santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] YaFinder, Во всех браузерах выходит поисковик YaFinder

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.10.2013 18:41:52

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.81.7 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE zoo %SystemDrive%\USERS\МЭЛТ\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE addsgn 1AF67A9B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian zoo %SystemDrive%\USERS\МЭЛТ\APPDATA\LOCAL\MEDIAGET2\MEDIAGET.EXE addsgn 1A65719A55839B8EF42B5194406C9105DAAF40530AFAE05DD96646BCAFF329E9A01748A86BDE71B65E886C1EB3E9B6A3201C638D00515C71C46AA42FC7CADD56 8 mediaget delall %SystemDrive%\USERS\МЭЛТ\APPDATA\LOCAL\SWVUPDATER\UPDATER.EXE ;------------------------autoscript--------------------------- chklst delvir delref %SystemDrive%\USERS\МЭЛТ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\TOPFACE.LNK delref HTTP://SEARCH.TICNO.COM/?C=T&Q= delref HTTP://START.TICNO.COM?KEY=D619DF6C-2394-4CB5-9741-F30CD6E36259 delref HTTP://SEARCH.CONDUIT.COM/?CTID=CT3289075&CUI=UN28215053257282820&UM=1&SEARCHSOURCE=13 delref HTTP://SEARCH.CONDUIT.COM/?CTID=CT3289075&SEARCHSOURCE=48&CUI=UN34300061532748025&UM=1 delref IEXPLORE.EXE delref HTTP://WEBALTA.RU/SEARCH delref %SystemDrive%\PROGRAM FILES\TICNO\TABS\TICNOTABSBHO120618.DLL delref %SystemDrive%\PROGRAM FILES\TICNO\TABS\UPDATER.DLL delref %SystemDrive%\PROGRAM FILES\TICNO\TABS\SQLITE3.DLL ; Java(TM) 6 Update 38 exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216038FF} /quiet deltmp delnfr ;------------------------------------------------------------- restart

Код

;uVS v3.81.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
zoo %SystemDrive%\USERS\МЭЛТ\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1AF67A9B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian

zoo %SystemDrive%\USERS\МЭЛТ\APPDATA\LOCAL\MEDIAGET2\MEDIAGET.EXE
addsgn 1A65719A55839B8EF42B5194406C9105DAAF40530AFAE05DD96646BCAFF329E9A01748A86BDE71B65E886C1EB3E9B6A3201C638D00515C71C46AA42FC7CADD56 8 mediaget

delall %SystemDrive%\USERS\МЭЛТ\APPDATA\LOCAL\SWVUPDATER\UPDATER.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\USERS\МЭЛТ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\TOPFACE.LNK

delref HTTP://SEARCH.TICNO.COM/?C=T&Q=

delref HTTP://START.TICNO.COM?KEY=D619DF6C-2394-4CB5-9741-F30CD6E36259

delref HTTP://SEARCH.CONDUIT.COM/?CTID=CT3289075&CUI=UN28215053257282820&UM=1&SEARCHSOURCE=13
delref HTTP://SEARCH.CONDUIT.COM/?CTID=CT3289075&SEARCHSOURCE=48&CUI=UN34300061532748025&UM=1

delref IEXPLORE.EXE

delref HTTP://WEBALTA.RU/SEARCH

delref %SystemDrive%\PROGRAM FILES\TICNO\TABS\TICNOTABSBHO120618.DLL

delref %SystemDrive%\PROGRAM FILES\TICNO\TABS\UPDATER.DLL

delref %SystemDrive%\PROGRAM FILES\TICNO\TABS\SQLITE3.DLL

; Java(TM) 6 Update 38
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216038FF} /quiet

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

Изменено: santy - 13.10.2013 18:46:28

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Обнаружение подделки кэша ARP

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.10.2013 06:42:23

что с проблемой?
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Обнаружение подделки кэша ARP

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.10.2013 21:21:05

Код
;uVS v3.81.7 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE dnsreset ;------------------------autoscript--------------------------- deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.81.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
dnsreset
;------------------------autoscript---------------------------

deltmp
delnfr
;-------------------------------------------------------------

restart

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Обнаружение подделки кэша ARP

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.10.2013 21:04:09

пароль добавьте на доступ к образу, или перезалейте без пароля

[ Как создать образ автозапуска? ]

Перейти

Win32/IRCBot.AMC, Win32/IRCBot.AMC

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.10.2013 17:45:45

комп домашний или рабочий?
(судя по тому что вы используете Endpoint Antivirus - рабочий)
возможно, пробивает систему по сети. пробуйте закрыть доступ брэндмауэром...

[ Как создать образ автозапуска? ]

Перейти

Win32/IRCBot.AMC, Win32/IRCBot.AMC

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.10.2013 17:28:18

Интернет Эксплорер вы используете для просмотра сайтов? похоже, по сети вам прилетает

Цитата
09.10.2013 17:09:03 Защита в режиме реального времени файл C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\WJEAGGRY\x[1] Win32/IRCBot.AMC троянская программа очищен удалением (после следующего перезапуска) - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\WINDOWS\system32\svchost.exe.

Цитата

09.10.2013 17:09:03 Защита в режиме реального времени файл C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\WJEAGGRY\x[1] Win32/IRCBot.AMC троянская программа очищен удалением (после следующего перезапуска) - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\WINDOWS\system32\svchost.exe.

причем, с одного и того же адреса.

Изменено: santy - 09.10.2013 17:30:30

[ Как создать образ автозапуска? ]

Перейти

Win32/IRCBot.AMC, Win32/IRCBot.AMC

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.10.2013 16:11:19

в мбам все чисто,
добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

Изменено: santy - 09.10.2013 16:11:36

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Win32/Sirefef.GA, Вирус Win32/Sirefef.GA

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.10.2013 13:01:12

хорошо, значит все таки оставались хвосты от Сирефеф, раз утилитка что-то нашла и удалила.

судя по новому логу угроз - новых записей не добавилось в журнал.

выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

Изменено: santy - 09.10.2013 13:01:28

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Win32/Sirefef.GA, Вирус Win32/Sirefef.GA

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.10.2013 12:24:28

по логам выходит что все хорошо, все очищено

Цитата
09.10.2013 10:05:18 Защита в режиме реального времени файл C:\Program Files\Google\Desktop\Install\{32991d84-94a1-ba1d-efe7-e6e3cecdb50d}\ \ \???\{32991d84-94a1-ba1d-efe7-e6e3cecdb50d}\U\80000001.@ Win32/Sirefef.GA троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло при попытке запуска файла следующим приложением: C:\WINDOWS\system32\services.exe. 09.10.2013 10:01:05 Защита в режиме реального времени файл C:\Program Files\Google\Desktop\Install\{32991d84-94a1-ba1d-efe7-e6e3cecdb50d}\ \ \???\{32991d84-94a1-ba1d-efe7-e6e3cecdb50d}\U\80000001.@ Win32/Sirefef.GA троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло при попытке доступа к файлу следующим приложением: C:\WINDOWS\system32\services.exe. 09.10.2013 9:59:36 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = explorer.exe(484) модифицированный Win32/Sirefef.FY троянская программа очищен удалением 09.10.2013 9:59:36 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = services.exe(1132) модифицированный Win32/Sirefef.GA троянская программа очищен удалением

Цитата

09.10.2013 10:05:18 Защита в режиме реального времени файл C:\Program Files\Google\Desktop\Install\{32991d84-94a1-ba1d-efe7-e6e3cecdb50d}\ \ \???\{32991d84-94a1-ba1d-efe7-e6e3cecdb50d}\U\80000001.@ Win32/Sirefef.GA троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло при попытке запуска файла следующим приложением: C:\WINDOWS\system32\services.exe.
09.10.2013 10:01:05 Защита в режиме реального времени файл C:\Program Files\Google\Desktop\Install\{32991d84-94a1-ba1d-efe7-e6e3cecdb50d}\ \ \???\{32991d84-94a1-ba1d-efe7-e6e3cecdb50d}\U\80000001.@ Win32/Sirefef.GA троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло при попытке доступа к файлу следующим приложением: C:\WINDOWS\system32\services.exe.
09.10.2013 9:59:36 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = explorer.exe(484) модифицированный Win32/Sirefef.FY троянская программа очищен удалением
09.10.2013 9:59:36 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = services.exe(1132) модифицированный Win32/Sirefef.GA троянская программа очищен удалением

как на самом деле?
сделайте лог сканирования в ESET NOD32 только оперативной памяти
добавьте результат сканирования на форум.

+
сделайте проверку этой утилиткой
http://download.eset.com/special/ESETSirefefCleaner.exe

Изменено: santy - 09.10.2013 12:25:15

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Win32/Sirefef.GA, Вирус Win32/Sirefef.GA

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.10.2013 06:47:31

+
добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

[ Как создать образ автозапуска? ]

Перейти