Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 1459 1460 1461 1462 1463 1464 1465 1466 1467 1468 1469 ... 1784 След.
[ Закрыто] Оперативная память - модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа - очистка невозможна
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.10.2011 07:15:46
openid.yandex.ru/kwest23,
1. не надо копировать в сообщение простыни из логов, делайте вложением файлов, или ссылкой на файловые обменники.

2. по обновлению антивируса.
Это действие выполнили?
Цитата
- пробуем обновить антивирус, выполнить полное сканирование;
(если обновление не выполнено, возможно поможет очистка кэша в настройках антивируса+
запуска вручную обновления баз)
3. эти записи в МБАМ удалите.
Цитата
Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R­oot\LEGAC­Y_NETPROTOCOL (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic­es\Netpro­tocol (Trojan.Agent) -> No action taken.
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Оперативная память - модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа - очистка невозможна
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.10.2011 20:39:16
выполните скрипт в uVS из файла
+ все процедуры по ссылке
http://forum.esetnod32.ru/forum9/topic2478/

перезагрузка,

сделайте лог малваребайт
http://forum.esetnod32.ru/forum9/topic682/
Изменено: santy - 24.10.2011 20:39:45
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Ошибка распаковки файлов
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.10.2011 19:39:58
вот такой еще (приложенный) скрипт выполните в uVS по мотивам второго образа автозапуска.

----------
+
скачайте программу malwarebytes (free version)
http://www.malwarebytes.org/mbam.php

установить (только сканер!(при установке отказываемся от пробного периода)),
обновить базы, выполнить быстрое сканирование,
после завершения сканирования,
текстовый лог (сохранить как файл) добавить в ваше сообщение на форум.
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Ошибка распаковки файлов
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.10.2011 18:56:25
ZloyDi, судя по всему - образ автозапуска от вирусо_испытатателя. :). Часть вирусных файликов запущена вручную. Видимо, Процесс вышел из под контроля. :)
Изменено: santy - 24.10.2011 18:56:44
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Ошибка распаковки файлов
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.10.2011 18:44:50
тема будет перемещена в раздел обнаружение вредоносного кода
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Адрес заблокирован, ESET всё время блокирует один и тот же адрес
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.10.2011 06:23:53
файл скрпита необходимо скачать по ссылке "скачать",
и сохранить как файл, не открывая его в редакторе.
-------------
если проблема до сих пор актуальна,
значит нужен новый образ автозапуска в uVS
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Адрес заблокирован. Адрес URL: "разные латинские буквы/domain.php"
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 21.10.2011 22:26:48
+ лог МБАМ
http://forum.esetnod32.ru/forum9/topic682/
[ Как создать образ автозапуска? ]
Перейти
Ошибка создания временного файла., ESS 4.2
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 21.10.2011 22:00:40
RP55,
сигнатура в скрипт добавляется с ошибкой.
возможно некорректная обработка длинных строк на форуме.
в буфере обмена появляются лишние знаки "-", и они переносятся в окно скрипта.
в случае скриптов с добавлением сигнатур (на этом форуме) лучше сохранять скрипт в файл,
и рекомендовать его выполнять из файла.

если же командные строки скрипта короткие, то можно рекомендовать
выполнение из буфера обмена.
---------------
по крайней мере, при оформлении скрипта как цитату - эти знаки точно добавляются,
при оформлении как код, надо проверить.
Изменено: santy - 21.10.2011 22:05:02
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] "Ошибка создания временного файла"
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 21.10.2011 20:50:13
1. добавьте на форум файл для анализа
Цитата
C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS
2.
выполните в uVS скрипт из буфера обмена

Код
;uVS v3.71 script [http://dsrt.dyndns.org]

delall %SystemRoot%\USIKI.SYS 
regt 5
reg 14
regt 18

без перезагрузки,
3.
+ сделайте лог малваребайт
http://forum.esetnod32.ru/forum9/topic682/
===========
именно в таком порядке, чтобы файл hosts попал для анализа до момента его очистки в скрипте uVS
Изменено: santy - 21.10.2011 20:56:11
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Адрес заблокирован. Адрес URL: "разные латинские буквы/domain.php"
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 21.10.2011 15:50:12
файл проверьте
C:\WINDOWS\SYSTEM32\IPNATHLP.EXE
чтобы принять решение - удалять его или нет.
нужны гарантии ВирусТотал что это вредоносный файл, хотя бы несколько антивирусов его детектят.
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 1459 1460 1461 1462 1463 1464 1465 1466 1467 1468 1469 ... 1784 След.