santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] вымогатель блокирует загрузку системы, блокирует windows черный экран и много букв ЯЯЯЯЯЯ

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 18.10.2013 10:02:39

сюда запишите и дайте ссылку
http://rghost.ru

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] вымогатель блокирует загрузку системы, блокирует windows черный экран и много букв ЯЯЯЯЯЯ

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 18.10.2013 09:53:08

после запуска под текущим пользователем должно выйти основное окно uVS

в режиме файл - сохранить полный образ автозапуска

необходимо создать образ, записать его на флэшку,

далее, разместить на файлообмен и дать ссылку на файл в вашей теме.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] вымогатель блокирует загрузку системы, блокирует windows черный экран и много букв ЯЯЯЯЯЯ

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 18.10.2013 09:33:17

это окно у вас выходит при загрузке с Winpe&uVS?

после выбора каталога Windows надо далее выбрать режим запустить под текущим пользователем.

Изменено: santy - 18.10.2013 09:34:18

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] вымогатель блокирует загрузку системы, блокирует windows черный экран и много букв ЯЯЯЯЯЯ

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 18.10.2013 08:33:22

дайте ссылку на образ

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] вымогатель блокирует загрузку системы, блокирует windows черный экран и много букв ЯЯЯЯЯЯ

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 18.10.2013 07:23:17

сделайте образ автозапуска системы с помощью Winpe&uVS
http://forum.esetnod32.ru/forum27/topic2102/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Настройка ESET Remote Administrator Server и ESET Remote Administrator Console, Для новичка

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 17.10.2013 18:24:25

ERAC нет под рукой, а на клиенте задача будет обязательно добавлена в планировщик

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Настройка ESET Remote Administrator Server и ESET Remote Administrator Console, Для новичка

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 17.10.2013 15:23:40

создайте в консоли задачу изменения конфигурации, добавьте в качестве события в планировщик задачу сканирования по расписанию в нужное время, и примените ее по всем клиентам из списка ERAC

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 16.10.2013 20:38:37

благодаря автоскрипту - реакция на тему с заражением Доркбот - 2 минуты.

http://forum.esetnod32.ru/forum6/topic10173/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Модифицированный Win32/Dorkbot.B червь - очистка невозможна, появляются ярлыки на флешке, лог прикрепил

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 16.10.2013 20:34:54

доводите лечение до конца. это уже третья тема у вас с Доркботом за последнее время.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.81.7 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE zoo %SystemDrive%\USERS\ЕВГЕНИЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\NTDETECT.COM addsgn 1A67589A5583C58CF42B254E3143FE84C9A2FFF68959FF78C4C34CB18CD6304CAA021B577F551454FF80C59FCF2399FA3CDF614F99DAF12C4BFBB1D7C7472215 8 Trojan.Inject1.27909 [DrWeb] zoo %SystemDrive%\USERS\ЕВГЕНИЙ\APPDATA\ROAMING\SCREENSAVERPRO.SCR zoo %SystemDrive%\USERS\ЕВГЕНИЙ\APPDATA\ROAMING\MICROSOFT\XECKCH.EXE addsgn 925277FA116AC1CC0B64554E3341F788B9AE7C3776052EB8D5FA19C9AB90371F4B8670513E021E8A2FD3EC3C371449ACFE1CEC21051DB32F2D75A4BF5796B2E3 14 tr.Carberp zoo %SystemDrive%\USERS\ЕВГЕНИЙ\APPDATA\ROAMING\MICROSOFT\WDCKCG.EXE zoo %SystemDrive%\USERS\ЕВГЕНИЙ\APPDATA\ROAMING\7658.EXE zoo %SystemDrive%\USERS\ЕВГЕНИЙ\APPDATA\ROAMING\B6D1.EXE zoo %SystemDrive%\USERS\ЕВГЕНИЙ\APPDATA\ROAMING\DFE5.EXE zoo %SystemDrive%\USERS\ЕВГЕНИЙ\APPDATA\ROAMING\TEMP.BIN delall %SystemDrive%\PROGRAMDATA\SETWALLPAPER.CMD adddir %SystemDrive%\USERS\ЕВГЕНИЙ\APPDATA\ROAMING ;------------------------autoscript--------------------------- chklst delvir deltmp delnfr ;------------------------------------------------------------- czoo restart

Код


;uVS v3.81.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
zoo %SystemDrive%\USERS\ЕВГЕНИЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\NTDETECT.COM
addsgn 1A67589A5583C58CF42B254E3143FE84C9A2FFF68959FF78C4C34CB18CD6304CAA021B577F551454FF80C59FCF2399FA3CDF614F99DAF12C4BFBB1D7C7472215 8 Trojan.Inject1.27909 [DrWeb]

zoo %SystemDrive%\USERS\ЕВГЕНИЙ\APPDATA\ROAMING\SCREENSAVERPRO.SCR
zoo %SystemDrive%\USERS\ЕВГЕНИЙ\APPDATA\ROAMING\MICROSOFT\XECKCH.EXE
addsgn 925277FA116AC1CC0B64554E3341F788B9AE7C3776052EB8D5FA19C9AB90371F4B8670513E021E8A2FD3EC3C371449ACFE1CEC21051DB32F2D75A4BF5796B2E3 14 tr.Carberp

zoo %SystemDrive%\USERS\ЕВГЕНИЙ\APPDATA\ROAMING\MICROSOFT\WDCKCG.EXE
zoo %SystemDrive%\USERS\ЕВГЕНИЙ\APPDATA\ROAMING\7658.EXE
zoo %SystemDrive%\USERS\ЕВГЕНИЙ\APPDATA\ROAMING\B6D1.EXE
zoo %SystemDrive%\USERS\ЕВГЕНИЙ\APPDATA\ROAMING\DFE5.EXE
zoo %SystemDrive%\USERS\ЕВГЕНИЙ\APPDATA\ROAMING\TEMP.BIN
delall %SystemDrive%\PROGRAMDATA\SETWALLPAPER.CMD
adddir %SystemDrive%\USERS\ЕВГЕНИЙ\APPDATA\ROAMING
;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Модифицированный Win32/Dorkbot.B червь - очистка невозможна, появляются ярлыки на флешке, лог прикрепил

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 16.10.2013 20:32:20

эту тему пролечили?
http://forum.esetnod32.ru/forum6/topic10149/

[ Как создать образ автозапуска? ]

Перейти