santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 05.02.2012 10:58:13

Цитата
RP55 RP55 пишет: Тема - развивается... В возможности точечного наведения на цель - при том, что сигнатура сработала на 2-ва файла. *Один из них системный, а второй вирус. И нет возможности увеличить длину сигнатуры - "сигнатуры идентичны" Если задать доп.параметр ( например размер файла 570 ) То из двух файлов - будет удалён только файл = 570kb ! = вирус ! А системный будет цел ! И это при том, что он изначально попадал под действие сигнатуры... Иначе говоря УЖЕ можно как удалять файл по доп.критериям - так и спасти его от ложного срабатывания. В меню uVS опция: "Задайте файл исключение по имени;размеру;хешу;дате создания;производителю;подписи;пути; В общем я размышляю...

Цитата

RP55 RP55 пишет:
Тема - развивается...
В возможности точечного наведения на цель - при том, что сигнатура сработала на 2-ва файла.
*Один из них системный, а второй вирус.
И нет возможности увеличить длину сигнатуры - "сигнатуры идентичны"
Если задать доп.параметр ( например размер файла 570 )
То из двух файлов - будет удалён только файл = 570kb ! = вирус !
А системный будет цел !
И это при том, что он изначально попадал под действие сигнатуры...
Иначе говоря УЖЕ можно как удалять файл по доп.критериям - так и спасти его от ложного срабатывания.

В меню uVS опция:
"Задайте файл исключение по имени;размеру;хешу;дате создания;производителю;подписи;пути;
В общем я размышляю...

все это можно реализовать по технологии селектированных записей (которые формируются в том числе и по составному запросу.)
если это будет реализовано, тогда можно думать и развивать дальше, какие действия можно выполнить над селектированными записями.

[ Как создать образ автозапуска? ]

Перейти

Win/32TrojanDownloader.Carberp

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 05.02.2012 10:48:13

удалите в МБАМ

Цитата
Обнаруженные файлы: 1 C:\Documents and Settings\Администратор\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.

далее,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic751/

[ Как создать образ автозапуска? ]

Перейти

Помогите с вирусом пожалуйста

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 05.02.2012 10:21:49

здесь
http://forum.esetnod32.ru/forum6/topic3974/

[ Как создать образ автозапуска? ]

Перейти

Win/32TrojanDownloader.Carberp

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 05.02.2012 10:19:39

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 addsgn A7679B19B956F48A0BD4AEDB51A2046F8D62B9EC89FA9CBC89902D804AD6711A4989A9BDD66787492B034097AE3C53FA7D8882683F9ADA42C569BE2FC785E67F 8 a variant of Win32/Kryptik.ZZY [NOD32] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\4XOO5A1ZZXQ.EXE bl 28E287401BDA6ACCBB4155CF1F2786B2 171520 delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\4XOO5A1ZZXQ.EXE chklst delvir deltmp delnfr restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

addsgn A7679B19B956F48A0BD4AEDB51A2046F8D62B9EC89FA9CBC89902D804AD6711A4989A9BDD66787492B034097AE3C53FA7D8882683F9ADA42C569BE2FC785E67F 8 a variant of Win32/Kryptik.ZZY [NOD32]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\4XOO5A1ZZXQ.EXE
bl 28E287401BDA6ACCBB4155CF1F2786B2 171520
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\4XOO5A1ZZXQ.EXE
chklst
delvir
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Обнаружена угроза в памяти!

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.02.2012 21:56:15

удалите в мбам все найденное кроме

Цитата
Объекты реестра обнаружены: 1 HKLM\SOFTWARE\Microsoft\Security Center\|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

перезагрузка системы,
повторите сканирование в мбам

[ Как создать образ автозапуска? ]

Перейти

Беда с Win/32TrojanDownloader.Carberp

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.02.2012 20:50:14

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 addsgn A7679B19B93AF6C20BD4AE3A69C4A047256283D489FA4C128EA9A0D6A03E356F23174093323FC9A190A1849FC5D24DACC522147255B04346A71D7D456BEE8752 8 a variant of Win32/Kryptik.ZZY [NOD32] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\4CICL70YL7C.EXE bl ACD064D57081D867C42B45DE6D2B84AC 174592 delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\4CICL70YL7C.EXE chklst delvir delref HTTP://QIP.RU delref HTTP://SEARCH.QIP.RU deltmp delnfr restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

addsgn A7679B19B93AF6C20BD4AE3A69C4A047256283D489FA4C128EA9A0D6A03E356F23174093323FC9A190A1849FC5D24DACC522147255B04346A71D7D456BEE8752 8 a variant of Win32/Kryptik.ZZY [NOD32]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\4CICL70YL7C.EXE
bl ACD064D57081D867C42B45DE6D2B84AC 174592
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\4CICL70YL7C.EXE
chklst
delvir
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
deltmp
delnfr
restart

перезагрузка,
пишем о старых и новых проблемах.
архив (например: 2010-10-04_13-30-55.rar/7z) из папки uVS отправить в почту [email protected], [email protected]
(если архив не был создан автоматически,
самостоятельно добавить папку ZOO (с копиями вирусов для вирлаба) в архив с паролем infected )
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] explorer.exe(1572) Win32/TrojanDownloader.Carberp.AD, Оперативная память » explorer.exe(1572) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.02.2012 20:33:20

код возможно будет другой, но метод прежний.
от вас - описание проблемы, образ автозапуска, логи сканирования и добросовестное выполнение рекомендаций.
от нас - скрипты и чуткое руководство.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Обнаружена угроза в памяти!

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.02.2012 20:30:35

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %SystemRoot%\APPPATCH\IFVEIEI.EXE addsgn A7679B19B9621B2486C13C2130C87A4AEDAFFCA9332DD85685C03FEBAFC3291C6317601CAE019DA17F707B60E5E9D8AE7D20DD7EC78EB0D31847347BC7504A85 8 Spy.Shiz bl 2C92DFCA006DE3B354C9D77A5295DA0D 264704 delall %SystemRoot%\APPPATCH\IFVEIEI.EXE chklst delvir delref HTTP://SEARCH.QIP.RU deltmp delnfr regt 12 restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %SystemRoot%\APPPATCH\IFVEIEI.EXE
addsgn A7679B19B9621B2486C13C2130C87A4AEDAFFCA9332DD85685C03FEBAFC3291C6317601CAE019DA17F707B60E5E9D8AE7D20DD7EC78EB0D31847347BC7504A85 8 Spy.Shiz

bl 2C92DFCA006DE3B354C9D77A5295DA0D 264704
delall %SystemRoot%\APPPATCH\IFVEIEI.EXE
chklst
delvir
delref HTTP://SEARCH.QIP.RU
deltmp
delnfr
regt 12
restart

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.02.2012 20:00:33

удалите все найденное в МБАМ кроме:

Цитата
HKLM\SOFTWARE\Microsoft\Security Center\|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Security Center\|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Security Center\|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

Цитата

HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

далее,
выполните наши рекомендации по безопасной работе
http://forum.esetnod32.ru/forum9/topic751/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Обнаружена угроза в памяти!

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.02.2012 19:58:58

нужен образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Перейти