Размещено 12.02.2012 19:35:10
удалите все найденное и [URL=http://forum.esetnod32.ru/forum9/topic3998/]Выполните рекомендации[/URL]
Чисто. [URL=http://forum.esetnod32.ru/forum9/topic3998/]Выполните рекомендации[/URL]
Уважаемые пользователи!
Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новый антивирус от компании PRO32.
Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.
Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.
[ Закрыто] модифицированный червь Win32/Dorkbot.A
[ Закрыто] вероятно модифицированный Win32/TrojanDownloader.Carberp.AD
[ Закрыто] Оперативная память - модифицированный Win32/Dorkbot.A червь - очистка невозможна
Размещено 12.02.2012 19:17:36
Запускаем uVS еще раз, только теперь меню [B]Скрипт[/B] - [B]Выполнить скрипт находящийся в буфере обмена[/B]
Вставляем текст скрипта:
[B]Перед выполнением скрипта, закрыть браузеры! [/B]
[CODE];;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
; C:\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\TELULN.EXE
addsgn 3AEC779AD4886F730BD4C57164CD1A07258AD532DFAA4C2FD3909055A5D6
bl 8ACD3B50D894621D68AAF07FEABC2D0C 78848
delmz %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\TELULN.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\TELULN.EXE
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA
chklst
delvir
deltmp
delnfr
restart[/CODE]
И жмем [B]Выполнить[/B]. После выполнения скрипта - ПК перезагрузится.
После перезагрузки сделать [url=http://forum.esetnod32.ru/forum9/topic682/]лог Malwarebytes[/url] и выложить сюда. Можно сделать быструю проверку, а не полную.
Вставляем текст скрипта:
[B]Перед выполнением скрипта, закрыть браузеры! [/B]
[CODE];;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
; C:\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\TELULN.EXE
addsgn 3AEC779AD4886F730BD4C57164CD1A07258AD532DFAA4C2FD3909055A5D6
bl 8ACD3B50D894621D68AAF07FEABC2D0C 78848
delmz %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\TELULN.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\TELULN.EXE
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA
chklst
delvir
deltmp
delnfr
restart[/CODE]
И жмем [B]Выполнить[/B]. После выполнения скрипта - ПК перезагрузится.
После перезагрузки сделать [url=http://forum.esetnod32.ru/forum9/topic682/]лог Malwarebytes[/url] и выложить сюда. Можно сделать быструю проверку, а не полную.
поговорить о uVS, Carberp, планете Земля
Размещено 12.02.2012 19:13:20
[QUOTE]santy пишет:
а темы форума тоже недоступны?[/QUOTE]
доступны - http://www.adminplanet.ru/t6075.html. просто не стал там постить ссылку
[QUOTE]santy пишет:
недоступен по одной ссылке, скачать по другой. порядок такой. первые ссылки на первоисточник.[/QUOTE]
так суть в том, что хочется чтобы архиватор был изначально в пакете с программой, а на первоисточнике его нет
а темы форума тоже недоступны?[/QUOTE]
доступны - http://www.adminplanet.ru/t6075.html. просто не стал там постить ссылку
[QUOTE]santy пишет:
недоступен по одной ссылке, скачать по другой. порядок такой. первые ссылки на первоисточник.[/QUOTE]
так суть в том, что хочется чтобы архиватор был изначально в пакете с программой, а на первоисточнике его нет
[ Закрыто] модифицированный червь Win32/Dorkbot.A
Размещено 12.02.2012 19:09:27
Запускаем uVS еще раз, только теперь меню [B]Скрипт[/B] - [B]Выполнить скрипт находящийся в буфере обмена[/B]
Вставляем текст скрипта:
[B]Перед выполнением скрипта, закрыть браузеры! [/B]
[CODE];;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
; D:\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\TVYUYN.EXE
addsgn 3AEC779AD4887F770BD4C5716449FE11278AFCA7DAAC482ED696EC7C5F52
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\TVYUYN.EXE
bl D83FDE3F46F4179492D85A9300F33150 78336
delmz %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\TVYUYN.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\TVYUYN.EXE
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA
chklst
delvir
deltmp
delnfr
czoo
restart[/CODE]
И жмем [B]Выполнить[/B]. После выполнения скрипта - ПК перезагрузится.
В папке с программой UVS появится архив с сегодняшней датой\временем (без имени ПК) - его надо прислать на адрес [B][email protected][/B]. Если архив не появился, то сами архивируем папку ZOO, ставим пароль virus и отправляем на адрес.
После перезагрузки сделать [url=http://forum.esetnod32.ru/forum9/topic682/]лог Malwarebytes[/url] и выложить сюда. Можно сделать быструю проверку, а не полную.
Вставляем текст скрипта:
[B]Перед выполнением скрипта, закрыть браузеры! [/B]
[CODE];;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
; D:\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\TVYUYN.EXE
addsgn 3AEC779AD4887F770BD4C5716449FE11278AFCA7DAAC482ED696EC7C5F52
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\TVYUYN.EXE
bl D83FDE3F46F4179492D85A9300F33150 78336
delmz %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\TVYUYN.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\TVYUYN.EXE
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA
chklst
delvir
deltmp
delnfr
czoo
restart[/CODE]
И жмем [B]Выполнить[/B]. После выполнения скрипта - ПК перезагрузится.
В папке с программой UVS появится архив с сегодняшней датой\временем (без имени ПК) - его надо прислать на адрес [B][email protected][/B]. Если архив не появился, то сами архивируем папку ZOO, ставим пароль virus и отправляем на адрес.
После перезагрузки сделать [url=http://forum.esetnod32.ru/forum9/topic682/]лог Malwarebytes[/url] и выложить сюда. Можно сделать быструю проверку, а не полную.
поговорить о uVS, Carberp, планете Земля
Размещено 12.02.2012 18:59:07
[QUOTE]santy пишет:
по этой ссылке в краткой инструкции
каталог 7zip добавлен в архив с uVS, и действие архиватора прописано в settings.[/QUOTE]
ну так может есть смысл поставить эту ссылку на первое место, а не после глюкавого сервера автора программы? тем более для него это лишняя нагрузка :)
по этой ссылке в краткой инструкции
каталог 7zip добавлен в архив с uVS, и действие архиватора прописано в settings.[/QUOTE]
ну так может есть смысл поставить эту ссылку на первое место, а не после глюкавого сервера автора программы? тем более для него это лишняя нагрузка :)
[ Закрыто] модифицированный червь Win32/Dorkbot.A
поговорить о uVS, Carberp, планете Земля
Размещено 12.02.2012 18:55:56
Так как у [b]RP55 RP55[/b] нету доступа к Хелперскому разделу на соседнем форуме, то повторю пост тут:
Вчера на одном ресурсе был интересный случай, до сих пор не пойму как такое может быть.
Человек изначально обратился с просьбой помочь в удалении маячка - кидало его на internet.com
Выложил все логи. В логах был только маячок который успешно был удален. Затем попросил сделать лог Mbam. Получил его и увидел там такое:
[quote]Обнаруженные процессы в памяти: 1
C:\Documents and Settings\Admin\Application Data\netprotocol.exe (Trojan.Agent.Gen) -> 2280 -> Удалить после перезагрузки системы.
Обнаруженные параметры в реестре: 3
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Netprotocol (Trojan.Agent.Gen) -> Параметры: C:\Documents and Settings\Admin\Application Data\netprotocol.exe -> Помещено в карантин и успешно удалено.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Expl
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|SysDebug32 (Trojan.Agent) -> Параметры: …вNhCЃзA”…˜_†#ГGйжЭ8ќэт•єA9ЪN3ЪѓD^нќ?¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P;*зиљЁ„Ц±–]D\тзrА_ѕYЉPRўVфЂE3Ђ(д(¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P%rЅщsZЪDvЋізіL„¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;PЮв3ф–# -> Помещено в карантин и успешно удалено.
Обнаруженные файлы: 6
C:\Documents and Settings\Admin\Application Data\word.exe (Trojan.Agent) -> Помещено в карантин и успешно удалено.
C:\Documents and Settings\Admin\Application Data\netprotocol.exe (Trojan.Agent.Gen) -> Удалить после перезагрузки системы.
C:\WINDOWS\system32\machineupdate32.exe (Backdoor.Agent) -> Удалить после перезагрузки системы.[/quote]Мне интересно как эти два зловреда не попали ни в лог AVZ, ни в uVS
Вчера на одном ресурсе был интересный случай, до сих пор не пойму как такое может быть.
Человек изначально обратился с просьбой помочь в удалении маячка - кидало его на internet.com
Выложил все логи. В логах был только маячок который успешно был удален. Затем попросил сделать лог Mbam. Получил его и увидел там такое:
[quote]Обнаруженные процессы в памяти: 1
C:\Documents and Settings\Admin\Application Data\netprotocol.exe (Trojan.Agent.Gen) -> 2280 -> Удалить после перезагрузки системы.
Обнаруженные параметры в реестре: 3
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Netprotocol (Trojan.Agent.Gen) -> Параметры: C:\Documents and Settings\Admin\Application Data\netprotocol.exe -> Помещено в карантин и успешно удалено.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Expl
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|SysDebug32 (Trojan.Agent) -> Параметры: …вNhCЃзA”…˜_†#ГGйжЭ8ќэт•єA9ЪN3ЪѓD^нќ?¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P;*зиљЁ„Ц±–]D\тзrА_ѕYЉPRўVфЂE3Ђ(д(¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P%rЅщsZЪDvЋізіL„¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;P¤ЖќНp;PЮв3ф–# -> Помещено в карантин и успешно удалено.
Обнаруженные файлы: 6
C:\Documents and Settings\Admin\Application Data\word.exe (Trojan.Agent) -> Помещено в карантин и успешно удалено.
C:\Documents and Settings\Admin\Application Data\netprotocol.exe (Trojan.Agent.Gen) -> Удалить после перезагрузки системы.
C:\WINDOWS\system32\machineupdate32.exe (Backdoor.Agent) -> Удалить после перезагрузки системы.[/quote]Мне интересно как эти два зловреда не попали ни в лог AVZ, ни в uVS
[ Закрыто] вероятно модифицированный Win32/TrojanDownloader.Carberp.AD
Размещено 12.02.2012 18:54:33
Запускаем uVS еще раз, только теперь меню [B]Скрипт[/B] - [B]Выполнить скрипт находящийся в буфере обмена[/B]
Вставляем текст скрипта:
[B]Перед выполнением скрипта, закрыть браузеры! [/B]
[CODE];;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
zoo %SystemDrive%\USERS\NIGHTMARE\APPDATA\ROAMING\MICROSOFT\WIND
bl F22F4E6E265499ABB5EAA514C1174B56 180736
delmz %SystemDrive%\USERS\NIGHTMARE\APPDATA\ROAMING\MICROSOFT\WIND
delall %SystemDrive%\USERS\NIGHTMARE\APPDATA\ROAMING\MICROSOFT\WIND
deltmp
delnfr
czoo
restart[/CODE]
И жмем [B]Выполнить[/B]. После выполнения скрипта - ПК перезагрузится.
В папке с программой UVS появится архив с сегодняшней датой\временем (без имени ПК) - его надо прислать на адрес [B][email protected][/B]. Если архив не появился, то сами архивируем папку ZOO, ставим пароль virus и отправляем на адрес.
После перезагрузки сделать [url=http://forum.esetnod32.ru/forum9/topic682/]лог Malwarebytes[/url] и выложить сюда. Можно сделать быструю проверку, а не полную.
Вставляем текст скрипта:
[B]Перед выполнением скрипта, закрыть браузеры! [/B]
[CODE];;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
zoo %SystemDrive%\USERS\NIGHTMARE\APPDATA\ROAMING\MICROSOFT\WIND
bl F22F4E6E265499ABB5EAA514C1174B56 180736
delmz %SystemDrive%\USERS\NIGHTMARE\APPDATA\ROAMING\MICROSOFT\WIND
delall %SystemDrive%\USERS\NIGHTMARE\APPDATA\ROAMING\MICROSOFT\WIND
deltmp
delnfr
czoo
restart[/CODE]
И жмем [B]Выполнить[/B]. После выполнения скрипта - ПК перезагрузится.
В папке с программой UVS появится архив с сегодняшней датой\временем (без имени ПК) - его надо прислать на адрес [B][email protected][/B]. Если архив не появился, то сами архивируем папку ZOO, ставим пароль virus и отправляем на адрес.
После перезагрузки сделать [url=http://forum.esetnod32.ru/forum9/topic682/]лог Malwarebytes[/url] и выложить сюда. Можно сделать быструю проверку, а не полную.
[ Закрыто] Не обновляется НОД, не грузятся антивирусные сайты