Размещено 27.06.2011 12:54:02
выполните скрипт в uVS
перезагрузка,
пишем результат
перезагрузка,
пишем результат
+ добавить лог журнала обнаружения угроз
Дорогие участники форума!
Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.
Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новые продукты компании PRO32.
PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.
[ Закрыто] WinLock, система восстановлена
Nod32 не нашел вирус
Проблема с обнавлением!, у меня каждые три дня слитает имя или пароль помогите!
Проблема с обнавлением!, у меня каждые три дня слитает имя или пароль помогите!
ошибка распоковки файлов
УСИЛЕННЫЙ РЕЖИМ
Размещено 27.06.2011 00:17:54
| Цитата |
|---|
| marshal64 пишет: Так, а такой вопрос. Я так понял, что вирус из контакта. Пользователи скачивали какие-то файлы (вроде, обновления флеш) или заражение происходит прямо по http (т.е. при загрузке страниц)? |
| Цитата |
|---|
| Полное имя C:\DOWNLOADS\ПРОГРАММЫ\FLASH-PLAYER.EXE Имя файла FLASH-PLAYER.EXE Тек. статус ВИРУС [Запускался неявно или вручную] Сохраненная информация на момент создания образа Статус [Запускался неявно или вручную] Размер 1172992 байт Создан 20.06.2011 в 20:32:43 Изменен 20.06.2011 в 20:32:54 Тип файла 32-х битный ИСПОЛНЯЕМЫЙ |
Universal Virus Sniffer (uVS)
Размещено 26.06.2011 20:24:54
v3.66
Поддержка очистки MBR - отличное обновление!
---
проверил восстановление загрузчика в MBR из под Winpe&uVS.
Предварительно переписал на VM с помощью bootice чистый MBR на MBR машины, зараженной Win32\MBRLock.C без перезаписи таблицы разделов и сигнатуры (только загрузчик).
После запуска с winpe uVS определил
>>MBR#0 [8,0GB]: Неизвестный загрузчик SHA1: D85762905DEBE08E475428BE310AFE7D1CCB0C9A
функция Руткиты - "Заменить загрузчик в MBR" нормально восстановила загрузку системы.
по возможности, проверим на "живых" примерах.
| Цитата |
|---|
| Небольшое обновление. o Добавлена поддержка сохранения и проверки кода загрузчика в MBR. Добавить хэш загрузчика в базу проверенных можно в его контекстном меню или в контекстном меню лога. (если выделена строка с хэшем). (для всех режимов, в т.ч. и при работе с образом созданным uVS v3.66) o Новый пункт в меню "Руткиты": Заменить загрузчик в MBR (кроме работы с удаленной системой) С помощью этого пункта меню можно перезаписать загрузчик у выбранного физического диска. Загрузчик берется из первых 440 байт файла MBRC входящего в пакет uVS. Файл содержит стандартный загрузчик. Вы можете заменить его на свой загрузчик. Скриптовая команда "fixmbr" с параметром. o Новый пункт в меню "Файл" Восстановить системный реестр из каталога... Автоматически производится поиск бэкапов реестра, сделанных системой или ERUNT-ом. Доступен выбор произвольного каталога с реестром. (кнопка "Другой") (!) Для неактивных систем перезагрузка не требуется. (!) Для удаленных систем _автоматическая_ перезагрузка НЕ производится. (!) Для активных систем реестр восстанавливается полностью только при запуске под LocalSystem, (!) компьютер перезагружается автоматически. o Твик #23: "Очистить ВСЕ каталоги System Volume Information" (в частности удаляются все точки восстановления). o Расширен вывод информации в лог при работе с Jotti. o Исправлена ошибка в функции сохранения системного реестра удаленной системы. o Исправлена ошибка из-за которой пункт меню "Архивировать Zoo" не был доступен при работе с образом. |
Поддержка очистки MBR - отличное обновление!
| Цитата |
|---|
| MBR#0 [232,9GB]: Загрузчик найден в базе проверенных MBR#1 [7,5GB]: Загрузчик найден в базе проверенных |
проверил восстановление загрузчика в MBR из под Winpe&uVS.
Предварительно переписал на VM с помощью bootice чистый MBR на MBR машины, зараженной Win32\MBRLock.C без перезаписи таблицы разделов и сигнатуры (только загрузчик).
После запуска с winpe uVS определил
>>MBR#0 [8,0GB]: Неизвестный загрузчик SHA1: D85762905DEBE08E475428BE310AFE7D1CCB0C9A
функция Руткиты - "Заменить загрузчик в MBR" нормально восстановила загрузку системы.
по возможности, проверим на "живых" примерах.
Изменено: santy - 26.06.2011 23:45:48
УСИЛЕННЫЙ РЕЖИМ
Размещено 26.06.2011 18:04:01
Avast 6.0 (с необновленными базами) так же "упал" в "защищенный режим". (Вирусяка по ходу перезагрузки грузит ситему в безопасный режим,....убивает антивир, далее (автоматически) перегружает уже в нормальный режим.
Изменено: santy - 26.06.2011 18:04:33
УСИЛЕННЫЙ РЕЖИМ
Размещено 26.06.2011 17:10:01
так же в hosts блокируется доступ к *vk.com, *vkontakte.ru, *facebook.com, *odnoklassniki.ru, *mts.ru
---
усиленный режим в трее не висит, если не установлен антивирус
.
реакция uVS
---
усиленный режим в трее не висит, если не установлен антивирус
.реакция uVS
| Цитата |
|---|
| -------------------------------------------------------- Проверка списка... -------------------------------------------------------- Проверено файлов: 652 Найдено вирусов: 19 Запуск служб блокирован Построение списка процессов и модулей... Сбор дополнительной информации... Остановка сервисов и выгрузка драйверов... Завершение процессов... Успешно выгружен C:\WINDOWS\UPDATE.1\SVCHOST.EXE [pid=1064] Успешно выгружен C:\WINDOWS\UPDATE.1\SVCHOST.EXE [pid=1868] Успешно выгружен C:\WINDOWS\MINER2.EXE [pid=2320] Успешно выгружен C:\WINDOWS\SYSDRIVER32.EXE [pid=3316] Успешно выгружен C:\WINDOWS\UPDATE.5.0\SVCHOST.EXE [pid=3592] Успешно выгружен C:\WINDOWS\UPDATE.5.0\SVCHOST.EXE [pid=3668] Успешно выгружен C:\WINDOWS\SYSTEMUP.EXE [pid=3720] Успешно выгружен C:\WINDOWS\UPDATE.2\SVCHOST.EXE [pid=3828] Успешно выгружен C:\WINDOWS\L1REZERV.EXE [pid=3920] Успешно выгружен C:\WINDOWS\UPDATE.2\SVCHOST.EXE [pid=3940] Построение списка процессов и модулей... Анализ автозапуска... Построение списка системных модулей и драйверов... Анализ файлов в списке... Файл не найден: C:\WINDOWS\SYSTEM32\PSXSS.EXE Файл не найден: C:\WINDOWS\SYSTEM32\DRIVERS\DUMP_ATAPI.SYS Файл не найден: C:\WINDOWS\SYSTEM32\DRIVERS\DUMP_WMILIB.SYS Анализ завершен. Список готов. -------------------------------------------------------- Проверка списка... -------------------------------------------------------- Запуск служб разблокирован Завершено процессов: 10 из 10 Изменено/удалено объектов автозапуска 16 из 16 Удалено файлов: 19 из 19 |
Изменено: santy - 26.06.2011 17:11:54
[ Закрыто] не устанавливается НОД,, выдает ошибку "Сбой при запуске службы "Eset Service", убедитесьв наличии требуемых полномочий для запуска системных служб."