Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 891 892 893 894 895 896 897 898 899 900 901 ... 1784 След.
[ Закрыто] Вирус в оперативной памяти.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 04.05.2013 18:19:37
удалите в малваребайт все найденное, кроме
[QUOTE]Объекты реестра обнаружены: 1
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
[/QUOTE]
перегрузите систему,
и еще раз выполните быстрое сканирование,

если все будет чисто,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/
Перейти
[ Закрыто] Вирус в оперативной памяти.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 04.05.2013 17:49:38
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
Перейти
[ Закрыто] Вирус в оперативной памяти.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 04.05.2013 16:47:39
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.77.13 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo G:\QHDJWGSDUFHFATS.EXE
addsgn 9252773A116AC1CC0BA4554E3341F788B9AE7C3776052EB8D5FA19C9AB90­371F4B9530513E021E8A2FD3EC263C1449ACFE1CEC21051DB32F2D75A47A­57517420 8 tr.Carberp
zoo %SystemDrive%\USERS\ЛИЛИЯ\APPDATA\LOCAL\YANDEX\UPDATER\PRAET­ORIAN.EXE
addsgn 1AA78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6­714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F­9F5FA577 8 praetorian
zoo %SystemDrive%\USERS\ЛИЛИЯ\APPDATA\ROAMING\MICROSOFT\LSPOPZ.EXE
zoo %SystemDrive%\USERS\ЛИЛИЯ\APPDATA\ROAMING\SCREENSAVERPRO.SCR
delall %SystemDrive%\USERS\ЛИЛИЯ\APPDATA\LOCAL\YANDEX\UPDATER\PRAET­ORIAN.EXE
delall %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER.EXE
delref %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER3.DLL
delall %SystemDrive%\USERS\ЛИЛИЯ\APPDATA\ROAMING\MICROSOFT\LSPOPZ.EXE
delall G:\QHDJWGSDUFHFATS.EXE
delall %SystemDrive%\USERS\ЛИЛИЯ\APPDATA\ROAMING\SCREENSAVERPRO.SCR
adddir %SystemDrive%\USERS\ЛИЛИЯ\APPDATA\ROAMING
chklst
delvir
deltmp
delnfr
exec MSIEXEC.EXE /quiet /X{26A24AE4-039D-4CA4-87B4-2F83216023FF}
uidel "C:\PROGRAM FILES\PANDORA.TV\PANSERVICE\UNINS000.EXE"
czoo
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
Перейти
Выскакивает непонятное окно в браузере,рекламы окна,итд..., Выскакивает непонятное окно в браузере не помогают не какие антивирусы и блокираторы,куда не нажмём в окне браузера открывается новая ссылка с рекламой.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 04.05.2013 15:00:45
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v3.77.13 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
deltmp
delnfr
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
Перейти
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 04.05.2013 14:57:59
[QUOTE]Арвид пишет:
интересно почему второй файл в образ не попадает[/QUOTE]
он не в автозапуске, но явно загружен в память... даже если через adddir добавить его, то все равно chklst &delvir (без блокирования bl) не поможет, после перезагрузки один из файлов будет в автозапуске. Возможно, сокрытие ключа использовано. надо смотреть картинку из под live.cd
---------
описание на ВирусРадаре
http://www.virusradar.com/en/Win32_Ciavax.A/description
Изменено: santy - 07.05.2013 08:24:26
Перейти
[ Закрыто] Ошибка создания временного файла
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 04.05.2013 10:49:39
ок,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/
Перейти
[ Закрыто] Ошибка создания временного файла
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 04.05.2013 10:17:24
1. удалите пандору скриптом.
если не поможет,
2. удалите в безопасном режиме ESET antivirus утилиткой esetunistaller
http://download.eset.com/special/ESETUninstaller.exe
переустановите в нормальном режиме еще раз.

если не поможет,
3. надо искать проблемы в системе. т.е. смотреть минидампы, искать с чем конфликтует антивир.
Перейти
[ Закрыто] Ошибка создания временного файла
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 04.05.2013 09:58:38
как раз из за ПАндоры к нам приходят с проблемой,
[QUOTE]Обнаружена уязвимость скрытого канала в icmp-пакете [/QUOTE]
хотя возможно и не в ней здесь дело.
других ошибок не обнаружено.
(обычно, троян qhost приводит к такой ошибке и блокирует обновление баз, в вашем случае его нет в образе и в логе ESET sysinspector)
Изменено: santy - 04.05.2013 09:59:21
Перейти
Win32/Injector.AFFI
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 04.05.2013 09:55:46
удалите найденное в AdwCleaner по кнопке delete
с автоперезагрузкой

далее,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/
Перейти
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 04.05.2013 08:17:42
все таки парочка файлов создается при заражении Ciavax
[QUOTE]C:\Documents and Settings\User\My Documents\Application Data\explorer.dat 65536 2009.01.09 10:54:27.125 2009.01.09 10:54:27.125 2009.01.09 10:54:27.125 0x20
C:\Documents and Settings\User\My Documents\Application Data\explorer.exe 69632 2009.01.09 10:54:23.171 2009.01.09 10:54:23.171 2009.01.09 10:54:23.171 0x20[/QUOTE]
http://camas.comodo.com/cgi-bin/submit?file=ee0ff6c41de77dbe9ecb07a1efa24b7d7378b05b544e624b16bbd03­e2fb5c7eb

стало более понятно, почему так просто Ciavax не удаляется скриптом.
помимо файла
[QUOTE]C:\DOCUMENTS AND SETTINGS\user\МОИ ДОКУМЕНТЫ\APPLICATION DATA\EXPLORER.EXE[/QUOTE]
дополнительно в корне диска создается компаньон
[QUOTE]C:\APPLICATION DATA\EXPLORER.EXE[/QUOTE]
который так же грузится в память, и восстанавливает в автозапуске троя, после его удаления.
[IMG]http://s019.radikal.ru/i623/1305/e6/50f249156f84.jpg[/IMG]

просто удаление
[QUOTE]C:\DOCUMENTS AND SETTINGS\user\МОИ ДОКУМЕНТЫ\APPLICATION DATA\EXPLORER.EXE[/QUOTE]
не поможет, файл будет восстановлен после перезагрузки.
помогает дополнительно запрет на запуск bl, поскольку оба компонента имеют одинаковые хэши.
Изменено: santy - 04.05.2013 10:13:23
Перейти
Пред. 1 ... 891 892 893 894 895 896 897 898 899 900 901 ... 1784 След.