santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

Ошибка создания временного фвйла при обновлении

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 17.01.2013 11:39:05

пробуйте очистить кэш обновления и повторить обновление баз

[ Как создать образ автозапуска? ]

Перейти

Червь Win32/Dorkbot.D. Помогите пожалуйста..., Помогите пожалуйста, схватил этого червя

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 17.01.2013 11:15:39

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.77.2 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE delall C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-46689\24NAQ.EXE adddir %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\MICROSOFT\FZGWGB.EXE delall C:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\HOSTSV.EXE delall C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-917678\NEPRO0XZ.EXE delall C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-106669\W68V12.EXE deltmp delnfr regt 5 crimg

Код

;uVS v3.77.2 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
delall C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-46689\24NAQ.EXE
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\MICROSOFT\FZGWGB.EXE
delall C:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\HOSTSV.EXE
delall C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-917678\NEPRO0XZ.EXE
delall C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-106669\W68V12.EXE
deltmp
delnfr
regt 5
crimg

без перезагрузки, добавьте новый образ автозапуска который будет создан автоматически
------------
+
добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

Изменено: santy - 17.01.2013 12:23:52

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] обнаружена уязвимость скрытого канала в icmp-пакете

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 17.01.2013 10:49:47

возможно из-за Bit Commet
проверьте, будут ли сообщения при неработающем bit commet

Изменено: santy - 17.01.2013 10:50:52

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] обнаружена уязвимость скрытого канала в icmp-пакете

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 17.01.2013 10:28:24

деинсталлируйте программу и проверьте результат

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] обнаружена уязвимость скрытого канала в icmp-пакете

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 17.01.2013 09:33:24

добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] проблемы с интернетом, перекидывает на разные сайты

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 17.01.2013 09:00:44

выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] проблемы с интернетом, перекидывает на разные сайты

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 17.01.2013 06:13:29

Код
;uVS v3.77.2 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE delall %SystemRoot%\ASSEMBLY\GAC_MSIL\WEBALTASEARCH\1.1.0.0__CAE29F257FECBA88\WEBALTASEARCH.DLL hide %SystemRoot%\SYSWOW64\EXPLORER.EXE delref HTTP://WEBALTA.RU/SEARCH addsgn 71D13F3F156A4C07265D9A3B24C8576FB6CAFC94083BCE7885C34CB9B376314CAA224BF77E555A4C4D20C49FE71248FA82FAEBE115DAB111E2D7E42F4E1BA1D3 64 majachok.0117 zoo %SystemDrive%\USERS\ALEX\DOCUMENTS\ITERRA\ELFVYUJ.DLL delref %SystemDrive%\USERS\ALEX\DOCUMENTS\ITERRA\ELFVYUJ.DLL deltmp delnfr czoo restart

Код

;uVS v3.77.2 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
delall %SystemRoot%\ASSEMBLY\GAC_MSIL\WEBALTASEARCH\1.1.0.0__CAE29F257FECBA88\WEBALTASEARCH.DLL
hide %SystemRoot%\SYSWOW64\EXPLORER.EXE
delref HTTP://WEBALTA.RU/SEARCH
addsgn 71D13F3F156A4C07265D9A3B24C8576FB6CAFC94083BCE7885C34CB9B376314CAA224BF77E555A4C4D20C49FE71248FA82FAEBE115DAB111E2D7E42F4E1BA1D3 64 majachok.0117
zoo %SystemDrive%\USERS\ALEX\DOCUMENTS\ITERRA\ELFVYUJ.DLL
delref %SystemDrive%\USERS\ALEX\DOCUMENTS\ITERRA\ELFVYUJ.DLL
deltmp
delnfr
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS, созданный после скрипта (например: ZOO_2011-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

"На вашу страницу в течение 24 часов было сделано более 10 неудачных попыток авторизации..." Помогите пожалуйста!

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 17.01.2013 05:56:30

лога AVZ будет недостаточно для решения вашей проблемы

Цитата
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\WINDOWS\system32\wsdjmym.dll" >>> M:\autorun.inf ЭПС: подозрение на скрытый автозапуск (высокая степень вероятности)

добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] содержимое сайта заблокировано

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 17.01.2013 05:52:18

Код
;uVS v3.77.2 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE delall %SystemDrive%\DOCUMENTS AND SETTINGS\-___-\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE addsgn 9A8465DA5582BC8DF42BAEB164C81205158AFCF6B1FA1F7885C3C5BCD32476EE214CF51CA95B52A1398DCEE2461649FA7DDFE97255DAD4435A04F86C7EA291BF 8 Win32.HLLM.Utenti [DrWeb] zoo %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\PLUGINS\PLUGINS.EXE zoo %SystemDrive%\PROGRAM FILES\ADOBE MEDIA PLAYER\ADOBE MEDIA PLAYER.EXE delall %SystemDrive%\PROGRAM FILES\ADOBE MEDIA PLAYER\ADOBE MEDIA PLAYER.EXE delall %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\PLUGINS\PLUGINS.EXE delall %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\PLUGINS\FOLDER.HTT chklst delvir deltmp delnfr uidel "C:\PROGRAM FILES\INCREDIBAR.COM\INCREDIBAR\1.5.11.14\UNINSTALL.EXE" exec C:\PROGRAM FILES\TICNO\TABS\UNINSTALL.EXE REGT 14 czoo restart

Код

;uVS v3.77.2 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\-___-\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 9A8465DA5582BC8DF42BAEB164C81205158AFCF6B1FA1F7885C3C5BCD32476EE214CF51CA95B52A1398DCEE2461649FA7DDFE97255DAD4435A04F86C7EA291BF 8 Win32.HLLM.Utenti [DrWeb]
zoo %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\PLUGINS\PLUGINS.EXE
zoo %SystemDrive%\PROGRAM FILES\ADOBE MEDIA PLAYER\ADOBE MEDIA PLAYER.EXE
delall %SystemDrive%\PROGRAM FILES\ADOBE MEDIA PLAYER\ADOBE MEDIA PLAYER.EXE
delall %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\PLUGINS\PLUGINS.EXE
delall %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\PLUGINS\FOLDER.HTT
chklst
delvir
deltmp
delnfr
uidel "C:\PROGRAM FILES\INCREDIBAR.COM\INCREDIBAR\1.5.11.14\UNINSTALL.EXE"
exec C:\PROGRAM FILES\TICNO\TABS\UNINSTALL.EXE
REGT 14
czoo
restart

Изменено: santy - 17.01.2013 05:52:53

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Nod32 адрес заблокирован

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 17.01.2013 05:47:06

1. добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

2. сделайте образ автозапуска из безопасного режима системы.

[ Как создать образ автозапуска? ]

Перейти