Размещено 23.06.2017 10:20:29
Предупреждения появляются по несколько раз в день, а в карантине уже почти 50 насобиралось
Уважаемые пользователи!
Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новый антивирус от компании PRO32.
Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.
Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.
[ Закрыто ] BAT/TrojanDownloader.Ftp.NSR троянская программа , WMI/ActiveScriptEventConsumer/fuckyoumm2_consumer:
Размещено 23.06.2017 11:22:28
Возможно идет сетевая атака. Необходимо будет установить патч от Microsoft MS-2017-010 для вашей системы
+
+
| Цитата |
|---|
| Создайте образ автозапуска в uVS |
Размещено 23.06.2017 11:26:14
Ещё появились в автозапуске некие start и start1, но выключил их в CCleaner
Размещено 23.06.2017 11:31:01
да, а вот запись вредоносного скрипта в базу WMI антивирусник таки пропускает в результате сетевой атаки.
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
перезагрузка, пишем о старых и новых проблемах.
+
идет сетевая атака.
Необходимо будет установить патч от Microsoft MS-2017-010 для вашей системы
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
| Код |
|---|
;uVS v4.0.5 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v400c OFFSGNSAVE ;------------------------autoscript--------------------------- delref WMI_ACTIVESCRIPTEVENTCONSUMER\FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER] delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\S8L6J2CA.DEFAULT\EXTENSIONS\[email protected] delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDHDGFFKKEBHMKFJOJEJMPBLDMPOBFKFO%26INSTALLSOURCE%3DONDEMAND%26UC apply deltmp delref %SystemRoot%\DEBUG\ITEM.DAT delref %SystemDrive%\DOCUME~1\ADMIN\LOCALS~1\TEMP\CHROME_BITS_2512_418\EXTENSION_0_46_0_4.CRX delref %Sys32%\MACROMED\FLASH\FLASH32_13_0_0_214.OCX delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID] delref %Sys32%\BLANK.HTM delref {42071714-76D4-11D1-8B24-00A0C9068FF3}\[CLSID] delref {764BF0E1-F219-11CE-972D-00AA00A14F56}\[CLSID] delref {853FE2B1-B769-11D0-9C4E-00C04FB6C6FA}\[CLSID] delref {FAC3CBF6-8697-43D0-BAB9-DCD1FCE19D75}\[CLSID] delref MBAMSERVICE\[SERVICE] delref %Sys32%\DRIVERS\CHANGER.SYS delref %Sys32%\DRIVERS\I2OMGMT.SYS delref %Sys32%\DRIVERS\LBRTFDC.SYS delref %Sys32%\DRIVERS\MBAMCHAMELEON.SYS delref %Sys32%\DRIVERS\PCIDUMP.SYS delref %Sys32%\DRIVERS\PDCOMP.SYS delref %Sys32%\DRIVERS\PDFRAME.SYS delref %Sys32%\DRIVERS\PDRELI.SYS delref %Sys32%\DRIVERS\PDRFRAME.SYS delref %Sys32%\DRIVERS\WDICA.SYS delref %Sys32%\PSXSS.EXE delref %Sys32%\EAPA3HST.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL delref %Sys32%\EAPAHOST.DLL ;------------------------------------------------------------- restart |
перезагрузка, пишем о старых и новых проблемах.
+
идет сетевая атака.
Необходимо будет установить патч от Microsoft MS-2017-010 для вашей системы
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
Размещено 23.06.2017 11:35:02
или отсюда можно скачать патч для вашей системы win XP SP3
+
восстановите c2.bat из карантина в c2.vbat, добавьте его в архив с паролем infected и вышлите в почту [email protected]
+
восстановите c2.bat из карантина в c2.vbat, добавьте его в архив с паролем infected и вышлите в почту [email protected]
Размещено 23.06.2017 12:03:58
При восстановлении c2.bat NOD сразу его удалил)
Изменено: Dmitry Shkurgan - 23.06.2017 12:05:59
Размещено 23.06.2017 12:09:48
добавьте в настройки антивируса исключение (не проверять) для расширений VBAT
а при восстановлении из карантина выбрать действие "сохранить как", и укажите ему имя c2.vbat
(потом можно удалить эту запись VBAT из настроек)
если патч установлен, то теперь система не должна пробиваться из внешней сети.
все что было вредоносное в системе мы вычистили,
понаблюдайте за реакцией антивируса, будет ли он еще что то подобное обнаруживать.
а при восстановлении из карантина выбрать действие "сохранить как", и укажите ему имя c2.vbat
(потом можно удалить эту запись VBAT из настроек)
если патч установлен, то теперь система не должна пробиваться из внешней сети.
все что было вредоносное в системе мы вычистили,
понаблюдайте за реакцией антивируса, будет ли он еще что то подобное обнаруживать.
Читают тему