santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

Подозрительная папка

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 24.06.2012 11:30:35

сделайте образ автозапуска.
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

[ Закрыто] Вирус в опреативной памяти, Оперативная память = explorer.exe(1708) - модифицированный Win32/Spy.Shiz.NCE троянская программа - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 24.06.2012 09:26:55

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.75 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\NETPROTOCOL.EXE addsgn 73E9D6A7146AE6690BD469B48E685205258AFCF64EFF80DCC5C3C5BC50D6CE4C2317C3D6D1B6E8612BCF85A2BAB609FABADA1C8015DAB02C2D771B19C70622B2 8 Shiz.0624 zoo %SystemRoot%\APPPATCH\XXMLBJC.EXE delall %SystemRoot%\APPPATCH\XXMLBJC.EXE delall %SystemDrive%\DOCUME~1\ADMIN\LOCALS~1\TEMP\GQDHSJV.EXE delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER3.DLL chklst delvir deltmp delnfr exec MSIEXEC.EXE /X{86D4B82A-ABED-442A-BE86-96357B70F4FE} exec "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL exec C:\PROGRAM FILES\MAIL.RU\SPUTNIK\MAILRUSPUTNIK.EXE UNINSTALL czoo restart

Код

;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\NETPROTOCOL.EXE
addsgn 73E9D6A7146AE6690BD469B48E685205258AFCF64EFF80DCC5C3C5BC50D6CE4C2317C3D6D1B6E8612BCF85A2BAB609FABADA1C8015DAB02C2D771B19C70622B2 8 Shiz.0624
zoo %SystemRoot%\APPPATCH\XXMLBJC.EXE
delall %SystemRoot%\APPPATCH\XXMLBJC.EXE
delall %SystemDrive%\DOCUME~1\ADMIN\LOCALS~1\TEMP\GQDHSJV.EXE
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER3.DLL
chklst
delvir
deltmp
delnfr
exec MSIEXEC.EXE /X{86D4B82A-ABED-442A-BE86-96357B70F4FE}
exec "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL
exec C:\PROGRAM FILES\MAIL.RU\SPUTNIK\MAILRUSPUTNIK.EXE UNINSTALL
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту sendvirus2011@gmail.com, support@esetnod32.ru
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

тормоза с RDP

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.06.2012 12:54:40

надо проверить. ошибка только в EEA, или есть и в EES?

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Оперативная память = explorer.exe(732) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна, обнаружено прграммой нод 32

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.06.2012 12:43:25

2012.06.23 09:16

Цитата
Загружен скрипт: C:\script.txt ======= Начало исполнения скрипта ======= -------------------------------------------------------- fixvbr C: 5 -------------------------------------------------------- Запись загрузчика в VBR: C: Код в сектор 0 успешно записан. Запись NTFS IPL: C: Выполнено.

зараженный загрузчик перезаписан,

по логу tdsskiller все чисто

Цитата
10:28:35.0953 5084 ============================================================ 10:28:35.0953 5084 Scan finished 10:28:35.0953 5084 ============================================================ 10:28:35.0968 1628 Detected object count: 0 10:28:35.0968 1628 Actual detected object count: 0 10:28:57.0656 5424 Deinitialize success

проблема решена
Выполните наши рекомендации по безопасности,
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.06.2012 06:36:52

выполните в uVS (из под Winpe) скрипт из файла

файл скрипта скачать отсюда
http://rghost.ru/38822287

перегрузить систему в нормальный режиме.

далее,
сделайте еще раз для проверки лог tdsskiller, только скачайте обновленную версию 2.7.41 с оф.сайта.

[ Как создать образ автозапуска? ]

Перейти

Заблокирован доступ к рабочему столу Windows, ПРосят положить денег

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 22.06.2012 20:12:11

выполните в uVS (из под winpe) скрипт из файла.

файл скрипта скачать отсюда
http://rghost.ru/38815276

после выполнения скрипта перегрузите систему в нормальный режим,
пишем результат

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 22.06.2012 12:54:17

ну, да, надо было знак ©, RP55 поставить на этой фразе.
------
по сути ответил в личку

Изменено: santy - 22.06.2012 13:04:02

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 22.06.2012 06:11:13

Цитата
RP55 RP55 пишет: Сразу вспоминается фраза: " Пастернака не читал но осуждаю"

RP55, если бы ты в каше этой поварился, так как мы, возможно стал бы ценить время, за которое мысль должна быть доведена до понимания.

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.06.2012 16:23:59

ребята, перепроверяйте скрипт, если есть заминка по ходу лечения.
http://forum.esetnod32.ru/forum27/topic6066/

[ Как создать образ автозапуска? ]

Перейти

Заблокирован доступ к рабочему столу Windows

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.06.2012 16:20:09

ребята, перепроверяйте скрипт
SpyEye еще остался на борту.
------------------
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.75 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\0.372524150919893.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\0.7324899643693232.EXE addsgn 1A41609A55835B8CF42BFB3A8849FE2D268AFC5551575F780CCE111110D6F859F3BA8357B74851E46B800DAA8EBB09FAF4E22CDF15DAD6A03887096FC760AE7E 8 winlock zoo %SystemDrive%\DOCUMENTS AND SETTINGS\123\LOCAL SETTINGS\TEMP\124KKK290347.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\123\LOCAL SETTINGS\TEMP\124KKK290347.EXE addsgn A7679BF0AA0274034BD4C6DD48881261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C1FF0C49F75C4C32EF4CA98D815DA3BE4AC965B2FC706AB7E 8 a variant of Win32/Injector.SWC [NOD32] zoo %SystemDrive%\SYSTEMHOST\24FC2AE3BF9.EXE delall %SystemDrive%\SYSTEMHOST\24FC2AE3BF9.EXE chklst delvir delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER3.DLL deltmp delnfr czoo restart

Код

;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\0.372524150919893.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\0.7324899643693232.EXE
addsgn 1A41609A55835B8CF42BFB3A8849FE2D268AFC5551575F780CCE111110D6F859F3BA8357B74851E46B800DAA8EBB09FAF4E22CDF15DAD6A03887096FC760AE7E 8 winlock
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\123\LOCAL SETTINGS\TEMP\124KKK290347.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\123\LOCAL SETTINGS\TEMP\124KKK290347.EXE
addsgn A7679BF0AA0274034BD4C6DD48881261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C1FF0C49F75C4C32EF4CA98D815DA3BE4AC965B2FC706AB7E 8 a variant of Win32/Injector.SWC [NOD32]
zoo %SystemDrive%\SYSTEMHOST\24FC2AE3BF9.EXE
delall %SystemDrive%\SYSTEMHOST\24FC2AE3BF9.EXE
chklst
delvir
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER3.DLL
deltmp
delnfr
czoo
restart

[ Как создать образ автозапуска? ]

Перейти