Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Оперативная память = explorer.exe(2256) , Оперативная память = explorer.exe(2256)

1 2 След.
RSS
 
trostyan
trostyan
Пользователь
Сообщений: 34
Баллов: 17
Регистрация: 02.12.2011
Размещено 18.04.2012 07:34:47
Здравствуйте в файле журнал NOd вот эти бяки...каким скриптом их убить???помогите я знаю вы могете

18.04.2012 8:02:19 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = explorer.exe(2256) вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа очистка невозможна WORK\User_142
17.04.2012 7:48:56 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = explorer.exe(2392) модифицированный Win32/TrojanDownloader.Carberp.AH троянская программа очистка невозможна WORK\User_142
 
santy
santy
Администратор
Сообщений: 17971
Баллов: 28752
Регистрация: 16.03.2010
Размещено 18.04.2012 08:08:10
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
zoo %Sys32%\MSWXMKSL.EXE
addsgn 964D779A556A19FBEEBE51D978E853054D10ECB689AA7BF1A0C3C5BC50559D5C704194DE5BBDCD9017A4E21E4A3249F9A4F3CCF191DEDA2C4777CC07E747221B 14 tr.Agent
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\M4E0K18VKJA.EXE
addsgn A7679B1BB9F24C720B87F8E6A38DA605258AFC31CC0E1F7885C302F9C8B2714C23D086A73D559D49ECC57C9F4616493D3867E87255DA7769B176A42FC766AB5E 8 tr.Carberp
bl 2F00381FB9E7AEC54D523D3251ACE134 299560
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\M4E0K18VKJA.EXE
delall %Sys32%\MSWXMKSL.EXE
addsgn A7679B19B93AA4AA3CD4AEE2ED8DC26D251ABCD461122678854001B806BCB02423BDEEAD54C9759B1180841C821A1E90BDB7E80B03C0DAD9C523982FC785E67F 8 tr.Carberp
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\JQSK9WSINO0.EXE
bl FEED27537AEFF3747A652F92798091AB 184320
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\JQSK9WSINO0.EXE
addsgn A76592C9033DCF0F07D5DBB48CD41205256257FC89FAE00D953CB0B0AFA379ED2327C347C185C217704946934643C01FFE33E4253FDADADAC50AAF2FC78F678B 64 rdpdoor
zoo %Sys32%\XTGINA.DLL
delall %Sys32%\XTGINA.DLL
deltmp
delnfr
setdns Local\4\{B0D2B843-5410-4032-8651-46D22AF435AE}\
setdns Подключение по локальной сети 2\4\{51FF7190-9224-4085-BA1E-CE21510EA33F}\
setdns Подключение по локальной сети 3\4\{38D6D195-DB0E-4C27-943A-ED08A564CFD8}\
setdns Подключение по локальной сети\4\{D8740166-E042-456B-8174-401A0855CB92}\
EXEC cmd /c"ipconfig /flushdns"
CZOO
restart

перезагрузка, пишем о старых и новых проблемах.
архив, из каталога uVS, созданный после скрипта (например: 2011-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
------------
далее,
сделайте новый образ автозапуска;

сделайте дополнительно быструю проверку системы в малваребайт
[ Как создать образ автозапуска? ]
 
trostyan
trostyan
Пользователь
Сообщений: 34
Баллов: 17
Регистрация: 02.12.2011
Размещено 18.04.2012 08:18:33
сейчас система досканируется, и я выполню скрипт...

santy, скажите а как можно узнать источник ,откуда эта зараза забегает...у меня уже вторую машину заражает...думаю что где то в сетке лежит
 
trostyan
trostyan
Пользователь
Сообщений: 34
Баллов: 17
Регистрация: 02.12.2011
Размещено 18.04.2012 08:31:41
перед тем как отправить вам логи я просканировал систему NODом и webо"вской утилиткой, нод не нашел подозрительные файлы Веб нашел..я подумал может вам будет интересно вот лог Weba, там два файла были удалены....


и лог UVS  после скрипта
 
santy
santy
Администратор
Сообщений: 17971
Баллов: 28752
Регистрация: 16.03.2010
Размещено 18.04.2012 08:38:41
нет, логи веба некогда смотреть. Я так понимаю вы у нас рабочие компьютеры лечите.
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17971
Баллов: 28752
Регистрация: 16.03.2010
Размещено 18.04.2012 08:41:42
данный скрипт выполните в безопасном режиме.
--------------
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
delall %Sys32%\DRIVERS\BETWINKF.SYS
delall %Sys32%\DRIVERS\BETWINMF.SYS
delall %Sys32%\BETWINSERVICEXP.EXE
delall %Sys32%\DRIVERS\BETWINSYSTEM.SYS
delall %Sys32%\DRIVERS\BETWINVF.SYS
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
Изменено: santy - 18.04.2012 08:41:56
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17971
Баллов: 28752
Регистрация: 16.03.2010
Размещено 18.04.2012 08:44:56
Цитата
trostyan пишет:
santy, скажите а как можно узнать источник ,откуда эта зараза забегает...у меня уже вторую машину заражает...думаю что где то в сетке лежит
это пробивает не из локльной сети, а из инета. Carberp+RDPDoor, к тому же подменены настройки DNS, а это значит, что браузеры идут не туда - куда думают, а куда им говорят.
[ Как создать образ автозапуска? ]
 
trostyan
trostyan
Пользователь
Сообщений: 34
Баллов: 17
Регистрация: 02.12.2011
Размещено 18.04.2012 09:43:22
Цитата
santy пишет:
Цитата
trostyan пишет:

santy, скажите а как можно узнать источник ,откуда эта зараза забегает...у меня уже вторую машину заражает...думаю что где то в сетке лежит

это пробивает не из локльной сети, а из инета. Carberp+RDPDoor, к тому же подменены настройки DNS, а это значит, что браузеры идут не туда - куда думают, а куда им говорят.

че еще не всех поймали???? ох уж эти жулики
 
santy
santy
Администратор
Сообщений: 17971
Баллов: 28752
Регистрация: 16.03.2010
Размещено 18.04.2012 09:59:55
нет, новые рождаются. логи нужны теперь от малваребайт после выполнения скрипта в безопасном режиме.
[ Как создать образ автозапуска? ]
 
trostyan
trostyan
Пользователь
Сообщений: 34
Баллов: 17
Регистрация: 02.12.2011
Размещено 18.04.2012 12:33:05
мда в безопасном не получится сейчас, тоьлко завтра, удаленно его юзаю , естькакието другие варианты?
 
1 2 След.
Читают тему