Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 1362 1363 1364 1365 1366 1367 1368 1369 1370 1371 1372 ... 1784 След.
Вирус, Помогите подобрать код
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 23.12.2011 12:07:31
создайте образ автозапуска с помощью WinPe&uVS
http://forum.esetnod32.ru/forum6/topic2102/
Перейти
Winlogon.exe - Win32/Spy.Shiz.NICE (1332)
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 23.12.2011 12:06:30
[b]выполнить скрипт в uVS[/b]
скопировать содержимое кода в буфер обмена
закрыть браузеры перед выполнением скрипта
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена

[code]

;uVS v3.73 script [http://dsrt.dyndns.org]

addsgn A7679BF0AA0244100BC4C62D59C80261848AFCF689AA7BF1A0C3C5BC5055­9D14704194DE5BBD625C73E0848F75C4C32EF4CAD4DD51CA3BE4AC965B2F­C706AB7E 8 Spy.Shiz

zoo %SystemRoot%\APPPATCH\SCFLBS.EXE
delall %SystemRoot%\APPPATCH\SCFLBS.EXE
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
delref HTTP://XTREME.WS/
deltmp
delnfr
czoo
restart

[/code]

перезагрузка, пишем о старых и новых проблемах.

архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z)
отправить в почту [email protected], [email protected]
если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected
+
выполнить сканирование в [URL=http://forum.esetnod32.ru/forum9/topic682/]Малваребайт[/URL]
Перейти
Winlogon.exe - Win32/Spy.Shiz.NICE (1332)
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 23.12.2011 11:16:53
перезалейте образ на http://rghost.ru
Перейти
[ Закрыто] Оперативная память » explorer.exe(3552) - модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 23.12.2011 11:02:34
удалите найденное в МБАМ,
в остальном - чисто.

выполните рекомендации по безопасной работе
http://forum.esetnod32.ru/forum9/topic751/

тема закрыта.
Перейти
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 23.12.2011 10:21:29
да, вообщем понятно.
uVS может быть закрыт после выполнения скрипта adddir+ crimg, и после нового запуска файлики добавленные в предыдущей сессии через adddir
не попадают в автозапуск,
а поскольку chklst проверяет только список автозапуска (и ничего больше, если не добавлено скриптом), то соответственно delvir "не дотягивается" до файлов из
[QUOTE]%SystemDrive%\USERS\ADMIN\APPDATA\ROAMING [/QUOTE]
тут или удалять по прямому пути надо был через delall, или использовать в текущем скрипте adddir (в примере [B]RP55[/B]) перед проверкой по сигнатурам
(неплохой пример для науки.)
Изменено: santy - 23.12.2011 11:04:37
Перейти
[ Закрыто] Оперативная память » explorer.exe(3552) - модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 23.12.2011 10:07:53
[b]выполнить скрипт в uVS[/b]
скопировать содержимое кода в буфер обмена
закрыть браузеры перед выполнением скрипта
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена

[code]

;uVS v3.73 script [http://dsrt.dyndns.org]

fixvbr C: 5
delref HTTP://WWW.SMAXXI.BIZ
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ГЕОЛИНК\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
deltmp
delnfr
restart

[/code]

перезагрузка, пишем о старых и новых проблемах.
Перейти
[ Закрыто] Оперативная память » explorer.exe(3552) - модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.12.2011 21:00:24
удалите все найденное в МБАм,
перезагрузка,
сделайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/
Перейти
[ Закрыто] модифицированный Win32/Kryptik.XOG троянская программа
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.12.2011 20:30:25
выполните наши рекомендации применительно к вашей системе
http://forum.esetnod32.ru/forum9/topic751/
(backdoor может еще вернуться, имеет смысл периодически выполнить сканирование для контроля.)
Перейти
[ Закрыто] модифицированный Win32/Kryptik.XOG троянская программа
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.12.2011 20:28:06
хм, вытравились. даже интересно стало, почему они так долго оставались в системе. должны были быть удалены еще скриптами uVS.
Перейти
[ Закрыто] модифицированный Win32/Kryptik.XOG троянская программа
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.12.2011 20:03:08
еще раз выполните сканирование  в [B]малваребайт[/B]
Изменено: santy - 22.12.2011 20:03:42
Перейти
Пред. 1 ... 1362 1363 1364 1365 1366 1367 1368 1369 1370 1371 1372 ... 1784 След.