santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] vbs/agent.nkb, Вирус

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.10.2014 11:03:10

+
выполните такой скрипт

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.83.1 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v383c OFFSGNSAVE exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F86416023FF} exec32 MsiExec.exe /I{BE742AE3-0C95-46CC-B5C8-9F942FDD9360} dnsreset deltmp delnfr restart

Код


;uVS v3.83.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v383c
OFFSGNSAVE

exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F86416023FF}
exec32 MsiExec.exe /I{BE742AE3-0C95-46CC-B5C8-9F942FDD9360}
dnsreset
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
------------

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] vbs/agent.nkb, Вирус

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.10.2014 11:00:48

это ваш DNS?
https://www.nic.ru/whois/?query=188.92.0.188

Цитата
inetnum: 188.92.0.128 - 188.92.0.255 netname: TELEMAX descr: Services Krasnoyarsk

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] vbs/agent.nkb, Вирус

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.10.2014 10:31:27

добавьте новый образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] vbs/agent.nkb, Вирус

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.10.2014 10:00:31

в АдвКлинере, в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)

остальное удалите по кнопке Очистить
-------
логи расширений сейчас гляну. по логам расширений все чисто.
если проблема ушла, выполните рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

Изменено: santy - 01.10.2014 10:02:21

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] vbs/agent.nkb, Вирус

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.10.2014 06:36:31

1. добавьте скриншот лога сканирования угроз в малваребайт

2. далее,

сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

3. добавьте логи расширений всех браузеров
http://forum.esetnod32.ru/forum9/topic10570/

[ Как создать образ автозапуска? ]

Перейти

Google запускает рекламный сайт ht*p://freemoney-blog.com

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 30.09.2014 05:43:40

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.83.1 [http://dsrt.dyndns.org] ;Target OS: NTv6.2 v383c OFFSGNSAVE zoo %SystemDrive%\USERS\VOVA\APPDATA\ROAMING\DIGITALSITES\UPDATEPROC\UPDATETASK.EXE addsgn A7679B19919AF4025095AE599827ECFA164AA99E6EA65E78E13CF5D8D9F699B5E9E93CD2FE5A13892B8084272A6A08FAC723B43355329AF3D3882712AB7A6373 9 Adware.Shopper.391 [DrWeb] ;------------------------autoscript--------------------------- chklst delvir deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.83.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.2
v383c
OFFSGNSAVE
zoo %SystemDrive%\USERS\VOVA\APPDATA\ROAMING\DIGITALSITES\UPDATEPROC\UPDATETASK.EXE
addsgn A7679B19919AF4025095AE599827ECFA164AA99E6EA65E78E13CF5D8D9F699B5E9E93CD2FE5A13892B8084272A6A08FAC723B43355329AF3D3882712AB7A6373 9 Adware.Shopper.391 [DrWeb]

;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Перейти

Mozilla сама грузит рекламный сайт http://freemoney-blog.com

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 29.09.2014 05:54:07

далее,

Цитата
сделайте дополнительно быструю проверку системы в малваребайт http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Перейти

Защита от вирусных шифровщиков с помощью HIPS

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 27.09.2014 19:32:59

bat encoder слегка модифицировался (смотрел вариант от 26.09.2014), теперь используются два ключа на рандомный выбор (AAB62875/A3CE7DBE и 3ED78E85/F05CF9EE) для шифрования secring.gpg из ключевой пары, созданной на стороне юзера.
вместо "taskmgr.exe" модуль gpg.exe (скачивается из сети) теперь называется "svchost.exe".
сцена по прежнему разворачивается в папке %temp% пользователя.
и по прежнему актуально блокирующее правило защиты от перезаписи и удаления для конечного файла %temp%\pubring.gpg

Изменено: santy - 27.09.2014 19:33:46

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] файл klpclst.dat

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 27.09.2014 19:29:07

образ чистый.
удалите папку вручную, скорее всего остатки от былого carberp.
если папка после удаления не восстановится автоматически, значит беспокоиться не о чем.

Изменено: santy - 27.09.2014 19:29:19

[ Как создать образ автозапуска? ]

Перейти

Открытие сайта рекламы http://freemoney-blog.com в разных браузерах

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 26.09.2014 19:55:45

Код
;uVS v3.83.1 [http://dsrt.dyndns.org] ;Target OS: NTv6.3 v383c OFFSGNSAVE zoo %SystemDrive%\USERS\1\APPDATA\ROAMING\DEALPLY\UPDATEPROC\UPDATETASK.EXE addsgn A7679B19919A1FCA67EEEFB18C0B02FADA31D4B7C8FA94BB3F8BFEFD503E374CDCE8406C3E2091C2E83ADCA40716A1BB7F2017F16EDAC420A6B41E47FC47229B 10 Adware.Shopper.363 [DrWeb] zoo %SystemDrive%\PROGRAM FILES (X86)\DEALPLYLIVE\UPDATE\1.3.23.0\NPGOOGLEUPDATE3.DLL addsgn 79132211B9E9317E0AA1AB5962841205DAFFF47DC4EA942D892B2942AF292811E11BC39BF2995185E74C48538ADA8536B113BDF9B98DE6A7587B2F62D78D5F7B 64 Win32:DealPly-A [PUP] zoo %SystemDrive%\PROGRAM FILES (X86)\DEALPLYLIVE\UPDATE\1.3.23.0\PSMACHINE.DLL addsgn 79132211B9E9317E0AA1AB59568E1205DAFFF47DC4EA942D892B2942AF292811E11BC39BF2995185E74C48538ADA1C719188BEF920D63B613DFCD9274CC7A9A2 64 Win32:DealPly-A [PUP] zoo %SystemDrive%\PROGRAM FILES (X86)\DEALPLYLIVE\UPDATE\1.3.23.0\DEALPLYLIVEONDEMAND.EXE addsgn 1A24619A5583348CF42B254E3143FE8E7082AA7DFCF648938CA5407524C7330E6551CCE0305A2A4B24377DB48162A3A5235A280F505978D370B4DA2CF4C6622E 8 Adware.Shopper.363 [DrWeb] zoo %SystemDrive%\PROGRAM FILES (X86)\DEALPLYLIVE\UPDATE\1.3.23.0\DEALPLYLIVEBROKER.EXE delall %SystemDrive%\PROGRAM FILES (X86)\DEALPLYLIVE\UPDATE\DEALPLYLIVE.EXE delall %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER.EXE del %SystemDrive%\USERS\1\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\INTERNET EXPLORER.LNK del %SystemDrive%\USERS\1\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\LAUNCH INTERNET EXPLORER BROWSER.LNK del %SystemDrive%\USERS\1\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\TASKBAR\GOOGLE CHROME.LNK del %SystemDrive%\USERS\1\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\TASKBAR\INTERNET EXPLORER.LNK ;------------------------autoscript--------------------------- chklst delvir delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID] delref HTTP://WWW.QVO6.COM/?UTM_SOURCE=B&UTM_MEDIUM=ILD&FROM=ILD&UID=TOSHIBAXDT01ACA050_43AN76WNSXX43AN76WNSX&TS=1371986489 delref HTTP://WWW.QIP.RU/ ; DealPly (remove only) exec C:\Program Files (x86)\DealPly\uninst.exe" /uninstall deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.83.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v383c
OFFSGNSAVE
zoo %SystemDrive%\USERS\1\APPDATA\ROAMING\DEALPLY\UPDATEPROC\UPDATETASK.EXE
addsgn A7679B19919A1FCA67EEEFB18C0B02FADA31D4B7C8FA94BB3F8BFEFD503E374CDCE8406C3E2091C2E83ADCA40716A1BB7F2017F16EDAC420A6B41E47FC47229B 10 Adware.Shopper.363 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES (X86)\DEALPLYLIVE\UPDATE\1.3.23.0\NPGOOGLEUPDATE3.DLL
addsgn 79132211B9E9317E0AA1AB5962841205DAFFF47DC4EA942D892B2942AF292811E11BC39BF2995185E74C48538ADA8536B113BDF9B98DE6A7587B2F62D78D5F7B 64 Win32:DealPly-A [PUP]

zoo %SystemDrive%\PROGRAM FILES (X86)\DEALPLYLIVE\UPDATE\1.3.23.0\PSMACHINE.DLL
addsgn 79132211B9E9317E0AA1AB59568E1205DAFFF47DC4EA942D892B2942AF292811E11BC39BF2995185E74C48538ADA1C719188BEF920D63B613DFCD9274CC7A9A2 64 Win32:DealPly-A [PUP]

zoo %SystemDrive%\PROGRAM FILES (X86)\DEALPLYLIVE\UPDATE\1.3.23.0\DEALPLYLIVEONDEMAND.EXE
addsgn 1A24619A5583348CF42B254E3143FE8E7082AA7DFCF648938CA5407524C7330E6551CCE0305A2A4B24377DB48162A3A5235A280F505978D370B4DA2CF4C6622E 8 Adware.Shopper.363 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES (X86)\DEALPLYLIVE\UPDATE\1.3.23.0\DEALPLYLIVEBROKER.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\DEALPLYLIVE\UPDATE\DEALPLYLIVE.EXE
delall %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER.EXE
del %SystemDrive%\USERS\1\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\INTERNET EXPLORER.LNK
del %SystemDrive%\USERS\1\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\LAUNCH INTERNET EXPLORER BROWSER.LNK
del %SystemDrive%\USERS\1\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\TASKBAR\GOOGLE CHROME.LNK
del %SystemDrive%\USERS\1\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\TASKBAR\INTERNET EXPLORER.LNK
;------------------------autoscript---------------------------

chklst
delvir

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

delref HTTP://WWW.QVO6.COM/?UTM_SOURCE=B&UTM_MEDIUM=ILD&FROM=ILD&UID=TOSHIBAXDT01ACA050_43AN76WNSXX43AN76WNSX&TS=1371986489

delref HTTP://WWW.QIP.RU/

; DealPly (remove only)
exec  C:\Program Files (x86)\DealPly\uninst.exe" /uninstall
deltmp
delnfr
;-------------------------------------------------------------

restart

[ Как создать образ автозапуска? ]

Перейти