Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 802 803 804 805 806 807 808 809 810 811 812 ... 1784 След.
Помогите убить ДоркБота, Лог прилагаеться
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.10.2013 11:58:08
1. долечиваем темы здесь
http://forum.esetnod32.ru/forum6/topic10199/

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код
;uVS v3.81.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES (X86)\PCHD\PCHDPLAYER.EXE
addsgn 1A466F9A5583348CF42B254E3143FE84C9A2FFF6895987D5C5C34CB1C47B314CAA0253FA7E551454A72DC49FCF23C1573DDF614FD177F02C4BFBB19F6A462215 8 PornTool.PCHDPlay

zoo %SystemDrive%\USERS\ИВАН\APPDATA\ROAMING\SCREENSAVERPRO.SCR
addsgn 1A85419A5583C58CF42B1691B48812C6840A74A289AC756CDB4605C9576E714E231728510593E04EA046271FCE424990798F006562DAB07574D4C0579306A7B3 8 Trojan.Winlock.8811 [DrWeb]

zoo %SystemDrive%\USERS\ИВАН\APPDATA\ROAMING\MICROSOFT\JUCQCZ.EXE

delall %SystemDrive%\PROGRAM FILES\ESET\CYBERMANIA.EXE
adddir %SystemDrive%\USERS\ИВАН\APPDATA\ROAMING
delall %SystemDrive%\USERS\ИВАН\APPDATA\ROAMING\JVCQCZ.EXE
delall %SystemDrive%\USERS\ИВАН\APPDATA\ROAMING\VUCQCL.EXE
bl 3DE1FB104AC1ECAB7E27CC47F4EA03DD 186880
hide %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.123\GOOPDATERES_RU.DLL
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://WEBALTA.RU

delref HTTP://WEBALTA.RU/POISK

delref HTTP://WEBALTA.RU/POISK?Q=

delref HTTP://HOME.WEBALTA.RU

delref HTTP://WEBALTA.RU/SEARCH

; Java(TM) 6 Update 14
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216014FF} /quiet

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив, из каталога uVS, созданный после выполнения скрипта (например: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту sendvirus2011@gmail.com
----------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
Изменено: santy - 28.10.2013 11:59:10
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Угроза: модифицированный Win32/BitCoinMiner.AF потенциально опасная программа, Обнаружена угроза при попытке доступа в Интернет следующим приложением C:\Windows\System32\wscript.exe
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.10.2013 19:40:21
хорошо,
выполните рекомендации
http://forum.esetnod32.ru/forum9/topic3998/
[ Как создать образ автозапуска? ]
Перейти
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.10.2013 19:28:03
Арвид, вторая команда здесь лишняя
Цитата
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\MICROSOFT
адддир будет сканировать каталог и все покаталоги внутри

Цитата
o Для скриптовой команды adddir разрешено использование флага отмены рекурсии как и в случае
  параметра AddDirs.
  Пример: adddir >c:
  где ">" отменяет рекурсию и соотв. добавляются лишь файлы находящиеся в корне диска С.
Изменено: santy - 27.10.2013 19:29:54
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Угроза: модифицированный Win32/BitCoinMiner.AF потенциально опасная программа, Обнаружена угроза при попытке доступа в Интернет следующим приложением C:\Windows\System32\wscript.exe
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.10.2013 17:28:56
Цитата
27.10.2013 11:32:50 Фильтр HTTP файл хттп://m.e249a6ebf27391725552f1d90f559f14.com/364/svchost.exe модифицированный Win32/BitCoinMiner.AF потенциально опасная программа соединение прервано - изолирован NT AUTHORITY\система Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Windows\System32\wscript.exe.
27.10.2013 8:11:37 Защита в режиме реального времени файл C:\Windows\TEMP\svchost.exe модифицированный Win32/BitCoinMiner.AF потенциально опасная программа удален - изолирован NT AUTHORITY\система Событие произошло в новом файле, созданном следующим приложением: C:\Windows\System32\wscript.exe.
27.10.2013 8:11:37 Защита в режиме реального времени файл C:\Windows\system32\config\systemprofile\AppData\Local\Microso­ft\Windows\Temporary Internet Files\Content.IE5\svchost[1].exe модифицированный Win32/BitCoinMiner.AF потенциально опасная программа удален - изолирован NT AUTHORITY\система Событие произошло в новом файле, созданном следующим приложением: C:\Windows\System32\wscript.exe.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код
;uVS v3.81.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
zoo %SystemDrive%\USERS\АДМИН\APPDATA\ROAMING\ORIGIN\UPDATE.VBE
delall %SystemDrive%\USERS\АДМИН\APPDATA\ROAMING\ORIGIN\UPDATE.VBE
;------------------------autoscript---------------------------

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

+
вышлите все файлики из папки ZOO (добавьте в архив с паролем infected ) в почту safety@chklst.ru
Изменено: santy - 27.10.2013 17:57:31
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Угроза: модифицированный Win32/BitCoinMiner.AF потенциально опасная программа, Обнаружена угроза при попытке доступа в Интернет следующим приложением C:\Windows\System32\wscript.exe
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.10.2013 14:50:29
сделайте образ автозапуска по инструкции
http://forum.esetnod32.ru/forum9/topic2687/

+
добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/
Изменено: santy - 27.10.2013 15:04:38
[ Как создать образ автозапуска? ]
Перейти
DorkBot.B, Помогите убить заразу на очередном компе..
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.10.2013 18:37:05
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
[ Как создать образ автозапуска? ]
Перейти
DorkBot.B, Помогите убить заразу на очередном компе..
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.10.2013 12:47:34
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код
;uVS v3.81.7 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
addsgn 1AA4C69A55835B8CF42B161A6D8E12A60DE7BBF64EFF3315C2C362BC16D6B649137A84575B55DB49EC85B0F20116D0FA3BDF2F776DB7F72C2277E22F643A4F34 8 Win32/Packed.Autoit.B.Gen [NOD32]

zoo %Sys32%\CSRCS.EXE
zoo E:\SWUDGR.EXE
zoo %SystemDrive%\KVN\SWUDGR.EXE
delall E:\AUTORUN.INF
addsgn 1A85419A5583C58CF42B1691B48812C6840A74A289AC756CDB4605C9576E714E231728510593E04EA046271FCE424990798F006562DAB07574D4C0579306A7B3 8 Trojan.Winlock.8811 [DrWeb]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\KOI\APPLICATION DATA\TEMP.BIN
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\KOI\APPLICATION DATA
;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

regt 5
restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Dorkbot.B червь, Помогите убить эту заразу
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.10.2013 12:44:22
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

и далее, рекомендации
http://forum.esetnod32.ru/forum9/topic3998/
Изменено: santy - 25.10.2013 13:33:15
[ Как создать образ автозапуска? ]
Перейти
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.10.2013 07:12:52
видимо, об этом речь

Специальные возможности очистки. Обнаружение комплекта из 3–5 наиболее распространенных вредоносных программ, которые являются наиболее вероятной причиной проблем


+

+
Цитата
The Specialized Cleaner available in ESET Smart Security and ESET NOD32 Antivirus 7 removes the following malware (more types are to be added in future releases):

Conficker
Sirefef

Details

Antivirus vendors provide standalone tools (cleaners) to help users remove particularly resilient malware. ESET has combined commonly used cleaners for the most prevalent threats into one solution that will be available with the new generation of ESET products for user convenience.

The ESET Specialized Cleaner is available directly from ESET NOD32 Antivirus and ESET Smart Security version 7 and later.
Log files

ESET Specialized cleaner logs are available from the following location (be sure to Show hidden files or folders):

C:\Program Data\ESET\ESET Smart Security\Speclean\

http://kb.eset.com/esetkb/index?page=content&id=SOLN3322&viewlocale=en_US&locale=en_US

хорошо бы сюда добавить еще очистку Carberp
Изменено: santy - 25.10.2013 09:06:09
[ Как создать образ автозапуска? ]
Перейти
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.10.2013 20:25:16
хорошая утилитка от ESET
http://download.eset.com/special/ESETSirefefCleaner.exe

уже несколько раз начисто лечит активный ZAccess/Sirefef
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 802 803 804 805 806 807 808 809 810 811 812 ... 1784 След.