Объект: utils.cdneurope.com/js/mo.js Угроза: JS/Kryptik.I троянская программа Соединение прервано - изолировано

Сообщений: 7

Баллов: 3

Регистрация: 20.06.2014

Размещено 20.06.2014 12:13:22

Уже были подобные темы, но по инструкции вылечить вирус не вышло, да и тем более, как я поняла, скрипт должен быть индивидуальным.
Проблема такая: постоянно выдает:
Объект: utils.cdneurope.com/js/mo.js Угроза: JS/Kryptik.I троянская программа Соединение прервано - изолировано

Выдает при каждом переходе на новую страницу браузера, вылечить не получается.

Полный образ автозапуска:
http://rghost.ru/56478866

Заранее спасибо!

Сообщений: 17972

Баллов: 28754

Регистрация: 16.03.2010

Размещено 20.06.2014 12:53:11

1.

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.82.8 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\DESKTOP\ADOBEFLASHPLAYER.EXE addsgn A7679B1991AE1F245CE76E3821389B40F9627A627605F7F5233C3A544C7F8EB3CB440AA8C1BD0780D47F6C56B4E9B6124D2B178D661AE544D1D5E42FA3F91217 19 Trojan.Packed.25266 [DrWeb] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\QUARANTINE.EXE addsgn 925277EA126AC1CC0B74564E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 8 Trojan.BtcMine.247 [DrWeb] delall %SystemDrive%\PROGRAM FILES\AD-AWARE ANTIVIRUS\ADAWARELAUNCHER delall %SystemDrive%\PROGRAM FILES\GET-STYLES 2.0\IE\JSLOADER.DLL ;------------------------autoscript--------------------------- chklst delvir delref HTTP://SINDEX.BIZ/?COMPANY=1 delhst 209.141.49.49 m.odnoklassniki.ru delhst 209.141.49.49 ok.ru delhst 209.141.49.49 m.ok.ru delhst 209.141.49.49 www.odnoklassniki.ru ; Bonjour exec MsiExec.exe /X{79155F2B-9895-49D7-8612-D92580E0DE5B} /quiet deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.82.8 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\DESKTOP\ADOBEFLASHPLAYER.EXE
addsgn A7679B1991AE1F245CE76E3821389B40F9627A627605F7F5233C3A544C7F8EB3CB440AA8C1BD0780D47F6C56B4E9B6124D2B178D661AE544D1D5E42FA3F91217 19 Trojan.Packed.25266 [DrWeb]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\QUARANTINE.EXE
addsgn 925277EA126AC1CC0B74564E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 8 Trojan.BtcMine.247 [DrWeb]

delall %SystemDrive%\PROGRAM FILES\AD-AWARE ANTIVIRUS\ADAWARELAUNCHER
delall %SystemDrive%\PROGRAM FILES\GET-STYLES 2.0\IE\JSLOADER.DLL
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://SINDEX.BIZ/?COMPANY=1

delhst 209.141.49.49 m.odnoklassniki.ru
delhst 209.141.49.49 ok.ru
delhst 209.141.49.49 m.ok.ru
delhst 209.141.49.49 www.odnoklassniki.ru

; Bonjour
exec MsiExec.exe /X{79155F2B-9895-49D7-8612-D92580E0DE5B} /quiet

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните сканирование (угроз) в Malwarebytes

+
добавьте логи расширений браузеров
http://forum.esetnod32.ru/forum9/topic10570/

[ Как создать образ автозапуска? ]

Сообщений: 7

Баллов: 3

Регистрация: 20.06.2014

Размещено 20.06.2014 15:15:07

Выполнила скрипт.
Все по-старому.

Сообщений: 17972

Баллов: 28754

Регистрация: 16.03.2010

Размещено 20.06.2014 15:16:24

далее,
выполните сканирование (угроз) в Malwarebytes

+
добавьте логи расширений браузеров
http://forum.esetnod32.ru/forum9/topic10570/

[ Как создать образ автозапуска? ]

Сообщений: 7

Баллов: 3

Регистрация: 20.06.2014

Размещено 20.06.2014 15:23:02

Логи расширений:
http://rghost.ru/56482729

Сообщений: 7

Баллов: 3

Регистрация: 20.06.2014

Размещено 20.06.2014 15:23:34

Проверка в процессе.

Сообщений: 7

Баллов: 3

Регистрация: 20.06.2014

Размещено 20.06.2014 15:35:19

Проверка:
http://rghost.ru/private/56482856/839627a3c972008a96b8e9dafb360255

Остальные по браузерам:
http://rghost.ru/56482906
http://rghost.ru/56482922

Сообщений: 17972

Баллов: 28754

Регистрация: 16.03.2010

Размещено 20.06.2014 16:07:58

в мозилле это отключите

Цитата
Yes Extension Bob Helper 1.0.14 Trioris, Inc. default C:\Documents and Settings\Administrator\Application Data\Mozilla\Firefox\Profiles\ryfkb76s.default\extensions\{6236BA26-C117-4007-928C-DE0716C7FA48}.xpi Yes Extension Chameleon Bob 1.0.79 Trioris default C:\Documents and Settings\Administrator\Application Data\Mozilla\Firefox\Profiles\ryfkb76s.default\extensions\{6236BA26-C117-4007-928C-DE0716C7FA78}.xpi No Extension Delta Toolbar 1.5.0 delta-search.com default C:\Documents and Settings\Administrator\Application Data\Mozilla\Firefox\Profiles\ryfkb76s.default\extensions\[email protected] Yes Extension Express Tab 1.1.7 Trioris, Inc. default C:\Documents and Settings\Administrator\Application Data\Mozilla\Firefox\Profiles\ryfkb76s.default\extensions\{6236BA26-C117-4007-928C-DE0716C7FA68}.xpi Yes Extension Homepage Guard 1.0.14 Trioris, Inc. default C:\Documents and Settings\Administrator\Application Data\Mozilla\Firefox\Profiles\ryfkb76s.default\extensions\{6236BA26-C117-4007-928C-DE0716C7FA58}.xpi No Extension Microsoft .NET Framework Assistant 0.0.0 Microsoft default Yes Extension SaveFrom.net helper 2.29 SaveFrom.net default C:\Documents and Settings\Administrator\Application Data\Mozilla\Firefox\Profiles\ryfkb76s.default\extensions\[email protected] Yes Extension Usage Statistics 1.0.14 Trioris, Inc. default C:\Documents and Settings\Administrator\Application Data\Mozilla\Firefox\Profiles\ryfkb76s.default\extensions\{6236BA26-C117-4007-928C-DE0716C7FA38}.xpi Yes Extension VkOpt 2.2.1.131211 KiberПсих default C:\Documents and Settings\Administrator\Application Data\Mozilla\Firefox\Profiles\ryfkb76s.default\extensions\[email protected]

Цитата

Yes Extension Bob Helper 1.0.14 Trioris, Inc. default C:\Documents and Settings\Administrator\Application Data\Mozilla\Firefox\Profiles\ryfkb76s.default\extensions\{6236BA26-C117-4007-928C-DE0716C7FA48}.xpi
Yes Extension Chameleon Bob 1.0.79 Trioris default C:\Documents and Settings\Administrator\Application Data\Mozilla\Firefox\Profiles\ryfkb76s.default\extensions\{6236BA26-C117-4007-928C-DE0716C7FA78}.xpi
No Extension Delta Toolbar 1.5.0 delta-search.com default C:\Documents and Settings\Administrator\Application Data\Mozilla\Firefox\Profiles\ryfkb76s.default\extensions\[email protected]
Yes Extension Express Tab 1.1.7 Trioris, Inc. default C:\Documents and Settings\Administrator\Application Data\Mozilla\Firefox\Profiles\ryfkb76s.default\extensions\{6236BA26-C117-4007-928C-DE0716C7FA68}.xpi
Yes Extension Homepage Guard 1.0.14 Trioris, Inc. default C:\Documents and Settings\Administrator\Application Data\Mozilla\Firefox\Profiles\ryfkb76s.default\extensions\{6236BA26-C117-4007-928C-DE0716C7FA58}.xpi
No Extension Microsoft .NET Framework Assistant 0.0.0 Microsoft default
Yes Extension SaveFrom.net helper 2.29 SaveFrom.net default C:\Documents and Settings\Administrator\Application Data\Mozilla\Firefox\Profiles\ryfkb76s.default\extensions\[email protected]
Yes Extension Usage Statistics 1.0.14 Trioris, Inc. default C:\Documents and Settings\Administrator\Application Data\Mozilla\Firefox\Profiles\ryfkb76s.default\extensions\{6236BA26-C117-4007-928C-DE0716C7FA38}.xpi
Yes Extension VkOpt 2.2.1.131211 KiberПсих default C:\Documents and Settings\Administrator\Application Data\Mozilla\Firefox\Profiles\ryfkb76s.default\extensions\[email protected]

в Хроме это отключите

Цитата
Yes Extension Get Styles 1.0.0.5 Default C:\Documents and Settings\Administrator\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\ihokeeplplamiompchbagkgnoimcioac\1.0.0.5_0

----------
пишем результат

[ Как создать образ автозапуска? ]

Сообщений: 7

Баллов: 3

Регистрация: 20.06.2014

Размещено 20.06.2014 16:20:50

Отключила в фаерфоксе. Больше не выдает с:
А хром я пока ищу. Им не пользуюсь, поэтому даже ярлыка нет.

Сообщений: 7

Баллов: 3

Регистрация: 20.06.2014

Размещено 20.06.2014 16:32:57

В хроме тоже отключено.

[ Закрыто ] Объект: utils.cdneurope.com/js/mo.js Угроза: JS/Kryptik.I троянская программа Соединение прервано - изолировано