santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] Банер от admotionblock.ru

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.02.2013 11:25:20

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.77.5 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE EXEC cmd /c"ipconfig /flushdns" restart

перезагрузка, пишем о старых и новых проблемах.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Банер от admotionblock.ru

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.02.2013 11:02:27

это что у вас?
192.168.10.1
роутер?

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Модифицированный Java/Exploit.CVE-2012-1723.HG троянская программа

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.02.2013 10:57:46

хороший пример, что java надо или регулярно обновлять, или удалить если не используется в приложениях
------------
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.77.5 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE addsgn 1A1A629A5583348CF42B254E3143FE8E608277F608C27C0BE823B096D3AE614F563348172A68BD4CB899F08A7B374C6964ABE64F77DF23355970992F879F2306 8 Voltar.0201 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\3CBJTVVO.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\3CBJTVVO.EXE chklst delvir setdns Подключение по локальной сети\4\{9FC2B649-CB93-4D85-85F9-73183DE2D8F3}\ deltmp delnfr delref HTTP://DASEARCH.RU regt 14 exec MSIEXEC.EXE /X{26A24AE4-039D-4CA4-87B4-2F83216030FF} EXEC cmd /c"ipconfig /flushdns" czoo restart

Код

;uVS v3.77.5 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
addsgn 1A1A629A5583348CF42B254E3143FE8E608277F608C27C0BE823B096D3AE614F563348172A68BD4CB899F08A7B374C6964ABE64F77DF23355970992F879F2306 8 Voltar.0201
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\3CBJTVVO.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\3CBJTVVO.EXE
chklst
delvir
setdns Подключение по локальной сети\4\{9FC2B649-CB93-4D85-85F9-73183DE2D8F3}\
deltmp
delnfr
delref HTTP://DASEARCH.RU
regt 14
exec MSIEXEC.EXE /X{26A24AE4-039D-4CA4-87B4-2F83216030FF}
EXEC cmd /c"ipconfig /flushdns"
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS, созданный после скрипта (например: ZOO_2011-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

Изменено: santy - 01.02.2013 10:58:17

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.02.2013 08:35:59

новый вариант запуска Corkow
--------

Цитата
Полное имя C:\USERS\IGOR\APPDATA\ROAMING\MICROSOFT CORPORATION\SEREUXLE.INE Имя файла SEREUXLE.INE Тек. статус ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске [Запускался неявно или вручную] Сохраненная информация на момент создания образа Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске [Запускался неявно или вручную] Размер 109056 байт Создан 16.08.2011 в 18:47:18 Изменен 16.08.2011 в 18:47:18 Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Отсутствует либо ее не удалось проверить Оригинальное имя VERSION.DLL Версия файла 6.1.7600.16385 (win7_rtm.090713-1255) Описание Version Checking and File Installation Libraries Производитель Microsoft Corporation Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Путь до файла Типичен для вирусов и троянов Доп. информация на момент обновления списка Процесс создан 12:55:16 [2013.01.30] С момента создания 00:13:16 parentid = 2620 C:\WINDOWS\EXPLORER.EXE UDP 127.0.0.1:49677 SHA1 D05A71AE1A9C10DD4B4D587F005DA1C3B9F3436E MD5 9915952BDF5E58417544AD216230D1FF Ссылки на объект Ссылка HKEY_USERS\S-1-5-21-3508281026-3785258510-1211421429-1001\Software\Microsoft\Windows\CurrentVersion\Run\NvCplWow64 NvCplWow64 %SystemRoot%\SysWOW64\Rundll32.exe "%AppData%\Microsoft Corporation\sereUXLe.ine",Control_RunDLL

Цитата

Полное имя C:\USERS\IGOR\APPDATA\ROAMING\MICROSOFT CORPORATION\SEREUXLE.INE
Имя файла SEREUXLE.INE
Тек. статус ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске [Запускался неявно или вручную]

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске [Запускался неявно или вручную]
Размер 109056 байт
Создан 16.08.2011 в 18:47:18
Изменен 16.08.2011 в 18:47:18
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Оригинальное имя VERSION.DLL
Версия файла 6.1.7600.16385 (win7_rtm.090713-1255)
Описание Version Checking and File Installation Libraries
Производитель Microsoft Corporation

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла Типичен для вирусов и троянов

Доп. информация на момент обновления списка
Процесс создан 12:55:16 [2013.01.30]
С момента создания 00:13:16
parentid = 2620 C:\WINDOWS\EXPLORER.EXE
UDP 127.0.0.1:49677
SHA1 D05A71AE1A9C10DD4B4D587F005DA1C3B9F3436E
MD5 9915952BDF5E58417544AD216230D1FF

Ссылки на объект
Ссылка HKEY_USERS\S-1-5-21-3508281026-3785258510-1211421429-1001\Software\Microsoft\Windows\CurrentVersion\Run\NvCplWow64
NvCplWow64 %SystemRoot%\SysWOW64\Rundll32.exe "%AppData%\Microsoft Corporation\sereUXLe.ine",Control_RunDLL

описания на VirusRadar отсутствует
http://www.virusradar.com/en/Win32_Corkow.F/description

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] помогите избавиться от банера admotionblock.ru

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.02.2013 05:46:56

Код
;uVS v3.77.5 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE delref HTTP://BROWSERHELP2.RU delref HTTP://BROWSERHELP2.RU/ delref HTTP://MAILGO2SEARCH.RU hide %SystemRoot%\SYSWOW64\HPLUN.DLL delall %SystemDrive%\USERS\ROZHKOVA\APPDATA\ROAMING\IPGSGA.EXE deltmp delnfr setdns Подключение по локальной сети\6\{43774669-D335-4ECF-8D4D-23BCF2050174}\ restart

Код


;uVS v3.77.5 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
delref HTTP://BROWSERHELP2.RU
delref HTTP://BROWSERHELP2.RU/
delref HTTP://MAILGO2SEARCH.RU
hide %SystemRoot%\SYSWOW64\HPLUN.DLL
delall %SystemDrive%\USERS\ROZHKOVA\APPDATA\ROAMING\IPGSGA.EXE
deltmp
delnfr
setdns Подключение по локальной сети\6\{43774669-D335-4ECF-8D4D-23BCF2050174}\
restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

При включении компа антивирь в неактивном состоянии

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 31.01.2013 20:47:06

1.
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.77.5 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE deltmp delnfr restart

перезагрузка, пишем о старых и новых проблемах.
------------
2. загрузитесь в безопасном режиме и удалите продукты ESET с помощью ESET uninstaller
http://download.eset.com/special/ESETUninstaller.exe

3. скачайте новую версию продукта ESET отсюда (для системы с вашей разрядностью)
http://www.eset.com/download/home/detail/family/5/operatingsystem/116/language/RUS/
и установите в нормальном режиме

4. пишем результат

Изменено: santy - 31.01.2013 20:47:29

[ Как создать образ автозапуска? ]

Перейти

Не обновляется антивирус "ошибка создания временного файла"

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 31.01.2013 20:39:30

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.77.5 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE zoo %SystemRoot%\GIGALAN.SYS addsgn A756A292576ACD98CB26524E8FDF4284DD03B876E68F137D81C6C1BD50D7221A74FCD20E745E4F3CCED86F6D46134DFF79DEE873BD43CE2C2DE0B3B8CE8F2BFA 8 Trojan.Hosts.5268 [DrWeb] delall %SystemDrive%\USERS\ВАДИМ\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE delall %SystemDrive%\USERS\ВАДИМ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\DHKPLHFNHCEODHFFOMOLPFIGOJOCBPCB\1.10_0\BABYLONCHROMETOOLBAR.DLL czoo delref HTTP://SEARCH.BABYLON.COM/?AFFID=110825&TT=310113_2009&BABSRC=NT_SS&MNTRID=E8152C9B000000000000E0B9A589514D deltmp delnfr exec MSIEXEC.EXE /I{E55E7026-EF2A-4A17-AAA7-DB98EA3FD1B1} sreg delref %SystemRoot%\GIGALAN.SYS areg

Код

;uVS v3.77.5 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %SystemRoot%\GIGALAN.SYS
addsgn A756A292576ACD98CB26524E8FDF4284DD03B876E68F137D81C6C1BD50D7221A74FCD20E745E4F3CCED86F6D46134DFF79DEE873BD43CE2C2DE0B3B8CE8F2BFA 8 Trojan.Hosts.5268 [DrWeb]
delall %SystemDrive%\USERS\ВАДИМ\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
delall %SystemDrive%\USERS\ВАДИМ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\DHKPLHFNHCEODHFFOMOLPFIGOJOCBPCB\1.10_0\BABYLONCHROMETOOLBAR.DLL
czoo
delref HTTP://SEARCH.BABYLON.COM/?AFFID=110825&TT=310113_2009&BABSRC=NT_SS&MNTRID=E8152C9B000000000000E0B9A589514D
deltmp
delnfr
exec MSIEXEC.EXE /I{E55E7026-EF2A-4A17-AAA7-DB98EA3FD1B1}
sreg
delref %SystemRoot%\GIGALAN.SYS
areg

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

Winsyn64.exe и Win32/Dorkbot.B червь

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 31.01.2013 17:06:11

скан в малваребайт выполните обязательно, поскольку в папке

Цитата
%SystemDrive%\USERS\ANDREI\APPDATA\ROAMING

скапливается большая куча неактивных вредоносных тел, которые накапливает Dorkbot

[ Как создать образ автозапуска? ]

Перейти

» модифицированный Win32/Spy.SpyEye.CA, Оперативная память » winlogon.exe(724) - модифицированный Win32/Spy.SpyEye.CA троянская программа - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 31.01.2013 13:59:43

хорошо,
выполните сканирование в малваребайт,

если все будет чисто,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] не устанавливается НОД,

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 31.01.2013 13:43:09

сделайте дополнительно проверку в малваребайт,

возможно, еще что то будет найдено сканером

[ Как создать образ автозапуска? ]

Перейти