santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] Taskhost.exe - обнаружена троянская программа

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 27.07.2012 12:29:32

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.75 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %Sys32%\UEVCBEB.DLL delref %Sys32%\UEVCBEB.DLL addsgn 1AA3619A55835A8CF42BFB3A8899435673B90A7BCC06594B5E934CC9A85F2CB0CBDBC5573ED6E0B52ED9FA9BCDD0A2B82A8C17676D5AF02CA607982C37601B2D 8 Voltar.0727 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\TASKHOST.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\TASKHOST.EXE chklst delvir deltmp delnfr czoo restart

Код

;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
zoo %Sys32%\UEVCBEB.DLL
delref %Sys32%\UEVCBEB.DLL
addsgn 1AA3619A55835A8CF42BFB3A8899435673B90A7BCC06594B5E934CC9A85F2CB0CBDBC5573ED6E0B52ED9FA9BCDD0A2B82A8C17676D5AF02CA607982C37601B2D 8 Voltar.0727
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\TASKHOST.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\TASKHOST.EXE
chklst
delvir
deltmp
delnfr
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS, созданный после скрипта (например: ZOO_2011-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

Повторная проблема

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 27.07.2012 11:44:03

Код
;uVS v3.75 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\IHUQUY.SCR addsgn A7679B19B192CD9E47D6AEB1379E456D268BFCF6BA0592FCA196C4BC5081218AA7339F563E559DA10B82849FC5D2459279DEE872D85E94782C77A47F908F5E57 8 Dorkbot.0723 adddir %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\IHUQUY.SCR chklst delvir deltmp delnfr regt 5 restart

Код

;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\IHUQUY.SCR
addsgn A7679B19B192CD9E47D6AEB1379E456D268BFCF6BA0592FCA196C4BC5081218AA7339F563E559DA10B82849FC5D2459279DEE872D85E94782C77A47F908F5E57 8 Dorkbot.0723

adddir %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\IHUQUY.SCR
chklst
delvir
deltmp
delnfr
regt 5
restart

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Оперативная память = taskhost.exe - модифицированный Win32 троянская программа - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 27.07.2012 11:41:18

это удалите в мбам

Цитата
Обнаруженные файлы: 2 C:\Users\Maksimka\AppData\Roaming\txt.exe (Trijan.FakeMS) -> Действие не было предпринято. C:\Users\Maksimka\AppData\Roaming\wndsksi.inf (Malware.Trace) -> Действие не было предпринято.

далее,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] вирус в оперативной памяти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 27.07.2012 10:33:24

Код
;uVS v3.75 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 addsgn A7679BF0AA0294D34BD4C68122881261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625CEB20C49F75C4C32EF4CA4CB715DA3BE4AC965B2FC706AB7E 8 Zbot.0727 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\SERGEEVA\APPLICATION DATA\YHAB\TOLAY.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\SERGEEVA\APPLICATION DATA\YHAB\TOLAY.EXE chklst delvir delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER3.DLL deltmp delnfr czoo restart

Код

;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
addsgn A7679BF0AA0294D34BD4C68122881261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625CEB20C49F75C4C32EF4CA4CB715DA3BE4AC965B2FC706AB7E 8 Zbot.0727
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\SERGEEVA\APPLICATION DATA\YHAB\TOLAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\SERGEEVA\APPLICATION DATA\YHAB\TOLAY.EXE
chklst
delvir
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER3.DLL
deltmp
delnfr
czoo
restart

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Оперативная память = taskhost.exe - модифицированный Win32 троянская программа - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 27.07.2012 08:40:46

Код
;uVS v3.75 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 addsgn 1A5A6F9A55835A8CF42BC4BD0C5088452562A5F789FA940D8D4633C825554C40DD56C3544B16F74DC3669E9F464FCA9F81DFBE9A01C1B02C74FEE1CB42C6567A 8 Voltar.0727 zoo %SystemDrive%\USERS\MAKSIMKA\APPDATA\ROAMING\TASKHOST.EXE delall %SystemDrive%\USERS\MAKSIMKA\APPDATA\ROAMING\TASKHOST.EXE chklst delvir delref HTTP://SPEEDBAR.RU deltmp delnfr regt 14 czoo restart

Код

;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
addsgn 1A5A6F9A55835A8CF42BC4BD0C5088452562A5F789FA940D8D4633C825554C40DD56C3544B16F74DC3669E9F464FCA9F81DFBE9A01C1B02C74FEE1CB42C6567A 8 Voltar.0727
zoo %SystemDrive%\USERS\MAKSIMKA\APPDATA\ROAMING\TASKHOST.EXE
delall %SystemDrive%\USERS\MAKSIMKA\APPDATA\ROAMING\TASKHOST.EXE
chklst
delvir
delref HTTP://SPEEDBAR.RU
deltmp
delnfr
regt 14
czoo
restart

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Оперативная память = taskhost.exe - модифицированный Win32 троянская программа - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 26.07.2012 19:36:55

нет, ничего не надо с ними делать
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Перейти

оперативная память = exploer.exe (1276) вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа очистка невозможна, оперативная память = exploer.exe (1276)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 26.07.2012 18:45:17

+
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.75 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 EXEC cmd /c"ipconfig /flushdns" EXEC cmd /c"ping ya.ru >>c":\logfile.txt" EXEC cmd /c"tracert ya.ru >>c":\logfile.txt" restart restart

перезагрузка, добавит ссылку на файл c:\logfile.txt

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Оперативная память = taskhost.exe - модифицированный Win32 троянская программа - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 26.07.2012 18:35:00

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.75 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %Sys32%\BQKNEJL.DLL delref %Sys32%\BQKNEJL.DLL delall %SystemDrive%\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\INE32.EXE addsgn 1A5A6F9A55835A8CF42BC4BD0C5088452562A5F789FA940D8D4633C825554C40DD56C3544B16F74DC3669E9F464FCA9F81DFBE9A01C1B02C74FEE1CB42C6567A 8 Voltar.0726 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\1111\APPLICATION DATA\TASKHOST.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\1111\APPLICATION DATA\TASKHOST.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\1111\MSGVN.EXE delall %SystemDrive%\RECYCLER\S-1-5-21-9291891764-0824189764-706549577-2730\NISSAN.EXE chklst delvir delref HTTP://WEBALTA.RU/SEARCH deltmp delnfr delref HTTP://SPEEDBAR.RU regt 12 regt 14 czoo restart

Код

;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
zoo %Sys32%\BQKNEJL.DLL
delref %Sys32%\BQKNEJL.DLL
delall %SystemDrive%\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\INE32.EXE
addsgn 1A5A6F9A55835A8CF42BC4BD0C5088452562A5F789FA940D8D4633C825554C40DD56C3544B16F74DC3669E9F464FCA9F81DFBE9A01C1B02C74FEE1CB42C6567A 8 Voltar.0726
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\1111\APPLICATION DATA\TASKHOST.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\1111\APPLICATION DATA\TASKHOST.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\1111\MSGVN.EXE
delall %SystemDrive%\RECYCLER\S-1-5-21-9291891764-0824189764-706549577-2730\NISSAN.EXE
chklst
delvir
delref HTTP://WEBALTA.RU/SEARCH
deltmp
delnfr
delref HTTP://SPEEDBAR.RU
regt 12
regt 14
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 25.07.2012 11:08:27

Цитата
ORION пишет: где люди подхватывают заразу? Почему мне так не везет? Мне самому приходится их искать.

здесь темы почитайте
http://forum.ru-board.com/topic.cgi?forum=62&topic=16770&start=2120
сбрасывают файлы для тестирования. А в живой природе - это надо виртрекеры смотреть, где публикуют ссылки на зараженные страницы.

[ Как создать образ автозапуска? ]

Перейти

serpip.a

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 24.07.2012 08:52:22

добавьте несколько зараженных (желательно известных) этим вирусом файлов в архив с паролем infected, выложите на http://rghost.ru и дайте ссылку на архив.

[ Как создать образ автозапуска? ]

Перейти