Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 1521 1522 1523 1524 1525 1526 1527 1528 1529 1530 1531 ... 1784 След.
УСИЛЕННЫЙ РЕЖИМ
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 26.06.2011 15:02:06
из лога АВЗ
Цитата
AVP
Служба: Стоп, Удалить, Отключить, Удалить через BC Kaspersky Anti-Virus Service Не запущен C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe
Скрипт: Kарантин, Удалить, Удалить через BC
http://virusinfo.info/showthread.php?t=104069
Изменено: santy - 26.06.2011 15:02:38
[ Как создать образ автозапуска? ]
Перейти
УСИЛЕННЫЙ РЕЖИМ
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 26.06.2011 14:53:43
Цитата
EVE N пишет:
Action-> Ask/Block
Виря в безопасном режиме удаляет.  
Проверял на  первой бете  и Windows 7 x64, с такой блокировкой ключей реестра эта виря в обломе.  
Вот сейчас закончат разработку и наверно поставят новый "забор" то есть - Self-defense support module.  
это понятно, что ESS5 HIPS-ом должен поставить шлагбаум, но, 3 и 4 версии выходит на сегодня вылетают с треском. Да, вирусяка так же грузится в безопасном режиме.

Цитата
Полное имя                  C:\WINDOWS\SERVICES32.EXE
Имя файла                   SERVICES32.EXE
Тек. статус                 ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер                      1172992 байт
Создан                      20.06.2011 в 16:02:50
Изменен                     20.06.2011 в 16:02:40
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Автозапуск                  Неизвестный файл использует ключ реестра часто используемый вирусами
                           
Доп. информация             на момент обновления списка
SHA1                        88E325DCA277FFF1F37A8E59BE01CE61908DEF6C
MD5                         D2A3874D904978ED4FFAC21CF671BC10
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows\CurrentVersion\Run\wxpdrv
wxpdrv                      C:\WINDOWS\services32.exe
                           
Ссылка                      HKLM\System\CurrentControlSet\Control\SafeBoot\AlternateShel­l
AlternateShell              services32.exe
                           
EVE N, так он систему сразу перегружает в безопасный режим? (и там удаляет антивир)
Изменено: santy - 26.06.2011 14:55:15
[ Как создать образ автозапуска? ]
Перейти
УСИЛЕННЫЙ РЕЖИМ
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 26.06.2011 14:34:12
Цитата
RP55 RP55 пишет:
Сам файл разделяемый - как боеголовка к межконтинентальной ракете ?    
если есть инсталлятор, скиньте в лично - проверим, как он адаптируется к разным антивирусам.
[ Как создать образ автозапуска? ]
Перейти
УСИЛЕННЫЙ РЕЖИМ
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 26.06.2011 14:31:45
удивляет следующий факт: uVS вычищает его моментально, точно так же как вирусняк зачищает текущий антивирус.
[ Как создать образ автозапуска? ]
Перейти
УСИЛЕННЫЙ РЕЖИМ
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 26.06.2011 14:29:32
Цитата
RP55 RP55 пишет:

Что, тоже выдаёт там картинку: Nod НЕ NOD.jpg    
Под каждый Антивирус использует свой шаблон ?
Какой алгоритм работы?
Сам файл разделяемый - как боеголовка к межконтинентальной ракете ?    
картинки не видел, но скорее всего да, под каждый антивир - выдает свои картинки.
некоторое время назад, было сообщение от ДрВеб - там вирусняк прибивал антивиры, и выдавал сообщение в трее по текущему, удаленному антивиру, но было это в безопасном режиме.

Остальные вопросы - к нашему центру аналитики и вирусных исследований.
[ Как создать образ автозапуска? ]
Перейти
УСИЛЕННЫЙ РЕЖИМ
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 26.06.2011 14:26:53
Цитата
5. процесс в автозапуске

Полное имя                  C:\WINDOWS\SYSDRIVER32_.EXE
Имя файла                   SYSDRIVER32_.EXE
Тек. статус                 ВИРУС в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
Размер                      224768 байт
Создан                      22.06.2011 в 11:05:22
Изменен                     22.06.2011 в 11:04:58
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Доп. информация             на момент обновления списка
SHA1                        EAB4B10A8B8F925844E26EAE472FCC48037EE8AD
MD5                         D1D4BBC13272C5BAD74AD0A42BCACA88
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows\CurrentVersion\Run\sysdriver­32_.exe
sysdriver32_.exe            "C:\WINDOWS\sysdriver32_.exe" rezerv
                           
[ Как создать образ автозапуска? ]
Перейти
УСИЛЕННЫЙ РЕЖИМ
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 26.06.2011 14:24:49
4. запущена служба, с сетевой активностью

Цитата
Полное имя                  C:\WINDOWS\SYSDRIVER32.EXE
Имя файла                   SYSDRIVER32.EXE
Тек. статус                 АКТИВНЫЙ ВИРУС сервис в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ]
                           
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ сервис в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ]
Размер                      224768 байт
Создан                      22.06.2011 в 11:05:08
Изменен                     22.06.2011 в 11:04:58
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Доп. информация             на момент обновления списка
pid = 504                   NT AUTHORITY\SYSTEM
CmdLine                     C:\WINDOWS\sysdriver32.exe srv
Процесс создан              16:41:36 [2011.06.25]
С момента создания          00:50:23
parentid = 1164            
SYN_SENT                    109.201.247.245:4661 <-> 93.79.51.252:8080
SYN_SENT                    109.201.247.245:4683 <-> 46.55.20.111:8080
SYN_SENT                    109.201.247.245:4649 <-> 178.74.212.121:8080
SYN_SENT                    109.201.247.245:4648 <-> 94.137.222.234:8080
SYN_SENT                    109.201.247.245:4640 <-> 77.122.72.181:8080
SYN_SENT                    109.201.247.245:4653 <-> 93.78.89.40:8080
SYN_SENT                    109.201.247.245:4668 <-> 94.51.126.154:8080
SYN_SENT                    109.201.247.245:4667 <-> 90.130.135.127:8080
SYN_SENT                    109.201.247.245:4639 <-> 178.74.202.226:8080
SYN_SENT                    109.201.247.245:4660 <-> 188.232.142.238:8080
LISTEN                      0.0.0.0:8081
SHA1                        EAB4B10A8B8F925844E26EAE472FCC48037EE8AD
MD5                         D1D4BBC13272C5BAD74AD0A42BCACA88
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows\CurrentVersion\Run\sysdriver­32.exe
sysdriver32.exe             "C:\WINDOWS\sysdriver32.exe" rezerv
                           
Ссылка                      HKLM\System\CurrentControlSet\Services\srvsysdriver32\ImageP­ath
ImagePath                   C:\WINDOWS\sysdriver32.exe srv
srvsysdriver32              тип запуска: Авто (2)
                           
Образы                      EXE и DLL
SYSDRIVER32.EXE             C:\WINDOWS
Изменено: santy - 26.06.2011 14:25:27
[ Как создать образ автозапуска? ]
Перейти
УСИЛЕННЫЙ РЕЖИМ
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 26.06.2011 14:23:24
3. в трее висит процесс

Цитата
Полное имя                  C:\WINDOWS\UPDATE.TRAY-3-0\SVCHOST.EXE
Имя файла                   SVCHOST.EXE
Тек. статус                 АКТИВНЫЙ ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер                      1172992 байт
Создан                      20.06.2011 в 20:43:20
Изменен                     20.06.2011 в 20:32:54
Атрибуты                    СКРЫТЫЙ  
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Атрибут файла               "Скрытый" или "Системный" [типично для вирусов]
Путь до файла               Не_типичен для этого файла [имя этого файла есть в известных]
                           
Доп. информация             на момент обновления списка
pid = 728                   WINXPSP3\Admin
CmdLine                     "C:\WINDOWS\update.tray-3-0\svchost.exe"
Процесс создан              16:41:34 [2011.06.25]
С момента создания          00:50:25
parentid = 392              C:\WINDOWS\EXPLORER.EXE
SHA1                        88E325DCA277FFF1F37A8E59BE01CE61908DEF6C
MD5                         D2A3874D904978ED4FFAC21CF671BC10
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows\CurrentVersion\Run\tray_ico0­
tray_ico0                   C:\WINDOWS\update.tray-3-0\svchost.exe
                           
[ Как создать образ автозапуска? ]
Перейти
УСИЛЕННЫЙ РЕЖИМ
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 26.06.2011 14:21:14
2. прибивает антивир, причем не только ESET NOD32, видел сообщения по КИС 2011, Comodo....

Цитата
Полное имя                  C:\PROGRAM FILES\ESET\ESET SMART SECURITY\EKRN.EXE
Имя файла                   EKRN.EXE
Тек. статус                 сервис в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      сервис в автозапуске
Инф. о файле                Системе не удается найти указанный путь.
Цифр. подпись               проверка не производилась
                           
Ссылки на объект            
Ссылка                      HKLM\System\CurrentControlSet\Services\ekrn\ImagePath
ImagePath                   "C:\Program Files\ESET\ESET Smart Security\ekrn.exe"
ekrn                        тип запуска: Авто (2)


Цитата
Полное имя                  C:\PROGRAM FILES\ESET\ESET SMART SECURITY\EGUI.EXE
Имя файла                   EGUI.EXE
Тек. статус                 в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
Инф. о файле                Системе не удается найти указанный путь.
Цифр. подпись               проверка не производилась
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows\CurrentVersion\Run\egui
egui                        "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
Изменено: santy - 26.06.2011 14:21:38
[ Как создать образ автозапуска? ]
Перейти
УСИЛЕННЫЙ РЕЖИМ
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 26.06.2011 14:18:55
1. скорее всего инсталлятор, т.е. пользователь сам его за пускает из каких-то соображений. (соц. инженерия, видимо.)

Цитата
Полное имя                  C:\DOWNLOADS\ПРОГРАММЫ\FLASH-PLAYER.EXE
Имя файла                   FLASH-PLAYER.EXE
Тек. статус                 ВИРУС [Запускался неявно или вручную]
                           
Сохраненная информация      на момент создания образа
Статус                      [Запускался неявно или вручную]
Размер                      1172992 байт
Создан                      20.06.2011 в 20:32:43
Изменен                     20.06.2011 в 20:32:54
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Доп. информация             на момент обновления списка
SHA1                        88E325DCA277FFF1F37A8E59BE01CE61908DEF6C
MD5                         D2A3874D904978ED4FFAC21CF671BC10
                           
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 1521 1522 1523 1524 1525 1526 1527 1528 1529 1530 1531 ... 1784 След.