Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 863 864 865 866 867 868 869 870 871 872 873 ... 1784 След.
[ Закрыто] Помогите!, При сканировании пк nod 32, в загрузочном секторе обнаружен троян\ win 32
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 29.06.2013 17:03:27
добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/
[ Как создать образ автозапуска? ]
Перейти
Откат действий во время усановки
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 29.06.2013 12:27:47
прав достаточно для установки? пробуйте ставить под администратором
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] постоянное завершение сеанса
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.06.2013 13:03:44
и кстати вопрос.
Цитата
Лечил аналогом LiveCD (первым который попался в поиске на "вылечить порнобанер"  ;)  . После лечения банер не вылазит. Но не получается зайти в систему - происходит постоянное завершение сеанса.
какой LiveCD использовали для первоначального лечения?
(трояна он прибил, а ссылку в реестре не исправил.)

Цитата
Полное имя                  C:\DOCUME~1\9335~1\LOCALS~1\TEMP\NTFS_CLEAN.EXE
Имя файла                   NTFS_CLEAN.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
CURRENTVERSION.RUN          (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1)
CURRENTVERSION.WINLOGON     (ССЫЛКА ~ \CURRENTVERSION\WINLOGON\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1)
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Инф. о файле                Не удается найти указанный файл.
Цифр. подпись               проверка не производилась
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Автозапуск                  Неизвестный файл использует ключ реестра часто используемый вирусами
                           
Ссылки на объект            
Ссылка                      HKLM\ttracngze\Software\Microsoft\Windows\CurrentVersion\Run­\explorer
explorer                    C:\DOCUME~1\9335~1\LOCALS~1\Temp\Ntfs_Clean.exe
                           
Ссылка                      HKLM\ttracngze\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
Shell                       C:\DOCUME~1\9335~1\LOCALS~1\Temp\Ntfs_Clean.exe
                           
Ссылка                      HKLM\uvs_software\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost
UIHost                      C:\DOCUME~1\9335~1\LOCALS~1\Temp\Ntfs_Clean.exe
                           
Ссылка                      HKLM\uvs_software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
Userinit                    C:\DOCUME~1\9335~1\LOCALS~1\Temp\Ntfs_Clean.exe
                           
Изменено: santy - 28.06.2013 13:07:08
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] постоянное завершение сеанса
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.06.2013 12:41:09
раз полет нормальный, закрываем тему. :).
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] постоянное завершение сеанса
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.06.2013 10:07:46
в приложении список подозрительных при открытии вашего образа.
----------------
давайте все по порядку делаем.

1. вы загрузили систему с Winpe&uVS

далее,

выбрали каталог вашей проблемной системы с жесткого диска?

если нет, значит еще раз загружаемся с Winpe&uVS

выбираем каталог системы с жесткого диска

затем нажимаем - текущий пользователь.
-------------------
и далее, уже выполняем скрипт из файла, который был в приложении (или по ссылке)
Изменено: santy - 28.06.2013 10:08:43
[ Как создать образ автозапуска? ]
Перейти
этот вирус очень быстро распространяется
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.06.2013 19:54:51
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код
;uVS v3.80.11 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
delall C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-46689\24NAQ.EXE
delall C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-95590\C2GBSF9.EXE
delall C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-15555590\CAFEF9.EXE
delall C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-15559\P444Y129.EXE
delall C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-17251\PROXZY12.EXE
delall C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-13259\PROXZY129.EXE
delall C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-17253\PROXZY13.EXE
delall C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-17254\PROXZY14.EXE
delall C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-17255\PROXZY15.EXE
deltmp
delnfr
regt 5
restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] постоянное завершение сеанса
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.06.2013 05:42:04
выполните в uVS (из под winpe) скрипт из файла.

файл скрипта скачайте отсюда
http://rghost.ru/private/47045070/0517b5245b5c81339313c2e505059d3d
или из прикрепленного файла

после выполнения скрипта перегрузите систему в нормальный режим

пишем результат.
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Обнаружена уязвимость скрытого канала в ICMP-пакете, * Smart Sec. v5
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 26.06.2013 17:13:09
да, согласен, здесь можно отключить только фильтрацию http, pop3
Изменено: santy - 26.06.2013 17:14:21
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Обнаружена уязвимость скрытого канала в ICMP-пакете, * Smart Sec. v5
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 26.06.2013 16:33:33
Цитата
Tumanbl4 пишет:
В моем случае Нод аналогичным образом реагирует на пинги, генерируемые старой-доброй маленькой программкой-сканером "WS_Ping" - уж что она может пихать лишнего в пакет не знаю.
если уверены в этой программе пробуйте исключить ее из фильтрации.
[ Как создать образ автозапуска? ]
Перейти
win 32/dorkbot, оперативная памяти, очистка невозможно
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.06.2013 20:49:54
по ac1 выполнить скрипт из файла без перезагрузки, добавить новый образ автозапуска, который будет создан автоматически.

по ac3 выполнить скрипт из файла.
-------------
файлы скриптов в приложенных файлах
(ничего не перепутать)
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 863 864 865 866 867 868 869 870 871 872 873 ... 1784 След.