Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 799 800 801 802 803 804 805 806 807 808 809 ... 1784 След.
[ Закрыто] Помогите! Автазапуск CMD с браузером и переход http://gamerow.org
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 02.11.2013 21:26:16
удалите найденное в мбам,

далее,

сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/
[ Как создать образ автозапуска? ]
Перейти
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 02.11.2013 21:06:08
погонял invoice.pdf.exe на виртуалке.

результаты такие:

в нормальном режиме uVS и AVZ не увидели в образе файлик в автозапуске.
но
uVS увидел при включенном сплайсинге, что

Цитата
(!) Обнаружен сплайсинг: NtQueryDirectoryFile
без сплайсинга в логи попало лишь сообщение о доп. потоках, внедренных в uVS

Цитата
Обнаружен доп. поток в uVS: поток не принадлежит загруженным библиотекам
AVZ не увидел так же ничего в автозапуске
но
есть в логах сообщение о перехвате функций API

Цитата
Функция ntdll.dll:NtCreateThread (140) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C90D190->04D406
Функция ntdll.dll:NtEnumerateValueKey (161) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C90D2D0->04D4FC
Функция ntdll.dll:NtQueryDirectoryFile (234) перехвачена, метод APICodeHijack.PushAndRet
Функция ntdll.dll:ZwCreateThread (950) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C90D190->04D406
Функция ntdll.dll:ZwEnumerateValueKey (970) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C90D2D0->04D4FC
Функция ntdll.dll:ZwQueryDirectoryFile (1043) перехвачена, метод APICodeHijack.PushAndRet
порадовал ESETSysinspector, который в нормальном режиме показал и файл трояна, и ключ в автозапуске

Цитата
"MnX8Dv2tSsBvjshflKUim4AByqc=" = "C:\Documents and Settings\safety\Application Data\Microsoft\CryptnetUrlCache\WinFXDocObj.exe" ( 9: Risky ) ; AX_LOCKFEJaz ; ;
"SHA1" = "D9918C592E5B84A00D204D1E85DBFAE27340DC3A" ( 9: Risky ) ;
"Last Write Time" = "2009/03/08 04:34" ( 9: Risky ) ;
"Creation Time" = "2009/03/08 04:34" ( 9: Risky ) ;
"File Size" = "393216" ( 9: Risky ) ;
"File Description" = "AX_LOCKFEJaz" ( 9: Risky ) ;
"Company Name" = "" ( 9: Risky ) ;
"File Version" = "21, 7, 2, 1" ( 9: Risky ) ;
"Product Name" = "" ( 9: Risky ) ;
"Internal Name" = "1a9e-35z" ( 9: Risky ) ;
"Linked to" = "Important Registry Entries -> Standard Autostart -> HKU\S-1-5-21-1645522239-854245398-682003330-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Run -> C:\Documents and Settings\user\Application Data\Microsoft\CryptnetUrlCache\WinFXDocObj.exe"
в безопасном режиме файл был обнаружен в uVS

Цитата
Полное имя C:\DOCUMENTS AND SETTINGS\user\APPLICATION DATA\MICROSOFT\CRYPTNETURLCACHE\WINFXDOCOBJ.EXE
Имя файла WINFXDOCOBJ.EXE
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске

www.virustotal.com 2013-11-01 [2013-10-29 08:13:49 UTC ( 4 days, 8 hours ago )]
Symantec Trojan.Shylock
Avast Win32:Trojan-gen
Kaspersky Trojan.Win32.Agent.acolm
BitDefender Trojan.GenericKDV.1367635
DrWeb BackDoor.Caphaw.2
AntiVir TR/CeeInject.A.38
Microsoft Backdoor:Win32/Caphaw.A
ESET-NOD32 Win32/Caphaw.I

Удовлетворяет критериям
CURRENTVERSION.RUN (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1)

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске
File_Id 6284BF8A61000
Linker 6.0
Размер 393216 байт
Создан 08.03.2009 в 04:34:48
Изменен 08.03.2009 в 04:34:48
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись проверка не производилась

Оригинальное имя upackfize
Описание AX_LOCKFEJaz
Copyright Copyright 12.13

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла Типичен для вирусов и троянов

Доп. информация на момент обновления списка
SHA1 D9918C592E5B84A00D204D1E85DBFAE27340DC3A
MD5 E6D741E42B80443FD8150EF5B5A525BD

Ссылки на объект
Ссылка HKEY_USERS\S-1-5-21-1645522239-854245398-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run \MnX8Dv2tSsBvjshflKUim4AByqc=
MnX8Dv2tSsBvjshflKUim4AByqc=C:\Documents and Settings\safety\Application Data\Microsoft\CryptnetUrlCache\WinFXDocObj.exe
и в AVZ

Цитата
C:\Documents and Settings\user\Application Data\Microsoft\CryptnetUrlCache\WinFXDocObj.exe
Ключ реестра HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, MnX8Dv2tSsBvjshflKUim4AByqc=
Изменено: santy - 02.11.2013 21:07:17
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Win32/Spy.Shiz.NCN, помогите, пожалуйста, удалить вирус
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 02.11.2013 10:43:30
Цитата
01.11.2013 23:30:59 Защита в режиме реального времени файл C:\ProgramData\xofoxos.exe Win32/Spy.Shiz.NCN троянская программа очищен удалением - изолирован N-PK\Наталия Событие произошло в новом файле, созданном следующим приложением: C:\Windows\explorer.exe.
01.11.2013 23:30:57 Защита в режиме реального времени файл C:\ProgramData\xofoxos.exe Win32/Spy.Shiz.NCN троянская программа очищен удалением - изолирован N-PK\Наталия Событие произошло в новом файле, созданном следующим приложением: C:\Windows\explorer.exe.
01.11.2013 23:30:55 Защита в режиме реального времени файл C:\ProgramData\xofoxos.exe Win32/Spy.Shiz.NCN троянская программа очищен удалением - изолирован N-PK\Наталия Событие произошло в новом файле, созданном следующим приложением: C:\Windows\explorer.exe.

лог мбам чистый,

что сейчас с проблемой?

выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Пользователь iqgxnwppcvyl, Появляется новый пользователь iqgxnwppcvyl с ограниченными правами.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 02.11.2013 08:54:45
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код

;uVS v3.81.7 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
;------------------------autoscript---------------------------

delref HTTP://WWW.APEHA.RU

; Java(TM) 6 Update 16
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216016FF} /quiet

; Bonjour
exec MsiExec.exe /X{79155F2B-9895-49D7-8612-D92580E0DE5B} /quiet

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Win32/Spy.Shiz.NCN, помогите, пожалуйста, удалить вирус
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 02.11.2013 08:51:34
+
добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Прошу вашей помощи, Вирусняк
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.11.2013 19:02:14
сорри, но пользователям, использующим tnod на оф. форуме ESET поддержку не оказываем.

Цитата
TNOD USER & PASSWORD FINDER 1.4.1 FINAL [МНОГОЯЗЫЧНАЯ ВЕРСИЯ].EXE

обратитесь на другой форум за помощью.

тема закрыта.
Изменено: santy - 01.11.2013 19:02:48
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Перенаправление в браузерах на сайт www.dosearch.ru
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.11.2013 10:25:11
удалите найденное в АдвКлинере,

далее, выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Перенаправление в браузерах на сайт www.dosearch.ru
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.11.2013 09:05:33
в мбам удалите все найденное,

перегрузите систему,

далее,

сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Перенаправление в браузерах на сайт www.dosearch.ru
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.11.2013 09:02:56
удалите ярлыки браузеров на рабочем столе и заново создайте их. новые логи сейчас гляну
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Перенаправление в браузерах на сайт www.dosearch.ru
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.11.2013 08:12:47
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код

;uVS v3.81.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
addsgn 1A46F79A5583348CF42B627DA804478EC9DDAA7DFCF694359548B8B4DB17FA9D20D1F8A9485DA6B12402209E4616C8037DDEE87227C533114961E72FC7723424 8 a variant of Win32/Somoto.D

zoo %SystemDrive%\USERS\SVS-6\APPDATA\LOCAL\FILESFROG UPDATE CHECKER\UPDATE_CHECKER.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\ASK.COM\GENERICASKTOOLBAR.DLL
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://WWW.DOSEARCHES.COM/?UTM_SOURCE=B&UTM_MEDIUM=SMT&UTM_CAMPAIGN=EXQ&UTM_CONTENT=HP&FROM=SMT&UID=HITACHIXHTS545050A7E380_TE95113RGKZNRPGKZNRPX&TS=1383193237

; Ask Toolbar
exec MsiExec.exe /I{86D4B82A-ABED-442A-BE86-96357B70F4FE} /quiet

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 799 800 801 802 803 804 805 806 807 808 809 ... 1784 След.