santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] Выбивает адрес заблокирован, более недели на экран постоянно выходит красная табличка от ESET

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 31.03.2013 18:25:17

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.77.8 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE delall %SystemDrive%\DOCUMENTS AND SETTINGS\RAAM\CBZVL.EXE delall %SystemDrive%\DOCUME~1\RAAM\LOCALS~1\TEMP\0.04598454413767239.EXE zoo %SystemDrive%\MSOFT\AS.EXE delall %SystemDrive%\MSOFT\AS.EXE delref HTTP://BABYUSER.ORG/ delref HTTP://WWW.BIGSEEKPRO.COM/MEDIAGET/{02886716-D857-44B1-9DFA-6C95698F4320} zoo %Sys32%\W32HK.EXE delall %Sys32%\W32HK.EXE deltmp delnfr delref HTTP://DEPOSIT.FILESFILE-POISK.RU/?WKEY=1 regt 14 czoo restart

Код

;uVS v3.77.8 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\RAAM\CBZVL.EXE
delall %SystemDrive%\DOCUME~1\RAAM\LOCALS~1\TEMP\0.04598454413767239.EXE
zoo %SystemDrive%\MSOFT\AS.EXE
delall %SystemDrive%\MSOFT\AS.EXE
delref HTTP://BABYUSER.ORG/
delref HTTP://WWW.BIGSEEKPRO.COM/MEDIAGET/{02886716-D857-44B1-9DFA-6C95698F4320}
zoo %Sys32%\W32HK.EXE
delall %Sys32%\W32HK.EXE
deltmp
delnfr
delref HTTP://DEPOSIT.FILESFILE-POISK.RU/?WKEY=1
regt 14
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту sendvirus2011@gmail.com, support@esetnod32.ru
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

NOD32 не находит этот вирус

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 31.03.2013 18:19:46

далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Обнаружена уязвимость скрытого канала в ICMP-пакете

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 31.03.2013 16:36:44

сделайте проверку в AdwCleaner
http://forum.esetnod32.ru/forum9/topic7084/

[ Как создать образ автозапуска? ]

Перейти

NOD32 не находит этот вирус

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 31.03.2013 15:58:13

http://forum.esetnod32.ru/forum9/topic682/
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.77.8 script [http://dsrt.dyndns.org] ;Target OS: NTv6.2 OFFSGNSAVE delall %SystemDrive%\PROGRAM FILES (X86)\FILEHIPPO.COM\UPDATECHECKER.EXE delref 41.206.61.189:8080 deltmp delnfr exec "C:\PROGRAM FILES (X86)\FILEHIPPO.COM\UNINSTALL.EXE" restart

Код

;uVS v3.77.8 script [http://dsrt.dyndns.org]
;Target OS: NTv6.2

OFFSGNSAVE
delall %SystemDrive%\PROGRAM FILES (X86)\FILEHIPPO.COM\UPDATECHECKER.EXE
delref 41.206.61.189:8080
deltmp
delnfr
exec "C:\PROGRAM FILES (X86)\FILEHIPPO.COM\UNINSTALL.EXE"
restart

перезагрузка, пишем о старых и новых проблемах.

[ Как создать образ автозапуска? ]

Перейти

NOD32 не находит этот вирус

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 31.03.2013 15:35:35

прокси сами устанавливали?

Цитата
Полное имя 41.206.61.189:8080 Имя файла 41.206.61.189:8080 Тек. статус в автозапуске Сохраненная информация на момент создания образа Статус в автозапуске Ссылки на объект Ссылка HKEY_USERS\S-1-5-21-3515428239-832127511-606978534-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer ProxyServer 41.206.61.189:8080

Цитата

Полное имя 41.206.61.189:8080
Имя файла 41.206.61.189:8080
Тек. статус в автозапуске

Сохраненная информация на момент создания образа
Статус в автозапуске

Ссылки на объект
Ссылка HKEY_USERS\S-1-5-21-3515428239-832127511-606978534-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer
ProxyServer 41.206.61.189:8080

[ Как создать образ автозапуска? ]

Перейти

Когда компания сделает свой менеджер паролей?, Менеджер паролей.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 31.03.2013 14:58:44

а чем вам Password Safe не нравится?
http://passwordsafe.sourceforge.net/

[ Как создать образ автозапуска? ]

Перейти

NOD32 не находит этот вирус

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 31.03.2013 14:57:02

Код
;uVS v3.77.8 script [http://dsrt.dyndns.org] ;Target OS: NTv6.2 OFFSGNSAVE delref START delall %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER.EXE delref %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER3.DLL deltmp delnfr exec MSIEXEC.EXE /quiet /X{26A24AE4-039D-4CA4-87B4-2F83216043FF} restart

Код

;uVS v3.77.8 script [http://dsrt.dyndns.org]
;Target OS: NTv6.2

OFFSGNSAVE
delref START
delall %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER.EXE
delref %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER3.DLL
deltmp
delnfr
exec MSIEXEC.EXE /quiet /X{26A24AE4-039D-4CA4-87B4-2F83216043FF}
restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Win32/Patched.IB trojan/ Не пускает в одноклассники,вконтакте итд /При заходе на страницу требует СМС на короткий номер

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 31.03.2013 13:20:06

блокировка в vk наблюдается во всех браузерах, или в каком то одном?

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Обнаружена уязвимость скрытого канала в ICMP-пакете

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 31.03.2013 08:14:18

Код
;uVS v3.77.8 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE setdns Hamachi\4\{019D12BC-12A6-4308-A594-A8157B5763E2}\ delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML delref HTTP://XTREME.WS/ deltmp delnfr delref HTTP://FIREFOX.YANDEX.RU/ EXEC cmd /c"ipconfig /flushdns" exec "C:\PROGRAM FILES\SPYBOT - SEARCH & DESTROY\UNINS000.EXE" exec MSIEXEC.EXE /quiet /X{26A24AE4-039D-4CA4-87B4-2F83216020FF} exec MSIEXEC.EXE /quiet /I{3248F0A8-6813-11D6-A77B-00B0D0160060} restart

Код

;uVS v3.77.8 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
setdns Hamachi\4\{019D12BC-12A6-4308-A594-A8157B5763E2}\
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
delref HTTP://XTREME.WS/
deltmp
delnfr
delref HTTP://FIREFOX.YANDEX.RU/
EXEC cmd /c"ipconfig /flushdns"
exec "C:\PROGRAM FILES\SPYBOT - SEARCH & DESTROY\UNINS000.EXE"
exec MSIEXEC.EXE /quiet /X{26A24AE4-039D-4CA4-87B4-2F83216020FF}
exec MSIEXEC.EXE /quiet /I{3248F0A8-6813-11D6-A77B-00B0D0160060}
restart

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 31.03.2013 07:59:35

может быть.
через подмену ip адреса, который соответствует URL

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.77.8 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE deltmp delnfr EXEC cmd /c"ipconfig /flushdns" restart

перезагрузка, пишем о старых и новых проблемах.
----------

[ Как создать образ автозапуска? ]

Перейти