Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 1339 1340 1341 1342 1343 1344 1345 1346 1347 1348 1349 ... 1784 След.
[ Закрыто] Оперативная память » explorer.exe(368) - модифицированный Win32/Spy.Shiz.NCE троянская программа - очистка невозможна, Heeeelp
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 20.01.2012 20:21:02
это надуманная проблема
Цитата
выполнить скрипт ИЗ буфера обмена=выполнить скрипт находящегося в буфере обмен
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Оперативная память » explorer.exe(368) - модифицированный Win32/Spy.Shiz.NCE троянская программа - очистка невозможна, Heeeelp
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 20.01.2012 20:11:35
выполнить скрипт в uVS
Цитата
скопировать содержимое кода в буфер обмена
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Оперативная память » explorer.exe(368) - модифицированный Win32/Spy.Shiz.NCE троянская программа - очистка невозможна, Heeeelp
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 20.01.2012 20:01:09
выполнить скрипт в uVS
скопировать содержимое кода в буфер обмена
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена
закрыть браузеры перед выполнением скрипта

Код

;uVS v3.73.1 script [http://dsrt.dyndns.org]

zoo %SystemRoot%\APPPATCH\QFLDJG.EXE
addsgn A7679B19B9621B2486C13C2130C87A4AEDAFFCA9332DD85685C03FEBAFC3291C6317601CAE019DA17F707B60E5E9D8AE7D20DD7EC78EB0D31847347BC7504A85 8 Spy.Shiz

bl 5C89F03691B490CE9E092FC429F719F6 272200
delall %SystemRoot%\APPPATCH\QFLDJG.EXE
delall %SystemDrive%\TEMP\VYH10E3.TMP
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER3.DLL
chklst
delvir
deltmp
delnfr
restart


перезагрузка, пишем о старых и новых проблемах.

архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z)
отправить в почту [email protected], [email protected]
если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Оперативная память » explorer.exe(368) - модифицированный Win32/Spy.Shiz.NCE троянская программа - очистка невозможна, Heeeelp
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 20.01.2012 19:06:27
сделайте образ автозапуска в uVS
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Вирус в оперативной памяти
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 20.01.2012 16:59:21
или лучше так выполнить последнее действие
--------
скачайте файл из приложенного архива,
распакуйте
и выполните cork.bat

далее,
найти файлы c:\filereg1.reg, c:\filereg2.reg, c:\filereg3.reg, c:\filereg4.reg
добавить в архив filereg.rar
и добавить файл архива на форум в ваше сообщение.
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Вирус в оперативной памяти
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 20.01.2012 16:54:39
выполните в окне cmd следующие действия:
Код
REG EXPORT HKEY_CLASSES_ROOT\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153} c:\filereg1.reg

и
Код
REG EXPORT HKEY_CURRENT_USER\Software\Classes\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\InprocServer32 c:\filereg2.reg

и
Цитата
REG EXPORT HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceO­bjectDelayLoad c:\filereg3.reg
и
Код
REG EXPORT HKLM\Software\Classes\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\InprocServer32\ c:\filereg4.reg


далее,
найти файлы c:\filereg1.reg, c:\filereg2.reg, c:\filereg3.reg, c:\filereg4.reg
добавить в архив filereg.rar
и добавить файл архива на форум в ваше сообщение.
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Вирус в оперативной памяти
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 20.01.2012 16:48:05
нет, не надо удалять, но надо сделать другое.
[ Как создать образ автозапуска? ]
Перейти
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 20.01.2012 12:20:33
вообщем,
по Corkow идея такая (гипотеза, нам полезно измышлять гипотезы.)
(По возможности, если будут темы с новыми заражениями, просьба проверить соответствующие ключи и параметры реестра.)
-----------
по описанию ESET есть два варианта, которые стартуют следующим образом:

Цитата
The trojan may set the following Registry entries:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"ServiceDll" = "%commonprogramfiles%\microsoft
shared\%variable1%.%variable2%"

[HKEY_CURRENT_USER\Software\Classes\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\InprocServer32]
"Default" = "%appdata%\Microsoft
Corporation\%variable1%.%variable2%"

This way the trojan ensures that the file is executed on every system start.
тот, что стартует из службы lanmanserver всегда есть в образе и легко пролечивается скриптом. + с исправлением параметра на
правильную сервисную dll.

во втором случае троянская dll не всегда, (чаще всего в последнее время) попадает в автозапуск.
В чем здесь дело.
Судя по всему старт трояна идет через ключ автозапуска

HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\ShellServiceObject­DelayLoad
в котором указан параметр
SysTray
значение же параметра выставлено через CLSID={35CEC8A3-2BE6-11D2-8773-92E220524153}
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
----------------
смотрим в реестре описание CLSID в HKLM
нормальное (в чистых системах) значение такое (и оно есть в образах с темой Corkow):
Цитата
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}]
@="SysTray"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\InprocServer32]
@="C:\\WINDOWS\\system32\\stobject.dll"
"ThreadingModel"="Both"
возможно троян грузится, если в HKCU добавлено переопределение com-объекта?
а именно (как написано в энциклопедии ESET)

Цитата
[HKEY_CURRENT_USER\Software\Classes\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\InprocServer32]

"Default" = "%appdata%\Microsoft

Corporation\%variable1%.%variable2%"
Возможно uVS не проверяет соответствующий ключ из HKCU. (уточню у разработчика)
поскольку несколько раз, когда просили юзеров проверить данный ключ в regedit,
они называли имя файла, т.е. ключ не сокрыт в реестре,
и проверяли файлик на VT с подозрением на Corkow, т.е. файлик тоже не скрыт.
Изменено: santy - 20.01.2012 12:20:54
[ Как создать образ автозапуска? ]
Перейти
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 20.01.2012 09:53:48
вот эта часть тоже интересна.
http://virusinfo.info/showthread.php?t=115210

скриптом сбрасывается значение параметра.
Код
begin
RegKeyResetSecurity('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad');
RegKeyParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad', 'SysTray', 'REG_SZ', '{35CEC8A3-2BE6-11D2-8773-92E220524153}');
RebootWindows(true);
end.

по словам, вирус удален,
но после перезагрузке в автозапуске опять троянская dll.
Цитата
C:\Documents and Settings\Yaf\Application Data\Microsoft Corporation\dgrfw32.ext
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\ShellServiceObject­DelayLoad, SysTray
какие есть идеи по этому поводу? :)
[ Как создать образ автозапуска? ]
Перейти
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 20.01.2012 08:35:37
в некоторых случаях (возможно ранние варианты Corkow), троянская dll присутствует в автозапуске
Цитата
Полное имя                  C:\DOCUMENTS AND SETTINGS\FAMILY\APPLICATION DATA\MICROSOFT CORPORATION\MSPUID.AVE
Имя файла                   MSPUID.AVE
Тек. статус                 ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
ПОДОЗРЕНИЕ НА CORKOW.A      ССЫЛКА: HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\SHELLSERVICEO­BJECTDELAYLOAD\SYSTRAY
ПОДОЗРЕНИЕ НА CORKOW.A      ССЫЛКА: HKEY_USERS\S-1-5-21-1606980848-2146945071-1801674531-1004_CLASSES\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\INPROCSERVER32\
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер                      175104 байт
Создан                      21.01.2010 в 08:52:56
Изменен                     21.01.2010 в 08:52:56
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Оригинальное имя            spRio600.dll
Версия файла                1.0.2.1
Описание                    MDM Device Interface for Rio 600 device.
Производитель               S3/Diamond Multimedia
Комментарий                 Media Device Manager for Rio 600 device
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                           
Доп. информация             на момент обновления списка
SHA1                        F045713A878A8E376CD3F5B3FB0A2845FAB4D8D9
MD5                         8CCEC30EFA773D557BA3CAFCF6EC652B
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceO­bjectDelayLoad\SysTray
                           
Ссылка                      HKEY_USERS\S-1-5-21-1606980848-2146945071-1801674531-1004_Classes\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\InprocServer32\
Изменено: santy - 20.01.2012 08:36:28
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 1339 1340 1341 1342 1343 1344 1345 1346 1347 1348 1349 ... 1784 След.