437 1438 1439 1440 1441 1442 1443 1444 1445 1446 1447 ... 1784 След.