Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 855 856 857 858 859 860 861 862 863 864 865 ... 1784 След.
[ Закрыто] Win32/Spy.Agent.OEI, Не могу вычистить Win32/Spy.Agent.OEI, якобы сидит в оперативной памяти
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.07.2013 19:29:48
выполняем скрипт в uVS (в нормальном режиме):
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код

;uVS v3.80.13 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\RAR$EX33.392\PLUGINS\HELPER\ALSRVN.EXE
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA
crimg

без перезагрузки, добавьте образ автозапуска, который будет создан автоматически
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Win32/Spy.Agent.OEI, Не могу вычистить Win32/Spy.Agent.OEI, якобы сидит в оперативной памяти
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.07.2013 19:12:49
да, перегрузиться в безопасный режим, и сделать образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Win32/Spy.Agent.OEI, Не могу вычистить Win32/Spy.Agent.OEI, якобы сидит в оперативной памяти
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.07.2013 19:08:47
Цитата
Виталий Цесарский пишет:
Могу вот так
Журнал проверки
Версия базы данных сигнатур вирусов: 8596 (20130722)
Дaтa: 22.07.2013  Время: 22:24:54
Просканированные диски, папки и файлы: Оперативная память;C:\Загрузочный сектор;C:\
C:\Documents and Settings\Admin\4260976.exe - модифицированный Win32/Injector.AJVO троянская программа - очищен удалением - изолирован [1]
вот это то, что надо.

теперь сделайте образ автозапуска из безопасного режима системы.
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Win32/Spy.Agent.OEI, Не могу вычистить Win32/Spy.Agent.OEI, якобы сидит в оперативной памяти
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.07.2013 19:00:32
Виталий, мне нужен лог сканирования, а не рисунок с местом откуда вы его берете.

показываю еще раз. проделайте все по рисунку - это не сложно.

[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Win32/Spy.Agent.OEI, Не могу вычистить Win32/Spy.Agent.OEI, якобы сидит в оперативной памяти
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.07.2013 18:50:09
что это за рисунок? проделайте такую операцию как на рисунке



далее, правой кнопкой мыши выбираем - копировать лог.

вот такой развернутый лог сканирования нужен.
Изменено: santy - 22.07.2013 18:50:51
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Win32/Spy.Agent.OEI, Не могу вычистить Win32/Spy.Agent.OEI, якобы сидит в оперативной памяти
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.07.2013 18:34:20
он должен быть в логе журнала сканирований. (а не журнале угроз),

в журнал угроз попадает только то, что находит антивирусный монитор, или стартап сканер.
Изменено: santy - 22.07.2013 18:37:05
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Win32/Spy.Agent.OEI, Не могу вычистить Win32/Spy.Agent.OEI, якобы сидит в оперативной памяти
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.07.2013 18:16:49
в таком виде нужен последний лог сканирования

Цитата
Scan Log
Version of virus signature database: 8596 (20130722)
Date: 22.07.2013  Time: 21:15:29
Scanned disks, folders and files: Operating memory
Operating memory » \\?\D:\SOFT\FOR_ERD_COMMANDER_DISK\UNIVERSAL VIRUS SNIFFER 3.80.13\klqzme - error opening [4]
Number of scanned objects: 401
Number of threats found: 0
Time of completion: 21:15:57  Total scanning time: 28 sec (00:00:28)

Notes:
[4] Object cannot be opened. It may be in use by another application or operating system.
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Win32/Spy.Agent.OEI, Не могу вычистить Win32/Spy.Agent.OEI, якобы сидит в оперативной памяти
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.07.2013 18:04:48
добавьте детальный лог последнего сканирования. (чтобы можно было видеть, что именно и где сканер обнаруживает, а не просто цифирку 1)
Изменено: santy - 22.07.2013 18:14:30
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Win32/Spy.Agent.OEI, Не могу вычистить Win32/Spy.Agent.OEI, якобы сидит в оперативной памяти
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.07.2013 17:57:09
Цитата
Виталий Цесарский пишет:
Вирус ушел, другой появился C:\Documents and Settings\Admin\4260976.exe - модифицированный Win32/Injector.AJVO троянская программа - очищен удалением - изолирован. Вчера был очищен удалением, сегодня на месте

возможно, второй троян проявляет активность

да со ссылкой что то проблема на форуме

Цитата
When executed, the trojan copies itself into the following location:

   %profile%\­%variable%.exe

A string with variable content is used instead of %variable% .

In order to be executed on every system start, the trojan sets the following Registry entry:

   [HKEY_CURRENT_USER\­SOFTWARE\­Microsoft\­Windows\­CurrentVersion\­Run]
       "MSConfig" = "%profile%\­%variable%.exe"

The trojan runs the following process:

   svchost.exe

The trojan creates and runs a new thread with its own code within these running processes.

After the installation is complete, the trojan deletes the original executable file.
Other information

Win32/Tofsee.AX is a trojan that is used for spam distribution.

The trojan acquires data and commands from a remote computer or the Internet.

The trojan contains a list of (9) URLs. The HTTP, SMTP protocol is used.

It can execute the following operations:

   download files from a remote computer and/or the Internet
   run executable files
   send spam

The trojan checks for Internet connectivity by trying to connect to the following servers:

   google.com
   mail.ru
   microsoft.com
   yahoo.com

more info

The trojan keeps various information in the following Registry keys:

   [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­DeviceControl\­DevData]
   [HKEY_CURRENT_USER\­SOFTWARE\­Microsoft\­DeviceControl\­DevData]

The trojan may create the following files:

   %windir%\­Temp:temp
   %profile%\­Application Data\­desktop.ini:init
   %profile%\­Local Settings\­Application Data\­Microsoft\­Windows\­UsrClass.dat.tmp
Изменено: santy - 22.07.2013 18:08:56
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Win32/Spy.Agent.OEI, Не могу вычистить Win32/Spy.Agent.OEI, якобы сидит в оперативной памяти
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.07.2013 17:51:01
судя по журналу угроз, новых детектов сегодня нет.

Цитата
21.07.2013 10:19:13 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = wordpad.exe(320) модифицированный Win32/Spy.Agent.OEI троянская программа очистка невозможна
21.07.2013 10:19:04 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = wordpad.exe(320) модифицированный Win32/Spy.Agent.OEI троянская программа очистка невозможна MICROSOF-F5F7A5\Admin
21.07.2013 1:55:46 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = wordpad.exe(716) модифицированный Win32/Spy.Agent.OEI троянская программа очистка невозможна MICROSOF-F5F7A5\Admin
21.07.2013 1:39:05 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = wordpad.exe(1536) модифицированный Win32/Spy.Agent.OEI троянская программа очистка невозможна MICROSOF-F5F7A5\Admin
21.07.2013 1:11:59 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = wordpad.exe(504) модифицированный Win32/Spy.Agent.OEI троянская программа очистка невозможна MICROSOF-F5F7A5\Admin
21.07.2013 1:11:59 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = C:\WINDOWS\system32\svchost.exe модифицированный Win32/Tofsee.AX троянская программа очистка невозможна MICROSOF-F5F7A5\Admin

добавьте образ автозапуска из безопасного режима системы, может там будет картинка другая.
Изменено: santy - 22.07.2013 17:51:34
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 855 856 857 858 859 860 861 862 863 864 865 ... 1784 След.