santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

cs6103.vk.me/v6103102/5ba9/vfk830MTmzg.jpg IP адрес 87.240.179.19:80, Адрес заблокирован

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 03.07.2013 07:28:35

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.80.11 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE dnsreset deltmp delnfr exec "C:\Program Files\VKMusic 4\unins000.exe" ; Java(TM) 6 Update 35 exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216032FF} /quiet restart

Код


;uVS v3.80.11 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
dnsreset
deltmp
delnfr
exec "C:\Program Files\VKMusic 4\unins000.exe"
; Java(TM) 6 Update 35
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216032FF} /quiet

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Обнаружена уязвимость скрытого канала в ICMP-пакете

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 02.07.2013 10:07:34

здесь тему посмотрите, может получится добавить исключения.
http://forum.esetnod32.ru/forum9/topic5130/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Обнаружена уязвимость скрытого канала в ICMP-пакете

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 02.07.2013 08:17:12

Код
;uVS v3.80.11 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE deltmp delnfr delall %SystemDrive%\USERS\ВИКТОР\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL delref HTTP://QIP.RU delref HTTP://SEARCH.QIP.RU ; Java(TM) 6 Update 15 (64-bit) exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F86416015FF} /quiet restart

Код

;uVS v3.80.11 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
deltmp
delnfr
delall %SystemDrive%\USERS\ВИКТОР\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
; Java(TM) 6 Update 15 (64-bit)
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F86416015FF} /quiet

restart

[ Как создать образ автозапуска? ]

Перейти

Win32/Qhost.OSU

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 02.07.2013 07:33:45

Цитата
02.07.2013 10:25:07 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = explorer.exe(234 8) модифицированный Win32/Spy.Ranbyus.J троянская программа очистка невозможна 02.07.2013 10:25:07 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = explorer.exe(234 8) модифицированный Win32/Spy.Ranbyus.J троянская программа очистка невозможна 02.07.2013 10:24:59 Модуль сканирования файлов, исполняемых при запуске системы файл C:\Users\SYURUS~1\AppData\Local\Temp\machineupper32.exe модифицированный Win32/Injector.AIUJ троянская программа очищен удалением - изолирован 02.07.2013 10:23:48 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = C:\Windows\System32\machineupper32.exe модифицированный Win32/Spy.Ranbyus.J троянская программа очистка невозможна 2K\syurusova 01.07.2013 16:21:18 Фильтр HTTP файл хттп://alenaso.pp.ua/zinofedawodigubegota Blocked Object соединение прервано - изолирован 2K\syurusova Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Program Files\Java\jre6\bin\java.exe. 01.07.2013 13:17:03 Защита в режиме реального времени файл C:\Windows\system32\drivers\etc\hosts Win32/Qhost.OSU троянская программа очищен удалением - изолирован NT AUTHORITY\система Событие произошло в файле модифицированном приложением: C:\Windows\System32\cmd.exe.

Цитата

02.07.2013 10:25:07 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = explorer.exe(234 8) модифицированный Win32/Spy.Ranbyus.J троянская программа очистка невозможна
02.07.2013 10:25:07 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = explorer.exe(234 8) модифицированный Win32/Spy.Ranbyus.J троянская программа очистка невозможна
02.07.2013 10:24:59 Модуль сканирования файлов, исполняемых при запуске системы файл C:\Users\SYURUS~1\AppData\Local\Temp\machineupper32.exe модифицированный Win32/Injector.AIUJ троянская программа очищен удалением - изолирован
02.07.2013 10:23:48 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = C:\Windows\System32\machineupper32.exe модифицированный Win32/Spy.Ranbyus.J троянская программа очистка невозможна 2K\syurusova
01.07.2013 16:21:18 Фильтр HTTP файл хттп://alenaso.pp.ua/zinofedawodigubegota Blocked Object соединение прервано - изолирован 2K\syurusova Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Program Files\Java\jre6\bin\java.exe.
01.07.2013 13:17:03 Защита в режиме реального времени файл C:\Windows\system32\drivers\etc\hosts Win32/Qhost.OSU троянская программа очищен удалением - изолирован NT AUTHORITY\система Событие произошло в файле модифицированном приложением: C:\Windows\System32\cmd.exe.

еще и Win32/Spy.Ranbyus.J

1. добавьте образ автозапуска из безопасного режима.

2. + этот файл проверьте на http://virustotal.com

Цитата
Полное имя C:\USERS\SYURUSOVA\DESKTOP\_ARMCRYPT_26.EXE Имя файла _ARMCRYPT_26.EXE Тек. статус ?ВИРУС? ВИРУС [Запускался неявно или вручную] Статус ВИРУС Сигнатура TrojanDownloader.Small.PKJ [NOD32] [глубина совпадения 64(64), необх. минимум 13, максимум 64] www.virustotal.com 2013-01-01 [2012-12-20 01:57:58 UTC ( 6 months, 2 weeks ago )] Symantec WS.Reputation.1 Сохраненная информация на момент создания образа Статус [Запускался неявно или вручную] File_Id 4DE11D0D40000 Linker 9.0 Размер 621871 байт Создан 18.10.2012 в 15:26:31 Изменен 22.08.2012 в 17:11:00 Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Отсутствует либо ее не удалось проверить Доп. информация на момент обновления списка SHA1 BF2EF5237C12AF93F47A36B8657D199E26A9BEE2 MD5 04D731F978B641E073AEA73BCF54B836

Цитата

Полное имя C:\USERS\SYURUSOVA\DESKTOP\_ARMCRYPT_26.EXE
Имя файла _ARMCRYPT_26.EXE
Тек. статус ?ВИРУС? ВИРУС [Запускался неявно или вручную]

Статус ВИРУС
Сигнатура TrojanDownloader.Small.PKJ [NOD32] [глубина совпадения 64(64), необх. минимум 13, максимум 64]

www.virustotal.com 2013-01-01 [2012-12-20 01:57:58 UTC ( 6 months, 2 weeks ago )]
Symantec WS.Reputation.1

Сохраненная информация на момент создания образа
Статус [Запускался неявно или вручную]
File_Id 4DE11D0D40000
Linker 9.0
Размер 621871 байт
Создан 18.10.2012 в 15:26:31
Изменен 22.08.2012 в 17:11:00
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Доп. информация на момент обновления списка
SHA1 BF2EF5237C12AF93F47A36B8657D199E26A9BEE2
MD5 04D731F978B641E073AEA73BCF54B836

Изменено: santy - 02.07.2013 07:34:22

[ Как создать образ автозапуска? ]

Перейти

Win32/Qhost.OSU

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 02.07.2013 05:45:23

Код
;uVS v3.80.11 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE deltmp delnfr zoo %SystemDrive%\USERS\SYURUSOVA\DESKTOP\_ARMCRYPT_26.EXE regt 14 ; Java(TM) 6 Update 15 exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216015FF} /quiet restart

Код


;uVS v3.80.11 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
deltmp
delnfr
zoo %SystemDrive%\USERS\SYURUSOVA\DESKTOP\_ARMCRYPT_26.EXE
regt 14
; Java(TM) 6 Update 15
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216015FF} /quiet
restart

перезагрузка, пишем о старых и новых проблемах.
------------
+
добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Ошибка 137., Не могу подкл. к интернету.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.07.2013 20:35:45

удалите найденное в АдвКлинере по кнопке delete
автоперезагрузка,

далее,

выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Ошибка 137., Не могу подкл. к интернету.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.07.2013 20:12:12

сделайте проверку в AdwCleaner
http://forum.esetnod32.ru/forum9/topic7084/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Ошибка 137., Не могу подкл. к интернету.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.07.2013 19:43:53

+
выполните такой скрипт

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.80.11 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE deltmp delnfr setdns Подключение по локальной сети\4\{3E55E17C-072E-490E-91EB-AEE685259200}\8.8.8.8,8.8.4.4 dnsreset winsockreset restart

Код

;uVS v3.80.11 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE

deltmp
delnfr
setdns Подключение по локальной сети\4\{3E55E17C-072E-490E-91EB-AEE685259200}\8.8.8.8,8.8.4.4
dnsreset
winsockreset
restart

перезагрузка, пишем о старых и новых проблемах.
------------

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Ошибка 137., Не могу подкл. к интернету.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.07.2013 19:41:14

это известная вам программа?

Цитата
Полное имя C:\USERS\АЛМАЗ\DOCUMENTS\ТОМОГРАФИЯ\EFILMLT.EXE Имя файла EFILMLT.EXE Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске www.virustotal.com 2013-06-12 [2011-06-03 19:21:47 UTC ( 2 years ago )] - Файл был чист на момент проверки. Удовлетворяет критериям MAJACHOK.TASKS (ССЫЛКА ~ \TASKS\)(1) AND (ИМЯ ФАЙЛА ~ .EXE)(1) AND (ЦИФР. ПОДПИСЬ ~ ОТСУТСТВУЕТ)(1) Сохраненная информация на момент создания образа Статус в автозапуске File_Id 444F7086480000 Linker 7.10 Размер 4714496 байт Создан 04.11.2012 в 12:43:49 Изменен 26.04.2006 в 10:07:24 Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Отсутствует либо ее не удалось проверить Оригинальное имя eFilm.exe Версия файла 2.1.2.352 Описание eFilm Производитель Merge eMed Доп. информация на момент обновления списка SHA1 95CEBC3B1E4A01463333A4B3782ED2CCABFD2DD7 MD5 921DED1210E83547F6DBB945453AB024 Ссылки на объект Ссылка C:\WINDOWS\SYSTEM32\TASKS\{4D2ED306-1985-4E41-BDE1-A18317FD752C} Ссылка C:\WINDOWS\SYSTEM32\TASKS\{767F926B-CC91-404D-802B-9A457776050E}

Цитата

Полное имя C:\USERS\АЛМАЗ\DOCUMENTS\ТОМОГРАФИЯ\EFILMLT.EXE
Имя файла EFILMLT.EXE
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске

www.virustotal.com 2013-06-12 [2011-06-03 19:21:47 UTC ( 2 years ago )]
- Файл был чист на момент проверки.

Удовлетворяет критериям
MAJACHOK.TASKS (ССЫЛКА ~ \TASKS\)(1) AND (ИМЯ ФАЙЛА ~ .EXE)(1) AND (ЦИФР. ПОДПИСЬ ~ ОТСУТСТВУЕТ)(1)

Сохраненная информация на момент создания образа
Статус в автозапуске
File_Id 444F7086480000
Linker 7.10
Размер 4714496 байт
Создан 04.11.2012 в 12:43:49
Изменен 26.04.2006 в 10:07:24
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Оригинальное имя eFilm.exe
Версия файла 2.1.2.352
Описание eFilm
Производитель Merge eMed

Доп. информация на момент обновления списка
SHA1 95CEBC3B1E4A01463333A4B3782ED2CCABFD2DD7
MD5 921DED1210E83547F6DBB945453AB024

Ссылки на объект
Ссылка C:\WINDOWS\SYSTEM32\TASKS\{4D2ED306-1985-4E41-BDE1-A18317FD752C}

Ссылка C:\WINDOWS\SYSTEM32\TASKS\{767F926B-CC91-404D-802B-9A457776050E}

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] неудаляющийся троян в оперативке

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.07.2013 15:46:50

Цитата
aminazin пишет: -- офф: когда звонишь в техподдержку, сначала слышишь вкрадчивый и нежный мужской голос и все как-то хорошо, а потом резкое ТА-ДАМ!, это музыка начинается. убавьте немного звук по возможности

это лучше здесь в разделе техподдержки написать
http://forum.esetnod32.ru/forum14/topic38/

[ Как создать образ автозапуска? ]

Перейти