Форум esetnod32.ru [тема: Win32/Glupteba.O] http://forum.esetnod32.ru Новое в теме Win32/Glupteba.O форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Fri, 01 May 2026 01:07:33 +0300 Win32/Glupteba.O Win32/Glupteba.O в форуме Обнаружение вредоносного кода и ложные срабатывания.
хорошо, выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

тему закрываю.
29.01.2015 18:28:16, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic11584/message82140/ http://forum.esetnod32.ru/messages/forum6/topic11584/message82140/ Thu, 29 Jan 2015 18:28:16 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/Glupteba.O Win32/Glupteba.O в форуме Обнаружение вредоносного кода и ложные срабатывания.
не находит, оперативка чистая
29.01.2015 18:02:58, Елена Кузнецова.]]> http://forum.esetnod32.ru/messages/forum6/topic11584/message82139/ http://forum.esetnod32.ru/messages/forum6/topic11584/message82139/ Thu, 29 Jan 2015 18:02:58 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/Glupteba.O Win32/Glupteba.O в форуме Обнаружение вредоносного кода и ложные срабатывания.
как сейчас ESET реагирует? находит  в оперативной памяти Win32/Glupteba.O троянская программа?
выполните сканирование в ESET NOD32 только оперативной памяти,
напишите результат
29.01.2015 18:00:40, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic11584/message82138/ http://forum.esetnod32.ru/messages/forum6/topic11584/message82138/ Thu, 29 Jan 2015 18:00:40 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/Glupteba.O Win32/Glupteba.O в форуме Обнаружение вредоносного кода и ложные срабатывания.
хм, если бы сразу журнал обнаружения угроз глянул, то надо было сразу этот Gorn удалить.


====quote====
29.01.2015 19:35:31    Модуль сканирования файлов, исполняемых при запуске системы    файл    Оперативная память = crypt.exe(2708)    модифицированный Win32/Glupteba.O троянская программа    очищен удалением    MYCOMP\Lena    
29.01.2015 17:17:17    Модуль сканирования файлов, исполняемых при запуске системы    файл    Оперативная память = crypt.exe(2828)    модифицированный Win32/Glupteba.O троянская программа    очищен удалением    MYCOMP\Lena    
=============
новый образ сейчас гляну.
29.01.2015 17:56:57, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic11584/message82137/ http://forum.esetnod32.ru/messages/forum6/topic11584/message82137/ Thu, 29 Jan 2015 17:56:57 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/Glupteba.O Win32/Glupteba.O в форуме Обнаружение вредоносного кода и ложные срабатывания.
прикрепляю все сразу. малваребайт найденные файлы поместил в карантин, образ автозапуска был сделан уже после этого.[FILE ID=95724]
отчет eset.txt

MYCOMP_2015-01-29_20-38-10.7z
29.01.2015 17:47:11, Елена Кузнецова.]]> http://forum.esetnod32.ru/messages/forum6/topic11584/message82136/ http://forum.esetnod32.ru/messages/forum6/topic11584/message82136/ Thu, 29 Jan 2015 17:47:11 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/Glupteba.O Win32/Glupteba.O в форуме Обнаружение вредоносного кода и ложные срабатывания.
отчет получился пустой. нашел что нибудь малваребайт или нет? если да, то покажите скриншотом.
29.01.2015 17:33:47, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic11584/message82135/ http://forum.esetnod32.ru/messages/forum6/topic11584/message82135/ Thu, 29 Jan 2015 17:33:47 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/Glupteba.O Win32/Glupteba.O в форуме Обнаружение вредоносного кода и ложные срабатывания.
с установкой разобралась, отчет приложен ниже
отчет mbam.txt
29.01.2015 17:23:59, Елена Кузнецова.]]> http://forum.esetnod32.ru/messages/forum6/topic11584/message82134/ http://forum.esetnod32.ru/messages/forum6/topic11584/message82134/ Thu, 29 Jan 2015 17:23:59 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/Glupteba.O Win32/Glupteba.O в форуме Обнаружение вредоносного кода и ложные срабатывания.
1. добавьте новый образ автозапуска для контроля.

2. добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/
29.01.2015 17:21:20, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic11584/message82133/ http://forum.esetnod32.ru/messages/forum6/topic11584/message82133/ Thu, 29 Jan 2015 17:21:20 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/Glupteba.O Win32/Glupteba.O в форуме Обнаружение вредоносного кода и ложные срабатывания.
...после еще одной перезагрузки папка gorn удалилась полностью
29.01.2015 17:10:36, Елена Кузнецова.]]> http://forum.esetnod32.ru/messages/forum6/topic11584/message82132/ http://forum.esetnod32.ru/messages/forum6/topic11584/message82132/ Thu, 29 Jan 2015 17:10:36 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/Glupteba.O Win32/Glupteba.O в форуме Обнаружение вредоносного кода и ложные срабатывания.
один из файлов каталога удалить не удалось.
скрипт выполнила, архив на почту выслан.
malwarebytes упорно зависает в процессе установки, сделать проверку им пока не могу.

к сети подключается нормально.
29.01.2015 17:08:48, Елена Кузнецова.]]> http://forum.esetnod32.ru/messages/forum6/topic11584/message82131/ http://forum.esetnod32.ru/messages/forum6/topic11584/message82131/ Thu, 29 Jan 2015 17:08:48 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/Glupteba.O Win32/Glupteba.O в форуме Обнаружение вредоносного кода и ложные срабатывания.
ок, удалите этот каталог

====quote====
C:\Program Files\Gorn
=============
что по скрипту в uVS? выполнен?
29.01.2015 16:53:01, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic11584/message82130/ http://forum.esetnod32.ru/messages/forum6/topic11584/message82130/ Thu, 29 Jan 2015 16:53:01 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/Glupteba.O Win32/Glupteba.O в форуме Обнаружение вредоносного кода и ложные срабатывания.
попробовала деинсталлировать через панель управления - из списка программа исчезла,  но по факту все файлы остались на месте
29.01.2015 16:42:38, Елена Кузнецова.]]> http://forum.esetnod32.ru/messages/forum6/topic11584/message82129/ http://forum.esetnod32.ru/messages/forum6/topic11584/message82129/ Thu, 29 Jan 2015 16:42:38 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/Glupteba.O Win32/Glupteba.O в форуме Обнаружение вредоносного кода и ложные срабатывания.
пробуйте деинсталлировать ее из списка программ.

====quote====
Gorn 1.3
=============
а затем выполните скрипт, который я написал выше.
программа свежая, судя по дате установки - установлена сегодня.
29.01.2015 16:33:26, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic11584/message82128/ http://forum.esetnod32.ru/messages/forum6/topic11584/message82128/ Thu, 29 Jan 2015 16:33:26 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/Glupteba.O Win32/Glupteba.O в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy написал:
эта программа вам известна?

====quote====
C:\Program Files\Gorn\Gorn\
=============

=============
нет, первый раз вижу. просто удалить из каталога?
29.01.2015 16:25:28, Елена Кузнецова.]]> http://forum.esetnod32.ru/messages/forum6/topic11584/message82126/ http://forum.esetnod32.ru/messages/forum6/topic11584/message82126/ Thu, 29 Jan 2015 16:25:28 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/Glupteba.O Win32/Glupteba.O в форуме Обнаружение вредоносного кода и ложные срабатывания.
+
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

====code==== 
;uVS v3.85.3 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE

hide %Sys32%\CPLDAPU\BLUESCREENVIEW.EXE
zoo %SystemDrive%\PROGRAM FILES\GORN\GORN\CRYPT.EXE
zoo %SystemDrive%\PROGRAM FILES\GORN\GORN\DNS_BABLO.VBS
;------------------------autoscript---------------------------

chklst
delvir

setdns Подключение по локальной сети 2\4\{7C88CC64-CE53-4F69-87DE-2E6726CB5AB0}\8.8.8.8,8.8.4.4
delref {DBC80044-A445-435B-BC74-9C25C1C588A9}\[CLSID]

delref HTTP:\\WWW.JAHSHAKA.ORG

regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

dnsreset
CZOO
restart
=============
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту sendvirus2011@gmail.com, support@esetnod32.ru  
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
29.01.2015 16:23:44, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic11584/message82125/ http://forum.esetnod32.ru/messages/forum6/topic11584/message82125/ Thu, 29 Jan 2015 16:23:44 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/Glupteba.O Win32/Glupteba.O в форуме Обнаружение вредоносного кода и ложные срабатывания.
эта программа вам известна?

====quote====
C:\Program Files\Gorn\Gorn\
=============

29.01.2015 16:21:25, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic11584/message82124/ http://forum.esetnod32.ru/messages/forum6/topic11584/message82124/ Thu, 29 Jan 2015 16:21:25 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/Glupteba.O Win32/Glupteba.O в форуме Обнаружение вредоносного кода и ложные срабатывания.
Добрый день!

Прошу помочь с удалением вируса.
Компьютер не подключается к интернету (браузер выдает сообщение о блокировке сети и просит указать номер сотового для получения инструкций по разблокировке). При сканировании ESET обнаружил в оперативке и удалил crypt.exe(2828) - модифицированный Win32/Glupteba.O троянская программа; после этого была перезагрузка, но проблема осталась.

Лог UVS приложен.
MYCOMP_2015-01-29_18-32-16.7z
29.01.2015 16:13:50, Елена Кузнецова.]]> http://forum.esetnod32.ru/messages/forum6/topic11584/message82123/ http://forum.esetnod32.ru/messages/forum6/topic11584/message82123/ Thu, 29 Jan 2015 16:13:50 +0300 Обнаружение вредоносного кода и ложные срабатывания