Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Скрытая сборка rms на компьютере , выявление скрытой сборки rms

1 2 3 След.
RSS
 
iiyama
iiyama
Пользователь
Сообщений: 122
Баллов: 97
Регистрация: 23.11.2011
Размещено 08.10.2014 20:51:21
Здравствуйте. Подскажите пожалуйста, можно ли выявить на компьютере скрытую rms. Есть повод беспокоится. А так же были замечены поддельные страницы для авторизации в почтовых программах. Ни с того ни с сего почему то вылетаю с почтового ящика и появляется страница для ввода пароля.
Как провести зачистку компьютера от этих дел?
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 08.10.2014 22:07:12
Компьютер - Защита от вирусов и шпионских программ- включить следующие опции:

1.Включить обнаружение Потенциально нежелательных приложений
2.Включить обнаружение Потенциально опасных приложений
3.Включить обнаружение Потенциально подозрительных приложений

Далее
http://forum.esetnod32.ru/forum9/topic2687/
 
iiyama
iiyama
Пользователь
Сообщений: 122
Баллов: 97
Регистрация: 23.11.2011
Размещено 09.10.2014 09:59:27
Сделал http://rghost.ru/58424800
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 09.10.2014 11:32:35
Как по мне, ничего подозрительного....
 
iiyama
iiyama
Пользователь
Сообщений: 122
Баллов: 97
Регистрация: 23.11.2011
Размещено 09.10.2014 11:37:36
Спасибо.
 
iiyama
iiyama
Пользователь
Сообщений: 122
Баллов: 97
Регистрация: 23.11.2011
Размещено 10.10.2014 22:59:55
Вот образ с компьютера сына http://rghost.ru/58455447
Перед этим уcтановил последнюю версию ESS, и она показывает опасное приложение "mnpmhj"
Можно проверить его компьютер на наличие посторонних программ шпионов и т.п. ?
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 11.10.2014 11:20:03
Доброго времени суток!

В папке с программой UVS будет файл script.cmd
Запустить файл, запустится окно программы для ввода скрипта,
скопировать скрипт написанный ниже и вставить в окно программы.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ ВСЕ БРАУЗЕРЫ!

Код
;uVS v3.83.3 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v383c
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME.BAT
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME.BAT
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\KBROWSER UTILITY\KBROWSER-UPDATER-UTILITY.EXE
zoo %SystemDrive%\PROGRAM FILES\PUNTO.BAT
delall %SystemDrive%\PROGRAM FILES\PUNTO.BAT
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\РАБОЧИЙ СТОЛ\MINECRAFT(BY MINECRAFT-MODS.RU).EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ALTERGEO\UPDATE FOR HTML5 GEOLOCATION PROVIDER\NPHTML5LOC.DLL
delref HTTP://HPTDS6.RU/
delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=3B59602BB1AABAE12D0420E8547FA829&TEXT={SEARCHTERMS}
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\EXTENSIONS\SAFEBROWSER.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\EXTENSIONS\SAFEBROWSER.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\SYSTEMEXPLORERDISABLED\KBROWSER-UPDATER-UTILITY.LNK
exec MSIEXEC.EXE /I{C47579A3-92F5-4560-A0E1-38C1CE8569C9}
exec "C:\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\VOPACKAGE\UNINSTALL.EXE"
exec MSIEXEC.EXE /X{B3CB613C-58D3-4692-B2DA-8F3EAC6288D4}
exec C:\PROGRAM FILES\UNITY\WEBPLAYER\UNINSTALL.EXE /ALLUSERS
regt 3
regt 12
regt 18
regt 29
deltmp
delnfr
restart
И жмем кнопку Выполнить.
На запросы программы по удалению жмите ДА
ПК перезагрузится.

В папке с программой UVS будет папка zoo, ее поместить в архив, установить пароль virus и прислать сюда [email protected]

Далее(даже если проблема решена) выполнить лог программой MBAM
http://forum.esetnod32.ru/forum9/topic10688/
Выбрать быстрое сканирование. Отчет предоставить для анализа
 
iiyama
iiyama
Пользователь
Сообщений: 122
Баллов: 97
Регистрация: 23.11.2011
Размещено 11.10.2014 19:40:07
Текст скрипта содержит ошибки,либо не содержит команд uVS...
 
iiyama
iiyama
Пользователь
Сообщений: 122
Баллов: 97
Регистрация: 23.11.2011
Размещено 11.10.2014 20:07:11
Новый образ http://rghost.ru/58469693 если нужно
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 11.10.2014 20:14:04
Загрузите актуальную версию программы по ссылке и выполните скрипт в ней
http://dsrt.dyndns.org/files/uvs_v383.zip
 
1 2 3 След.
Читают тему