Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 1769 1770 1771 1772 1773 1774 1775 1776 1777 1778 1779 След.
Вирус с флэшки отрубил Nod32
 
santy
santy
Администратор
Сообщений: 17928
Баллов: 28684
Регистрация: 16.03.2010
Размещено 06.05.2010 08:01:20
Если отключено отображение скрытых и системных файлов

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
"HideFileExt"=dword:00000000
"ShowSuperHidden"=dword:00000001

Также вирус может изменить ключ "CheckedValue" в ветке

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
===
восстановить указанные значения параметров реестра.
Изменено: santy - 06.05.2010 08:02:33
Перейти
Вирус с флэшки отрубил Nod32
 
santy
santy
Администратор
Сообщений: 17928
Баллов: 28684
Регистрация: 16.03.2010
Размещено 05.05.2010 18:00:59
[QUOTE]nazar3 пишет:
Я сейчас на форуме пишу с этого самого провайдера. Шнур просто периодически перекидываю то на зараженный бук то на чистый.[/QUOTE]
проверьте настройки сети: ип, шлюз, DNS провайдера, все ли на месте.
Перейти
Вирус с флэшки отрубил Nod32
 
santy
santy
Администратор
Сообщений: 17928
Баллов: 28684
Регистрация: 16.03.2010
Размещено 05.05.2010 17:16:47
[QUOTE]nazar3 пишет:
P.S.S. Вы если виря расковыряли - скажите хоть чего он примерно делает, кроме того что блочит всё что не попадя.[/QUOTE]

файлы все имеют один хэш, ваш исходник, default.scr , который был записан в system32, lsass.exe , был запущен как процесс из каталога system32\config и файл, что писался на флэшку: 12410.scr. Из них ESET NOD32 удалял тот что писался в паре с autorun.inf на флшку.
Какие "полезные" действия выполняет вирус, помимо маскировки и защиты от удаления - не могу сказать. Это задача для аналитиков кода. Если судить по вирустотал, возможно спамбот, видно будет как Есет его отклассифицирует.
Перейти
Вирус с флэшки отрубил Nod32
 
santy
santy
Администратор
Сообщений: 17928
Баллов: 28684
Регистрация: 16.03.2010
Размещено 05.05.2010 17:05:02
уточните у провайдера - может нет доступа в инет не "по вине" вируса.
Перейти
Вирус с флэшки отрубил Nod32
 
santy
santy
Администратор
Сообщений: 17928
Баллов: 28684
Регистрация: 16.03.2010
Размещено 05.05.2010 16:53:24
вот такой был список блокирования:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun]
"1"="avz.exe"
"2"="autoruns.exe"
"3"="outpost.exe"
"4"="spidernt.exe"
"5"="SpyDerAgent.exe"
"6"="dwengine.exe"
"7"="spiderui.exe"
"8"="acs.exe"
"9"="op_mon.exe"
"10"="klnagent.exe"
"11"="egui.exe"
"12"="sched.exe"
"13"="avgnt.exe"
"14"="avguard.exe"
"15"="guardgui.exe"
"16"="SymIMIns.exe"
Перейти
Вирус с флэшки отрубил Nod32
 
santy
santy
Администратор
Сообщений: 17928
Баллов: 28684
Регистрация: 16.03.2010
Размещено 05.05.2010 16:48:13
без этой ветки антивир должн запуститься. У меня на виртуалке запустился, так же доступен инет. Там еще один файл должен быть в system32 - default.scr, на него ссылка в реестре. Если не удален - удалите.
Изменено: santy - 05.05.2010 16:48:53
Перейти
Вирус с флэшки отрубил Nod32
 
santy
santy
Администратор
Сообщений: 17928
Баллов: 28684
Регистрация: 16.03.2010
Размещено 05.05.2010 16:39:26
вот этот ключ проверьте на предмет блокирования запуска программ. (можно ветку удалить, перезагрузиться, проверить возможность запуска egui.)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\­Policies\Explorer\Disallowrun
в этом списке должен быть egui.exe , а так же ряд других программ.
Перейти
Вирус с флэшки отрубил Nod32
 
santy
santy
Администратор
Сообщений: 17928
Баллов: 28684
Регистрация: 16.03.2010
Размещено 05.05.2010 13:05:27
пуск - выполнить - cmd
в командном окне выполнить команду: route print >> c:\route.txt
запостить файл c:\route.txt на форум.
Изменено: santy - 05.05.2010 13:06:18
Перейти
Вирус с флэшки отрубил Nod32
 
santy
santy
Администратор
Сообщений: 17928
Баллов: 28684
Регистрация: 16.03.2010
Размещено 05.05.2010 12:17:28
полезное инфо.
http://wiki.drweb.com/index.php/Если_что-то_отключено
Перейти
Вирус с флэшки отрубил Nod32
 
santy
santy
Администратор
Сообщений: 17928
Баллов: 28684
Регистрация: 16.03.2010
Размещено 05.05.2010 11:22:47
еще..., распакуйте приложенный архив, и выполните vir_del.bat. (удаляет из реестра блокировку запуска антивирусных приложений, которую практикуют некоторые вирусы.)
Изменено: santy - 05.05.2010 11:23:28
Перейти
Пред. 1 ... 1769 1770 1771 1772 1773 1774 1775 1776 1777 1778 1779 След.