Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Опять такая же проблема !!!

1 2 След.
RSS
 
O4kapuk
O4kapuk
Пользователь
Сообщений: 16
Баллов: 8
Регистрация: 07.04.2012
Размещено 17.10.2012 18:31:55
Я настолько везучий что мне снова повезло поймать подобный вирус что и был в самой 1ой моей теме.
Вирус из-за которого другие браузеры не открывали не 1 сайт кроме файрфокса, а само сообщение вируса постоянно высвечивалось и которую нельзя было не очистить не удалить.

Вобщем я сделал лог как и в прошлые разы и залил на http://zalil.ru/33862555
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 17.10.2012 18:44:30
Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !
На вопросы программы отвечаем: Да !
Код
     

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

delref HTTP://BROWSERHELP2.RU
exec "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL
exec MSIEXEC.EXE /I{12644DC5-2271-442B-816F-8CFFD3DDDF32}
exec C:\PROGRAM FILES\TICNO\MULTIBAR\UNINSTALL.EXE
addsgn 1A12629A5583348CF42B254E3143FE8E608277F608C27C0BE823B096D3AE614F563348172A68BD4CB899F08A7B374C6964ABE64F77DF23355970992F879F2306 8 TASKHOST.EXE.Vir

zoo %SystemDrive%\USERS\22-15-34\APPDATA\ROAMING\MICROSOFT\TASKHOST.EXE
zoo %Sys32%\FGGROLK.DLL
czoo
bl 414174FE0DDA4A931A77EF2988C0FE1D 118784
delall %SystemDrive%\USERS\22-15-34\APPDATA\ROAMING\MICROSOFT\TASKHOST.EXE
chklst
delvir
bl 6DC4C0248776B88DE969D17A42572660 39936
delref %Sys32%\FGGROLK.DLL
bl 5B3345909519932D6670D92F16496463 11
delall %SystemDrive%\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE
bl 68AF1C01341DA23A1D01FC487FEA8B6B 1582976
delall %SystemDrive%\USERS\22-15-34\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
deltmp
delnfr
regt 1
regt 2
regt 3
regt 5
regt 18
restart


-------------
Архив из папки uVS; (с копиями вирусов для вирлаба, имя автоматически формируется от текущей даты,
например: ZOO_2012-00-20_18-49-40.rar/7z)
... отправить в почту [email protected] ;
*** если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected
+
Далее (даже если проблема решена) выполнить лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic682/
Выбрать быстрое сканирование. Отчет предоставить для анализа.
Изменено: RP55 RP55 - 17.10.2012 18:48:58
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 17.10.2012 18:53:13
O4kapuk
Вам знаком этот файл ?
D:\SEMEINOE\NURLAN\ANYCOM-BLUE.RAR~\ANYCOM-BLUE\ANYCOM-BLUE\ANYCOM-BLUE-USB-200-250-500-550-V5-5-0-6900-WINDOWS.EXE
 
O4kapuk
O4kapuk
Пользователь
Сообщений: 16
Баллов: 8
Регистрация: 07.04.2012
Размещено 17.10.2012 19:03:54
Цитата
RP55 RP55 пишет:
O4kapuk
Вам знаком этот файл ?
D:\SEMEINOE\NURLAN\ANYCOM-BLUE.RAR~\ANYCOM-BLUE\ANYCOM-BLUE\ANYCOM-BLUE-USB-200-250-500-550-V5-5-0-6900-WINDOWS.EXE
Брат говорит что это его файл блютуза...
 
O4kapuk
O4kapuk
Пользователь
Сообщений: 16
Баллов: 8
Регистрация: 07.04.2012
Размещено 17.10.2012 20:07:07
Выполнить скрипт не получилось.
Когда код ввел и нажал "выполнить" то вылезла табличка с названием 16bit MS-DOS Subsystem
А содержание таблицы было:
C:\PROGA~1\MAIL.RU\GUARD\GUARDUM~1.EXE
TheNTVDM CPU has encountered an illegal instruction.
CS:014b IP:05cf OP:63 3a 5c 77 69 Choose 'Close' to terminate the application.
Варианты действия были: "Закрыть" или "Пропустить"
оба действии приводили к появлению таблички с названием: Html5 geolocation provider
А ее содержание было:
Preparing to install...

И все дальше ничего не было курсор мышки был в знаке загрузки и пришлось нажать кэнсел.

П.С. А можно ли эту тему не закрывать? А то я думаю что в будущем еще не раз буду сталкиваться с этим вирусом, ну или другие люди тоже. И каждый раз создавать тему как то не правильно что ли, я уже не 1ый раз открывал эту тему с таким вирусом.
Изменено: O4kapuk - 17.10.2012 20:11:42
 
santy
santy
Администратор
Сообщений: 17972
Баллов: 28754
Регистрация: 16.03.2010
Размещено 17.10.2012 20:20:39
сделайте новый образ автозапуска
[ Как создать образ автозапуска? ]
 
O4kapuk
O4kapuk
Пользователь
Сообщений: 16
Баллов: 8
Регистрация: 07.04.2012
Размещено 17.10.2012 20:54:35
Сделал новый образ автозапуска, вот залил http://zalil.ru/33863478
А вообще в какую папку его нужно сохранять?
 
santy
santy
Администратор
Сообщений: 17972
Баллов: 28754
Регистрация: 16.03.2010
Размещено 17.10.2012 21:03:09
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
;OFFSGNSAVE
delref %Sys32%\FGGROLK.DLL
delref HTTP://BROWSERHELP2.RU
addsgn 1A12629A5583348CF42B254E3143FE8E608277F608C27C0BE823B096D3AE614F563348172A68BD4CB899F08A7B374C6964ABE64F77DF23355970992F879F2306 8 Voltar.1007
zoo %SystemDrive%\USERS\22-15-34\APPDATA\ROAMING\MICROSOFT\TASKHOST.EXE
delall %SystemDrive%\USERS\22-15-34\APPDATA\ROAMING\MICROSOFT\TASKHOST.EXE
delall %SystemDrive%\USERS\22-15-34\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
chklst
delvir
deltmp
delnfr
regt 14
czoo
exec C:\PROGRAM FILES\TICNO\INDEXATOR\UNINSTALL.EXE
exec C:\PROGRAM FILES\TICNO\MULTIBAR\UNINSTALL.EXE
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
Изменено: santy - 17.10.2012 21:07:46
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17972
Баллов: 28754
Регистрация: 16.03.2010
Размещено 17.10.2012 21:08:55
скрипт лучше выполнить новой версией uVS
скачайте отсюда
http://rghost.ru/users/santy/releases/utilitiesLiveCd/files/40478212
[ Как создать образ автозапуска? ]
 
O4kapuk
O4kapuk
Пользователь
Сообщений: 16
Баллов: 8
Регистрация: 07.04.2012
Размещено 17.10.2012 21:39:50
Цитата
santy пишет:
скрипт лучше выполнить новой версией uVS
скачайте отсюда
http://rghost.ru/users/santy/releases/utilitiesLiveCd/files/40478212
Скачал с вашей ссылки и сделал новый полный образ автозапуска http://zalil.ru/33863691
 
1 2 След.
Читают тему