Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 797 798 799 800 801 802 803 804 805 806 807 ... 1784 След.
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 06.11.2013 19:35:36
+ живой Win32/Caphaw, образ снят из безопасного режима.


Цитата
Полное имя                  C:\USERS\USER\APPDATA\ROAMING\MOZILLA\FIREFOX\CRASH REPORTS\REGINI.EXE
Имя файла                   REGINI.EXE
Тек. статус                 ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Статус                      ВИРУС
Сигнатура                   Win32/Caphaw.A [глубина совпадения 64(64), необх. минимум 8, максимум 64]
                           
Удовлетворяет критериям    
CURRENTVERSION.RUN          (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1)
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
File_Id                     527A279163000
Linker                      8.0
Размер                      405504 байт
Создан                      14.07.2009 в 02:58:28
Изменен                     14.07.2009 в 04:14:30
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Оригинальное имя            lexlse.exe
Версия файла                21, 16, 23, 1249
Версия продукта             23, 16, 23, 159
Описание                    gex ocx
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
Путь до файла               Не_типичен для этого файла [имя этого файла есть в известных]
                           
Доп. информация             на момент обновления списка
SHA1                        D10EDEAD31FFC03AA257021ED2D4C40973FD86D1
MD5                         05188C8462CE608363CD09727276733A
                           
Ссылки на объект            
Ссылка                      HKEY_USERS\S-1-5-21-4235267976-468952248-1436290218-1000\Software\Microsoft\Windows\CurrentVersion\Run\6m28ei1UE­RwiAk3q44ipcnsE
6m28ei1UERwiAk3q44ipcnsE    "C:\Users\User\AppData\Roaming\Mozilla\Firefox\Crash Reports\regini.exe"
http://forum.esetnod32.ru/forum6/topic10233/
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Backdoor Win32/Caphaw.A, Скайп рассылка вируса
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 06.11.2013 19:29:44
вот этот файл
Цитата
%SystemDrive%\USERS\USER\APPDATA\ROAMING\MOZILLA\FIREFOX\CRA­SH REPORTS\REGINI.EXE
в нормальном режиме, скорее всего не будет виден... только в безопасном режиме...

в нормальном режиме его вот эти записи в логи выдают.

Цитата
(!) Обнаружен сплайсинг: NtQueryDirectoryFile
--------------------------------------------------------
Загружено реестров пользователей: 2
Построение списка процессов и модулей...
Обнаружен доп. поток в uVS: поток не принадлежит загруженным библиотекам
Обнаружен доп. поток в uVS: поток не принадлежит загруженным библиотекам
Обнаружен доп. поток в uVS: поток не принадлежит загруженным библиотекам
Обнаружен доп. поток в uVS: поток не принадлежит загруженным библиотекам
Обнаружен доп. поток в uVS: поток не принадлежит загруженным библиотекам

если проблема не решится скриптом из 9 сообщения,
то еще раз сделать образ из безопасного режима, добавить на форум.... и не выходить из сессии безопасного режима....
пока не напишем скрипт.

иначе может смутировать в новой перезагрузке....
Изменено: santy - 06.11.2013 19:47:49
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Backdoor Win32/Caphaw.A, Скайп рассылка вируса
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 06.11.2013 19:26:25
вот он, в безопасен виден....
выполнить скрипт из безоопасного режима.

но может смутировать в новой перезагрузке.


выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код
;uVS v3.81.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
addsgn A7679B19B9728B37E3D4AEB164204CFBDA7596F6E3FA75786D64C5BC502964CC6357C33D3E3F9D232B7F91B3065649907DB7348017DADA2C4777CC833544228C 8 Win32/Caphaw.A

zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\MOZILLA\FIREFOX\CRASH REPORTS\REGINI.EXE
bl 05188C8462CE608363CD09727276733A 405504
;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
Изменено: santy - 06.11.2013 19:27:14
[ Как создать образ автозапуска? ]
Перейти
Загрузка и медленная работа 7й версии, Недавно обновился на 7ю версию Антивируса, появились проблемы.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 06.11.2013 14:46:48
варианты такие:
сделайте образ автозапуска с проблемной машины
http://forum.esetnod32.ru/forum9/topic2687/

и лог ESET sysinspector
http://forum.esetnod32.ru/forum9/topic54/

я на рабочей и домашней машине установил семерку, ухудшений в работе системы нет.

но на всех остальных  рабочих машинах использую корпоративные версии: 3, 4 и 5.

в рабочей сети ставлю только корпоративные.

home нужен для того чтобы посмотреть на новый функционал, который возможно будет со временем перенесен в корпоративные версии.
Изменено: santy - 06.11.2013 14:50:06
[ Как создать образ автозапуска? ]
Перейти
Загрузка и медленная работа 7й версии, Недавно обновился на 7ю версию Антивируса, появились проблемы.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 06.11.2013 14:42:53
>>>>>>Обновили все машины в офисе на версию 7 и тут началось

новое обновление антивира до 7.302.26 установили? прежнее было 7.302.8

с версиями антивирусов всегда надо аккуратно работать. при выходе новой версии установить на 2-3 машинах, в том числе и на своей, если вы исполняете обязанности админа, поработать некоторое время.... затем уже переводить остальные компы на новую версию.
Изменено: santy - 06.11.2013 14:44:43
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] вирусы, обнаружен вирус
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 06.11.2013 13:35:37
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код

;uVS v3.81.7 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
delref HTTP://WWW.RAMBLER.RU/IE8
delref HTTP://SEARCH.BABYLON.COM/?AF=108921&BABSRC=NT_SS&MNTRID=3CB63648000000000000444553544F53
deltmp
delnfr
; Babylon toolbar 
exec C:\Program Files\BabylonToolbar\BabylonToolbar\1.8.7.2\uninstall.exe

; Java(TM) 6 Update 17
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216017FF} /quiet

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] вирусы, обнаружен вирус
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 06.11.2013 11:49:40
Цитата
06.11.2013 9:23:39 Защита в режиме реального времени файл C:\Documents and Settings\ванечка\Local Settings\Application Data\MadLen.uCoz.coM\tbMad2.dll модифицированный Win32/Toolbar.Conduit.B потенциально нежелательная программа очищен удалением MICROSOF-CFF92B\ванечка Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\Internet Explorer\iexplore.exe.
06.11.2013 9:23:38 Защита в режиме реального времени файл C:\Documents and Settings\ванечка\Local Settings\Application Data\MadLen.uCoz.coM\tbMad2.dll модифицированный Win32/Toolbar.Conduit.B потенциально нежелательная программа очищен удалением - изолирован MICROSOF-CFF92B\ванечка Событие произошло при попытке доступа к файлу следующим приложением: C:\Program Files\Internet Explorer\iexplore.exe.
добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/
[ Как создать образ автозапуска? ]
Перейти
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 05.11.2013 19:28:52
Цитата
Также Создайте лог в uVS в безопасном режиме.

давайте придерживаться терминологии uVS

лог - это логи выполнения скрипта,

образ автозапуска - это файл, который мы просим для создания по ссылке
http://forum.esetnod32.ru/forum9/topic2687/
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Backdoor Win32/Caphaw.A, Скайп рассылка вируса
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 05.11.2013 19:13:25
да, по терминологии uVS - лог - это лог выполнения скрипта.
а файл, который рекомендован к созданию по ссылке называется образом автозапуска.
-----------
его по инерции продолжают называть логом.

так что нужен образ автозапуска из безопасного режима.

по логу журнала угроз:

Цитата
05.11.2013 12:07:06 Модуль сканирования файлов, исполняемых при запуске системы файл C:\Users\User\AppData\Roaming\Skype\g.roman18\chatsync\ee\sethc.exe модифицированный Win32/Kryptik.BOEO троянская программа очищен удалением - изолирован
05.11.2013 10:04:39 Защита в режиме реального времени файл C:\Users\User\AppData\Local\Temp\252E.tmp.exe модифицированный Win32/Kryptik.BODK троянская программа очищен удалением - изолирован Desktop\User Событие произошло в новом файле, созданном следующим приложением: C:\Program Files (x86)\ASUS\ASUS Smart Gesture\QuickGesture\x86\QuickGesture.exe.

05.11.2013 9:05:35 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = KMService.exe(4924) модифицированный Win32/AutoRun.Caphaw.A червь очищен удалением
05.11.2013 9:05:35 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = KMService.exe(4924) модифицированный Win32/AutoRun.Caphaw.A червь очищен удалением

файлики похоже очищены, но глянем еще на образ автозапуска системы из безопасного режима.
Изменено: santy - 05.11.2013 19:26:37
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] ESET Smart Security. Адрес заблокирован., Постоянно появляется красная табличка от ESET с блокированием одного и того же адреса.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 05.11.2013 13:27:25
сделайте проверку в Комбофикс
http://forum.esetnod32.ru/forum9/topic735/
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 797 798 799 800 801 802 803 804 805 806 807 ... 1784 След.