модифицированный Win32/Corkow.AE - Форум технической поддержки ESET NOD32

Сообщений: 6

Баллов: 3

Регистрация: 13.08.2014

Размещено 14.08.2014 12:27:07

Та же проблема на другом компьютере

Прикрепленные файлы

HEADNURSE_2014-08-14_12-14-11.7z (230.68 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 14.08.2014 12:37:16

по новому образу:
сделайте еще раз образ автозапуска, только uVS надо запустить с правами администратора

Цитата
(!) Не удалось получить прямой доступ к физическому диску #0, возможно в системе активен руткит!

+
вопрос:
это ваши настройки прокси?

Цитата
Полное имя HTTP://ERINOPE.COM/TIMEG/HOURS2.RUP Имя файла HTTP://ERINOPE.COM/TIMEG/HOURS2.RUP Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске Удовлетворяет критериям AUTOCONFIGURL (ССЫЛКА ~ AUTOCONFIGURL)(1) AND (AUTOCONFIGURL ~ HTTP)(1) Сохраненная информация на момент создания образа Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Ссылки на объект Ссылка HKEY_USERS\S-1-5-21-3717219632-1226686810-3444946502-1214\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL AutoConfigURL http://erinope.com/timeg/hours2.rup

Цитата

Полное имя HTTP://ERINOPE.COM/TIMEG/HOURS2.RUP
Имя файла HTTP://ERINOPE.COM/TIMEG/HOURS2.RUP
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Удовлетворяет критериям
AUTOCONFIGURL (ССЫЛКА ~ AUTOCONFIGURL)(1) AND (AUTOCONFIGURL ~ HTTP)(1)

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ

Ссылки на объект
Ссылка HKEY_USERS\S-1-5-21-3717219632-1226686810-3444946502-1214\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL
AutoConfigURL http://erinope.com/timeg/hours2.rup

+
добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

Изменено: santy - 14.08.2014 12:40:25

[ Как создать образ автозапуска? ]

Сообщений: 6

Баллов: 3

Регистрация: 13.08.2014

Размещено 14.08.2014 13:19:51

нет это не наши настройки
Вот еще образ и лог угроз

Прикрепленные файлы

11.rar (1.48 КБ)
HEADNURSE_2014-08-14_13-02-57.7z (294.81 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 14.08.2014 13:25:25

а это что у вас за программа?

Цитата
C:\PROGRAM FILES\WINLOCKPRO\WINLOCK.EXE

полезная, или тоже ее снести скриптом? похоже, с полезной начинкой по боевому охранению системы

Изменено: santy - 14.08.2014 13:27:17

[ Как создать образ автозапуска? ]

Сообщений: 6

Баллов: 3

Регистрация: 13.08.2014

Размещено 14.08.2014 13:26:48

оставить, ограничивает доступ к настройкам

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 14.08.2014 13:28:31

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.83 BETA 15 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\TANYA\APPLICATION DATA\DAOEU\MSENTPRF.OGM delall %SystemDrive%\DOCUMENTS AND SETTINGS\TANYA\APPLICATION DATA\DAOEU\MSENTPRF.OGM ;------------------------autoscript--------------------------- chklst delvir delref HTTP://ERINOPE.COM/TIMEG/HOURS2.RUP ; Java(TM) 6 Update 35 exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216035FF} /quiet deltmp delnfr ;------------------------------------------------------------- czoo restart

Код


;uVS v3.83 BETA 15 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\TANYA\APPLICATION DATA\DAOEU\MSENTPRF.OGM
delall %SystemDrive%\DOCUMENTS AND SETTINGS\TANYA\APPLICATION DATA\DAOEU\MSENTPRF.OGM
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://ERINOPE.COM/TIMEG/HOURS2.RUP

; Java(TM) 6 Update 35
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216035FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Сообщений: 6

Баллов: 3

Регистрация: 13.08.2014

Размещено 14.08.2014 13:41:12

Спасибо, все ок

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 14.08.2014 13:47:23

далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

если не будет обнаружено угроз в мбам,
выполните рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

[ Закрыто ] модифицированный Win32/Corkow.AE