Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи Арвид
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 518 519 520 521 522 523 524 525 526 527 528 ... 673 След.
[ Закрыто] модифицированный червь Win32/Dorkbot.A
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 12.02.2012 19:35:10
удалите все найденное и Выполните рекомендации
Правильно заданный вопрос - это уже половина ответа
Перейти
[ Закрыто] вероятно модифицированный Win32/TrojanDownloader.Carberp.AD
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 12.02.2012 19:17:56
Чисто. Выполните рекомендации
Правильно заданный вопрос - это уже половина ответа
Перейти
[ Закрыто] Оперативная память - модифицированный Win32/Dorkbot.A червь - очистка невозможна
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 12.02.2012 19:17:36
Запускаем uVS еще раз, только теперь меню Скрипт - Выполнить скрипт находящийся в буфере обмена
Вставляем текст скрипта:
Перед выполнением скрипта, закрыть браузеры!
Код
;;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

; C:\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\TELULN.EXE
addsgn 3AEC779AD4886F730BD4C57164CD1A07258AD532DFAA4C2FD3909055A5D6714C984093173E16CE78DD014AAFF3E6B67BBBDFA37D558C3DA15D895BD07C06B2C6 16 Win32/AutoRun.AFQ [NOD32]
bl 8ACD3B50D894621D68AAF07FEABC2D0C 78848
delmz %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\TELULN.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\TELULN.EXE
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA
chklst
delvir
deltmp
delnfr
restart

И жмем Выполнить. После выполнения скрипта - ПК перезагрузится.
После перезагрузки сделать лог Malwarebytes и выложить сюда. Можно сделать быструю проверку, а не полную.
Правильно заданный вопрос - это уже половина ответа
Перейти
поговорить о uVS, Carberp, планете Земля
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 12.02.2012 19:13:20
Цитата
santy пишет:
а темы форума тоже недоступны?
доступны - http://www.adminplanet.ru/t6075.html. просто не стал там постить ссылку
Цитата
santy пишет:
недоступен по одной ссылке, скачать по другой. порядок такой. первые ссылки на первоисточник.
так суть в том, что хочется чтобы архиватор был изначально в пакете с программой, а на первоисточнике его нет
Правильно заданный вопрос - это уже половина ответа
Перейти
[ Закрыто] модифицированный червь Win32/Dorkbot.A
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 12.02.2012 19:09:27
Запускаем uVS еще раз, только теперь меню Скрипт - Выполнить скрипт находящийся в буфере обмена
Вставляем текст скрипта:
Перед выполнением скрипта, закрыть браузеры!
Код
;;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

; D:\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\TVYUYN.EXE
addsgn 3AEC779AD4887F770BD4C5716449FE11278AFCA7DAAC482ED696EC7C5F52854C23177A44A4009D087AB1449276A3B90568DFA37D558A3D995D895BD07C06B2C6 16 BackDoor.IRC.Bot.166 [DrWeb]
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\TVYUYN.EXE
bl D83FDE3F46F4179492D85A9300F33150 78336
delmz %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\TVYUYN.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\TVYUYN.EXE
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA
chklst
delvir
deltmp
delnfr
czoo
restart

И жмем Выполнить. После выполнения скрипта - ПК перезагрузится.
В папке с программой UVS появится архив с сегодняшней датой\временем (без имени ПК) - его надо прислать на адрес [email protected].  Если архив не появился, то сами архивируем папку ZOO, ставим пароль virus и отправляем на адрес.
После перезагрузки сделать лог Malwarebytes и выложить сюда. Можно сделать быструю проверку, а не полную.
Правильно заданный вопрос - это уже половина ответа
Перейти
поговорить о uVS, Carberp, планете Земля
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 12.02.2012 18:59:07
Цитата
santy пишет:
по этой ссылке в краткой инструкции
каталог 7zip добавлен в архив с uVS, и действие архиватора прописано в settings.
ну так может есть смысл поставить эту ссылку на первое место, а не после глюкавого сервера автора программы? тем более для него это лишняя нагрузка :)
Правильно заданный вопрос - это уже половина ответа
Перейти
[ Закрыто] модифицированный червь Win32/Dorkbot.A
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 12.02.2012 18:56:55
Сделайте лог uVS
Правильно заданный вопрос - это уже половина ответа
Перейти
поговорить о uVS, Carberp, планете Земля
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 12.02.2012 18:55:56
Так как у RP55 RP55 нету доступа к Хелперскому разделу на соседнем форуме, то повторю пост тут:

Вчера на одном ресурсе был интересный случай, до сих пор не пойму как такое может быть.
Человек изначально обратился с просьбой помочь в удалении маячка - кидало его на internet.com
Выложил все логи. В логах был только маячок который успешно был удален. Затем попросил сделать лог Mbam. Получил его и увидел там такое:
Цитата
Обнаруженные процессы в памяти: 1
C:\Documents and Settings\Admin\Application Data\netprotocol.exe (Trojan.Agent.Gen) -> 2280 -> Удалить после перезагрузки системы.

Обнаруженные параметры в реестре: 3
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Netprotocol (Trojan.Agent.Gen) -> Параметры: C:\Documents and Settings\Admin\Application Data\netprotocol.exe -> Помещено в карантин и успешно удалено.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Expl­orer\Run|Windows Debugger 32 (Backdoor.Agent) -> Параметры: C:\WINDOWS\system32\machineupdate32.exe -> Помещено в карантин и успешно удалено.
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|SysDebug32 (Trojan.Agent) -> Параметры: …вNhCЃзA”…˜_†#ГGйжЭ8ќэт•єA9ЪN3ЪѓD^нќ?¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P;*зиљЁ„Ц±–]D\тзrА_ѕYЉPRўVфЂE3Ђ(д(¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P%rЅщsZЪDvЋізіL„¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;PЮв3ф–# -> Помещено в карантин и успешно удалено.


Обнаруженные файлы: 6
C:\Documents and Settings\Admin\Application Data\word.exe (Trojan.Agent) -> Помещено в карантин и успешно удалено.
C:\Documents and Settings\Admin\Application Data\netprotocol.exe (Trojan.Agent.Gen) -> Удалить после перезагрузки системы.
C:\WINDOWS\system32\machineupdate32.exe (Backdoor.Agent) -> Удалить после перезагрузки системы.
Мне интересно как эти два зловреда не попали ни в лог AVZ, ни в uVS
Правильно заданный вопрос - это уже половина ответа
Перейти
[ Закрыто] вероятно модифицированный Win32/TrojanDownloader.Carberp.AD
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 12.02.2012 18:54:33
Запускаем uVS еще раз, только теперь меню Скрипт - Выполнить скрипт находящийся в буфере обмена
Вставляем текст скрипта:
Перед выполнением скрипта, закрыть браузеры!
Код
;;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

zoo %SystemDrive%\USERS\NIGHTMARE\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\GDGLSGMW1X8.EXE
bl F22F4E6E265499ABB5EAA514C1174B56 180736
delmz %SystemDrive%\USERS\NIGHTMARE\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\GDGLSGMW1X8.EXE
delall %SystemDrive%\USERS\NIGHTMARE\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\GDGLSGMW1X8.EXE
deltmp
delnfr
czoo
restart

И жмем Выполнить. После выполнения скрипта - ПК перезагрузится.
В папке с программой UVS появится архив с сегодняшней датой\временем (без имени ПК) - его надо прислать на адрес [email protected].  Если архив не появился, то сами архивируем папку ZOO, ставим пароль virus и отправляем на адрес.
После перезагрузки сделать лог Malwarebytes и выложить сюда. Можно сделать быструю проверку, а не полную.
Правильно заданный вопрос - это уже половина ответа
Перейти
[ Закрыто] Не обновляется НОД, не грузятся антивирусные сайты
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 12.02.2012 18:22:06
потому что вы очистили кэш обновлений и антивирус начал качать всю базу с нуля
если проблем больше нет - Выполните рекомендации
Правильно заданный вопрос - это уже половина ответа
Перейти
Пред. 1 ... 518 519 520 521 522 523 524 525 526 527 528 ... 673 След.