Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 725 726 727 728 729 730 731 732 733 734 735 ... 1784 След.
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 15.05.2014 09:31:55
Цитата
RP55 RP55 пишет:
И снова...
http://www.anti-malware.ru/forum/index.php?showtopic=27980
ну так мы не работаем в сервисе майл.ру
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] "Оперативная память Win32/Sirefef троянская программа", Руткит Win32/Sirefef не удалятет
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 15.05.2014 09:11:13
Цитата
Folders Detected: 4
c:\windows\$ntuninstallkb3296$\1644588774 (Backdoor.0Access) -> Delete on reboot.
c:\windows\$ntuninstallkb3296$\1644588774\l (Backdoor.0Access) -> Delete on reboot.
c:\windows\$ntuninstallkb3296$\1644588774\u (Backdoor.0Access) -> Delete on reboot.
c:\windows\$ntuninstallkb3296$\194118127 (Backdoor.0Access) -> Delete on reboot.

это похоже на Sirefef по определению

Цитата
Создание папку, в которой хранятся другие вредоносные программы
Sirefef создает специальную папку, настроенную как точка восстановления (набор данных, определяемый пользователем), в которых хранятся дополнительные компоненты вредоносной программы, а также оригинальная чистая копия замененного драйвера.
Созданные папки имеют следующий формат:
\ $ NtUninstallKB $
где является случайным числом.
Примечание: файлы, хранящиеся в этой папке шифруются, и не являются общедоступными.
http://chklst.ru/forum/discussion/94/win32-sirefefzaccess

пробуйте перегрузить систему, и еще раз проверить антируткитом от мбам. пишем результат.

+
проверьте обновленной утилиткой v 1.1.0.19 без ключа и с ключом /f
http://www.eset.com/int/download/utilities/detail/family/168/
Изменено: santy - 15.05.2014 09:28:18
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Вирус Win32/Sirefef, вирус в памяти
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 15.05.2014 03:18:13
утилиту обновите до новой версии, предыдущая проверка выполнена старой версией.

Цитата
[2014.05.14 20:38:18.781] - .::EE::::EE:SS:::::::.EE....EE....TT...... Version: 1.1.0.18
[2014.05.14 20:38:18.781] - .::EEEEEEEE::SSSSSS::.EEEEEEEE....TT...... Built: Feb 27 2014

выпущена была 1.1.0.19
http://www.eset.com/int/download/utilities/detail/family/168/

и выполните проверку новой версией с ключом /f.

лог проверки будет лежать в папке с данной утилитой. лог проверки добавьте на форум.

после проверки (и очистки, если будет детект) перегрузите систему и проверьте детект Sirefef в памяти с помощью сканирования в ESET NOD32 только оперативной памяти.

результат сканирования памяти так же добавьте на форум.
Изменено: santy - 15.05.2014 14:07:31
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Вирус Win32/Sirefef, вирус в памяти
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 14.05.2014 19:54:04
Юрий Иванов, ждем от вас во первых лог проверки утилитой с ключом /f

далее, перегрузите систему,

и сделайте еще раз проверку утилитой с ключом f
----------
+ добавьте логи этих проверок.... они должны быть в каталоге, откуда вы запускаете утилиту.
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Вирус Win32/Sirefef, вирус в памяти
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 14.05.2014 19:38:30
отчет создается с ключом /f но результат по моему неверен.  :)  

Цитата
[2014.05.14 22:35:35.000] - INFO: Scanning for system infection...
[2014.05.14 22:35:35.000] - --------------------------------------------------------------------------------
[2014.05.14 22:35:35.000] -
[2014.05.14 22:35:35.015] -
[2014.05.14 22:35:35.015] - INFO: Current Shell HKLM [Explorer.exe].
[2014.05.14 22:35:35.015] - INFO: Current SubSystems [%SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16].
[2014.05.14 22:35:35.062] -
[2014.05.14 22:35:35.078] -
[2014.05.14 22:35:35.078] - INFO: Removing remnants of Win32/Sirefef threat...
[2014.05.14 22:35:35.109] -
[2014.05.14 22:35:35.109] - INFO: Win32/Sirefef was successfully removed from your system.
[2014.05.14 22:35:35.109] - --------------------------------------------------------------------------------
[2014.05.14 22:35:35.109] - INFO: Logging finished successfully...
[2014.05.14 22:35:35.109] - --------------------------------------------------------------------------------

при том что без ключа f утилита ничего не находит.
-------


проверьте что у вас будет.... и добавьте новый лог журнала обнаружения угроз, и новый лог сканирования оперативной памяти в ESET NOD32
Изменено: santy - 14.05.2014 19:39:43
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Вирус Win32/Sirefef, вирус в памяти
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 14.05.2014 19:31:48
Маркос пишет....

Цитата
Это, скорее всего, обнаружение старых Sirefef остатков.

False positive for Win32/Sirefef?
https://forum.eset.com/topic/2471-false-positive-for-win32sirefef/
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Вирус Win32/Sirefef, вирус в памяти
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 14.05.2014 19:22:48
в предыдущей теме было предположение, что возможно здесь ложное срабатывание
Цитата

В текущих базах данных, по словам разработчиков, имеет место ложное срабатывание как раз на Sirefef

после обновления баз ESET  по прежнему находит Sirefef?

судя по оф. форуму eset.com там так же не найдено решение.


https://forum.eset.com/topic/2463-sirefef-malware-problem/
и
https://forum.eset.com/topic/2459-cleaning-win32sirefef-trojan/
[ Как создать образ автозапуска? ]
Перейти
вирус в памяти, прошу помощи
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 14.05.2014 16:36:38
+
добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] ошибка при запуске защиты файловой системы в режиме реального времени
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 14.05.2014 14:46:38
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.82.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE

delall %SystemDrive%\USERS\1\APPDATA\ROAMING\IDENTITIES\ZEISIR.EXE
delall %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\IDENTITIES\ZEISIR.EXE
delall %SystemDrive%\PROGRAMDATA\CREATIVEAUDIO\BZSBKOTIU.EXE
;------------------------autoscript---------------------------

chklst
delvir

; Java(TM) 6 Update 22
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216022FF} /quiet

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
[ Как создать образ автозапуска? ]
Перейти
ESET SysRescue Live (en)
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 14.05.2014 14:41:21
ESET SysRescue Live

ESET SysRescue Live является самостоятельной утилитой, которая позволяет создать загрузочный Live CD / DVD или USB флэш-диск, с которого вы можете загрузить зараженный ПК: сканировать и чистить их. Возможно будет скачать обновления баз сигнатур вирусов, если подключение к сети доступно. Эта новая программа находилась в разработке в течение нескольких месяцев, и основывается на популярных программ компании ESET UNIX, ESET NOD32 Antivirus для Linux Desktops и ESET Cyber ​​Security для Mac OS X.


Main Page: ESET SysRescue Live
ESET Live USB/CD Creator (Windows): http://download.eset.com/special/sysrescue-creator/eset_sysrescue_live_creator_enu.exe
ESET SysRescue Live ISO: http://download.eset.com/special/sysrescue-iso/eset-sysrescue.1.0.9.0.enu.iso
ESET SysRescue Live Manual: http://download.eset.com/manuals/eset_sysrescue_userguide_enu.pdf
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 725 726 727 728 729 730 731 732 733 734 735 ... 1784 След.