Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 865 866 867 868 869 870 871 872 873 874 875 ... 1784 След.
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.06.2013 09:51:05
тогда постоянно надо менять критерий, хотя это не сложно.
Перейти
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.06.2013 09:44:28
почему? апеха удаляется.
[QUOTE]delref HTTP://WWW.APEHA.RU[/QUOTE]
Java 7 не добавляю в критерии, только 6. поэтому.
по chklst&delvir можно в принципе отследить, если ни одной сигнатуры не добавлено в скрипт, то не добавлять команду в скрипт.
Перейти
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.06.2013 08:54:38
автоскрипт для темы
http://forum.esetnod32.ru/forum6/topic9670/
выглядит так:

[QUOTE];uVS v3.80.10 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://WWW.APEHA.RU

delhst 66.85.174.29 m.my.mail.ru
delhst 66.85.174.29 vk.com
delhst 66.85.174.29 vk.com
delhst 66.85.174.29 ok.ru
delhst 66.85.174.29 ok.ru
delhst 66.85.174.29 m.vk.com
delhst 66.85.174.29 odnoklassniki.ru
delhst 66.85.174.29 www.odnoklassniki.ru
delhst 66.85.174.29 www.odnoklassniki.ru
delhst 66.85.174.29 m.odnoklassniki.ru
delhst 66.85.174.29 m.ok.ru
; Java™ 6 Update 37
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216035FF} /quiet

deltmp
delnfr
;-------------------------------------------------------------

restart[/QUOTE]
Перейти
ESS - доступ между компьютерами, ESS - доступ между компьютерами
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 23.06.2013 11:46:53
когда устанавливаете ESS - не выбирайте режим работы фаерволла - абсолютная защита.
это означает, что доступа по сети к данному компу не будет, в то время как сам он свободно выходит в сеть.
[ Как создать образ автозапуска? ]
Перейти
win 32/dorkbot, оперативная памяти, очистка невозможно
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 23.06.2013 11:44:32
только образы по одному добавляйте. одну машину пролечим, потом другие.
Перейти
win 32/dorkbot, оперативная памяти, очистка невозможно
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 23.06.2013 11:14:12
добавьте образ автозапуска по зараженной машине.
http://forum.esetnod32.ru/forum9/topic2687/

+
этой утилиткой посканируйте комп
http://www.eset.com/download/utilities/detail/family/179/
Изменено: santy - 23.06.2013 11:15:14
Перейти
[ Закрыто] Win32/Spy.Banker.ZNX, Словили вирус
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 23.06.2013 11:11:29
троянчик можно смело удалить. детект по нему уже есть в новой антивирусной базе.

[QUOTE]23.06.2013 14:08:28 Защита в режиме реального времени файл D:\Soft\test\agent.exe Win32/Spy.Banker.ZNX троянская программа очищен удалением - изолирован **** Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\Total Commander\Totalcmd.exe.[/QUOTE]
Перейти
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 23.06.2013 10:01:01
у ДрВеба этот вариант банкера называется Trojan.PWS.Ibank
http://vms.drweb.com/virus/?i=2417506
Изменено: santy - 24.06.2013 17:48:59
Перейти
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.06.2013 20:54:11
вторая ссылка точно в цель.
дак и здесь вроде описано все.
http://forum.esetnod32.ru/forum16/topic9167/
видимо сбивают детект с файлика agent.exe. днежки большие на кону.

эти файлики все в комплекте здесь
[QUOTE]«agent.exe», «all.policy», «bifit_a.cfg», «bifit_agent.jar», «javassist.jar».[/QUOTE]
только каталог изменен. /ibank2
Перейти
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.06.2013 19:58:40
[QUOTE]zloyDi пишет:
Вирлаб сказал что
agent.exe - Win32/Spy.Banker.ZNX trojan[/QUOTE]
ZloyDi, а сигнатура будет добавлена?
интересно, что ESET детектирует в памяти практически безошибочно, даже без сигнатуры.
Перейти
Пред. 1 ... 865 866 867 868 869 870 871 872 873 874 875 ... 1784 След.