santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] Адрес заблокирован

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 27.12.2013 16:04:05

в мбам удалите это

Цитата
C:\Users\Анюта\AppData\Local\Temp\~nsu.tmp\Au_.exe (Trojan.Agent.CK) -> Действие не было предпринято. C:\Users\Анюта\Downloads\DTLite4461-0327.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.

добавьте образ автозапуска из безопасного режима

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Адрес заблокирован

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 27.12.2013 13:19:18

Цитата
27.12.2013 12:49:58 http://ipv6.msftncsi.com/ncsi.txt Заблокировано в "черном" списке анти-фишинга C:\Windows\System32\svchost.exe NT AUTHORITY\NETWORK SERVICE 27.12.2013 12:49:23 http://ipv6.msftncsi.com/ncsi.txt Заблокировано в "черном" списке анти-фишинга C:\Windows\System32\svchost.exe NT AUTHORITY\NETWORK SERVICE

окна с сообщением вылетают при открытом браузере, или всегда?

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Адрес заблокирован

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 27.12.2013 12:59:20

добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 27.12.2013 12:55:20

да, не мешает зачистить, хоть и не в автозапуске.

Цитата
2013-12-26 [2013-12-18 05:34:41 UTC ( 1 week, 2 days ago )] Trojan.Win32.Agent.adptx

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Вирусов уйма.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 27.12.2013 12:53:00

это еще не мешает зачистить, хоть и не в автозапуске.

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.81.7 [http://dsrt.dyndns.org] ;Target OS: NTv5.2 OFFSGNSAVE addsgn A7679BF0AA0254E34BD4C6E90C881261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C6F10C49F75C4C32EF4CA94AE15DA3BE4AC965B2FC706AB7E 8 Trojan.Win32.Agent.adptx [Kaspersky] zoo C:\WINDOWS\ISSERVICE.EXE zoo %Sys32%\ISSERVICE.EXE ;------------------------autoscript--------------------------- chklst delvir deltmp delnfr ;------------------------------------------------------------- CZOO restart

Код

;uVS v3.81.7 [http://dsrt.dyndns.org]
;Target OS: NTv5.2

OFFSGNSAVE

addsgn A7679BF0AA0254E34BD4C6E90C881261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C6F10C49F75C4C32EF4CA94AE15DA3BE4AC965B2FC706AB7E 8 Trojan.Win32.Agent.adptx [Kaspersky]

zoo C:\WINDOWS\ISSERVICE.EXE
zoo %Sys32%\ISSERVICE.EXE
;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------
CZOO
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS, созданный после скрипта (например: ZOO_2011-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------

Изменено: santy - 27.12.2013 12:56:26

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Вирусов уйма.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 27.12.2013 09:58:29

Спасибо! желаю поменьше вирусов в Новом году!

-----------------------
соединение с каким-то датским айпишником.

Цитата
ESTABLISHED 192.168.4.254:2128 <-> 183.94.213.88:9877

https://www.nic.ru/whois/?query=83.94.213.88

Изменено: santy - 27.12.2013 10:36:33

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Вирусов уйма.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 27.12.2013 09:42:14

вот эту штуку еще надо прибить

Цитата
Полное имя C:\WINDOWS\SYSTEM32\PUP_SERVER.EXE Имя файла PUP_SERVER.EXE Тек. статус АКТИВНЫЙ ?ВИРУС? ВИРУС сервис в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ] Статус ВИРУС Сигнатура Trojan.DownLoader9.2347 [DrWeb] [глубина совпадения 64(64), необх. минимум 8, максимум 64] www.virustotal.com 2013-12-18 [2013-12-17 09:46:41 UTC ( 1 week, 2 days ago )] Avast Win32:Malware-gen Kaspersky Trojan.Win32.Staser.tvc DrWeb Trojan.DownLoader9.2347 AntiVir TR/Downloader.Gen ESET-NOD32 a variant of Win32/Agent.QCV Сохраненная информация на момент создания образа Статус АКТИВНЫЙ сервис в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ] File_Id 52AD3E2D36000 Linker 6.0 Размер 61952 байт Создан 20.12.2013 в 13:33:00 Изменен 20.12.2013 в 13:32:21 Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Отсутствует либо ее не удалось проверить Доп. информация на момент обновления списка pid = 1436 NT AUTHORITY\SYSTEM CmdLine c:\windows\system32\PuP_SERVER.exe Процесс создан 13:07:01 [2013.12.26] С момента создания 20:13:23 parentid = 424 D:\WINDOWS\SYSTEM32\SERVICES.EXE ESTABLISHED 192.168.4.254:2128 <-> 183.94.213.88:9877 SHA1 AD1881AAD5B629B0F9AFE4DE9E4632C01A064AA4 MD5 FE845C76FCCEBF17EAC1A6C569F0939E Ссылки на объект Ссылка HKLM\System\CurrentControlSet\Services\PuP_SERVER\ImagePath ImagePath c:\windows\system32\PuP_SERVER.exe PuP_SERVER тип запуска: Авто (2) Образы EXE и DLL PUP_SERVER.EXE C:\WINDOWS\SYSTEM32

Цитата

Полное имя C:\WINDOWS\SYSTEM32\PUP_SERVER.EXE
Имя файла PUP_SERVER.EXE
Тек. статус АКТИВНЫЙ ?ВИРУС? ВИРУС сервис в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ]

Статус ВИРУС
Сигнатура Trojan.DownLoader9.2347 [DrWeb] [глубина совпадения 64(64), необх. минимум 8, максимум 64]

www.virustotal.com 2013-12-18 [2013-12-17 09:46:41 UTC ( 1 week, 2 days ago )]
Avast Win32:Malware-gen
Kaspersky Trojan.Win32.Staser.tvc
DrWeb Trojan.DownLoader9.2347
AntiVir TR/Downloader.Gen
ESET-NOD32 a variant of Win32/Agent.QCV

Сохраненная информация на момент создания образа
Статус АКТИВНЫЙ сервис в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ]
File_Id 52AD3E2D36000
Linker 6.0
Размер 61952 байт
Создан 20.12.2013 в 13:33:00
Изменен 20.12.2013 в 13:32:21
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Доп. информация на момент обновления списка
pid = 1436 NT AUTHORITY\SYSTEM
CmdLine c:\windows\system32\PuP_SERVER.exe
Процесс создан 13:07:01 [2013.12.26]
С момента создания 20:13:23
parentid = 424 D:\WINDOWS\SYSTEM32\SERVICES.EXE
ESTABLISHED 192.168.4.254:2128 <-> 183.94.213.88:9877
SHA1 AD1881AAD5B629B0F9AFE4DE9E4632C01A064AA4
MD5 FE845C76FCCEBF17EAC1A6C569F0939E

Ссылки на объект
Ссылка HKLM\System\CurrentControlSet\Services\PuP_SERVER\ImagePath
ImagePath c:\windows\system32\PuP_SERVER.exe
PuP_SERVER тип запуска: Авто (2)

Образы EXE и DLL
PUP_SERVER.EXE C:\WINDOWS\SYSTEM32

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.81.7 [http://dsrt.dyndns.org] ;Target OS: NTv5.2 OFFSGNSAVE addsgn 4ABC27D9553A288D3ED4AEB164AC9B20258AFCF6BA3A9670D58686D33DA6102F5725C3D8A6447F7971E2CB91697CFA608D5A897678F0E4089B04F1FFC2E415A9 8 Trojan.DownLoader9.2347 [DrWeb] zoo C:\WINDOWS\SYSTEM32\PUP_SERVER.EXE ;------------------------autoscript--------------------------- chklst delvir deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.81.7 [http://dsrt.dyndns.org]
;Target OS: NTv5.2

OFFSGNSAVE
addsgn 4ABC27D9553A288D3ED4AEB164AC9B20258AFCF6BA3A9670D58686D33DA6102F5725C3D8A6447F7971E2CB91697CFA608D5A897678F0E4089B04F1FFC2E415A9 8 Trojan.DownLoader9.2347 [DrWeb]

zoo C:\WINDOWS\SYSTEM32\PUP_SERVER.EXE
;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
----------

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] модифицированный Win32/Fynloski.AA, очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 27.12.2013 07:39:59

сделайте новую быструю проверку в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

если лог будет чистый,
выполните рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Блокируется вход в контакт, требуется отправка смс

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 27.12.2013 05:43:12

хорошо, закрываем уязвимости
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Не могу войти во "ВКонтакте"

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 27.12.2013 05:41:27

это оставьте в адвклинере (снять галки)

Цитата
Folder Found C:\Documents and Settings\Мизери\Local Settings\Application Data\Mail.Ru Folder Found C:\Program Files\Mail.Ru

остальное удалите (по кнопке clean),
пишем результат

Изменено: santy - 27.12.2013 05:42:01

[ Как создать образ автозапуска? ]

Перейти