Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи Арвид
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 482 483 484 485 486 487 488 489 490 491 492 ... 673 След.
поговорить о uVS, Carberp, планете Земля
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 02.03.2012 06:00:01
да уже понятно что нельзя :)
проведи эксперимент как я сделал - создай любой файл и попробуй его удалить через скрипт в uVS:
[QUOTE]delall %sys32%\1.txt - работает на х32 системах. На х64 не удаляет ничего.
delall %appdata%\1.txt - нигде ничего не удаляет[/QUOTE]
Перейти
поговорить о uVS, Carberp, планете Земля
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 02.03.2012 05:55:20
это я понял. но она убивает родные переменные
я не могу, например выполнить команду - md "%appdata%\1". приходится извращаться
насчет %sys32% выше написал
Перейти
поговорить о uVS, Carberp, планете Земля
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 02.03.2012 02:59:52
На основании этого надо попросить автора чтобы он поправил удаление файлов с переменной %appdata%
Проверил на нескольких ПК:
delall %sys32%\1.txt - работает на х32 системах. На х64 не удаляет ничего.
delall %appdata%\1.txt - нигде ничего не удаляет
Хотя в справке написано:
[QUOTE]При проверке неактивной системы добавлен анализ переменных:
  %ALLUSERSPROFILE% (генерируется реальный путь на основе разбора D&S/Users)
  %USERPROFILE% (перебираются все профили пользователей до обнаружения файла)
  [B]%APPDATA%[/B] (перебираются все профили пользователей до обнаружения файла)[/QUOTE]
Я так понимаю что и команда должна срабатывать. Ведь если выполнить команду:
[QUOTE]adddir %sys32%
crimg[/QUOTE]
То будет создан нужный образ с нужными файлами.
--------------
Что-то не пойму, выполнил команду что выше:
[QUOTE]adddir %sys32%
--------------------------------------------------------
Добавление всех исполняемых файлов каталога: C:\WINDOWS\SYSTEM32
Добавлено новых файлов: 1342
--------------------------------------------------------
crimg[/QUOTE]
Но в образ не попали файлы которых я туда накидал с кривыми расширениями и EXE в том числе
А команду adddir %appdata% - программа вообще не поняла...
Изменено: Арвид - 02.03.2012 03:10:10
Перейти
поговорить о uVS, Carberp, планете Земля
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 02.03.2012 02:41:45
Захотелось убивать с помощью uVS хвосты Carberp'a. Думал все будет проще, но пришлось немного попариться с командой для удаления файла из Application Data - когда запускается сторонняя команда через exec, то работают переменные самой программы, а не ОС. И работают не совсем успешно если честно. В итоге команды выглядят так:
[QUOTE]exec cmd /k attrib -r -s -h "%appdata%\igfxtray.dat"&del "%appdata%\igfxtray.dat"&exit
exec cmd /k del "%windir%\system32\ieunitdrf.inf"&exit[/QUOTE]
последнюю можно заменить на
[QUOTE]delall %sys32%\ieunitdrf.inf[/QUOTE]
Но разницы нет :)
Перейти
[ Закрыто] TroyanDownloader.Carberp.AF, скрипт
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 02.03.2012 00:01:00
[URL=http://forum.esetnod32.ru/forum9/topic3998/]Выполните рекомендации[/URL] напоследок
Перейти
[ Закрыто] Оперативная память » explorer.exe(1936) - модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа - очистка невозможна
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 01.03.2012 23:57:36
удаляем найденное
если проблема решена - [URL=http://forum.esetnod32.ru/forum9/topic3998/]Выполните рекомендации[/URL]
Перейти
[ Закрыто] Вирус в оперативной памяти, Вирус в оперативной памяти: explorer.exe(140) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 01.03.2012 23:47:29
[URL=http://forum.esetnod32.ru/forum9/topic3998/]Выполните рекомендации[/URL]
Перейти
[ Закрыто] TroyanDownloader.Carberp.AF, скрипт
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 01.03.2012 23:36:37
повторяем сканирование и выбираем лечить это:
\Device\Harddisk0\DR0\Partition0
Перейти
[ Закрыто] TroyanDownloader.Carberp.AF, скрипт
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 01.03.2012 23:28:22
понятно
сделайте лог программой [URL=http://support.kaspersky.ru/downloads/utils/tdsskiller.zip]TDSSkiller[/URL]. Ничего оттуда не удалять. Лог будет лежать в корне системного раздела (обычно диск С).
Перейти
[ Закрыто] TroyanDownloader.Carberp.AF, скрипт
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 01.03.2012 23:21:03
Выложите лог выполнения скрипта. Он в папке с программой с расширением тхт. Вес 10-15 кб.
Перейти
Пред. 1 ... 482 483 484 485 486 487 488 489 490 491 492 ... 673 След.