Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 485 486 487 488 489 490 491 492 493 494 495 ... 1784 След.
Оперативная память = winlogon.exe(764) модифицированный Win32/Dorkbot.B червь очистка невозможна
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 16.11.2015 15:58:27
это доркбот

Цитата
16.11.2015 14:54:27 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = winlogon.exe(764) модифицированный Win32/Dorkbot.B червь очистка невозможна ДОЛЖЕНКОВА_СН_\Долженкова СН
16.11.2015 14:13:22 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = winlogon.exe(764) модифицированный Win32/Dorkbot.B червь очистка невозможна

выполните скрипт в uVS, и далее по тексту сообщения 3
[ Как создать образ автозапуска? ]
Перейти
Оперативная память = winlogon.exe(764) модифицированный Win32/Dorkbot.B червь очистка невозможна
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 16.11.2015 14:32:15
понятно, что это. Dorkbot

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ДОЛЖЕНКОВА СН\APPLICATION DATA\UPDATE\EXPLORER.EXE
addsgn 1A6F3D9A5583348CF42B254E3143FE56730189FE027CA37885C3F66707EDB2384C2A3F427E55E921A006349F461672390981D16A20803BAA9577A42FFCC55664 8 Worm:Win32/Dorkbot.I [Microsoft]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ДОЛЖЕНКОВА СН\APPLICATION DATA\MICROSOFT\WINDOWS\QHISII.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ДОЛЖЕНКОВА СН\APPLICATION DATA\C731200
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ДОЛЖЕНКОВА СН\LOCAL SETTINGS\TEMP\JCPVY\PPMGZMJ.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ДОЛЖЕНКОВА СН\LOCAL SETTINGS\TEMP\JCPVY\VAWWROA.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ДОЛЖЕНКОВА СН\LOCAL SETTINGS\TEMP\JCPVY\XRWCSSJ.EXE
;------------------------autoscript---------------------------

chklst
delvir

; Ask Toolbar
exec MsiExec.exe /X{86D4B82A-ABED-442A-BE86-96357B70F4FE} /quiet
deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
[ Как создать образ автозапуска? ]
Перейти
Оперативная память = winlogon.exe(764) модифицированный Win32/Dorkbot.B червь очистка невозможна
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 16.11.2015 14:28:55
добавьте еще лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic2687/
[ Как создать образ автозапуска? ]
Перейти
новый вариант VAULT от 2ноября 2015г., Filecoder.FH
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 16.11.2015 12:57:03
шифрование когда по дате было?
[ Как создать образ автозапуска? ]
Перейти
новый вариант VAULT от 2ноября 2015г., Filecoder.FH
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 16.11.2015 11:28:27
если сообщение сохранилось с шифратором вышлите в архиве с паролем infected в почту [email protected]
[ Как создать образ автозапуска? ]
Перейти
новый вариант VAULT от 2ноября 2015г., Filecoder.FH
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 16.11.2015 05:41:27
на "обезьян" и прочих чайников у нас рекомендации не рассчитаны,
рассчитаны на пользователей, которые умеют работать с пошаговыми инструкциями в 3-5 шагов.
или самостоятельно проверьте автозапуск через команду msconfig
или создайте образ автозапуска по инструкции
http://forum.esetnod32.ru/forum9/topic2687/
Изменено: santy - 16.11.2015 05:43:52
[ Как создать образ автозапуска? ]
Перейти
новый вариант VAULT от 2ноября 2015г., Filecoder.FH
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 15.11.2015 13:33:52
Цитата
Andrew Komissarov написал:
Я никаких правил этой ссылкой не нарушаю?
ну, очистить автозапуск системы, если там что-то осталось мы можем и здесь
[ Как создать образ автозапуска? ]
Перейти
новый вариант VAULT от 2ноября 2015г., Filecoder.FH
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 15.11.2015 09:34:14
например, через пуск-выполнить запустить программу msconfig и проверить содержимое секции автозапуск (или автозагрузка)
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Не обновляеться "База данныйх сигнатур вирусов", Не происходит обновление базы данных сигратур вирусов NOD 32 / v.9 /
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 14.11.2015 17:07:38
с системной датой все в порядке? не улетела дата назад, в будущее?
так же пробуйте очистить локальный кэш обновлени и обновиться еще раз.
[ Как создать образ автозапуска? ]
Перейти
Как удалить шифратор с ПК?, Зашифровались файлы в vault
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 13.11.2015 18:59:26
в автозапуске нет шафратора.
по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\ALEKS\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetotian

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGFIMGICDOMBNIJNJGPCKDJHNJMAAPAFJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLMJEGMLICAMNIMMFHCMPKCLMIGMMCBEH%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\USERS\ALEKS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GFIMGICDOMBNIJNJGPCKDJHNJMAAPAFJ\1.0.7_0\СТАРТОВАЯ — ЯНДЕКС
delall %SystemDrive%\USERS\ALEKS\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\NAHD6HA2.DEFAULT\EXTENSIONS\[email protected]
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
------------
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 485 486 487 488 489 490 491 492 493 494 495 ... 1784 След.