santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.04.2012 16:50:35

проблема левых DNS все чаще стала появляться в темах заражений.
Арвид уже в курсе, и другим не мешает об этом знать. пока светится стабильно один левый ip в настройках подключений.

---------

Цитата
Полное имя 134.255.241.122,8.8.8.8\VirtualBox Host-Only Network\4\{8E8FC965-BEF7-4B5E-8442-3E0204CE3EBB} Имя файла {8E8FC965-BEF7-4B5E-8442-3E0204CE3EBB} Тек. статус ?ВИРУС? DNS Удовлетворяет критериям ЛЕВЫЙ DNS ПОЛНОЕ ИМЯ: 134.255.241.122,8.8.8.8\VIRTUALBOX HOST-ONLY NETWORK\4\{8E8FC965-BEF7-4B5E-8442-3E0204CE3EBB} Сохраненная информация на момент создания образа Статус DNS

Цитата

Полное имя 134.255.241.122,8.8.8.8\VirtualBox Host-Only Network\4\{8E8FC965-BEF7-4B5E-8442-3E0204CE3EBB}
Имя файла {8E8FC965-BEF7-4B5E-8442-3E0204CE3EBB}
Тек. статус ?ВИРУС? DNS

Удовлетворяет критериям
ЛЕВЫЙ DNS ПОЛНОЕ ИМЯ: 134.255.241.122,8.8.8.8\VIRTUALBOX HOST-ONLY NETWORK\4\{8E8FC965-BEF7-4B5E-8442-3E0204CE3EBB}

Сохраненная информация на момент создания образа
Статус DNS

Изменено: santy - 13.04.2012 17:11:58

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Блокировка рабочего стола

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.04.2012 16:40:36

образ автозапуска все таки надо было сделать, чтобы и мы видели и знали способы блокировки рабочего стола.

[ Как создать образ автозапуска? ]

Перейти

12.04.2012 16:39:19 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = explorer.exe(1652) вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа очистка невозможна MICROSOF-5BAC7C\Admin, троян как бы в " оперативной памяти "

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.04.2012 16:33:02

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 setdns VirtualBox Host-Only Network\4\{8E8FC965-BEF7-4B5E-8442-3E0204CE3EBB}\8.8.8.8,8.8.4.4 setdns Подключение по локальной сети\4\{35DE1949-8BB8-4E4C-8710-6C8046D4A333}\8.8.8.8,8.8.4.4 deltmp delnfr regt 14 EXEC cmd /c"ipconfig /flushdns" restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

setdns VirtualBox Host-Only Network\4\{8E8FC965-BEF7-4B5E-8442-3E0204CE3EBB}\8.8.8.8,8.8.4.4
setdns Подключение по локальной сети\4\{35DE1949-8BB8-4E4C-8710-6C8046D4A333}\8.8.8.8,8.8.4.4
deltmp
delnfr
regt 14
EXEC cmd /c"ipconfig /flushdns"
restart

перезагрузка,
пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] http:\\goodcazino.com, Выбрасывает на эту ссылку

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.04.2012 16:28:41

выполните все таки быстрый скан в малваребайт

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Блокировка рабочего стола

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.04.2012 16:27:46

проверьте так же возможность загрузки в безопасном режиме

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] http:\\goodcazino.com, Выбрасывает на эту ссылку

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.04.2012 13:16:52

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 zoo %SystemRoot%\TASKMNGR.EXE delall %SystemRoot%\TASKMNGR.EXE delall %SystemDrive%\USERS\FOG\APPDATA\LOCAL\TEMP\08F56FF6-864D-4A92-944A-57B870198CB2\CLISECURERT.DLL delref PODSOLNUSHKI.COM deltmp delnfr restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
zoo %SystemRoot%\TASKMNGR.EXE
delall %SystemRoot%\TASKMNGR.EXE
delall %SystemDrive%\USERS\FOG\APPDATA\LOCAL\TEMP\08F56FF6-864D-4A92-944A-57B870198CB2\CLISECURERT.DLL
delref PODSOLNUSHKI.COM
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
архив, из каталога uVS, созданный после скрипта (например: 2011-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Обнаружена угроза оперативной памяти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.04.2012 10:11:06

здесь ответ
http://forum.esetnod32.ru/forum6/topic5184/

[ Как создать образ автозапуска? ]

Перейти

"Обнаружена угроза в памяти!"

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.04.2012 10:10:10

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 addsgn A7679B19B93E263A63D41F3DFFA012E4ADB514D0ACFA1FFB41CFADBC50B654242395BC48546BF7544380B4A919FE97D27DDF6BB6418939699D1DD247C7F80916 8 tr.Carberp zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\1ZFSSVUVGMA.EXE bl 73B71384CDEC94478BB4DDC6045874DB 176128 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\1ZFSSVUVGMA.EXE chklst delvir delref HTTP://WEBALTA.RU/SEARCH deltmp delnfr CZOO restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
addsgn A7679B19B93E263A63D41F3DFFA012E4ADB514D0ACFA1FFB41CFADBC50B654242395BC48546BF7544380B4A919FE97D27DDF6BB6418939699D1DD247C7F80916 8 tr.Carberp
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\1ZFSSVUVGMA.EXE
bl 73B71384CDEC94478BB4DDC6045874DB 176128
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\1ZFSSVUVGMA.EXE
chklst
delvir
delref HTTP://WEBALTA.RU/SEARCH
deltmp
delnfr
CZOO
restart

[ Как создать образ автозапуска? ]

Перейти

оперативная память winlogon.exe (1332) - вероятно модифицированный win32/genetik троянская программа - очиста невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.04.2012 07:44:55

второй лог чистый,
проверьте еще в ESET NOD32 сканирование только оперативной памяти.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Очистить оперативную память от Win32/TrojanDownloader.Carberp.AH, очистить оперативную память Windows7 от Win32/TrojanDownloader.Carberp.AH

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.04.2012 05:46:59

вот систему так же не мешает очистить от вирусов

[ Как создать образ автозапуска? ]

Перейти