Арвид (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

win32/dorkbot.b winlogon(504)

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 14.12.2012 17:47:55

скрипт верный. убедитесь что все правильно копируете и вставляете.

Правильно заданный вопрос - это уже половина ответа

Перейти

win32/dorkbot.b winlogon(504)

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 14.12.2012 17:22:44

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);

Код
;;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 addsgn A7679B1991B61F24381427F4B84157E99D7EBCB689127D8A7A3CF67C05BE1C086317A7A80E311469EC85F8F906163AFA7DDF509955DAB0EB28EFC26FC7042273 8 Trojan-Ransom.Win32.Foreign.ubt bl C5FCDE494CAA667C4EC8557D1A699287 192512 addsgn A7659219B9628B762FD6AEB1643707F537CBFC1E2104E087154E719A50D6714C769CCE1F2D149DC0CEDD7B7ECB626FFA2854E556469BB0A5C82A5BCE5796B2E3 8 Trojan-Ransom.Win32.Foreign.scv bl 046062C70C92B5221E6046B7E8052A1B 200704 adddir %SystemDrive%\DOCUMENTS AND SETTINGS\8 ГСАБАТР\APPLICATION DATA\MICROSOFT chklst delvir deltmp delnfr restart

Код

;;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

addsgn A7679B1991B61F24381427F4B84157E99D7EBCB689127D8A7A3CF67C05BE1C086317A7A80E311469EC85F8F906163AFA7DDF509955DAB0EB28EFC26FC7042273 8 Trojan-Ransom.Win32.Foreign.ubt
bl C5FCDE494CAA667C4EC8557D1A699287 192512
addsgn A7659219B9628B762FD6AEB1643707F537CBFC1E2104E087154E719A50D6714C769CCE1F2D149DC0CEDD7B7ECB626FFA2854E556469BB0A5C82A5BCE5796B2E3 8 Trojan-Ransom.Win32.Foreign.scv
bl 046062C70C92B5221E6046B7E8052A1B 200704
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\8 ГСАБАТР\APPLICATION DATA\MICROSOFT
chklst
delvir
deltmp
delnfr
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.

Правильно заданный вопрос - это уже половина ответа

Перейти

win32/dorkbot.b winlogon(504)

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 14.12.2012 17:15:29

Здравствуйте!
Сделайте лог uVS

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] При работе в интернете идет переадресация на klubrelaks, переадресация на сайт

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 13.12.2012 20:16:10

Код
;;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 delref %Sys32%\XEJKTPE.DLL exec "C:\PROGRAM FILES\PANDORA.TV\PANSERVICE\UNINS000.EXE" delref HTTP://WWW.MAIL.RU/CNT/5089 delref HTTP://WWW.MAIL.RU/CNT/8569 delref HTTP://WWW.MINIZONA.RU/ deltmp delnfr restart

Код

;;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

delref %Sys32%\XEJKTPE.DLL
exec "C:\PROGRAM FILES\PANDORA.TV\PANSERVICE\UNINS000.EXE"
delref HTTP://WWW.MAIL.RU/CNT/5089
delref HTTP://WWW.MAIL.RU/CNT/8569
delref HTTP://WWW.MINIZONA.RU/
deltmp
delnfr
restart

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Fixhosts.exe и его лечение, Нужна помощь!

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 13.12.2012 19:31:49

Здравствуйте!

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);

Код
;;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 bl F8546857FA2D2E6C9D377D0A840BB1B2 543744 zoo %Sys32%\TDXCRQE.DLL bl F122BA6E72CFA4493266DFFD82B2FDBF 42496 delref %Sys32%\TDXCRQE.DLL delall %Sys32%\HALE.EXE deltmp delnfr delref HTTP://SEARCHFUNMOODS.COM/?F=1&A=IRONPUB&CHNL=IRONPUB&CD=2XZUYETN2Y1L1QZUTDTD0ETDYDTB0BZZ0CZZTCZZTBYCZYYBTN0D0TZU0CTATATBTN1L2XZUTBTFTBTFTDTFTAYEYE&CR=1368182482 delref HTTP://SEARCHFUNMOODS.COM/?F=2&A=IRONPUB&CHNL=IRONPUB&CD=2XZUYETN2Y1L1QZUTDTD0ETDYDTB0BZZ0CZZTCZZTBYCZYYBTN0D0TZU0CTATATBTN1L2XZUTBTFTBTFTDTFTAYEYE&CR=1368182482 delref HTTP://TOPDOWNLOADS.RU/GAMES/CATALOG delref HTTP://WEBALTA.RU/SEARCH regt 12 regt 14 czoo restart

Код

;;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

bl F8546857FA2D2E6C9D377D0A840BB1B2 543744
zoo %Sys32%\TDXCRQE.DLL
bl F122BA6E72CFA4493266DFFD82B2FDBF 42496
delref %Sys32%\TDXCRQE.DLL
delall %Sys32%\HALE.EXE
deltmp
delnfr
delref HTTP://SEARCHFUNMOODS.COM/?F=1&A=IRONPUB&CHNL=IRONPUB&CD=2XZUYETN2Y1L1QZUTDTD0ETDYDTB0BZZ0CZZTCZZTBYCZYYBTN0D0TZU0CTATATBTN1L2XZUTBTFTBTFTDTFTAYEYE&CR=1368182482
delref HTTP://SEARCHFUNMOODS.COM/?F=2&A=IRONPUB&CHNL=IRONPUB&CD=2XZUYETN2Y1L1QZUTDTD0ETDYDTB0BZZ0CZZTCZZTBYCZYYBTN0D0TZU0CTATATBTN1L2XZUTBTFTBTFTDTFTAYEYE&CR=1368182482
delref HTTP://TOPDOWNLOADS.RU/GAMES/CATALOG
delref HTTP://WEBALTA.RU/SEARCH
regt 12
regt 14
czoo
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
- в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например 2012-03-09_09-29-00.7z - это архив с вирусами, егнужно прислать на электронный адрес [email protected].
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Заблокирована загрузка системы

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 13.12.2012 19:28:50

если вы выполнили тот скрипт что выше написали, то это не из-за него такое произошло.
у вас сейчас другая проблема.
посмотрите, определяется ли в биосе жесткий диск.

Правильно заданный вопрос - это уже половина ответа

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 13.12.2012 15:58:18

Приложение из Google Play крадет деньги у клиентов "Сбербанка"

Цитата
30 ноября в Google Play была выложена прогламма "Сбербанк-СМС", с помощью которой злоумышленники получают доступ к одноразовым паролям пользователей интернет-банкинга "Сбербанк Онлайн". Атака проходит в несколько этапов. Сначала на компьютер жертвы попадает троян "Carberp", который ждет момента, когда пользователь пытается зайти в интернет-банкинг. В этот момент всплывает фальшивое окно с требованием ввести свой номер телефона, чтобы обеспечить дополнительную безопасность доступа. После ввода номера, пользователь получает SMS со ссылкой на приложение "Сбербанк-СМС", которое, якобы, необходимо для защищенной работы. Установленное приложение перехватывает одноразовые пароли, которые клиент получает от банка и передает их злоумышленникам. Специалисты Group-IB утверждают, что они обращались и в российское и в американское представительства Google, однако реакции не последовало - приложение до сих пор доступно в Google Play. Между тем, его скачало уже несколько сотен пользователей.

Цитата

30 ноября в Google Play была выложена прогламма "Сбербанк-СМС", с помощью которой злоумышленники получают доступ к одноразовым паролям пользователей интернет-банкинга "Сбербанк Онлайн".

Атака проходит в несколько этапов. Сначала на компьютер жертвы попадает троян "Carberp", который ждет момента, когда пользователь пытается зайти в интернет-банкинг. В этот момент всплывает фальшивое окно с требованием ввести свой номер телефона, чтобы обеспечить дополнительную безопасность доступа. После ввода номера, пользователь получает SMS со ссылкой на приложение "Сбербанк-СМС", которое, якобы, необходимо для защищенной работы. Установленное приложение перехватывает одноразовые пароли, которые клиент получает от банка и передает их злоумышленникам.

Специалисты Group-IB утверждают, что они обращались и в российское и в американское представительства Google, однако реакции не последовало - приложение до сих пор доступно в Google Play. Между тем, его скачало уже несколько сотен пользователей.

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] При работе в интернете идет переадресация на klubrelaks, переадресация на сайт

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 13.12.2012 15:19:46

Сюда залейте - http://rghost.ru/

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] При работе в интернете идет переадресация на klubrelaks, переадресация на сайт

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 13.12.2012 14:54:47

образ сделали и куда положили?

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Ошибка создания временного файла

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 13.12.2012 14:47:15

Выполните рекомендации

Правильно заданный вопрос - это уже половина ответа

Перейти