Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 1763 1764 1765 1766 1767 1768 1769 1770 1771 1772 1773 ... 1784 След.
[ Закрыто] Адрес заблокирован, IP: 193.105.207.10:80
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 26.07.2010 17:18:20
ПОДОЗРИТ(А)| C:\WINDOWS\SYSTEM32\DRIVERS\EHDRV.SYS
это драйвер от антивируса Есета
ПОДОЗРИТ(А)| C:\WINDOWS\SYSTEM32\DRIVERS\EJHIZJ.SYS
это честно говоря не знаю, не нашел в поиске даже, неподписанный подозрительный драйвер
ПОДОЗРИТ.  | C:\DOCUMENTS AND SETTINGS\007\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL
это от QIP-а
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Настройка ESET Remote Administrator Server и ESET Remote Administrator Console, Для новичка
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 26.07.2010 16:29:25
Цитата
Сергей Передельский пишет:
Цитата
santy пишет:
если повсюду (на хосте с сервером ERA, на хосте c консолью ERA, на рабочих машинах и серверах ) установлены ESS, значит надо прописывать правила доступа: входящие и исходящие для всех клиентов ESS.
Можно поподробнее, как это сделать?
Если вы выбрали антивирус с фаерволлом, значит в принципе должны представлять, как работают правила для приложений для входящих и исходящих соединений. Иначе много проблем будет. Автоматический режим работы фаера - не ест хорошо, надо переводить в интерактивный режим и добавлять постоянные правила для сетвых приложений.
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Адрес заблокирован, IP: 193.105.207.10:80
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 26.07.2010 10:34:32
прежде чем выполнить данный скрипт в uVS, выполните рекомендации в личке.

Цитата
;uVS v3.12 script [http://dsrt.jino-net.ru | http://dsrt.dyndns.org]

delref EJHIZJ\[SERVICE]
delref %SystemDrive%\DOCUMENTS AND SETTINGS\007\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\WWWZNV32.EXE

как выполнить скрипт в uVS,
файл,
выполнить
выбрать тестовый файл со скриптом.
предварительно сохранить в файлик, например, script.txt указанные в квотах строки.

этот скипт можно выполнить. пытаемся откопировать подозрительные файлы в карантин, в папке zoo, где у вас раскрыт uvs посмотрите, будут ли созданы копии данных файлов, если да, то проверьте их на www.virustotal.com, линки проверки запостите сюда, в тему, если не будет ЕСЛИ (типа, снова BSOD и прчие голубо_синие прелести.)

Цитата

zoo %Sys32%\DRIVERS\EJHIZJ.SYS
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\007\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\WWWZNV32.EXE
Изменено: santy - 26.07.2010 11:16:41
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Адрес заблокирован, IP: 193.105.207.10:80
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 26.07.2010 10:24:15
прочтите ответ в привате (личных сообщениях)
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Адрес заблокирован, IP: 193.105.207.10:80
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 26.07.2010 08:28:00
Вы с реестром работали? удалить тоько запись на запуск антивируса C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
Ветку RUN ни в коем случае не трогать.
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Адрес заблокирован, IP: 193.105.207.10:80
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 26.07.2010 08:06:38
Безопасный режим не работает сейчас?
попробуйте загрузиться с ERD 2005 (найти в сети, записать на CD),
далее, запустить regedit, найти ветку в реестре HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\Run
временно отключить в автозапуске антивирус.
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Адрес заблокирован, IP: 193.105.207.10:80
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 26.07.2010 07:53:27
Что именно вы хотите вернуть? вирусы в систему? точки восстановления системы есть?
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Адрес заблокирован, IP: 193.105.207.10:80
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 26.07.2010 07:30:17
+
если не получится переименовать, удалить wwwznv32.exe,
скачайте дистрибутив программы universal virus sniffer (uVS) отсюда
http://soft.oszone.net/program/8729/Universal_Virus_Sniffer_uVS/
программу распаковать в отдельную папку, запустить стартовый файл start.exe
запустить с максимальными правами,
создать образ автозапуска,
сохранить в файл, заархвировать, и добавить на форум.
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Адрес заблокирован, IP: 193.105.207.10:80
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 26.07.2010 05:50:59
Jamez Bond,
1. Файлы собрать, поместить в архив с паролем infected, выслать в почту [email protected], [email protected], далее удалить.
Цитата
C:\WINDOWS\system32\704de64a.exe,C:\WINDOWS\system32\jxdove.exe,
2. пофиксить в HJ следующую строку
Цитата
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\704de64a.exe,C:\WINDOWS\system32\jxdove.exe,
3. файл wwwznv32.exe найти, поместить в архив с паролем infected, выслать в почту [email protected], [email protected], далее, удалить или переименовать.
4. пофикстить строку в HJ
Цитата
O4 - Startup: wwwznv32.exe
5. перегрузить систему, сделать новые логи HJ, Sysinspector
Изменено: santy - 26.07.2010 05:52:08
[ Как создать образ автозапуска? ]
Перейти
Обновление с 2.7 на 4.2, Несколько разноплановых вопросов
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 23.07.2010 22:07:46
5. поднять RAS 4 на одном из хостов, отличного от хоста RAs1;
  перекинуть с помощью задачи изменения конфигурации (часть клиентов, все клиенты) на Ras4 (изменив параметр сервера удаленного администрирования);
обновляете клиентов с 2.7 на 4.2 c помощью созданного установочного пакета;
(клиентам 2.7 можно предварительно кинуть задачу удаления пароля, далее задачу деинсталляции, потом перезагрузку, после перезагрузки ставите пакет 4.2)
удаляете RAS 1, поднимаете здесь второй сервер RAS4;
перекидываете клиентов с первого RAS 4  с помощью задачи изменения конфигурации на второй RAS 4;
удаляете первый RAS 4;

4. удалять версию 2, перегружаться, ставить версию 4, и можно больше не перегружать комп.
3. апдейт компонентов через установочный пакет работает только с версии 4.2 с помощью RAS 4;
Изменено: santy - 23.07.2010 22:10:33
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 1763 1764 1765 1766 1767 1768 1769 1770 1771 1772 1773 ... 1784 След.