santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

Помогите справиться с проблемой., Оперативная память = svchost.exe(3472) - модифицированный Win32/Qadars.AL троянская программа - очищен удалением ,

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.09.2016 03:58:26

очистка тщательная как раз не помешает после всех скриптов.

это еще выполните.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.4 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE addsgn 1AD78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian ;------------------------autoscript--------------------------- chklst delvir delref HTTP://CRASH-REPORTS.BROWSER.YANDEX.NET/SUBMIT delref IUOZLT.EXE deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\UNITY\WEBPLAYER\LOADER deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\DIMA\LOCAL SETTINGS\APPLICATION DATA\UNITY\WEBPLAYER\LOADER delref %Sys32%\D3DADAPTER.DLL delref %Sys32%\KBDMAI.DLL delref %Sys32%\WSAUDIO.DLL deldirex %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\108 deldirex %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.645 ; Mobogenie exec C:\Program Files\Mobogenie\uninst.exe ; SmilesExtensions version 2.1 exec C:\Program Files\smwdgt\unins000.exe deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1AD78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian

;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://CRASH-REPORTS.BROWSER.YANDEX.NET/SUBMIT

delref IUOZLT.EXE

deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\UNITY\WEBPLAYER\LOADER

deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\DIMA\LOCAL SETTINGS\APPLICATION DATA\UNITY\WEBPLAYER\LOADER

delref %Sys32%\D3DADAPTER.DLL

delref %Sys32%\KBDMAI.DLL

delref %Sys32%\WSAUDIO.DLL

deldirex %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\108

deldirex %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.645

; Mobogenie
exec C:\Program Files\Mobogenie\uninst.exe
; SmilesExtensions version 2.1
exec C:\Program Files\smwdgt\unins000.exe
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 03.09.2016 16:41:13

Николай,
наверное точно так же как полиция не может извести преступность, а правительство - коррупцию.
инструменты работают лишь в опытных руках.

[ Как создать образ автозапуска? ]

Перейти

Атака путем подделки записей кэша ARP

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 03.09.2016 04:26:52

пробуйте так же обновить ESS до актуальной версии 9.0.402

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 02.09.2016 21:30:06

не факт что TOR здесь работает в связке с трояном. тем более он не в автозапуске, хотя время создания файлов, да, указывает на связь.

Изменено: santy - 03.09.2016 04:27:43

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 02.09.2016 20:07:45

там ошибка с версией программы.
ТС использует 3.87, а в скрипте используется команда BP, которая добавлена уже в бетку 3.87.3 или 4.

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 02.09.2016 19:16:19

Николай,
да статья старая уже, но тема с этого типа банковским трояном свежая.
http://forum.esetnod32.ru/forum6/topic13475/

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 02.09.2016 19:13:32

Дмитрий,

используете ли вы он-лайн банковские системы с этого компьютера?

по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.4 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE addsgn 1AD78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian addsgn 1A3B5A9A55835A8CF42BF8DB65A016B0648A770761291F788504C3543C9771C7E5490002B5B91EA5276B8960331EA1A352DFE8F79583C423D202ACC7B8282273 64 bank_tr zoo %SystemDrive%\DOCUMENTS AND SETTINGS\DIMA\APPLICATION DATA\{212FE02D-BCAD-4D14-38FE-EF0B09899320}\SEOPKZSZL.DOHTYOJ CZOO sreg delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.645\BAIDUPROTECT.EXE delref %Sys32%\DRIVERS\BD0004.SYS delref %Sys32%\DRIVERS\BDARKIT.SYS delref %Sys32%\DRIVERS\BDMWRENCH.SYS delref %Sys32%\DRIVERS\BDSAFEBROWSER.SYS delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=3FC9EFB4FF3FC7AC4FB910EE3C327BAA&TEXT={SEARCHTERMS} delref %SystemDrive%\DOCUMENTS AND SETTINGS\DIMA\APPLICATION DATA\{212FE02D-BCAD-4D14-38FE-EF0B09899320}\SEOPKZSZL.DOHTYOJ delref HTTP://UTROM.ORG/ZM/ areg

Код


;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1AD78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian

addsgn 1A3B5A9A55835A8CF42BF8DB65A016B0648A770761291F788504C3543C9771C7E5490002B5B91EA5276B8960331EA1A352DFE8F79583C423D202ACC7B8282273 64 bank_tr

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\DIMA\APPLICATION DATA\{212FE02D-BCAD-4D14-38FE-EF0B09899320}\SEOPKZSZL.DOHTYOJ

CZOO

sreg
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.645\BAIDUPROTECT.EXE
delref %Sys32%\DRIVERS\BD0004.SYS
delref %Sys32%\DRIVERS\BDARKIT.SYS
delref %Sys32%\DRIVERS\BDMWRENCH.SYS
delref %Sys32%\DRIVERS\BDSAFEBROWSER.SYS
delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=3FC9EFB4FF3FC7AC4FB910EE3C327BAA&TEXT={SEARCHTERMS}
delref %SystemDrive%\DOCUMENTS AND SETTINGS\DIMA\APPLICATION DATA\{212FE02D-BCAD-4D14-38FE-EF0B09899320}\SEOPKZSZL.DOHTYOJ
delref HTTP://UTROM.ORG/ZM/
areg

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) выложите на обменник rghost.ru и дайте ссылку на этот файл в почту [email protected]
------------
далее,
добавьте новый образ автозапуска.
+
добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

+
добавьте логи выполнения скриптов uVS
это файлы дата_времяlog.txt в папке uVS

Изменено: santy - 02.09.2016 19:18:37

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 02.09.2016 06:29:59

Qadars – новый банковский троян с возможностью обхода двухфакторной аутентификации
https://habrahabr.ru/company/eset/blog/207216/

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 02.09.2016 06:25:07

Дмитрий Шуваев,
банковские системы используете на вашей системе?

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .better_call_saul, .da_vinci_code, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: README*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 02.09.2016 02:02:22

Вадим Борбат,
добавьте образ автозапуска системы для очистки.

[ Как создать образ автозапуска? ]

Перейти