Форум esetnod32.ru [тема: Подмена сайта] http://forum.esetnod32.ru Новое в теме Подмена сайта форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Thu, 30 Apr 2026 14:33:41 +0300 Подмена сайта Подмена сайта в форуме Обнаружение вредоносного кода и ложные срабатывания.
Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);
====code==== 
;;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

bl C9C3DCA5C7AFDC14217F8635BB80BAAD 29256
addsgn A413624A052A4C7DBCDCC4933AA2105F43B10D83AFF9DD7732CB464572A2482AA6DEB6A6D54FF76975E6BF6E320423F323B9D38321D0B3EE22C0AC4942CF5795 8 HTml5Up
bl 102350E7DCD3B541E4D61410AA4BD5F7 29256
addsgn 989C1F5A706A4D9AACD6AEB15713418E181EEDF68805C81E04FB88E625C9FA041F140BD60705D8492BF59690F15751C776DEE87221C58D272F77A45BC28F7F97 8 Cirus9
zoo %Sys32%\BLACK_ZUNE.EXE
bl 295E7C4CAE2C5C7CAB3F09729CA834AD 3175424
chklst
delvir
deltmp
delnfr
czoo
restart
=============
- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
- в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например 2012-03-09_09-29-00.7z - это архив с вирусами, егнужно прислать на электронный адрес sendvirus2011@gmail.com.
24.12.2012 16:51:34, Арвид.]]> http://forum.esetnod32.ru/messages/forum6/topic8180/message60165/ http://forum.esetnod32.ru/messages/forum6/topic8180/message60165/ Mon, 24 Dec 2012 16:51:34 +0400 Обнаружение вредоносного кода и ложные срабатывания Подмена сайта Подмена сайта в форуме Обнаружение вредоносного кода и ложные срабатывания.
Вот
MOI_2012-12-24_16-34-08.rar
24.12.2012 16:38:52, Sasha95.]]> http://forum.esetnod32.ru/messages/forum6/topic8180/message60163/ http://forum.esetnod32.ru/messages/forum6/topic8180/message60163/ Mon, 24 Dec 2012 16:38:52 +0400 Обнаружение вредоносного кода и ложные срабатывания Подмена сайта Подмена сайта в форуме Обнаружение вредоносного кода и ложные срабатывания.
Новый образ автозапуска сделайте.
24.12.2012 14:13:40, Арвид.]]> http://forum.esetnod32.ru/messages/forum6/topic8180/message60144/ http://forum.esetnod32.ru/messages/forum6/topic8180/message60144/ Mon, 24 Dec 2012 14:13:40 +0400 Обнаружение вредоносного кода и ложные срабатывания Подмена сайта Подмена сайта в форуме Обнаружение вредоносного кода и ложные срабатывания.
Я вчера сделал, пару страниц открыл, сайт не менялся, обрадовался. Зашёл на следующий день в нет и опять началось. Тоже самое.Может выполнить полное сканирование?
24.12.2012 14:11:03, Sasha95.]]> http://forum.esetnod32.ru/messages/forum6/topic8180/message60143/ http://forum.esetnod32.ru/messages/forum6/topic8180/message60143/ Mon, 24 Dec 2012 14:11:03 +0400 Обнаружение вредоносного кода и ложные срабатывания Подмена сайта Подмена сайта в форуме Обнаружение вредоносного кода и ложные срабатывания.
если проблема решена
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/
23.12.2012 16:17:05, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic8180/message60096/ http://forum.esetnod32.ru/messages/forum6/topic8180/message60096/ Sun, 23 Dec 2012 16:17:05 +0400 Обнаружение вредоносного кода и ложные срабатывания Подмена сайта Подмена сайта в форуме Обнаружение вредоносного кода и ложные срабатывания.
вот, после всех оперций. После первого скрипта 2-ва фала было, удалил(вручную посмотрел, вроде похожи на вирусы).
mbam-log-2012-12-23 (16-01-24).txt
23.12.2012 16:06:37, Sasha95.]]> http://forum.esetnod32.ru/messages/forum6/topic8180/message60095/ http://forum.esetnod32.ru/messages/forum6/topic8180/message60095/ Sun, 23 Dec 2012 16:06:37 +0400 Обнаружение вредоносного кода и ложные срабатывания Подмена сайта Подмена сайта в форуме Обнаружение вредоносного кода и ложные срабатывания.
выложите лог мбам, ничего не удаляйте, ждите рекомендации хелперов что удалить, а что оставить.
------
для самостоятельного изучения
http://pchelpforum.ru/f26/t94635/
23.12.2012 16:05:26, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic8180/message60094/ http://forum.esetnod32.ru/messages/forum6/topic8180/message60094/ Sun, 23 Dec 2012 16:05:26 +0400 Обнаружение вредоносного кода и ложные срабатывания Подмена сайта Подмена сайта в форуме Обнаружение вредоносного кода и ложные срабатывания.
Щас выложу. Но можно объяснить, какой именно файл заражён? И какие она(uVS) дирректории отчищала, автозапуск, куки, а что ещё? И если ещё такое будет, где можно в этой программе сделать тоже самое, но без скрипта? Прост осамому интересно в дальнейшем, обычно справлялся сам, но тут не получается.
23.12.2012 16:03:45, Sasha95.]]> http://forum.esetnod32.ru/messages/forum6/topic8180/message60093/ http://forum.esetnod32.ru/messages/forum6/topic8180/message60093/ Sun, 23 Dec 2012 16:03:45 +0400 Обнаружение вредоносного кода и ложные срабатывания Подмена сайта Подмена сайта в форуме Обнаружение вредоносного кода и ложные срабатывания.
Sasha95
Также выполните скрипт:

Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !
На вопросы программы отвечаем: Да !
====code==== 
     

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

delref /C
regt 14
deltmp
delnfr
restart
=============

-------------
Далее (даже если проблема решена) выполнить лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic682/
Выбрать быстрое сканирование. Отчет предоставить для анализа.
23.12.2012 15:26:25, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic8180/message60091/ http://forum.esetnod32.ru/messages/forum6/topic8180/message60091/ Sun, 23 Dec 2012 15:26:25 +0400 Обнаружение вредоносного кода и ложные срабатывания Подмена сайта Подмена сайта в форуме Обнаружение вредоносного кода и ложные срабатывания.
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
====code==== 
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
hide %Sys32%\WUL.EXE
deltmp
delnfr
EXEC cmd /c"ipconfig /flushdns"
restart
=============
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
23.12.2012 13:59:09, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic8180/message60089/ http://forum.esetnod32.ru/messages/forum6/topic8180/message60089/ Sun, 23 Dec 2012 13:59:09 +0400 Обнаружение вредоносного кода и ложные срабатывания Подмена сайта Подмена сайта в форуме Обнаружение вредоносного кода и ложные срабатывания.
Вот
MOI_2012-12-23_11-49-23.7z
23.12.2012 11:58:29, Sasha95.]]> http://forum.esetnod32.ru/messages/forum6/topic8180/message60088/ http://forum.esetnod32.ru/messages/forum6/topic8180/message60088/ Sun, 23 Dec 2012 11:58:29 +0400 Обнаружение вредоносного кода и ложные срабатывания Подмена сайта Подмена сайта в форуме Обнаружение вредоносного кода и ложные срабатывания.
Щас выложу, я пытался вручную(другой прогой все файлы при автозапуске просмотрел) найти файл вируса, не получилось.
23.12.2012 11:53:39, Sasha95.]]> http://forum.esetnod32.ru/messages/forum6/topic8180/message60087/ http://forum.esetnod32.ru/messages/forum6/topic8180/message60087/ Sun, 23 Dec 2012 11:53:39 +0400 Обнаружение вредоносного кода и ложные срабатывания Подмена сайта Подмена сайта в форуме Обнаружение вредоносного кода и ложные срабатывания.
сделайте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/
23.12.2012 09:57:50, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic8180/message60086/ http://forum.esetnod32.ru/messages/forum6/topic8180/message60086/ Sun, 23 Dec 2012 09:57:50 +0400 Обнаружение вредоносного кода и ложные срабатывания Подмена сайта Подмена сайта в форуме Обнаружение вредоносного кода и ложные срабатывания.
У меня иногда при открытии сайта происходит его подмена на my-eromir.net
Проверил антивирусом в файле host нашёл вирус, вылечил, но проблема осталась. Происходит это на всех браузерах(Google,Explorer).
Проверял антивирусами: Касперский, Nod32, различными прогами для поиска шпионов, троянов, но как ни странно вирус нашёл Windows защитник.
23.12.2012 09:15:16, Sasha95.]]> http://forum.esetnod32.ru/messages/forum6/topic8180/message60084/ http://forum.esetnod32.ru/messages/forum6/topic8180/message60084/ Sun, 23 Dec 2012 09:15:16 +0400 Обнаружение вредоносного кода и ложные срабатывания