Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 1363 1364 1365 1366 1367 1368 1369 1370 1371 1372 1373 ... 1784 След.
[ Закрыто] модифицированный Win32/Kryptik.XOG троянская программа
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.12.2011 16:20:01
+
проверить данный файл на http://virustotal.com

[QUOTE][B]Полное имя C:\WINDOWS\SYSTEM32\CNARLMNT.DLL [/b]
Имя файла                   CNARLMNT.DLL
Тек. статус                 в автозапуске
                           
www.virustotal.com          Хэш НЕ найден на сервере.
                           
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
Размер                      89088 байт
Создан                      20.12.2011 в 16:16:54
Изменен                     27.02.2007 в 01:05:42
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Оригинальное имя            
Версия файла                1.1.0.0
Описание                    Canon MF8100 Series LanguageMonitor.
Производитель               キヤノン株式会社
Комментарий                
                           
Доп. информация             на момент обновления списка
SHA1                        BAC2DD663BA75B5E055A45A96191198A73A3B4B2
MD5                         1C9E573374425F1446F76E9A6F8E8F24
                           
Ссылки на объект            
Ссылка                      HKLM\System\CurrentControlSet\Control\Print\Monitors\CARPSLM­ Monitor\Driver
Driver                      CNARLMNT.DLL
[/QUOTE]
Перейти
[ Закрыто] модифицированный Win32/Kryptik.XOG троянская программа
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.12.2011 16:12:52
[B]abrazo[/B], вопрос:
вы скрипты в uVS выполняете, или только образы им создаете всякий раз?

вот скрипт в uVS из сообщения 11
[CODE];uVS v3.73 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\1348.EXE
addsgn 3AEC779A7CAA497A09D4AE98A09E435772DCAFA3600B1F78857B763D11D6­311C12E142910EE06DB6AA4684D449161F77F0AF168DAA62B0BC9857A1C8­CB062276 8 tr2

zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\B628.EXE
zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\CDA5.EXE
zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\F21C.EXE
zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\FCD6.EXE
chklst
delvir
deltmp
delnfr
restart[/CODE]
здесь прописано удаление файлов, тех что попали в последний лог малваребайт.
Изменено: santy - 22.12.2011 16:21:51
Перейти
[ Закрыто] модифицированный Win32/Kryptik.XOG троянская программа
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.12.2011 16:09:10
1. удалить все найденное в МБАМ
[QUOTE]Зараженные файлы:
c:\Users\admin\AppData\Roaming\1348.exe (Backdoor.IRCBot) -> No action taken.
c:\Users\admin\AppData\Roaming\CDA5.exe (Backdoor.IRCBot) -> No action taken.
c:\Users\admin\AppData\Roaming\F21C.exe (Backdoor.IRCBot) -> No action taken.
c:\Users\admin\AppData\Roaming\FCD6.exe (Backdoor.IRCBot) -> No action taken.[/QUOTE]
Перейти
[ Закрыто] модифицированный Win32/Kryptik.XOG троянская программа
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.12.2011 14:11:21
судя по всему, предыдущий скрипт очистки в uVS не был выполнен. все те же файлики на прежнем месте.
Перейти
[ Закрыто] модифицированный Win32/Kryptik.XOG троянская программа
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.12.2011 14:04:07
+
Скачайте, распакуйте и запустите TDSSKiller:
http://support.kaspersky.ru/faq/?qid=208636926
Если программа найдет файл WINDOWS\system32\Drivers\sptd.sys, то не удаляйте его.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.
Перейти
[ Закрыто] модифицированный Win32/Kryptik.XOG троянская программа
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.12.2011 13:59:27
+
новый образ автозапуска,
можно повторить скрипт с addir, crimg,
но похоже или в автозапуске сидит еще файлик, который сбрасывает экзешники в папку roaming,
или по сети пробивает.
Перейти
[ Закрыто] модифицированный Win32/Kryptik.XOG троянская программа
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.12.2011 13:56:21
+
сделайте дополнительно проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
Перейти
[ Закрыто] модифицированный Win32/Kryptik.XOG троянская программа
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.12.2011 13:55:27
похоже, подбрасываются все таки файлики в папку,
причина пока непонятна.

[b]выполнить скрипт в uVS[/b]
скопировать содержимое кода в буфер обмена
закрыть браузеры перед выполнением скрипта
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена

[code]

;uVS v3.73 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\1348.EXE
addsgn 3AEC779A7CAA497A09D4AE98A09E435772DCAFA3600B1F78857B763D11D6­311C12E142910EE06DB6AA4684D449161F77F0AF168DAA62B0BC9857A1C8­CB062276 8 tr2

zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\B628.EXE
zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\CDA5.EXE
zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\F21C.EXE
zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\FCD6.EXE
chklst
delvir
deltmp
delnfr
restart

[/code]

перезагрузка, пишем о старых и новых проблемах.

архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z)
отправить в почту [email protected], [email protected]
если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected
Перейти
2 проблемы
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.12.2011 13:50:49
хорошо,
по первому компу выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic751/
Перейти
2 проблемы
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.12.2011 13:36:52
если режим работы фаерволла ESS выбран интерактивным, то пробуйте создать запрещающее правило:

входящие, все протоколы, адрес удаленного компьютера (из журнала)
Перейти
Пред. 1 ... 1363 1364 1365 1366 1367 1368 1369 1370 1371 1372 1373 ... 1784 След.