santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

Обнаружена атака путем подделки записей кэша DNS

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 17.12.2012 06:52:47

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE delall %SystemDrive%\USERS\FBIRUS\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE delref %Sys32%\DRIVERS\02584022.SYS deltmp delnfr exec "C:\PROGRAM FILES (X86)\PANDORA.TV\PANSERVICE\UNINS000.EXE" restart

Код

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
delall %SystemDrive%\USERS\FBIRUS\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
delref %Sys32%\DRIVERS\02584022.SYS
deltmp
delnfr
exec "C:\PROGRAM FILES (X86)\PANDORA.TV\PANSERVICE\UNINS000.EXE"
restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Оперативная память = explorer.exe(1960) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна, Оперативная память = explorer.exe(1960) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 16.12.2012 21:11:34

неплохо бы здесь и лог журнала обнаружения угроз посмотреть.
http://forum.esetnod32.ru/forum9/topic1408/

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 16.12.2012 17:45:37

Цитата
Полное имя 5.199.140.180\Подключение по локальной сети\4\{B95CCA85-7621-40A5-A11B-0056D3DB5FD1} Имя файла {B95CCA85-7621-40A5-A11B-0056D3DB5FD1} Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ DNS Удовлетворяет критериям ЛЕВЫЙ DNS (DNS ~ 5.199.140.180)(1) Сохраненная информация на момент создания образа DNS 5.199.140.180 Статус DNS

Цитата

Полное имя 5.199.140.180\Подключение по локальной сети\4\{B95CCA85-7621-40A5-A11B-0056D3DB5FD1}
Имя файла {B95CCA85-7621-40A5-A11B-0056D3DB5FD1}
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ DNS

Удовлетворяет критериям
ЛЕВЫЙ DNS (DNS ~ 5.199.140.180)(1)

Сохраненная информация на момент создания образа
DNS 5.199.140.180
Статус DNS

здесь
http://forum.esetnod32.ru/forum6/topic8107/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Помогите удалить Trojan:Win32Vundo.gen!AW

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 16.12.2012 13:01:18

лог мбам чистый,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Перейти

Вирус

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 16.12.2012 11:52:44

Redbull86,
прежде чем выполнить данный скрипт,
обновите версию uVS до 3.76
у вас устаревшая версия 3.74

Цитата
uVS v3.74: Microsoft Windows XP x86 (NT v5.1) build 2600 Service Pack 3 [C:\WINDOWS]

Изменено: santy - 22.12.2012 16:28:55

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Помогите удалить Trojan:Win32Vundo.gen!AW

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 16.12.2012 11:49:40

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE delref HTTP://MAILRUSEARCH.RU delref %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER3.DLL setdns Подключение по локальной сети\4\{9CE1BFE8-E931-41D1-8D70-47BA75B115B5}\ delall %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\YZ685MU25.EXE delref HTTP://EROSHAL.UCOZ.RU delref HTTP://EROSHAL.UCOZ.RU/ deltmp delnfr EXEC cmd /c"ipconfig /flushdns" restart

Код

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
delref HTTP://MAILRUSEARCH.RU
delref %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER3.DLL
setdns Подключение по локальной сети\4\{9CE1BFE8-E931-41D1-8D70-47BA75B115B5}\
delall %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\YZ685MU25.EXE
delref HTTP://EROSHAL.UCOZ.RU
delref HTTP://EROSHAL.UCOZ.RU/
deltmp
delnfr
EXEC cmd /c"ipconfig /flushdns"
restart

[ Как создать образ автозапуска? ]

Перейти

Вирус

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 16.12.2012 11:44:07

Код
;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE zoo D:\CSS\GAMES\CSS\CSS.EXE addsgn A7679B1991821F24381427F48C4157E99D7A49B689129DEC7A3C7C408796717FE342AB5586159D2DD4B0E01666D14CE2A59FE87655DAB094F8D9AF2F00077C73 13 BackDoor.IRC.NgrBot.42 [DrWeb] zoo D:\С ЖЕСТКОГО\ПРОГРАММЫ\MEDIAGET 1.12.077 PORTABLE\MEDIAGET 1.12\%PROGRAMFILESDIR%\MEDIAGET\MEDIAGET.EXE addsgn 1A65719A55839B8EF42B5194406C9105DAAF40530AFAE05DD96646BCAFF329E9A01748A86BDE71B65E886C1EB3E9B6A3201C638D00515C71C46AA42FC7CADD56 8 mediaget delall %SystemDrive%\DOCUMENTS AND SETTINGS\REDBULL\0.3561913333120942.EXE delall D:\CSS\GAMES\CSS\CSS.EXE delref HTTP://MAILRUSEARCH.RU delall D:\С ЖЕСТКОГО\ПРОГРАММЫ\MEDIAGET 1.12.077 PORTABLE\MEDIAGET 1.12\%PROGRAMFILESDIR%\MEDIAGET\MEDIAGET.EXE delall %SystemRoot%\XORED.SYS deltmp delnfr setdns Подключение по локальной сети\4\{35DE1949-8BB8-4E4C-8710-6C8046D4A333}\ exec "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL exec C:\PROGRAM FILES\MAIL.RU\SPUTNIK\MAILRUSPUTNIK.EXE UNINSTALL EXEC cmd /c"ipconfig /flushdns" restart

Код

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
zoo D:\CSS\GAMES\CSS\CSS.EXE
addsgn A7679B1991821F24381427F48C4157E99D7A49B689129DEC7A3C7C408796717FE342AB5586159D2DD4B0E01666D14CE2A59FE87655DAB094F8D9AF2F00077C73 13 BackDoor.IRC.NgrBot.42 [DrWeb]
zoo D:\С ЖЕСТКОГО\ПРОГРАММЫ\MEDIAGET 1.12.077 PORTABLE\MEDIAGET 1.12\%PROGRAMFILESDIR%\MEDIAGET\MEDIAGET.EXE
addsgn 1A65719A55839B8EF42B5194406C9105DAAF40530AFAE05DD96646BCAFF329E9A01748A86BDE71B65E886C1EB3E9B6A3201C638D00515C71C46AA42FC7CADD56 8 mediaget
delall %SystemDrive%\DOCUMENTS AND SETTINGS\REDBULL\0.3561913333120942.EXE
delall D:\CSS\GAMES\CSS\CSS.EXE
delref HTTP://MAILRUSEARCH.RU
delall D:\С ЖЕСТКОГО\ПРОГРАММЫ\MEDIAGET 1.12.077 PORTABLE\MEDIAGET 1.12\%PROGRAMFILESDIR%\MEDIAGET\MEDIAGET.EXE
delall %SystemRoot%\XORED.SYS
deltmp
delnfr
setdns Подключение по локальной сети\4\{35DE1949-8BB8-4E4C-8710-6C8046D4A333}\
exec "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL
exec C:\PROGRAM FILES\MAIL.RU\SPUTNIK\MAILRUSPUTNIK.EXE UNINSTALL
EXEC cmd /c"ipconfig /flushdns"
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Модифицированный Win32/SpyVoltar.А

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 16.12.2012 08:18:35

Код
;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE zoo %SystemDrive%\USERS\ARI\APPDATA\LOCAL\MEDIAGET2\MEDIAGET.EXE addsgn 1A65719A55839B8EF42B5194406C9105DAAF40530AFAE05DD96646BCAFF329E9A01748A86BDE71B65E886C1EB3E9B6A3201C638D00515C71C46AA42FC7CADD56 8 mediaget setdns Подключение по локальной сети\4\{7C1EA65F-0F8C-4F3D-A8B5-1C38D99921A8}\ delall %SystemDrive%\USERS\ARI\APPDATA\LOCAL\MEDIAGET2\MEDIAGET.EXE addsgn 1A94739A55837B8FF42B254E3143FE84C9A2FFF68959DF1BC4C34CB1ECB5304CAA027B347F5514549FE3C59FCF23F9993CDF614FF9B9F12C4BFBB1F7A4472215 8 Voltar.1215 zoo %SystemDrive%\USERS\ARI\APPDATA\ROAMING\UWPSAX0CK.EXE adddir %SystemDrive%\USERS\ARI\APPDATA\ROAMING delall %SystemDrive%\USERS\ARI\APPDATA\ROAMING\UWPSAX0CK.EXE chklst delvir delref HTTP://MAILRUSEARCH.RU deltmp delnfr czoo exec "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL exec C:\PROGRAM FILES\MAIL.RU\SPUTNIK\MAILRUSPUTNIK.EXE UNINSTALL EXEC cmd /c"ipconfig /flushdns" restart

Код

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %SystemDrive%\USERS\ARI\APPDATA\LOCAL\MEDIAGET2\MEDIAGET.EXE
addsgn 1A65719A55839B8EF42B5194406C9105DAAF40530AFAE05DD96646BCAFF329E9A01748A86BDE71B65E886C1EB3E9B6A3201C638D00515C71C46AA42FC7CADD56 8 mediaget
setdns Подключение по локальной сети\4\{7C1EA65F-0F8C-4F3D-A8B5-1C38D99921A8}\
delall %SystemDrive%\USERS\ARI\APPDATA\LOCAL\MEDIAGET2\MEDIAGET.EXE
addsgn 1A94739A55837B8FF42B254E3143FE84C9A2FFF68959DF1BC4C34CB1ECB5304CAA027B347F5514549FE3C59FCF23F9993CDF614FF9B9F12C4BFBB1F7A4472215 8 Voltar.1215
zoo %SystemDrive%\USERS\ARI\APPDATA\ROAMING\UWPSAX0CK.EXE
adddir %SystemDrive%\USERS\ARI\APPDATA\ROAMING
delall %SystemDrive%\USERS\ARI\APPDATA\ROAMING\UWPSAX0CK.EXE
chklst
delvir
delref HTTP://MAILRUSEARCH.RU
deltmp
delnfr
czoo
exec "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL
exec C:\PROGRAM FILES\MAIL.RU\SPUTNIK\MAILRUSPUTNIK.EXE UNINSTALL
EXEC cmd /c"ipconfig /flushdns"
restart

Изменено: santy - 16.12.2012 08:19:23

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 15.12.2012 16:36:11

ESET Uninstaller обновился до версии 6.0.3
ESETUninstaller /version

Цитата
Z:\avirus\Uninstaller\Eset Uninstaller\6.0.3\ESETUninstaller.exe 6.0.3.0

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 15.12.2012 14:34:30

добавьте в правила
--------
следует добавить правило на левый DNS
-------------

Цитата
Полное имя 5.199.140.180\Подключение по локальной сети 3\4\{2AE876C1-6F6A-4093-A71E-B507F0DC7A6F} Имя файла {2AE876C1-6F6A-4093-A71E-B507F0DC7A6F} Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ DNS Удовлетворяет критериям ЛЕВЫЙ DNS (DNS ~ 5.199.140.180)(1) Сохраненная информация на момент создания образа DNS 5.199.140.180 Статус DNS

Цитата

Полное имя 5.199.140.180\Подключение по локальной сети 3\4\{2AE876C1-6F6A-4093-A71E-B507F0DC7A6F}
Имя файла {2AE876C1-6F6A-4093-A71E-B507F0DC7A6F}
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ DNS

Удовлетворяет критериям
ЛЕВЫЙ DNS (DNS ~ 5.199.140.180)(1)

Сохраненная информация на момент создания образа
DNS 5.199.140.180
Статус DNS

http://pchelpforum.ru/f26/t112639/
http://pchelpforum.ru/f26/t112677/

[ Как создать образ автозапуска? ]

Перейти