santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

Ошибка при обмене данными с ядром, главная

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.10.2014 15:26:28

негусто с ответом.
добавьте лог выполнения скрипта. это файл из каталога UVS с именем дата_времяlog.txt

[ Как создать образ автозапуска? ]

Перейти

Ошибка при обмене данными с ядром, главная

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.10.2014 14:03:21

поточнее можете ответить: скрипт выполнился или нет?
uVS на этот раз вылетел при выполнении скрипта или нет?

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.10.2014 12:53:14

Цитата
RP55 RP55 пишет: Здесь упал uVS http://forum.esetnod32.ru/forum3/topic11258/

ответ был: "Всё ровно не помогло".
а это можно трактовать по разному. например, что проблема не была решена выполнением скрипта. надо уточнять все, прежде чем сигналить разработчику от ошибке. (первый вылет был на версии 3.83)

Изменено: santy - 04.10.2014 12:54:30

[ Как создать образ автозапуска? ]

Перейти

Ошибка при обмене данными с ядром, главная

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.10.2014 12:51:46

Цитата
Дмитрий Пилясов пишет: Всё ровно не помогло.

что значит не помогло? uVS выполнил скрипт, но антивирус все равно не запустился?
или что-то другое. поясните.

[ Как создать образ автозапуска? ]

Перейти

Защита от вирусных шифровщиков с помощью HIPS

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.10.2014 12:45:49

Цитата
Получилось расшифровать, только если файл secring.gpg остается целым и не зашифрованным.

для того и нужен secring.gpg чтобы расшифровать то, что было зашифровано с помощью pubring.gpg
причем это должны быть ключи из одной пары, т.е. с одним отпечатком или keyID.

Цитата
Файл KEY.PRIVATE он же secring.gpg.gpg имеет совсем другой ID вот только откуда он шифруется не понятно.

secring.gpg шифруется другим ключем, ключом от злоумышленников. он есть в самом бат-файле. т.е. формируется в батнике из символьных строк.
вот этот ключ.
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: GnuPG v1 - GPGshell v3.78
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=yxjK
-----END PGP PUBLIC KEY BLOCK-----
можно эти строки скопировать в буфер, и импортировать к себе этот ключ, но толку.... для расшифровки KEY.PRIVATE нужна приватная часть этого ключа. Которой вообще нет на машине юзера. Она хранится у разработчиков энкодера.

Цитата
Сам файл secring.gpg весит всего ~700 байт, если его найти удаленным, через программы восстановления данных, которые смогут обойти утилиту sdelete.exe то можно все расшифровать.

посмотри описание sdelete
файл secring.gpg удаляется в 16 проходов. Кроме того, он еще раз создается, в него чего то вписывают, и после этого его еще раз удаляют.

Цитата
Проще наверное файл KEY.PRIVATE расшифровать, но в каком месте был его ключ неизвестно.

ключ к KEY.PRIVATE у разработчиков энкодера. Судя по сообщениям на техфорумах. получить секретную часть этого ключа никому не удалось за почти несколько месяцев его использования.
gpg: зашифровано 2048-битным ключом RSA, с ID A3CE7DBE, созданным 05.08.2014
"keybtc (keybtc) "
-------------------

Цитата
Оказывается этот вирус еще и передает другие вирусы через зараженный ПК на Email адреса.

да, во второй части бат-энкодера содержится процедура отправки почтового сообщения с зараженным вложением по найденным адресным книгам

Изменено: santy - 04.10.2014 13:59:49

[ Как создать образ автозапуска? ]

Перейти

Ошибка при обмене данными с ядром, главная

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 03.10.2014 19:46:33

обновите uVS до версии 3.83.1
http://rghost.ru/58059515

[ Как создать образ автозапуска? ]

Перейти

Защита от вирусных шифровщиков с помощью HIPS

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 03.10.2014 18:54:50

2pubring.gpg - это паблик ключ которым шифруются секретные ключи пользователя. (он взят из тела бат-энкодера)
он от версии к версии не меняется.

Цитата
:public key packet: version 4, algo 1, created 1407221140, expires 0 pkey[0]: [2048 bits] pkey[1]: [17 bits] keyid: 852C16FCAAB62875 :user ID packet: "keybtc (keybtc) <[email protected]>" :signature packet: algo 1, keyid 852C16FCAAB62875

1pubring.gpg - это паблик ключ, который был создан энкодером на стороне юзера для шифрования его документов
он уникален для каждого юзера.

Цитата
::public key packet: version 4, algo 1, created 1412347009, expires 0 pkey[0]: [1024 bits] pkey[1]: [17 bits] keyid: 151BB0968A17D6F5 :user ID packet: "genesis (genesis) <[email protected]>" :signature packet: algo 1, keyid 151BB0968A17D6F5

-------------
эти ключи только шифруют, расшифровывают файлы же их секретная часть. secring.gpg
поскольку secring.gpg у тебя нет с подобными ID, то и расшифровать ты ничего не сможешь.

Изменено: santy - 03.10.2014 19:07:39

[ Как создать образ автозапуска? ]

Перейти

Защита от вирусных шифровщиков с помощью HIPS

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 03.10.2014 18:31:28

вот, можно добавить мой pub key. шифровать им сообщения в почте
http://chklst.ru/forum/docs/pubring/safety%20(MK)%20(0xD2DB2BB1)%20pub.asc

[ Как создать образ автозапуска? ]

Перейти

Защита от вирусных шифровщиков с помощью HIPS

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 03.10.2014 18:17:11

чтобы импортировать любой ключ на связку ключей, которые использует gpg.exe, в менеджере есть функция Ключи - импорт, и указать откуда будет импорт ключа. (тогда этот ключ появится в менеджере ключей, и соответственно gpg.exe будет его уже автоматически использовать при выполнении действий).
--------
через менеджер можно создать свою пару pub/sec и использовать ее для шифрования или подписи своих документов.

Изменено: santy - 03.10.2014 18:18:31

[ Как создать образ автозапуска? ]

Перейти

Ошибка при обмене данными с ядром, главная

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 03.10.2014 18:11:42

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.83.1 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v383c OFFSGNSAVE zoo %SystemDrive%\PROGRAM FILES (X86)\TOOLDEV342\WEATHERBAR\TRACERSTOOLBARBHO_X86.DLL addsgn A7679B1928664D070E3C08B264C8ED70357589FA768F179082C3C5BCD3127D11E11BC33D2E3DCDC92B906CAB471649C9BD9F6382DCAF541FF6FEF9D34C7B2EFA 64 Trojan.BPlug.116 [DrWeb] zoo %SystemDrive%\PROGRAM FILES (X86)\TRUSTMEDIAVIEWERV1\TRUSTMEDIAVIEWERV1ALPHA58\IE\TRUSTMEDIAVIEWERV1ALPHA58X64.DLL addsgn BA652BBE5D22C5062FC4F9F9E724324CAE72772CC171EEFB7FC2B0B9B831344C235B4890B586D5C2E5C80FC36226017109FBD03AD61E9073C4D05AD038CAEEBF 64 BetterSurf zoo %SystemDrive%\USERS\ФОРТУНА\APPDATA\LOCAL\STOREGID\STOREGIDUP.EXE addsgn 1AF7FF9A5583338CF42BC4B90CD0774725626DF689FAE04DED5F87BCAFC3AD4C611746974A431E2CD7807B4FAD117A3A3D1C6317BD1DF5D0D3885BD02F072273 8 Trojan.Triosir.8 [DrWeb] zoo %SystemDrive%\USERS\ФОРТУНА\APPDATA\LOCAL\STOREGID\STOREGID.EXE addsgn 1A48029A5583338CF42B623A30EC1E8E69AEF8735B8E60773387E1B45F6C5450FE55C3564D5816050F8CD3143A324109D734B5F901FEBCADD7F7A42FC77A2C7C 8 AdWare.Agent.NFF [ESET-NOD32] zoo %SystemDrive%\PROGRAM FILES (X86)\ADOBE FLASH PLAYERS 10.0\IE\X64\ADOBEFLASH64.DLL delall %SystemDrive%\PROGRAM FILES (X86)\ADOBE FLASH PLAYERS 10.0\IE\X64\ADOBEFLASH64.DLL zoo %SystemDrive%\PROGRAM FILES (X86)\ADOBE FLASH PLAYERS 10.0\IE\X86\ADOBEFLASH32.DLL delall %SystemDrive%\PROGRAM FILES (X86)\ADOBE FLASH PLAYERS 10.0\IE\X86\ADOBEFLASH32.DLL deldirex %SystemDrive%\USERS\ФОРТУНА\APPDATA\LOCAL\STOREGID deldirex %SystemDrive%\USERS\ФОРТУНА\APPDATA\LOCAL\MEDIAGET2 deldirex %SystemDrive%\USERS\ФОРТУНА\APPDATA\LOCAL\PIRRITSUGGESTOR delall %SystemDrive%\USERS\ФОРТУНА\APPDATA\LOCAL\PIRRITSUGGESTOR\PIRRITSERVICE.EXE delall %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER.EXE ;------------------------autoscript--------------------------- chklst delvir delref HTTP=127.0.0.1:39180 delref HTTP://WWW.SEARCH.ASK.COM/?TPID=FF3-SP&O=APN11414&PF=V7&TRGB=CR&P2=%5EBBM%5EYYYYYY%5EYY%5ERU&GCT=HP&APN_PTNRS=%5EBBM&APN_DTID=%5EYYYYYY%5EYY%5ERU&APN_DBR=CR_35.0.1916.153&APN_UID=C9B50075-5C5E-4139-84B7-9F66088CA431&ITBV=12.17.1.2464&DOI=2014-10-01&PSV=&PT=TB delref HTTP://YAMBLER.NET/?IM delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&TEXT={SEARCHTERMS} ; Adobe Flash Players 10.0 exec C:\Program Files (x86)\Adobe Flash Players 10.0\unins000.exe ; Weatherbar exec MsiExec.exe /I{BE742AE3-0C95-46CC-B5C8-9F942FDD9360} /quiet deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.83.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v383c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES (X86)\TOOLDEV342\WEATHERBAR\TRACERSTOOLBARBHO_X86.DLL
addsgn A7679B1928664D070E3C08B264C8ED70357589FA768F179082C3C5BCD3127D11E11BC33D2E3DCDC92B906CAB471649C9BD9F6382DCAF541FF6FEF9D34C7B2EFA 64 Trojan.BPlug.116 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES (X86)\TRUSTMEDIAVIEWERV1\TRUSTMEDIAVIEWERV1ALPHA58\IE\TRUSTMEDIAVIEWERV1ALPHA58X64.DLL
addsgn BA652BBE5D22C5062FC4F9F9E724324CAE72772CC171EEFB7FC2B0B9B831344C235B4890B586D5C2E5C80FC36226017109FBD03AD61E9073C4D05AD038CAEEBF 64 BetterSurf

zoo %SystemDrive%\USERS\ФОРТУНА\APPDATA\LOCAL\STOREGID\STOREGIDUP.EXE
addsgn 1AF7FF9A5583338CF42BC4B90CD0774725626DF689FAE04DED5F87BCAFC3AD4C611746974A431E2CD7807B4FAD117A3A3D1C6317BD1DF5D0D3885BD02F072273 8 Trojan.Triosir.8 [DrWeb]

zoo %SystemDrive%\USERS\ФОРТУНА\APPDATA\LOCAL\STOREGID\STOREGID.EXE
addsgn 1A48029A5583338CF42B623A30EC1E8E69AEF8735B8E60773387E1B45F6C5450FE55C3564D5816050F8CD3143A324109D734B5F901FEBCADD7F7A42FC77A2C7C 8 AdWare.Agent.NFF [ESET-NOD32]

zoo %SystemDrive%\PROGRAM FILES (X86)\ADOBE FLASH PLAYERS 10.0\IE\X64\ADOBEFLASH64.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\ADOBE FLASH PLAYERS 10.0\IE\X64\ADOBEFLASH64.DLL
zoo %SystemDrive%\PROGRAM FILES (X86)\ADOBE FLASH PLAYERS 10.0\IE\X86\ADOBEFLASH32.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\ADOBE FLASH PLAYERS 10.0\IE\X86\ADOBEFLASH32.DLL
deldirex %SystemDrive%\USERS\ФОРТУНА\APPDATA\LOCAL\STOREGID
deldirex %SystemDrive%\USERS\ФОРТУНА\APPDATA\LOCAL\MEDIAGET2
deldirex %SystemDrive%\USERS\ФОРТУНА\APPDATA\LOCAL\PIRRITSUGGESTOR
delall %SystemDrive%\USERS\ФОРТУНА\APPDATA\LOCAL\PIRRITSUGGESTOR\PIRRITSERVICE.EXE
delall %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP=127.0.0.1:39180

delref HTTP://WWW.SEARCH.ASK.COM/?TPID=FF3-SP&O=APN11414&PF=V7&TRGB=CR&P2=%5EBBM%5EYYYYYY%5EYY%5ERU&GCT=HP&APN_PTNRS=%5EBBM&APN_DTID=%5EYYYYYY%5EYY%5ERU&APN_DBR=CR_35.0.1916.153&APN_UID=C9B50075-5C5E-4139-84B7-9F66088CA431&ITBV=12.17.1.2464&DOI=2014-10-01&PSV=&PT=TB

delref HTTP://YAMBLER.NET/?IM

delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&TEXT={SEARCHTERMS}

; Adobe Flash Players 10.0
exec  C:\Program Files (x86)\Adobe Flash Players 10.0\unins000.exe
; Weatherbar
exec  MsiExec.exe /I{BE742AE3-0C95-46CC-B5C8-9F942FDD9360} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Перейти