Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 1481 1482 1483 1484 1485 1486 1487 1488 1489 1490 1491 ... 1784 След.
Заблокирован доступ к рабочему столу Windows
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 30.08.2011 05:42:09
Цитата

Прикрепил образ автозапуска
образ неверно сделан из под Live.CD,
выбрана активная система WinPE с загрузочного диска X,
необходимо в start.exe длеать выбор системы с жесткого диска.
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Выскакивает красное уведомление о том, что адрес заблокирован.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 29.08.2011 07:10:07
Хорошо,
далее рекомендация простая,
обновить базы антивируса, и выполнить полное сканирование системы,

дайте шанс реабилитироваться сканеру ESET NOD32. :).
[ Как создать образ автозапуска? ]
Перейти
Адрес заблокирован
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.08.2011 16:37:44
файлик лучше отправит по адресу [email protected],
здесь же нужен образ автозапуска uVS для анализа.
http://forum.esetnod32.ru/forum9/topic683/
[ Как создать образ автозапуска? ]
Перейти
Удаленная очистка кэша обновлений.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.08.2011 07:57:16
Да, это была бы полезная задача для ERA, было такое предложение от участников форума, но пока не реализовано в ERA.
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Выскакивает красное уведомление о том, что адрес заблокирован.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.08.2011 07:53:02
выполните в uVS скрипт  из буфера обмена
будет автоматическая перезагрузка,
после перезагрузки - новый образ автозапуска в uVS,
и краткое описание состояния системы.

Код
;uVS v3.70 script [http://dsrt.dyndns.org]

zoo %Sys32%\TABSVC.EXE

delall %Sys32%\TABSVC.EXE
sreg
delref %Sys32%\XRJSBQG.DLL
areg
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Выскакивает красное уведомление о том, что адрес заблокирован.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.08.2011 07:49:37
кроме tabsvc, на месте и другой файлик
-------------
Цитата
Полное имя                  C:\WINDOWS\SYSTEM32\XRJSBQG.DLL
Имя файла                   XRJSBQG.DLL
Тек. статус                 ?ВИРУС? ВНЕДРЯЕМЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
APPINIT_DLLS                ССЫЛКА: HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINDOWS\APPINIT_DLLS
                           
Сохраненная информация      на момент создания образа
Статус                      ВНЕДРЯЕМЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер                      53248 байт
Создан                      27.08.2011 в 22:01:09
Изменен                     27.08.2011 в 22:24:09
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Оригинальное имя            ATL.DLL
Версия файла                3.05.2284
Описание                    ATL Module for Windows XP (Unicode)
Производитель               Microsoft Corporation
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Автозапуск                  Неизвестный файл использует ключ реестра часто используемый вирусами
                           
Доп. информация             на момент обновления списка
SHA1                        ED38837A26568E902F799E639CB34961B473CB2F
MD5                         7867768C4B8247E846D89D4C7F90D3EE
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls
Appinit_Dlls                C:\Windows\system32\xrjsbqg.dll
                           
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Выскакивает красное уведомление о том, что адрес заблокирован.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.08.2011 22:34:36
возможно, легальная служба, хотя не указан производитель файла, что есть подозрительно.
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Выскакивает красное уведомление о том, что адрес заблокирован.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.08.2011 22:12:56
это известный вам сервис?
----------------
Цитата
c:\windows\system32\tabsvc.exe
Скрипт: Kарантин, Удалить, Удалить через BC, Завершить 388 ?? 257.00 кб, rsAh,
создан: 16.08.2011 22:35:48,
изменен: 16.08.2011 22:35:48
Командная строка:
C:\Windows\System32\TabSvc.exe

в uVS
------------------
Цитата
Полное имя                  C:\WINDOWS\SYSTEM32\TABSVC.EXE
Имя файла                   TABSVC.EXE
Тек. статус                 АКТИВНЫЙ ВИРУС сервис в автозапуске [SAFE_MODE]
                           
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ сервис в автозапуске [SAFE_MODE]
Размер                      263168 байт
Создан                      16.08.2011 в 22:35:48
Изменен                     16.08.2011 в 22:35:48
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Доп. информация             на момент обновления списка
pid = 420                   NT AUTHORITY\система
CmdLine                     C:\Windows\System32\TabSvc.exe
Процесс создан              18:40:09 [2011.08.25]
С момента создания          02:53:58
parentid = 552              
SHA1                        751F289327389DBDC390ACCAB894E70F06862790
MD5                         8922546CFB1407BBAF3BDBF11D93F76F
                           
Ссылки на объект            
Ссылка                      HKLM\System\CurrentControlSet\Control\SafeBoot\Minimal\Table­tInputService\
ImagePath                   %SystemRoot%\System32\TabSvc.exe
TabletInputService          тип запуска: Авто (2)
                           
Ссылка                      HKLM\System\CurrentControlSet\Control\SafeBoot\Network\Table­tInputService\
ImagePath                   %SystemRoot%\System32\TabSvc.exe
TabletInputService          тип запуска: Авто (2)
                           
Ссылка                      HKLM\System\CurrentControlSet\Services\TabletInputService\Im­agePath
ImagePath                   %SystemRoot%\System32\TabSvc.exe
TabletInputService          тип запуска: Авто (2)
                           
Образы                      EXE и DLL
TABSVC.EXE                  C:\WINDOWS\SYSTEM32
                           
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Выскакивает красное уведомление о том, что адрес заблокирован.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.08.2011 21:35:54
если не получится очистить систему с помощью последней утилитки, можно попробовать вычислить возможно руткит, с помощью режима сверки в uVS.
[ Как создать образ автозапуска? ]
Перейти
Trojan.Win32.Inject.Ddox.ci, Схватил по невнимательности-(
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.08.2011 21:33:30
Цитата
zloyDi пишет:
Ну судя по логу антивирус скорее всего его уже удалил, так как в логе чисто.
Я так понял, человек пришел порадовать, что самостоятельно очистился от трояна DDOX.ci. :).
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 1481 1482 1483 1484 1485 1486 1487 1488 1489 1490 1491 ... 1784 След.