1. если есть возможность посмотреть процессы, скажем через Dameware, с машины администратора, подключитесь с его машины к вашей, чтобы увидеть и прибить вредоносные процессы;
2. с машины администратора подключите сетевой диск/мой компьютер - подключить сетевой диск - \\Ваш ИП\C$; выполнить сканирование диска - это может быть долго и не факт, что сигнатуры вируса есть в базе антивируса;
3. скачайте с сайта разработчика UVS, отсюда http://dsrt.jino-net.ru/files/uvs_v312.zip распакуйте в папку, запустите файл start.exe, создайте образ автозапуска, сохраните файл, зархивируйте, и добавьте на форум. === p.s. все, кто читает здесь - знают, что нельзя ходить по левым ссылкам.
так же: скачайте с этой страницы http://www.gmer.net/#files файл антируткита. (EXE) запустите, выполните быстрое сканирование (все сервисы, кроме жестких дисков) лог gmer-а запостите на форум.
можно так же выполнить полное сканирование mbam. лог запостить на форум.
пофикстить эту строку в hijackthis. (отметить данную строку и нажать Fix it) выполнить в окне cmd команду (пуск - выполнить - cmd) route print >> c:\route.txt файл c:\route.txt запостить на форум.
так же скачайте программу malwarebytes со страницы http://www.malwarebytes.org/mbam.php (free version) установить, обновить базы (если возможно будет), выполнить быстрое сканирование, лог запостить на форум.
grep — утилита командной строки, которая находит на вводе строки, отвечающие заданному регулярному выражению, и выводит их, если вывод не отменён специальным ключом. Название представляет собой акроним английской фразы «search globally for lines matching the regular expression, and print them» — «искать везде строки, соответствующие регулярному выражению, и выводить их».
смысл батника видимо в том, чтобы найти в настройках определенный ИП, пропинговать сайт rmh.ru, получить отткуда файл инструкций, протрассировать список команд, если найден STOP, то завершить выполнение в противном соучае управление идет на раздел die, что переводится как "угасать, умирать". Может, это просто любительский батник? с какой целью вам передан ноут от Ромира?
Эти файлики c:\windows\system32\2c1xk4y.exe,c:\windows\system32\YguOrxk.exe собрать в в архив с паролем infected, отправить в почту по адресу [email protected], [email protected], затем можно удалить из системы.
F1Driver пишет: Добрый день! мой нод32 постоянно пропускает на компьютер вирус trojan.pws.ibank (по данным drweb cureit) в разных модификациях. Вирус блокирует сайты антивирусов и соответственно обновление нод32. Спасает вышеуказанная программа, в то время как нод32 спит.... Скажите, может у меня что-то не так настроено?
Добавьте сообщение в раздел обнаружение вредоносного кода и ложные срабатывания + логи зараженной машины, т.е. необходимо больше информации, кроме описания последствий.
Maaxxx пишет: то есть костыль ноду предлагаешь? вот так вот и сидим и придумываем оправдания..
я просто хочу заострить внимание что последнее время как то неважно стал работать нод.. как бы не потерял репутацию
На статистику заражений по домашним пользователям меньше всего обращаю внимание: предлагаю им Аваст, и Авиру, и ДрВеб ставить, и формировать собственное мнение, какой из антивирусов лучше защищает, если же предлагаю Нод, то в том числе и гарантию помощи в случае заражения. По рабочим машинам за текущий период (январь -июль) всего лишь один пробой порнобанером - после разблокировки через удаленный доступ, файл быстренько отправляется в вирлаб и добавляется в базы - не сидеть же вирлабу на порноресурсах и собирать ошметки из фальшивых флэш-плейеров... Реакция на подобный инцидент такая - поднимается история браузера, (в данном случае, чего только не было здесь - дорвался человек_грузчик до бесплатного интернета и все запросы его в поисковике - это порно во всех вариациях), определяется размер трафика - штраф пользователю, по сумме трафика и за передачу пароля к системе постороннему человеку... + закрытие интернета, если нет технологической необходимости. По поводу костылей... была одна машина, которая выбивалась из общего ряда, нет, нет, да и заражением, убрали с рабочего стола Интернет Explorer, пересадили чеовека на Firefox+NoScript - больше нет проблем с этой машиной.
С другой стороны, после очередного обновления несколько машин с КИСом 2010 перестали нормально выключаться. Зачем мне такие проблемы.
Dmurr пишет: Вообщем ждем final версии, подключения к ERA и схему перелицензирования!
Возможность подключения к ERA серверу не помешает, а так же управление конфигурацией клиента на сервере ERA, + возможность управлять клиентом с помощью стандартных задач, получение логов с клиента на сервер в соответствии с текущий базой... вообщем, сервер ERA должен быть универсален и собирать логи со всех клиентов независимо от того, на какой платформе они работают. За такой пакет (for Linux DEsktop), действительно, можно платить за как клиента Business Edition.