Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

Еще раз здравствуйте

RSS
 
евгений иванов
евгений иванов
Пользователь
Сообщений: 35
Баллов: 17
Регистрация: 13.06.2013
Размещено 01.08.2013 18:39:59
Еще раз здравствуйте santy :D Только что Вы вылечили мой комп от Win32/Dorkbot.B. Помогите,пожалуйста.,очистить от той же заразы комп с которого я заразился(или флешкой или модемом)

Ответы

Пред. 1 2 3 4 5 След.
 
евгений иванов
евгений иванов
Пользователь
Сообщений: 35
Баллов: 17
Регистрация: 13.06.2013
Размещено 01.08.2013 20:32:04
понял        вот он
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.08.2013 20:35:47
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код

;uVS v3.80.13 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
zoo %SystemDrive%\USERS\111\APPDATA\ROAMING\A9C7.EXE
addsgn 9252623A156AC1CCE0BB514E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5FC202ADA4D985CC8F 8 Trojan:Win32/Loktrom.B [Microsoft]

zoo %SystemDrive%\USERS\111\APPDATA\ROAMING\B8B6.EXE
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-861397\SZSEC.EXE
zoo %SystemDrive%\USERS\111\APPDATA\ROAMING\SCREENSAVERPRO.SCR
addsgn 9252620A156AC1CCE0AB514E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 Trojan.DownLoad3.8872 [DrWeb]

zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-101417\S11Z2EC.EXE
adddir %SystemDrive%\USERS\111\APPDATA\ROAMING
delall %SystemDrive%\USERS\111\APPDATA\ROAMING\7DD6.EXE
bl 0160E34A75852A2A692D79E7C4AD63DA 30336
bl 5EE95388796DE581BF0ED358C5A1CD07 30336
;------------------------autoscript---------------------------

chklst
delvir
REGT 5
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка,

добавьте новый образ автозапуска
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.08.2013 20:38:54
+
добавьте из каталога uVS все логи выполнения скриптов
файлы дата_имяlog.txt
[ Как создать образ автозапуска? ]
 
евгений иванов
евгений иванов
Пользователь
Сообщений: 35
Баллов: 17
Регистрация: 13.06.2013
Размещено 01.08.2013 21:04:53
сделал
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.08.2013 21:07:01
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код

;uVS v3.80.13 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
zoo %SystemDrive%\USERS\111\APPDATA\ROAMING\SCREENSAVERPRO.SCR
addsgn 9252620A156AC1CCE0AB514E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 Trojan.DownLoad3.8872 [DrWeb]

bl 728BD64F06696708FE4F9FAC41841001 152704
delall %SystemDrive%\USERS\111\APPDATA\ROAMING\SCREENSAVERPRO.SCR
;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.08.2013 21:14:34
+
добавьте логи выполнения скрипта из сообщения 25
Изменено: santy - 01.08.2013 21:21:58
[ Как создать образ автозапуска? ]
 
евгений иванов
евгений иванов
Пользователь
Сообщений: 35
Баллов: 17
Регистрация: 13.06.2013
Размещено 02.08.2013 12:53:27
вчера уснул под компом-вот лог          антивирус пишет Оперативная память » c:\users\111\appdata\roaming\3748.exe - модифицированный Win32/Lethic.AA троянская программа - очистка невозможна
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 02.08.2013 12:57:49
бесконечная борьба с доркботом продолжается  :)

возможно с флэшки заражается система.

обратите внимание, что start.exe должен запуститься с правами администратора.

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код
;uVS v3.80.13 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
zoo %SystemDrive%\USERS\111\APPDATA\ROAMING\3748.EXE
addsgn 9252623A156AC1CCE0BB514E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 14 kasper_vir_tim

zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81540\SXSHIN.EXE
bl 736A998C7F85FE024EF905E6C0A1617E 27776
delall %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-81540\SXSHIN.EXE
delall %SystemDrive%\USERS\111\APPDATA\ROAMING\3748.EXE
addsgn 1A7C419A5583C58CF42BC4B19BDD4E95658A3F099C9A8F388501C1BCDB2924C7CFE8B65FC160259B6B807B8A228609FA820FB5B051DA1198FF37A4EC4CF9748C 8 Backdoor.Win32.Androm.ahpn [Kaspersky]

zoo %SystemDrive%\USERS\111\APPDATA\ROAMING\SCREENSAVERPRO.SCR
bl BF195E7541B5C9BB3C70D88565B0ACB0 121344
adddir %SystemDrive%\USERS\111\APPDATA\ROAMING
delall %SystemDrive%\USERS\111\APPDATA\ROAMING\SCREENSAVERPRO.SCR

;------------------------autoscript---------------------------

chklst
delvir

REGT 5

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив, из каталога uVS, созданный после выполнения скрипта (например: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected]
----------
далее,
выполните быстрое сканирование в Malwarebytes
Изменено: santy - 02.08.2013 12:59:13
[ Как создать образ автозапуска? ]
 
евгений иванов
евгений иванов
Пользователь
Сообщений: 35
Баллов: 17
Регистрация: 13.06.2013
Размещено 02.08.2013 13:15:57
архив отправил-uVS сегодня запускается только со второго раза,в первый пропадает-распаковал в другом месте
 
евгений иванов
евгений иванов
Пользователь
Сообщений: 35
Баллов: 17
Регистрация: 13.06.2013
Размещено 02.08.2013 13:16:39
делаю сканирование
 
Пред. 1 2 3 4 5 След.
Читают тему