santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

сетевые принтеры снова печатают и снова иероглифы

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.08.2014 11:31:07

да, в хостс такие были блокировки

Цитата
HOSTS: C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS 127.0.0.1 localhost 127.0.0.1 diazoom.ru anonimix.ru nonymizer.ru antiblock.ru jelya.ru o.vhodilka.ru 127.0.0.1 pinun.ru vhodilka.ru netdostupa.com webmurk.ru adminimus.ru ok-anonimaizer.ru 127.0.0.1 neklassniki.ru workandtalk.ru anonim.do.am unboo.ru timp.ru dostyp.ru 127.0.0.1 raskruty.ru nezayti.ru hellhead.ru obhodilka.ru cameleo.ru webvpn.org 127.0.0.1 nekontakt2.ru waitplay.ru dostupest.ru spoolls.com razblokirovatdostup.ru 127.0.0.1 anonim.ttu.su websplatt.ru urlbl.ru dardan.ru xy4-anonymizer.ru v.vhodilka.ru 37.10.117.101 vk.com www.odnoklassniki.ru wap.odnoklassniki.ru m.odnoklassniki.ru m.vk.com odnoklassniki.ru my.mail.ru Всего: 8

Цитата

HOSTS:
C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS
127.0.0.1 localhost
127.0.0.1 diazoom.ru anonimix.ru nonymizer.ru antiblock.ru jelya.ru o.vhodilka.ru
127.0.0.1 pinun.ru vhodilka.ru netdostupa.com webmurk.ru adminimus.ru ok-anonimaizer.ru
127.0.0.1 neklassniki.ru workandtalk.ru anonim.do.am unboo.ru timp.ru dostyp.ru
127.0.0.1 raskruty.ru nezayti.ru hellhead.ru obhodilka.ru cameleo.ru webvpn.org
127.0.0.1 nekontakt2.ru waitplay.ru dostupest.ru spoolls.com razblokirovatdostup.ru
127.0.0.1 anonim.ttu.su websplatt.ru urlbl.ru dardan.ru xy4-anonymizer.ru v.vhodilka.ru
37.10.117.101 vk.com www.odnoklassniki.ru wap.odnoklassniki.ru m.odnoklassniki.ru m.vk.com odnoklassniki.ru my.mail.ru
Всего: 8

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] модифицированный Win32/Corkow.AE троянская программа 5

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.08.2014 10:29:38

чисто,
выполните рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] модифицированный Win32/Corkow.AE троянская программа 5

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.08.2014 09:25:53

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.83 BETA 15 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE delall %SystemDrive%\DOCUMENTS AND SETTINGS\KSMIRNOV\APPLICATION DATA\DAODL\H32ELTA.RDS ;------------------------autoscript--------------------------- chklst delvir delref {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\[CLSID] delref {DBC80044-A445-435B-BC74-9C25C1C588A9}\[CLSID] deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.83 BETA 15 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\KSMIRNOV\APPLICATION DATA\DAODL\H32ELTA.RDS
;------------------------autoscript---------------------------

chklst
delvir

delref {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\[CLSID]

delref {DBC80044-A445-435B-BC74-9C25C1C588A9}\[CLSID]

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] win32/patched.ib, появился троян

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.08.2014 05:41:43

1. скопируйте чистый файл rpcss.dll в каталог, откуда запускаете актуальную версию UVS.

2. только после выполнения п.1!

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.83 BETA 15 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE zoo %SystemDrive%\USERS\ЯНА\APPDATA\ROAMING\NEWNEXT.ME\NENGINE.DLL addsgn 79132211B9E9317E0AA1AB59A52C1205DAFFF47DC4EA942D892B2942AF292811E11BC3DCC10016A57D0BF193CB50B67FBBABFC9ABACEB02CEA77B22FC706CA34 64 Trojan.Siggen6.685 [DrWeb] zoo %SystemDrive%\PROGRAM FILES\TORRENTEXPRESS\TORRENTEXPRESS.EXE addsgn 1AAF939A55835B8CF42B627DA804DEC9E946303A02B63B7C7202C6BC50D60568A91640963FD15D3D6577459C4616498F92DAE87255DA3D880977A42FC78B8657 8 a variant of Win32/ExpressDownloader.B delall %SystemDrive%\USERS\ЯНА\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.URL delall %SystemDrive%\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.URL delall %SystemDrive%\USERS\1BEE~1\APPDATA\LOCAL\TEMP\CG\RUN.EXE delall %SystemDrive%\USERS\1BEE~1\APPDATA\LOCAL\TEMP\CP32\RUN.EXE zoo %Sys32%\RPCSS.DLL EXEC cmd /c "rename %sys32%\rpcss.dll rpcss.dll.old" EXEC cmd /c "rename %sys32%\dllcache\rpcss.dll rpcss.dll.old" EXEC cmd /c "copy rpcss.dll %sys32%\rpcss.dll" EXEC cmd /c "copy rpcss.dll %sys32%\dllcache\rpcss.dll" czoo ;------------------------autoscript--------------------------- chklst delvir delref %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER3.DLL delref HTTP://SINDEX.BIZ/?COMPANY=5 delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&TEXT={SEARCHTERMS} ; OpenAL exec C:\Program Files\OpenAL\OpenAL.exe" /U deltmp delnfr ;------------------------------------------------------------- restart

Код

;uVS v3.83 BETA 15 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
zoo %SystemDrive%\USERS\ЯНА\APPDATA\ROAMING\NEWNEXT.ME\NENGINE.DLL
addsgn 79132211B9E9317E0AA1AB59A52C1205DAFFF47DC4EA942D892B2942AF292811E11BC3DCC10016A57D0BF193CB50B67FBBABFC9ABACEB02CEA77B22FC706CA34 64 Trojan.Siggen6.685 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES\TORRENTEXPRESS\TORRENTEXPRESS.EXE
addsgn 1AAF939A55835B8CF42B627DA804DEC9E946303A02B63B7C7202C6BC50D60568A91640963FD15D3D6577459C4616498F92DAE87255DA3D880977A42FC78B8657 8 a variant of Win32/ExpressDownloader.B

delall %SystemDrive%\USERS\ЯНА\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.URL
delall %SystemDrive%\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.URL
delall %SystemDrive%\USERS\1BEE~1\APPDATA\LOCAL\TEMP\CG\RUN.EXE
delall %SystemDrive%\USERS\1BEE~1\APPDATA\LOCAL\TEMP\CP32\RUN.EXE

zoo %Sys32%\RPCSS.DLL
EXEC cmd /c "rename %sys32%\rpcss.dll rpcss.dll.old"
EXEC cmd /c "rename %sys32%\dllcache\rpcss.dll rpcss.dll.old"
EXEC cmd /c "copy rpcss.dll %sys32%\rpcss.dll"
EXEC cmd /c "copy rpcss.dll %sys32%\dllcache\rpcss.dll" 
czoo
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER3.DLL

delref HTTP://SINDEX.BIZ/?COMPANY=5

delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&TEXT={SEARCHTERMS}

; OpenAL
exec C:\Program Files\OpenAL\OpenAL.exe" /U
deltmp
delnfr

;-------------------------------------------------------------
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]

+
удалите все ярлыки браузеров на рабочем столе и в быстром запуске, и заново создайте их
+

далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

Изменено: santy - 13.08.2014 06:12:15

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] win32/patched.ib, появился троян

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.08.2014 02:51:22

+
скачайте отсюда чистый файл для замены зараженного rpcss.dll
http://chklst.ru/forum/data/STORE/NT61/RPCSS.DLL

[ Как создать образ автозапуска? ]

Перейти

сетевые принтеры снова печатают и снова иероглифы

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.08.2014 17:47:54

проблему с сетевым принтером это вряд ли решит, до доступ к некоторым сайтам разблокирует

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.83 BETA 14 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-694134206-2283852403-699164789-2739\$IKHYPJB.EXE delall /C ATTRIB -H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS &AMP;&AMP; COPY C:\USERS\EREMEEVA\APPDATA\LOCAL\TEMP\1195047515AQ C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS /Y &AMP;&AMP; ATTRIB +H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS delall /C ATTRIB -H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS && COPY C:\USERS\EREMEEVA\APPDATA\LOCAL\TEMP\1195047515AQ C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS /Y && ATTRIB +H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS regt 14 deltmp delnfr restart

Код


;uVS v3.83 BETA 14 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-694134206-2283852403-699164789-2739\$IKHYPJB.EXE
delall /C ATTRIB -H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS &AMP;&AMP; COPY C:\USERS\EREMEEVA\APPDATA\LOCAL\TEMP\1195047515AQ C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS /Y &AMP;&AMP; ATTRIB +H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS
delall /C ATTRIB -H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS && COPY C:\USERS\EREMEEVA\APPDATA\LOCAL\TEMP\1195047515AQ C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS /Y && ATTRIB +H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS
regt 14
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] модифицированный Win32/Corkow.AE троянская программа 4

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.08.2014 17:26:18

мбам чистый.
непонятно конечно, откуда такое массовое заражение банковским трояном Corkow. может флэшка зараженная гуляет, или сайт какой либо из посещаемых заражен.

или доступ есть в локальную сеть извне. (как конспирологическая версия).... корков ведь имеет компонент удаленного доступа, может целенаправленно ищут компы с банковскими клиентами, чтобы посадить трояна наверняка).

рекомендации простые.
помимо обновления системы обязательно надо обновлять браузеры, флэш плейер, java
http://forum.esetnod32.ru/forum9/topic3998/

Изменено: santy - 12.08.2014 17:28:17

[ Как создать образ автозапуска? ]

Перейти

Троян

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.08.2014 16:27:39

добавьте образ автозапуска. (с этого начнем)
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Перейти

сетевые принтеры снова печатают и снова иероглифы

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.08.2014 16:26:40

не в памяти, а в настройках.... может цепляется какая то левая программа из настроек. (если есть такая возможность). как в RDP сессии, там в свойства ярлыка можно что-то прописать в запуск.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] модифицированный Win32/Corkow.AE троянская программа 4

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.08.2014 16:21:47

у нас на форуме четверый. или пятый?
jva надо обновлять до актуальной версии, или совсем удалить, если нет в нем необходимости.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.83 BETA 14 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE delall %SystemDrive%\DOCUMENTS AND SETTINGS\KSMIRNOV\APPLICATION DATA\DAOEU\WUP1_QC.MLO deltmp delnfr restart

Изменено: santy - 12.08.2014 16:24:21

[ Как создать образ автозапуска? ]

Перейти