santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] taskhost.exe

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 15.07.2012 19:56:00

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.75 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 addsgn 1A98539A55835A8CF42BFB3A8849FE2D268AFC5549B95D780CCE79FF12D6F8599B548157B748290A69800DAAF6550BFAF4E2443117DAD6A038AFE76DC760AE7E 8 SpyVoltar.0715 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\TASKHOST.EXE zoo D:\-АНДРЕЙ-\ИГРЫ\AIRXONIX\MUSIC\COOKIES\TASKHOST.EXE zoo H:\TASKHOST.EXE chklst delvir delall D:\PING.EXE addsgn A7679BC9033DC72F035FDBBDE13E997835FFF575B4DEDB7BE9C32E9AD328733826943D564B773C09E283E81A866240AD2B8C17A2D01AC4207A21F7C7CFF9DD8C 64 majachok.0715 zoo %Sys32%\ZWJRGUN.DLL delref %Sys32%\ZWJRGUN.DLL deltmp delnfr regt 14 czoo restart

Код

;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
addsgn 1A98539A55835A8CF42BFB3A8849FE2D268AFC5549B95D780CCE79FF12D6F8599B548157B748290A69800DAAF6550BFAF4E2443117DAD6A038AFE76DC760AE7E 8 SpyVoltar.0715
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\TASKHOST.EXE
zoo D:\-АНДРЕЙ-\ИГРЫ\AIRXONIX\MUSIC\COOKIES\TASKHOST.EXE
zoo H:\TASKHOST.EXE
chklst
delvir
delall D:\PING.EXE
addsgn A7679BC9033DC72F035FDBBDE13E997835FFF575B4DEDB7BE9C32E9AD328733826943D564B773C09E283E81A866240AD2B8C17A2D01AC4207A21F7C7CFF9DD8C 64 majachok.0715
zoo %Sys32%\ZWJRGUN.DLL
delref %Sys32%\ZWJRGUN.DLL
deltmp
delnfr
regt 14
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Помогите пожалуйста, =)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 15.07.2012 11:19:16

да, теперь все верно.
удалите найденное в мбам,
далее,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Вирус

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 15.07.2012 11:17:57

по логу мбам чисто.
если проблема решена, выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Помогите пожалуйста, =)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 15.07.2012 11:15:08

Rec, будьте внимательны до конца.

Цитата
ссылку на лог малваребайт добавьте на форум

еще раз повторяю, нужен лог быстрого сканирования в малваребайт.

это лог необходимо записать на http://rghost.ru и дать нам ссылку на форум.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Помогите пожалуйста, =)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 15.07.2012 11:12:08

лог добавьте на форум, посмотрим и скажем что удалять, а что оставить

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Помогите пожалуйста, =)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 15.07.2012 10:58:14

ссылку на лог малваребайт добавьте на форум

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 15.07.2012 10:42:48

трояны пошли врукопашную.

Цитата
Polymorphic bootstrap code Since Rovnix.B the modified bootstrap code has used polymorphic code in order to bypass static antivirus signature detection. Originally, polymorphic decryption code was detected in Carberp samples incorporating bootkit code. The following figure shows the basic workings of the polymorphic decryption code.

http://blog.eset.com/2012/07/13/rovnix-bootkit-framework-updated

собственно, в последнее время это было заметно, что сигнатура загрузчиков стала часто меняться.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Помогите пожалуйста, =)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 15.07.2012 10:40:02

да, желательно не отклоняться от выполнения наших рекомендаций, пока не завершится лечение.
затем можете самостоятельно выполнить полное сканирование штатными антивирусами, или утилитами для лечения заражений.
------
сейчас нужен лог быстрого сканирования мбам для проверки и закрепления результата

[ Как создать образ автозапуска? ]

Перейти

Update NOD

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 15.07.2012 10:13:13

это не всегда помогает.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Помогите пожалуйста, =)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 15.07.2012 10:09:14

Код
;uVS v3.75 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %SystemRoot%\TEMP\JLTYITZ.EXE addsgn 7BC9DF8B156AF3127597AE80A471727B668AD50F7509B5E35E20952789EA55D7A31BE768E779B911950096DF46A9C1E83DDFD18523DC4C81D2A74FD9AD07CAB2 8 smallHTTP zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\MRXIPWPEXVK.EXE addsgn A7679B1BB98E4C720BBCAE31D342FA06048AFC754DFEF702A8C3C5EF38D675F80B7DD73D6E3D9D00B208EC9F3E8159126CF6E872D61EA4468D1D3F4592EE6E54 8 tr.carberp delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\9EA239.EXE addsgn 733F2BAE556A19F9E75742BDA38DEAEAC574DA778C29D0388545CEBC50BEB58763170412C6BB7DB70D4781BC895649356FDFE88D40C2E06C2DB0A10C084622BE 8 Dorkbot.0714 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\C9FD71.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\C9FD71.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\C9FD71.EXE delall %SystemRoot%\TEMP\JLTYITZ.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\MRXIPWPEXVK.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS.WINDOWS.0\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS.WINDOWS.0\APPLICATION DATA\VKSAVER\VKSAVER.EXE delall %SystemRoot%\TEMP\TAINW.BAT adddir %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA chklst delvir delref COPY delref HTTP://WEBALTA.RU/SEARCH delref HTTP://WWW.APEHA.RU delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE deltmp delnfr regt 5 regt 12 regt 14 addsgn A7679BC9033DC72F035FDBBDE13E997835FFF575B4DEDB79E9C32E9AD328733826943D564B773C09E281E81A866240AD2B8C17A2D01AC4207A21F7C7CFF9DD8C 64 majachok.0714 zoo %Sys32%\JGOCZUE.DLL delref %Sys32%\JGOCZUE.DLL czoo restart

Код

;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
zoo %SystemRoot%\TEMP\JLTYITZ.EXE
addsgn 7BC9DF8B156AF3127597AE80A471727B668AD50F7509B5E35E20952789EA55D7A31BE768E779B911950096DF46A9C1E83DDFD18523DC4C81D2A74FD9AD07CAB2 8 smallHTTP
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\MRXIPWPEXVK.EXE
addsgn A7679B1BB98E4C720BBCAE31D342FA06048AFC754DFEF702A8C3C5EF38D675F80B7DD73D6E3D9D00B208EC9F3E8159126CF6E872D61EA4468D1D3F4592EE6E54 8 tr.carberp
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\9EA239.EXE
addsgn 733F2BAE556A19F9E75742BDA38DEAEAC574DA778C29D0388545CEBC50BEB58763170412C6BB7DB70D4781BC895649356FDFE88D40C2E06C2DB0A10C084622BE 8 Dorkbot.0714
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\C9FD71.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\C9FD71.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\C9FD71.EXE
delall %SystemRoot%\TEMP\JLTYITZ.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\MRXIPWPEXVK.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS.WINDOWS.0\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS.WINDOWS.0\APPLICATION DATA\VKSAVER\VKSAVER.EXE
delall %SystemRoot%\TEMP\TAINW.BAT
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA
chklst
delvir
delref COPY
delref HTTP://WEBALTA.RU/SEARCH
delref HTTP://WWW.APEHA.RU
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
deltmp
delnfr
regt 5
regt 12
regt 14
addsgn A7679BC9033DC72F035FDBBDE13E997835FFF575B4DEDB79E9C32E9AD328733826943D564B773C09E281E81A866240AD2B8C17A2D01AC4207A21F7C7CFF9DD8C 64 majachok.0714
zoo %Sys32%\JGOCZUE.DLL
delref %Sys32%\JGOCZUE.DLL
czoo
restart

[ Как создать образ автозапуска? ]

Перейти