santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

оперативная память = svchost.exe (1056) - модифицированный Win32/Dorkbot.A червь - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.05.2012 12:11:51

нет, логи делать отдельно по каждому ПК
+ по каждому ПК отдельную тему.

Изменено: santy - 23.05.2012 12:12:20

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] explorer.exe(1496)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 22.05.2012 10:13:45

по логу мбам:
это удалите

Цитата
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\|Start_ShowHelp (PUM.Hijack.StartMenu) -> Плохо: (0) Хорошо: (1) -> Действие не было предпринято.

далее,
выполните рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.05.2012 20:20:32

я ничего не понял,
причем здесь поисковые критерии, если F4 проверка по хэшам. надо излагать последовательно, безо всяких прыжков, чтобы сразу была понятна проблема

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.05.2012 20:09:38

RP55, можно подробнее описать проблему?

[ Как создать образ автозапуска? ]

Перейти

Троян угроза оперативной памяти, модифицированный Win32/Spy.Shiz.NCE троянская программа

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.05.2012 10:22:40

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.75 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 addsgn A7679B19B91EC7672BF1ECB1ED9D825604DF6CA002FFFF5CC7C34CF9C081FA31B336BEC785049D492B0B89AF635449D3304FC13FC5F3EDBCA032007F3813B64B 8 Carberp.0521 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\NAZZABTDRSI.EXE bl A224F26A6FF1F1EFA01083480374FBE1 137728 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\NAZZABTDRSI.EXE addsgn 0DE97FDE176A8B775095ECB151CC1205E28FF2B7CBFA205D85C3AFBC38B4330E23AF6486BC55B0C28BBB846056174CE23B9DE8FF11E9AE6C92B6A52FC70FDAF6 8 Shiz.0521 zoo %SystemRoot%\APPPATCH\GQULTX.EXE bl 89E538547991C7C41D0696575CCEDAE8 279552 delall %SystemRoot%\APPPATCH\GQULTX.EXE chklst delvir deltmp delnfr regt 12 czoo restart

Код

;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
addsgn A7679B19B91EC7672BF1ECB1ED9D825604DF6CA002FFFF5CC7C34CF9C081FA31B336BEC785049D492B0B89AF635449D3304FC13FC5F3EDBCA032007F3813B64B 8 Carberp.0521
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\NAZZABTDRSI.EXE
bl A224F26A6FF1F1EFA01083480374FBE1 137728
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\NAZZABTDRSI.EXE
addsgn 0DE97FDE176A8B775095ECB151CC1205E28FF2B7CBFA205D85C3AFBC38B4330E23AF6486BC55B0C28BBB846056174CE23B9DE8FF11E9AE6C92B6A52FC70FDAF6 8 Shiz.0521
zoo %SystemRoot%\APPPATCH\GQULTX.EXE
bl 89E538547991C7C41D0696575CCEDAE8 279552
delall %SystemRoot%\APPPATCH\GQULTX.EXE
chklst
delvir
deltmp
delnfr
regt 12
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS, созданный после скрипта (например: ZOO_2011-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Оперативная память = explorer.exe(1916) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна, Помогите удалить вирус

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.05.2012 21:27:33

удалите найденное в мбам,

Код
Обнаруженные файлы: 3 C:\Documents and Settings\All Users\firefox.exe (Rootkit.Dropper) -> Действие не было предпринято. C:\Documents and Settings\Neshich\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято. C:\Program Files\Common Files\jqyrg4inedzz13m (Trojan.Agent) -> Действие не было предпринято.

Код

Обнаруженные файлы:  3
C:\Documents and Settings\All Users\firefox.exe (Rootkit.Dropper) -> Действие не было предпринято.
C:\Documents and Settings\Neshich\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\Program Files\Common Files\jqyrg4inedzz13m (Trojan.Agent) -> Действие не было предпринято.

далее,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.05.2012 20:23:33

Код
;uVS v3.75 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\NESHICH\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\2BZFVWAZTLC.EXE addsgn A7679B1BB9EE4C720B6D566164C89B48D1D9D5BB7DAC1CB18C8E31EBDBAB8567DA9C9EA31DACA614C7F5891403E24A3B7E246137A1F3CDD81EB7A56A338D3777 8 Carberp.AF.0509 bl D511B41CC3E5328895401B8741419946 133632 delall %SystemDrive%\DOCUMENTS AND SETTINGS\NESHICH\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\2BZFVWAZTLC.EXE chklst delvir deltmp delnfr CZOO restart

Код

;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\NESHICH\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\2BZFVWAZTLC.EXE
addsgn A7679B1BB9EE4C720B6D566164C89B48D1D9D5BB7DAC1CB18C8E31EBDBAB8567DA9C9EA31DACA614C7F5891403E24A3B7E246137A1F3CDD81EB7A56A338D3777 8 Carberp.AF.0509
bl D511B41CC3E5328895401B8741419946 133632
delall %SystemDrive%\DOCUMENTS AND SETTINGS\NESHICH\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\2BZFVWAZTLC.EXE
chklst
delvir
deltmp
delnfr
CZOO
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: 2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.05.2012 18:10:16

Цитата
RP55 RP55 пишет: В uVS 375 Какое впечатление от реализации данной опции - ?

я использую сортировку по производителю с тем же эффектом
+
из того что реально улучшило детектирование и анализ по образу в 3.75:
это внедрение сервиса whois, критерии по DNS

Изменено: santy - 20.05.2012 18:47:23

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 19.05.2012 16:50:39

3.75 релиз

[ Как создать образ автозапуска? ]

Перейти

Universal Virus Sniffer (uVS)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 19.05.2012 16:49:41

3.75 релиз

[ Как создать образ автозапуска? ]

Перейти