Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 494 495 496 497 498 499 500 501 502 503 504 ... 1784 След.
Подозрение AVZ на Rootkit в антивирусе и браузере.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.10.2015 03:44:11
возможно это реакция на перехват функций
(!) Адрес функции NtCreateFile лежит за пределами образа базовой DLL, возможно функция перехвачена
(!) Адрес функции NtSetValueKey лежит за пределами образа базовой DLL, возможно функция перехвачена


выполните скрипт в uVS и затем добавьте новый образ, из безопасного режима системы

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v385c
OFFSGNSAVE
delref %SystemDrive%\USERS\KOSTET\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NBIFDKMDOJGMPMOPDEBNJCOBEKGDONCN\4.0.4_0\ПОИСК MAIL.RU
deltmp
delnfr
regt 27
restart

перезагрузка, пишем о старых и новых проблемах.
------------
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Открываются окна в браузере, на компьютере какие то вирусы, В хроме открываются вкладки с разными сайтами
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 26.10.2015 19:57:03
прокси вполне мог перенаправлять на другие адреса, или на определенный адрес
[ Как создать образ автозапуска? ]
Перейти
Подозрение AVZ на Rootkit в антивирусе и браузере.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 26.10.2015 19:45:43
а что АВЗ показывает в своем логе?
[ Как создать образ автозапуска? ]
Перейти
Подозрение AVZ на Rootkit в антивирусе и браузере.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 26.10.2015 19:10:13
добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Открываются окна в браузере, на компьютере какие то вирусы, В хроме открываются вкладки с разными сайтами
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 26.10.2015 18:33:56
потому что версия uVS устаревшая.
uVS v3.82.5 [http://dsrt.dyndns.org]: Windows 7 Ultimate x64 (NT v6.1) build 7601 Service Pack 1 [C:\WINDOWS]

актуальная сейчас 3.86.5
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Открываются окна в браузере, на компьютере какие то вирусы, В хроме открываются вкладки с разными сайтами
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 26.10.2015 17:01:48
если данный прокси неизвестен вам,

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES (X86)\IOBIT\LIVEUPDATE\IOBITLAUNCHER.EXE
addsgn A7679B23526A4C7261D4C4B12DBDEB5476327809CFFAF76DE53A3A8F908319233F50C333C165F9C00B68DA42B9E9CD3A725B727055DA5845F0885BAB0709A6FE 16 Program.Unwanted.276 [DrWeb]

delall %SystemDrive%\PROGRAM FILES (X86)\IOBIT\LIVEUPDATE\LIVEUPDATE.EXE
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\USERS\RAZY\APPDATA\LOCAL\MEDIAGET2

delref 0HTTP://GET-ACCESS.ME/WPAD.DAT?0819575ABCCD4F53F3753C855C943DE91040671

delref HTTP://GET-ACCESS.ME/WPAD.DAT?0819575ABCCD4F53F3753C855C943DE91040671

; Surfing Protection
exec C:\Program Files (x86)\IObit\Surfing Protection\unins000.exe
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Открываются окна в браузере, на компьютере какие то вирусы, В хроме открываются вкладки с разными сайтами
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 26.10.2015 16:58:29
прокси сами добавили?
Цитата
HKLM\System\CurrentControlSet\services\NlaSvc\Parameters\Int­ernet\ManualProxies\
0HTTP://GET-ACCESS.ME/WPAD.DAT?0819575ABCCD4F53F3753C855C943DE91040671
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Открываются окна в браузере, на компьютере какие то вирусы, В хроме открываются вкладки с разными сайтами
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 26.10.2015 16:03:37
Ярослав,
добавьте образ на форум, хелперы его посмотрят
Изменено: santy - 26.10.2015 16:04:03
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 26.10.2015 15:41:40
по очистке системы user2:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
delref HTTP://WWW.SEARCH.ASK.COM/?TPID=ORJ-ST-SPE&O=APN11461&PF=V7&TRGB=IE&P2=%5EBE7%5EOSJ000%5EBW%5EUA&GCT=HP&APN_PTNRS=BE7&APN_DTID=%5EOSJ000%5EBW%5EUA&APN_DBR=IE_9.0.8112.16464&APN_UID=75D276C0-4073-4CCF-8020-3B422BF45F91&ITBV=12.24.1.53&DOI=2015-05-18&PSV=&PT=TB
delref HTTP://WWW.SEARCH.ASK.COM/?TPID=ORJ-ST-SPE&O=APN11461&PF=V7&TRGB=IE&P2=%5EBE7%5EOSJ000%5EYY%5EUA&GCT=HP&APN_PTNRS=BE7&APN_DTID=%5EOSJ000%5EYY%5EUA&APN_DBR=IE_9.0.8112.16464&APN_UID=75D276C0-4073-4CCF-8020-3B422BF45F91&ITBV=12.24.1.53&DOI=2015-05-18&PSV=&PT=TB
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES\ASKPARTNERNETWORK\TOOLBAR

delref %SystemDrive%\USERS\USER2\APPDATA\ROAMING\DIGITA~1\UPDATE~1\UPDATE~1.EXE

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

deldirex %SystemDrive%\PROGRAM FILES\JUMP FLIP

; McAfee Security Scan Plus
exec C:\Program Files\McAfee Security Scan\uninstall.exe
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке документов напишите в [email protected] при наличие лицензии на наш антивирус
[ Как создать образ автозапуска? ]
Перейти
файлы зашифрованы в Cryakl CL 0.1.*.*-1.3.*.*, Filecoder.EQ/Encoder.567/Cryakl
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 26.10.2015 15:37:48
по очистке системы на desktop:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

delref HTTP://WWW.SMAXI.NET
delref HTTP://WWW.SEARCH.ASK.COM/?TPID=ORJ-SPE&O=APN11412&PF=V7&TRGB=CR&P2=%5EBBK%5EOSJ000%5EYY%5EUA&GCT=HP&APN_PTNRS=BBK&APN_DTID=%5EOSJ000%5EYY%5EUA&APN_DBR=CR_37.0.2062.124&APN_UID=89A854A6-5A07-40EC-A6B9-3D608CB44F37&ITBV=12.16.2.53&DOI=2014-09-29&PSV=&PT=TB
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFCFENMBOOJPJINHPGGGODEFCCIPIKBPD%26INSTALLSOURCE%3DONDEMAND%26UC
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES\ASKPARTNERNETWORK\TOOLBAR

delref %SystemDrive%\PROGRAM FILES\KONTRAKTY\GC READER\AGENT\AGENTREADER.EXE

delref %SystemDrive%\PROGRAM FILES\PLUS-HD-2.3\PLUS-HD-2.3-CHROMEINSTALLER.EXE

delref STATS.DATASRVSTATS.COM

delref ERRORS.DATASRVSTATS.COM

delref %SystemDrive%\PROGRAM FILES\PLUS-HD-2.3\PLUS-HD-2.3-CODEDOWNLOADER.EXE

delref APP-STATIC.CROSSRIDER.COM

delref %SystemDrive%\PROGRAM FILES\PLUS-HD-2.3\PLUS-HD-2.3-ENABLER.EXE

delref %SystemDrive%\PROGRAM FILES\PLUS-HD-2.3\PLUS-HD-2.3-FIREFOXINSTALLER.EXE

delref 7125A285-7E68-47AA-9D72-E81874F4D47E@D3FCDB92-135D-4A8A-8CF6-11E3B57C5FDA.COM

delref HTTPS://W9U6A2P6.SSL.HWCDN.NET/PLUGIN/FF/UPDATE/33426.RDF

delref %SystemDrive%\PROGRAM FILES\PLUS-HD-2.3\PLUS-HD-2.3-UPDATER.EXE

delref HTTP://IPGEOAPI.COM/

delref UPDATE.DATASRVSTATS.COM

deldirex %SystemDrive%\USERS\TEST\APPDATA\LOCAL\CONDUIT\BACKGROUNDCONTAINER

deldirex %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\DEALPLY\UPDATE~1

delref HTTP://SEARCH.CONDUIT.COM?SEARCHSOURCE=10&CTID=CT2786678&CUI=UN37957358271570745

deldirex %SystemDrive%\PROGRAMDATA\ASKPARTNERNETWORK\TOOLBAR\SHARED\CRX

delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AAAAAHLFAHLDNILIDGNLIKDCKBFEHHCA\22.11_0\SEARCH EXTENSION BY ASK V3

delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AAAAAIABCOPKPLHGAEDHBLOEEJHHANKF\111.12_0\SEARCH APP BY ASK V2

delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\AAAAAHLFAHLDNILIDGNLIKDCKBFEHHCA\14.10_0\SEARCH EXTENSION BY ASK V3

delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\AAAAAIABCOPKPLHGAEDHBLOEEJHHANKF\55.11_0\SEARCH APP BY ASK V2

delref %SystemDrive%\USERS\ZAPCHASTI\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AAAAAIABCOPKPLHGAEDHBLOEEJHHANKF\9.8_0\SEARCH APP BY ASK V2

delref %SystemDrive%\USERS\1SDENIS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AAAAAHLFAHLDNILIDGNLIKDCKBFEHHCA\14.10_0\SEARCH EXTENSION BY ASK V3

delref %SystemDrive%\USERS\1SDENIS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AAAAAIABCOPKPLHGAEDHBLOEEJHHANKF\55.11_0\SEARCH APP BY ASK V2

delref %SystemDrive%\USERS\TAYA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AAAAAHLFAHLDNILIDGNLIKDCKBFEHHCA\14.10_0\SEARCH EXTENSION BY ASK V3

delref %SystemDrive%\USERS\TAYA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AAAAAIABCOPKPLHGAEDHBLOEEJHHANKF\111.12_0\SEARCH APP BY ASK V2

delref %SystemDrive%\USERS\ZAPCHASTI2\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AAAAAHLFAHLDNILIDGNLIKDCKBFEHHCA\14.10_0\SEARCH EXTENSION BY ASK V3

delref %SystemDrive%\USERS\ZAPCHASTI2\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AAAAAIABCOPKPLHGAEDHBLOEEJHHANKF\55.11_0\SEARCH APP BY ASK V2

deldirex %SystemDrive%\PROGRAM FILES\CONDUIT\COMMUNITY ALERTS

; DealPly
exec C:\Users\admin\AppData\Roaming\DealPly\UpdateProc\UpdateTask.exe /Uninstall
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 494 495 496 497 498 499 500 501 502 503 504 ... 1784 След.