santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] вероятно модифицированный Win32/Agent jKRAEFR троянская программа

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 29.03.2013 08:19:01

отсканируйте этот каталог с кейгеном в ESET NOD32 и добавьте лог сканирования.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] eset smart security обнаружена угроза в памяти! помогите,пожалуйста,устранить вирус

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 29.03.2013 06:46:12

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.77.8 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE zoo %SystemDrive%\PROGRAMDATA\MOZILLA\JPGPBFA.DLL addsgn A7679BCB00AD098E6ACFAFB1A38DEE643E8BFC31CC067E6384C302F9ACB76A4D23D086AB5F4E9C49ECC578FE5D17493D3823896954DA7769D116BF2EC7C1678F 8 majachok.exe zoo %SystemDrive%\PROGRAMDATA\MOZILLA\MDTMAND.EXE zoo D:\ПРОГИ\VKSAVER-INSTALL.EXE addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6E96B5F78B63503F874C251B33627B3173E3D9CC92B807B8AF66609FA2E20FD0E279AB04625D4BCC38506CA82 59 Win32/Dorkbot.B delall D:\ПРОГИ\VKSAVER-INSTALL.EXE delall %SystemDrive%\PROGRAMDATA\MOZILLA\MDTMAND.EXE delall %SystemDrive%\PROGRAMDATA\MOZILLA\JPGPBFA.DLL chklst delvir delall %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER.EXE deltmp delnfr czoo restart

Код

;uVS v3.77.8 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\MOZILLA\JPGPBFA.DLL
addsgn A7679BCB00AD098E6ACFAFB1A38DEE643E8BFC31CC067E6384C302F9ACB76A4D23D086AB5F4E9C49ECC578FE5D17493D3823896954DA7769D116BF2EC7C1678F 8 majachok.exe
zoo %SystemDrive%\PROGRAMDATA\MOZILLA\MDTMAND.EXE
zoo D:\ПРОГИ\VKSAVER-INSTALL.EXE
addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6E96B5F78B63503F874C251B33627B3173E3D9CC92B807B8AF66609FA2E20FD0E279AB04625D4BCC38506CA82 59 Win32/Dorkbot.B
delall D:\ПРОГИ\VKSAVER-INSTALL.EXE
delall %SystemDrive%\PROGRAMDATA\MOZILLA\MDTMAND.EXE
delall %SystemDrive%\PROGRAMDATA\MOZILLA\JPGPBFA.DLL
chklst
delvir
delall %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER.EXE
deltmp
delnfr
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS, созданный после скрипта (например: ZOO_2011-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] вероятно модифицированный Win32/Agent jKRAEFR троянская программа

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 29.03.2013 06:41:15

а чем вы сканируете?
добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Win32 Dorkbot.D

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 28.03.2013 13:29:53

по логу сканирования.

Цитата
28.03.2013 14:11:02 Оперативная память 311 0 0 Зaвepшeнo 28.03.2013 13:07:16 F:\ 595 8 0 Зaвepшeнo 28.03.2013 10:10:53 F:\ 3763 9 0 Зaвepшeнo

в системе нет активного Доркбота.

по сканированию флэшки - надо ставить сканирование с очисткой.

по логу мбам - удалите все найденное в мбам,
перегрузите систему, и еще раз выполните быстрый скан.

[ Как создать образ автозапуска? ]

Перейти

Дистрибутив ESET File Security для Microsoft Windows Server

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 28.03.2013 11:46:14

видимо еще не выложили на сервер новый дистр. подождать надо день-два.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] ESET File Security 4 для Microsoft Windows Server

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 28.03.2013 11:44:28

Version 4.5.12011.0

Added: Support for Windows Server 2012
Added: Automatic exclusions for Microsoft Share Point Server 2013, Microsoft Exchange Server 2013 and Windows Server 2012
Added: Italian language modification
Fixed: Several GUI issues and eShell issues
Fixed: Support of ESET Remote Administrator error with logs being sent multiple times when log optimization is initialized manually
Fixed: Error with incorrect display of the network path in notification window and GUI
Fixed: Problems with remote installation via ESET Remote Administrator
Fixed: Localization issues

http://www.eset.com/download/business/detail/family/26/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Win32 Dorkbot.D

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 28.03.2013 11:40:41

да, и выполните сканирование в ESET NOD32 только оперативной памяти

лог сканирования добавьте на форум

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Win32 Dorkbot.D

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 28.03.2013 10:08:10

Код
;uVS v3.77.8 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE delref HTTP://WEBALTA.RU/SEARCH deltmp delnfr delref HTTP://IICHAN.HK/ regt 5 exec MSIEXEC.EXE /quiet /X{86D4B82A-ABED-442A-BE86-96357B70F4FE} exec MSIEXEC.EXE /quiet /X{26A24AE4-039D-4CA4-87B4-2F83217003FF} exec MSIEXEC.EXE /quiet /X{26A24AE4-039D-4CA4-87B4-2F86417003FF} restart

Код

;uVS v3.77.8 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
delref HTTP://WEBALTA.RU/SEARCH
deltmp
delnfr
delref HTTP://IICHAN.HK/
regt 5
exec MSIEXEC.EXE /quiet /X{86D4B82A-ABED-442A-BE86-96357B70F4FE}
exec MSIEXEC.EXE /quiet /X{26A24AE4-039D-4CA4-87B4-2F83217003FF}
exec MSIEXEC.EXE /quiet /X{26A24AE4-039D-4CA4-87B4-2F86417003FF}
restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Win32 Dorkbot.D

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 28.03.2013 09:45:12

при сканировании чего? флэшки? или оперативной памяти? ждем образ из безопасного режима.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Win32 Dorkbot.D

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 28.03.2013 09:28:50

судя по журналу dorkbot у вас был на флэшке, но антивир там правился с угрозой

Цитата
28.03.2013 10:06:56 Защита в режиме реального времени файл F:\Themes.lnk Win32/Dorkbot.D червь очищен удалением - изолирован SA-TUMEN\heyenki Событие произошло при попытке доступа к файлу следующим приложением: C:\Windows\explorer.exe. 28.03.2013 10:06:56 Защита в режиме реального времени файл F:\Others.lnk Win32/Dorkbot.D червь очищен удалением - изолирован SA-TUMEN\heyenki Событие произошло при попытке доступа к файлу следующим приложением: C:\Windows\explorer.exe. 28.03.2013 10:06:56 Защита в режиме реального времени файл F:\Private.lnk Win32/Dorkbot.D червь очищен удалением - изолирован SA-TUMEN\heyenki Событие произошло при попытке доступа к файлу следующим приложением: C:\Windows\explorer.exe. 28.03.2013 10:06:56 Защита в режиме реального времени файл F:\Images.lnk Win32/Dorkbot.D червь очищен удалением - изолирован SA-TUMEN\heyenki Событие произошло при попытке доступа к файлу следующим приложением: C:\Windows\explorer.exe. 28.03.2013 10:06:56 Защита в режиме реального времени файл F:\Videos.lnk Win32/Dorkbot.D червь очищен удалением - изолирован SA-TUMEN\heyenki Событие произошло при попытке доступа к файлу следующим приложением: C:\Windows\explorer.exe. 28.03.2013 10:06:56 Защита в режиме реального времени файл F:\Sounds.lnk Win32/Dorkbot.D червь очищен удалением - изолирован SA-TUMEN\heyenki Событие произошло при попытке доступа к файлу следующим приложением: C:\Windows\explorer.exe. 28.03.2013 10:06:56 Защита в режиме реального времени файл F:\MISC.lnk Win32/Dorkbot.D червь очищен удалением - изолирован SA-TUMEN\heyenki Событие произошло при попытке доступа к файлу следующим приложением: C:\Windows\explorer.exe. 28.03.2013 10:06:56 Защита в режиме реального времени файл F:\DCIM.lnk Win32/Dorkbot.D червь очищен удалением - изолирован SA-TUMEN\heyenki Событие произошло при попытке доступа к файлу следующим приложением: C:\Windows\explorer.exe.

Цитата

28.03.2013 10:06:56 Защита в режиме реального времени файл F:\Themes.lnk Win32/Dorkbot.D червь очищен удалением - изолирован SA-TUMEN\heyenki Событие произошло при попытке доступа к файлу следующим приложением: C:\Windows\explorer.exe.
28.03.2013 10:06:56 Защита в режиме реального времени файл F:\Others.lnk Win32/Dorkbot.D червь очищен удалением - изолирован SA-TUMEN\heyenki Событие произошло при попытке доступа к файлу следующим приложением: C:\Windows\explorer.exe.
28.03.2013 10:06:56 Защита в режиме реального времени файл F:\Private.lnk Win32/Dorkbot.D червь очищен удалением - изолирован SA-TUMEN\heyenki Событие произошло при попытке доступа к файлу следующим приложением: C:\Windows\explorer.exe.
28.03.2013 10:06:56 Защита в режиме реального времени файл F:\Images.lnk Win32/Dorkbot.D червь очищен удалением - изолирован SA-TUMEN\heyenki Событие произошло при попытке доступа к файлу следующим приложением: C:\Windows\explorer.exe.
28.03.2013 10:06:56 Защита в режиме реального времени файл F:\Videos.lnk Win32/Dorkbot.D червь очищен удалением - изолирован SA-TUMEN\heyenki Событие произошло при попытке доступа к файлу следующим приложением: C:\Windows\explorer.exe.
28.03.2013 10:06:56 Защита в режиме реального времени файл F:\Sounds.lnk Win32/Dorkbot.D червь очищен удалением - изолирован SA-TUMEN\heyenki Событие произошло при попытке доступа к файлу следующим приложением: C:\Windows\explorer.exe.
28.03.2013 10:06:56 Защита в режиме реального времени файл F:\MISC.lnk Win32/Dorkbot.D червь очищен удалением - изолирован SA-TUMEN\heyenki Событие произошло при попытке доступа к файлу следующим приложением: C:\Windows\explorer.exe.
28.03.2013 10:06:56 Защита в режиме реального времени файл F:\DCIM.lnk Win32/Dorkbot.D червь очищен удалением - изолирован SA-TUMEN\heyenki Событие произошло при попытке доступа к файлу следующим приложением: C:\Windows\explorer.exe.

сделайте образ автозапуска из безопасного режима системы.

[ Как создать образ автозапуска? ]

Перейти