Арвид (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

модифицированный win32/dorkbot.b червь

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 14.04.2013 22:40:15

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);

Код
;;uVS v3.77.9 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 bl 751C3F58A618CF7DE40042D44AD06590 2295328 addsgn 1A18D29A5583C58CF42B254E3143FE58CCACF7F68971E02942C2B9100CD6993D8517C30EFDDE621CA06CD214B7FEAA0582201E375DDBC42B7B9F68D038F97BF8 8 GuardMail bl 01907300EB52206B06FACB9608F369A9 625816 addsgn 9252773A006AC1CC0BA4444EA34FF6AC3D8A32B34DD148FB483C2EB2C046E1DCA91185DF39129C925E870F81C5F8B5EBA6AD05CA54DAB02C2CACD1284C18A19D 8 Pandora bl 7FB282509685C53EDF1BE190353913FB 507776 addsgn 1A8FD09A5583358CF42B254E3143FE865886FC8282903222E34AD43F91D48694759C3264ECA2E841A87A8DE943958BAD96DC6BB065BC393D6C3621EFB0E311B3 8 YandexUPD zoo %SystemRoot%\PMDRIVE32.EXE bl 52C224323A03DEA18574401C31C335A0 68206 addsgn A7679BF0AA029C224BD4C6B947881261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C03D0C49F75C4C32EF4CAD81B15DA3BE4AC965B2FC706AB7E 8 Win32/AutoRun.KS [NOD32] zoo %SystemDrive%\USERS\АНДРЕЙ\APPDATA\ROAMING\DSITE\UPDATEPROC\UPDATETASK.EXE bl CD043EB9F60A095302936524AE86A5E9 84992 addsgn A7679B235D6A4C7261D4C4B12DBDEB5476DCAB4E898B5E786D942A42AF68B9806217F0976B3DCDC66A80E0607672C0DA17DF005BA4244F442C76A42FAF2EEB32 16 Win32/TrojanDownloader.Carberp.AD zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-46689\24NAQ.EXE bl 516BB6B2D03724F9C60E1CAC9CC174F1 73728 addsgn 1A0A639A5583C58CF42B254E3143FE84C9A2FFF689592784C5C34CB1642A314CAA02F3AB7E551454077CC49FCF2361063DDF614F7126F02C4BFBB17F3B462215 8 Trojan-Ransom.Win32.Blocker.uxw bl F082C76CF8A1C41DB23EC397B4B5B03B 1618304 addsgn 1AF67A9B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 Praetor zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-17255\PROXZY15.EXE bl 939E55FBCF61EB903FD4F5E1F8CF6C35 42235 zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-17253\PROXZY13.EXE bl 65507B1465546E3C35E93751E7F5B039 44735 zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-10259\PROXZY109.EXE bl B1D158217751806A804C4ECAEA333F60 41990 zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-17258\PROXZY18.EXE bl CAFED638C1B3341C34198EDC05FE7A95 45430 zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-17256\PROXZY16.EXE bl B83506982520C0866C50FEE4285A7841 43715 zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-17254\PROXZY14.EXE bl 8FB9E793040BB6D62E50400E6F4D3396 45750 zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-17251\PROXZY12.EXE bl E2342D2E17FE5E4DE3EDAFEC6FEA86DE 43880 zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-17259\PROXZY19.EXE bl 8546F0D0A921ABC2A9E48973C7605FBB 41210 zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-17257\PROXZY17.EXE bl 7AEDA63CC0F24C620D43E19389B0EBBA 44575 zoo %SystemDrive%\USERS\АНДРЕЙ\APPDATA\ROAMING\BD65.EXE bl DC231035327F822F892CEAF59E800F8D 66191 zoo %SystemRoot%\SYSWOW64\DISCHANDLER.EXE bl F4953D7E6555B707AEE3EE70C8A42BD0 39904 zoo %SystemDrive%\USERS\АНДРЕЙ\APPDATA\ROAMING\7FD9.EXE zoo %SystemDrive%\USERS\АНДРЕЙ\APPDATA\ROAMING\88D6.EXE zoo %SystemDrive%\USERS\АНДРЕЙ\APPDATA\ROAMING\A341.EXE addsgn 9A287F9A55024C720BD4C639EC8812EDD9A5FCF60A3E131085C3C5BD51235E4C23B44FDF7E55F5492B8084F7460649FA15DFE872553252032D7707A74F46229B 8 UDS:DangerousObject.Multi.Generic [Kasp zoo %SystemDrive%\USERS\АНДРЕЙ\APPDATA\ROAMING\D662.EXE bl 32F3E3D093DB00FC492D1FC9D65B7531 123775 adddir %SystemDrive%\USERS\АНДРЕЙ\APPDATA\ROAMING exec MSIEXEC.EXE /X{1AE46C09-2AB8-4EE5-88FB-08CD0FF7F2DF} exec "C:\PROGRAM FILES (X86)\DELTA\DELTA\1.8.10.0\GUNINSTALLER.EXE" -UPRTC /TBGEN= -KEY "DELTA" exec "C:\USERS\АНДРЕЙ\APPDATA\ROAMING\BABSOLUTION\SHARED\GUNINSTALLER.EXE" -KEY "DELTA CHROME TOOLBAR" -RMKEY -ASK exec "C:\PROGRAM FILES (X86)\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL exec "C:\PROGRAM FILES (X86)\PANDORA.TV\PANSERVICE\UNINS000.EXE" chklst delvir deltmp delnfr delref HTTP://ISEARCH.BABYLON.COM/?AFFID=119370&TT=180313_NX&BABSRC=HP_SS_D2G&MNTRID=B85500093BF01A40 delref HTTP://SAMSUNG.MSN.COM delref HTTP://WWW.DELTA-SEARCH.COM/?AFFID=119370&TT=180313_NX&BABSRC=HP_SS&MNTRID=B85500093BF01A40 czoo restart

Код

;;uVS v3.77.9 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

bl 751C3F58A618CF7DE40042D44AD06590 2295328
addsgn 1A18D29A5583C58CF42B254E3143FE58CCACF7F68971E02942C2B9100CD6993D8517C30EFDDE621CA06CD214B7FEAA0582201E375DDBC42B7B9F68D038F97BF8 8 GuardMail
bl 01907300EB52206B06FACB9608F369A9 625816
addsgn 9252773A006AC1CC0BA4444EA34FF6AC3D8A32B34DD148FB483C2EB2C046E1DCA91185DF39129C925E870F81C5F8B5EBA6AD05CA54DAB02C2CACD1284C18A19D 8 Pandora
bl 7FB282509685C53EDF1BE190353913FB 507776
addsgn 1A8FD09A5583358CF42B254E3143FE865886FC8282903222E34AD43F91D48694759C3264ECA2E841A87A8DE943958BAD96DC6BB065BC393D6C3621EFB0E311B3 8 YandexUPD
zoo %SystemRoot%\PMDRIVE32.EXE
bl 52C224323A03DEA18574401C31C335A0 68206
addsgn A7679BF0AA029C224BD4C6B947881261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C03D0C49F75C4C32EF4CAD81B15DA3BE4AC965B2FC706AB7E 8 Win32/AutoRun.KS [NOD32]
zoo %SystemDrive%\USERS\АНДРЕЙ\APPDATA\ROAMING\DSITE\UPDATEPROC\UPDATETASK.EXE
bl CD043EB9F60A095302936524AE86A5E9 84992
addsgn A7679B235D6A4C7261D4C4B12DBDEB5476DCAB4E898B5E786D942A42AF68B9806217F0976B3DCDC66A80E0607672C0DA17DF005BA4244F442C76A42FAF2EEB32 16 Win32/TrojanDownloader.Carberp.AD
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-46689\24NAQ.EXE
bl 516BB6B2D03724F9C60E1CAC9CC174F1 73728
addsgn 1A0A639A5583C58CF42B254E3143FE84C9A2FFF689592784C5C34CB1642A314CAA02F3AB7E551454077CC49FCF2361063DDF614F7126F02C4BFBB17F3B462215 8 Trojan-Ransom.Win32.Blocker.uxw
bl F082C76CF8A1C41DB23EC397B4B5B03B 1618304
addsgn 1AF67A9B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 Praetor
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-17255\PROXZY15.EXE
bl 939E55FBCF61EB903FD4F5E1F8CF6C35 42235
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-17253\PROXZY13.EXE
bl 65507B1465546E3C35E93751E7F5B039 44735
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-10259\PROXZY109.EXE
bl B1D158217751806A804C4ECAEA333F60 41990
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-17258\PROXZY18.EXE
bl CAFED638C1B3341C34198EDC05FE7A95 45430
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-17256\PROXZY16.EXE
bl B83506982520C0866C50FEE4285A7841 43715
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-17254\PROXZY14.EXE
bl 8FB9E793040BB6D62E50400E6F4D3396 45750
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-17251\PROXZY12.EXE
bl E2342D2E17FE5E4DE3EDAFEC6FEA86DE 43880
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-17259\PROXZY19.EXE
bl 8546F0D0A921ABC2A9E48973C7605FBB 41210
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-17257\PROXZY17.EXE
bl 7AEDA63CC0F24C620D43E19389B0EBBA 44575
zoo %SystemDrive%\USERS\АНДРЕЙ\APPDATA\ROAMING\BD65.EXE
bl DC231035327F822F892CEAF59E800F8D 66191
zoo %SystemRoot%\SYSWOW64\DISCHANDLER.EXE
bl F4953D7E6555B707AEE3EE70C8A42BD0 39904
zoo %SystemDrive%\USERS\АНДРЕЙ\APPDATA\ROAMING\7FD9.EXE
zoo %SystemDrive%\USERS\АНДРЕЙ\APPDATA\ROAMING\88D6.EXE
zoo %SystemDrive%\USERS\АНДРЕЙ\APPDATA\ROAMING\A341.EXE
addsgn 9A287F9A55024C720BD4C639EC8812EDD9A5FCF60A3E131085C3C5BD51235E4C23B44FDF7E55F5492B8084F7460649FA15DFE872553252032D7707A74F46229B 8 UDS:DangerousObject.Multi.Generic [Kasp
zoo %SystemDrive%\USERS\АНДРЕЙ\APPDATA\ROAMING\D662.EXE
bl 32F3E3D093DB00FC492D1FC9D65B7531 123775
adddir %SystemDrive%\USERS\АНДРЕЙ\APPDATA\ROAMING
exec MSIEXEC.EXE /X{1AE46C09-2AB8-4EE5-88FB-08CD0FF7F2DF}
exec "C:\PROGRAM FILES (X86)\DELTA\DELTA\1.8.10.0\GUNINSTALLER.EXE" -UPRTC /TBGEN= -KEY "DELTA"
exec "C:\USERS\АНДРЕЙ\APPDATA\ROAMING\BABSOLUTION\SHARED\GUNINSTALLER.EXE" -KEY "DELTA CHROME TOOLBAR" -RMKEY -ASK
exec "C:\PROGRAM FILES (X86)\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL
exec "C:\PROGRAM FILES (X86)\PANDORA.TV\PANSERVICE\UNINS000.EXE"
chklst
delvir
deltmp
delnfr
delref HTTP://ISEARCH.BABYLON.COM/?AFFID=119370&TT=180313_NX&BABSRC=HP_SS_D2G&MNTRID=B85500093BF01A40
delref HTTP://SAMSUNG.MSN.COM
delref HTTP://WWW.DELTA-SEARCH.COM/?AFFID=119370&TT=180313_NX&BABSRC=HP_SS&MNTRID=B85500093BF01A40
czoo
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
- в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например 2012-03-09_09-29-00.7z - это архив с вирусами, его нужно прислать на электронный адрес [email protected].

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Оперативная память = winlogon.exe(744) - модифицированный Win32/Dorkbot.B червь - очистка невозможна, Оперативная память = winlogon.exe(744) - модифицированный Win32/Dorkbot.B червь - очистка невозможна

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 14.04.2013 22:32:57

выполните следующий скрипт:

Код
;uVS v3.77.9 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 addsgn A7679B19B192CD9E33D6AEB1379E787D7DE2B802C9FA77247183C5DAF31E820C23E8D68BA7149D2FA0C4A0D92C062182899FE81A1D2CF02C4BD46EDC8706DD66 8 Trojan-Ransom.Win32.Blocker.barm [Kaspe zoo %SystemDrive%\DOCUMENTS AND SETTINGS\VITALIY\APPLICATION DATA\11B.EXE bl EEFF410A4BC62672F1163F0FD9BEC3E5 102400 adddir %SystemDrive%\DOCUMENTS AND SETTINGS\VITALIY\APPLICATION DATA chklst delvir delall %SystemDrive%\DOCUMENTS AND SETTINGS\VITALIY\APPLICATION DATA\11B.EXE czoo restart

Код

;uVS v3.77.9 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

addsgn A7679B19B192CD9E33D6AEB1379E787D7DE2B802C9FA77247183C5DAF31E820C23E8D68BA7149D2FA0C4A0D92C062182899FE81A1D2CF02C4BD46EDC8706DD66 8 Trojan-Ransom.Win32.Blocker.barm [Kaspe
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\VITALIY\APPLICATION DATA\11B.EXE
bl EEFF410A4BC62672F1163F0FD9BEC3E5 102400
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\VITALIY\APPLICATION DATA
chklst
delvir
delall %SystemDrive%\DOCUMENTS AND SETTINGS\VITALIY\APPLICATION DATA\11B.EXE
czoo
restart

- по окончанию выполнения скрипта компьютер перезагрузится.
- в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например 2012-03-09_09-29-00.7z - это архив с вирусами, его нужно прислать на электронный адрес [email protected].
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.

Правильно заданный вопрос - это уже половина ответа

Перейти

модифицированный win32/dorkbot.b червь

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 14.04.2013 22:28:01

добавьте образ автозапуска в архиве

Правильно заданный вопрос - это уже половина ответа

Перейти

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 14.04.2013 21:46:39

Здравствуйте!

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);

Код
;;uVS v3.77.9 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 adddir %SystemDrive%\DOCUMENTS AND SETTINGS\VITALIY\APPLICATION DATA deltmp delnfr crimg

Правильно заданный вопрос - это уже половина ответа

Перейти

Обнаружена уязвимость скрытого канала в icmp-пакете

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 14.04.2013 20:19:45

Код
;;uVS v3.77.9 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 bl F082C76CF8A1C41DB23EC397B4B5B03B 1618304 addsgn 1AF67A9B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 Praetor bl 7FB282509685C53EDF1BE190353913FB 507776 addsgn 1A8FD09A5583358CF42B254E3143FE865886FC8282903222E34AD43F91D48694759C3264ECA2E841A87A8DE943958BAD96DC6BB065BC393D6C3621EFB0E311B3 8 YandexUPD chklst delvir exec "C:\WINDOWS\SYSWOW64\RUNDLL32.EXE" "C:\PROGRAM FILES\NVIDIA CORPORATION\INSTALLER2\INSTALLER.{BE017DF3-4FD8-4F2A-B09F-5CECD4C59DAF}\NVI2.DLL",UNINSTALLPACKAGE DISPLAY.GFEXPERIENCE deltmp delnfr delref HTTP://G.LIVE.COM/1REWLIVE4STARTUP/HOME restart

Код

;;uVS v3.77.9 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

bl F082C76CF8A1C41DB23EC397B4B5B03B 1618304
addsgn 1AF67A9B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 Praetor
bl 7FB282509685C53EDF1BE190353913FB 507776
addsgn 1A8FD09A5583358CF42B254E3143FE865886FC8282903222E34AD43F91D48694759C3264ECA2E841A87A8DE943958BAD96DC6BB065BC393D6C3621EFB0E311B3 8 YandexUPD
chklst
delvir
exec "C:\WINDOWS\SYSWOW64\RUNDLL32.EXE" "C:\PROGRAM FILES\NVIDIA CORPORATION\INSTALLER2\INSTALLER.{BE017DF3-4FD8-4F2A-B09F-5CECD4C59DAF}\NVI2.DLL",UNINSTALLPACKAGE DISPLAY.GFEXPERIENCE
deltmp
delnfr
delref HTTP://G.LIVE.COM/1REWLIVE4STARTUP/HOME
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] svchost.exe - Модифицированный Win32/Spy.Ranbyus.J троянская программа

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 14.04.2013 20:14:09

Выполните рекомендации

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Оперативная память = explorer.exe(2028) - модифицированный Win32/TrojanDownloader.Carberp.AM троянская программа, Вернулся или не ушел(((

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 14.04.2013 00:28:11

все верно. проверены будут все пользователи.

Правильно заданный вопрос - это уже половина ответа

Перейти

Помогите

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 13.04.2013 17:37:28

какой вирус? как запускаете uVS? распаковали программу? запускаете от имени администратора?
делайте все по инструкции - http://forum.esetnod32.ru/forum9/topic2687/

Правильно заданный вопрос - это уже половина ответа

Перейти

помогите удалить вирус

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 13.04.2013 17:32:42

Сделайте лог uVS

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Подцепил трояна Win32/Qhost, Win32/Qhost троянская программа

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 13.04.2013 17:32:18

Удалите найденное. Выполните рекомендации

Правильно заданный вопрос - это уже половина ответа

Перейти