Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 655 656 657 658 659 660 661 662 663 664 665 ... 1784 След.
Patched.IG троянская программа
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.11.2014 21:29:03
врядли это ложное срабатывание,
видимо заражение
это SHA1 зараженного файла
C77C05F5C6CD8D2336D6D276D6324825D2071087
и файл без цифровой, хотя может есет его блокировал на момент создания образа

а это SHA1 чистого файла, на который бвла замена
211295CCDA6CF6409189279BF66A212BD53FC650
------------
по поводу ложного срабатывания, посмотрим, пока это второй случай
на той же системе
[QUOTE]Windows 7 Ultimate x86 (NT v6.1) build 7601 Service Pack 1 [C:\WINDOWS][/QUOTE]

до этого была подмена системных файлов, но только другого.
rpcss.dll
Изменено: santy - 28.11.2014 21:31:17
Перейти
Patched.IG троянская программа
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.11.2014 21:24:22
да, теперь userinit.exe чистый
C:\WINDOWS\SYSTEM32\USERINIT.EXE
Действительна, подписано Microsoft Windows

так и было задумано,
переименовать зараженный, и скопировать на его место чистый. по другому никак не исправить эту проблему из активной системы
Перейти
Помогите удалить вирус, завелся Троянец
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.11.2014 21:17:48
поправил скрипт
Перейти
Помогите удалить вирус, завелся Троянец
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.11.2014 21:17:16
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

[CODE];uVS v3.85.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %Sys32%\userinit.exe
EXEC cmd /c "rename %sys32%\userinit.exe userinit.exe.old"
EXEC cmd /c "rename %sys32%\dllcache\userinit.exe userinit.exe.old"
EXEC cmd /c "copy userinit.exe %sys32%\userinit.exe"
EXEC cmd /c "copy userinit.exe %sys32%\dllcache\userinit.exe"
czoo
restart[/CODE]
перезагрузка, пишем о старых и новых проблемах.
------------
добавьте новый образ автозапуска для контроля.
Изменено: santy - 28.11.2014 21:17:36
Перейти
Помогите удалить вирус, завелся Троянец
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.11.2014 21:07:33
1. скачайте по ссылке чистый файл для вашей системы
[QUOTE]Windows 7 Ultimate x86 (NT v6.1) build 7601 Service Pack 1 [C:\WINDOWS][/QUOTE]
отсюда
[URL=http://rghost.ru/59316753]http://rghost.ru/59316753[/URL]
и положите его в папку откуда запускаете uVS на вашем зараженном компьютере,
напишите когда это будет сделано
Перейти
Помогите удалить вирус, завелся Троянец
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.11.2014 21:05:35
да, есть заражение этого файла
C:\WINDOWS\SYSTEM32\USERINIT.EXE
Win32/Patched.IG

сейчас добавлю по ссылке чистый файл
Перейти
Patched.IG троянская программа
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.11.2014 20:55:49
2.
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да";uVS v3.85.2 [[URL=http://dsrt.dyndns.org/]http://dsrt.dyndns.org[/URL]]
[CODE];Target OS: NTv6.1
OFFSGNSAVE
zoo %Sys32%\userinit.exe
EXEC cmd /c "rename %sys32%\userinit.exe userinit.exe.old"
EXEC cmd /c "rename %sys32%\dllcache\userinit.exe userinit.exe.old"
EXEC cmd /c "copy userinit.exe %sys32%\userinit.exe"
EXEC cmd /c "copy userinit.exe %sys32%\dllcache\userinit.exe"
czoo
restart[/CODE]перезагрузка, пишем о старых и новых проблемах.
------------
добавьте новый образ автозапуска для контроля.
Перейти
Patched.IG троянская программа
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.11.2014 20:49:37
1. скачайте чистый файл userinit.exe для вашей системы
[QUOTE]Windows 7 Ultimate x86 (NT v6.1) build 7601 Service Pack 1 [C:\WINDOWS][/QUOTE]
отсюда
[URL=http://rghost.ru/59316753]http://rghost.ru/59316753[/URL]
и положите его в папку откуда запускаете uVS на вашем зараженном компьютере,
напишите когда это будет сделано
Изменено: santy - 28.11.2014 20:50:50
Перейти
Patched.IG троянская программа
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.11.2014 20:46:02
да, userinit.exe заражен.
[QUOTE]C:\WINDOWS\SYSTEM32\USERINIT.EXE
Win32/Patched.IG[/QUOTE]
сейчас напишем скрипт замены его на чистый файл
Перейти
Помогите удалить вирус, завелся Троянец
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.11.2014 20:41:26
добавьте образ автозапуска в uVS
[URL=http://forum.esetnod32.ru/forum9/topic2687/]http://forum.esetnod32.ru/forum9/topic2687/[/URL]
Перейти
Пред. 1 ... 655 656 657 658 659 660 661 662 663 664 665 ... 1784 След.