santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

Вирус, Помогите подобрать код

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.12.2011 12:07:31

создайте образ автозапуска с помощью WinPe&uVS
http://forum.esetnod32.ru/forum6/topic2102/

[ Как создать образ автозапуска? ]

Перейти

Winlogon.exe - Win32/Spy.Shiz.NICE (1332)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.12.2011 12:06:30

выполнить скрипт в uVS
скопировать содержимое кода в буфер обмена
закрыть браузеры перед выполнением скрипта
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена

Код
;uVS v3.73 script [http://dsrt.dyndns.org] addsgn A7679BF0AA0244100BC4C62D59C80261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C73E0848F75C4C32EF4CAD4DD51CA3BE4AC965B2FC706AB7E 8 Spy.Shiz zoo %SystemRoot%\APPPATCH\SCFLBS.EXE delall %SystemRoot%\APPPATCH\SCFLBS.EXE delref HTTP://QIP.RU delref HTTP://SEARCH.QIP.RU delref HTTP://XTREME.WS/ deltmp delnfr czoo restart

Код


;uVS v3.73 script [http://dsrt.dyndns.org]

addsgn A7679BF0AA0244100BC4C62D59C80261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C73E0848F75C4C32EF4CAD4DD51CA3BE4AC965B2FC706AB7E 8 Spy.Shiz

zoo %SystemRoot%\APPPATCH\SCFLBS.EXE
delall %SystemRoot%\APPPATCH\SCFLBS.EXE
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
delref HTTP://XTREME.WS/
deltmp
delnfr
czoo
restart

перезагрузка, пишем о старых и новых проблемах.

архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z)
отправить в почту [email protected], [email protected]
если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected
+
выполнить сканирование в Малваребайт

[ Как создать образ автозапуска? ]

Перейти

Winlogon.exe - Win32/Spy.Shiz.NICE (1332)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.12.2011 11:16:53

перезалейте образ на http://rghost.ru

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Оперативная память » explorer.exe(3552) - модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.12.2011 11:02:34

удалите найденное в МБАМ,
в остальном - чисто.

выполните рекомендации по безопасной работе
http://forum.esetnod32.ru/forum9/topic751/

тема закрыта.

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.12.2011 10:21:29

да, вообщем понятно.
uVS может быть закрыт после выполнения скрипта adddir+ crimg, и после нового запуска файлики добавленные в предыдущей сессии через adddir
не попадают в автозапуск,
а поскольку chklst проверяет только список автозапуска (и ничего больше, если не добавлено скриптом), то соответственно delvir "не дотягивается" до файлов из

Цитата
%SystemDrive%\USERS\ADMIN\APPDATA\ROAMING

тут или удалять по прямому пути надо был через delall, или использовать в текущем скрипте adddir (в примере RP55) перед проверкой по сигнатурам
(неплохой пример для науки.)

Изменено: santy - 23.12.2011 11:04:37

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.12.2011 10:07:53

Код
;uVS v3.73 script [http://dsrt.dyndns.org] fixvbr C: 5 delref HTTP://WWW.SMAXXI.BIZ delall %SystemDrive%\DOCUMENTS AND SETTINGS\ГЕОЛИНК\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE deltmp delnfr restart

Код


;uVS v3.73 script [http://dsrt.dyndns.org]

fixvbr C: 5
delref HTTP://WWW.SMAXXI.BIZ
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ГЕОЛИНК\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 22.12.2011 21:00:24

удалите все найденное в МБАм,
перезагрузка,
сделайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] модифицированный Win32/Kryptik.XOG троянская программа

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 22.12.2011 20:30:25

выполните наши рекомендации применительно к вашей системе
http://forum.esetnod32.ru/forum9/topic751/
(backdoor может еще вернуться, имеет смысл периодически выполнить сканирование для контроля.)

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] модифицированный Win32/Kryptik.XOG троянская программа

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 22.12.2011 20:28:06

хм, вытравились. даже интересно стало, почему они так долго оставались в системе. должны были быть удалены еще скриптами uVS.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] модифицированный Win32/Kryptik.XOG троянская программа

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 22.12.2011 20:03:08

еще раз выполните сканирование в малваребайт

Изменено: santy - 22.12.2011 20:03:42

[ Как создать образ автозапуска? ]

Перейти