RP55 RP55 (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

Оперативная память = explorer.exe(868) модифицированный Win32/Spy.Shiz.NCE

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 01.05.2012 20:03:30

Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %SystemRoot%\APPPATCH\ALTROEA.EXE bl B1B24B657DF85659A25E5CB3F8CF669E 245248 addsgn A7679B19B91ACD77AE04EEB136C612054F8A96F6E3FAE06D515385BCF3E1A70C237DC3A82BA50D092BB181429256497FBDD06C8DA3254F440DA5E42F7C366A53 8 Win32/Spy.Shiz.NCE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\SLLTLLNLL\LOCAL SETTINGS\TEMP\_IU14D2N.TMP bl 7D7E314AD63E14A9ACF97375677A28C4 715038 delall %SystemDrive%\DOCUMENTS AND SETTINGS\SLLTLLNLL\LOCAL SETTINGS\TEMP\_IU14D2N.TMP chklst delvir deltmp delnfr regt 1 regt 2 regt 3 regt 12 regt 18 czoo restart

Код

 
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %SystemRoot%\APPPATCH\ALTROEA.EXE
bl B1B24B657DF85659A25E5CB3F8CF669E 245248
addsgn A7679B19B91ACD77AE04EEB136C612054F8A96F6E3FAE06D515385BCF3E1A70C237DC3A82BA50D092BB181429256497FBDD06C8DA3254F440DA5E42F7C366A53 8 Win32/Spy.Shiz.NCE 

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\SLLTLLNLL\LOCAL SETTINGS\TEMP\_IU14D2N.TMP
bl 7D7E314AD63E14A9ACF97375677A28C4 715038
delall %SystemDrive%\DOCUMENTS AND SETTINGS\SLLTLLNLL\LOCAL SETTINGS\TEMP\_IU14D2N.TMP
chklst
delvir
deltmp
delnfr
regt 1
regt 2
regt 3
regt 12
regt 18
czoo
restart

-------------
Архив из папки uVS (с копиями вирусов для вирлаба, имя автоматически формируется от текущей даты,
например: 2010-10-04_13-30-55.rar/7z)
... отправить в почту [email protected] ;
*** если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected
+
Далее (даже если проблема решена) выполнить лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic682/
Выбрать быстрое сканирование. Отчет предоставить для анализа.

Перейти

Ну пускает ни на один сайт

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 01.05.2012 19:25:00

http://forum.esetnod32.ru/forum9/topic682/
Выбрать быстрое сканирование. Отчет предоставить для анализа.

Перейти

Ну пускает ни на один сайт

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 01.05.2012 18:26:15

Отключен автозапуск.
Восстановите, если вам это действительно нужно и всё будет.

Логи где ?

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 01.05.2012 18:02:31

Новый вирус !?
Есть по нему информация ?
Прислали зверя ?

Нашёл сейчас две темы на: pchelpforum.ru

Перейти

Ну пускает ни на один сайт

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 01.05.2012 17:22:16

Попробуйте скрипт N3

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER3.DLL EXEC cmd /c"netsh winsock reset catalog" restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER3.DLL
EXEC cmd /c"netsh winsock reset catalog"
restart

Если связи не будет - Создайте новое подключение.

Далее: Делаем новый/повторный образ в uVS
+
Лог в Malwarebytes !

Изменено: RP55 RP55 - 01.05.2012 17:25:06

Перейти

Ну пускает ни на один сайт

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 01.05.2012 17:00:33

Да, тут с юмором вирус.
Выполните скрипт №2.

Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 setdns Tunngle\4\{92417673-5D37-4882-A76F-09D83EAF8E74}\ setdns VirtualBox Host-Only Network\4\{8E8FC965-BEF7-4B5E-8442-3E0204CE3EBB}\ setdns Подключение по локальной сети 2\4\{68F2577C-397C-46F3-9E71-6546A99B00AA}\ setdns Подключение по локальной сети\4\{35DE1949-8BB8-4E4C-8710-6C8046D4A333}\ exec cmd /c "ipconfig /flushdns" restart

Код

 

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

setdns Tunngle\4\{92417673-5D37-4882-A76F-09D83EAF8E74}\
setdns VirtualBox Host-Only Network\4\{8E8FC965-BEF7-4B5E-8442-3E0204CE3EBB}\
setdns Подключение по локальной сети 2\4\{68F2577C-397C-46F3-9E71-6546A99B00AA}\
setdns Подключение по локальной сети\4\{35DE1949-8BB8-4E4C-8710-6C8046D4A333}\
exec cmd /c "ipconfig /flushdns"
restart

Далее делаем, то, что написано выше !

Перейти

[ Закрыто] Схожая проблема.

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 01.05.2012 16:54:07

В Malwarebytes - удалить найденное.

Если проблема решена:

Выполните рекомендации:
http://forum.esetnod32.ru/forum9/topic3998/
&
Проверка на программные уязвимости браузеров.
http://www.surfpatrol.ru/

Перейти

Ну пускает ни на один сайт

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 01.05.2012 16:51:00

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 addsgn A7679BF0AA0248064BD4C65256881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95C8E0F9FE82BD6D7B08C69775BACCA028237 8 Por-1.Temp.exe.Vir bl 86D61A33D27669E1E227F46FC78BF128 212480 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\ZCPSWJZ.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\ZCPSWJZ.EXE chklst delvir regt 1 regt 2 regt 3 regt 5 regt 14 regt 18 deltmp delnfr czoo restart

Код

 
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

addsgn A7679BF0AA0248064BD4C65256881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95C8E0F9FE82BD6D7B08C69775BACCA028237 8 Por-1.Temp.exe.Vir

bl 86D61A33D27669E1E227F46FC78BF128 212480
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\ZCPSWJZ.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\ZCPSWJZ.EXE
chklst
delvir
regt 1
regt 2
regt 3
regt 5
regt 14
regt 18
deltmp
delnfr
czoo
restart

Перейти

[ Закрыто] Схожая проблема.

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 01.05.2012 16:23:34

Snegovik
После выполнения вышеприведённого скрипта и отправки вирусов, делаем новый лог Malwarebytes

Перейти

[ Закрыто] Схожая проблема.

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 01.05.2012 16:03:18

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 bl 059FFB75D74173521F4E3BEC425D8E7F 1534976 addsgn 1AD78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 16 Praetorian zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\SERVICES\MSAUTILI.IM bl B6FC19C5B0DB2686876CC743B2A17CA5 410112 addsgn 98ED2F58596A267161D4C4B18C8CECFADA0F3C8299056B5C893CB1985C2905682FE813BC3D3F9C11E98C8493573A3BDA6CF39A7255DAB02C2D77A42FC70622D8 8 Corkow.A zoo %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DMSXYFC9RVO.EXE bl 5D65FB4599CF5B051913E68BFC789DFD 141312 addsgn A7679B19B91E247237B2E3DB81A2E0ED19A0FCF60A3E131240A94BD633BCB6A4350AC357BD918D1AC36CAE9F467E493DFDA2824DBDD9922C2DF46027916E228F 8 Carb.435 delall %SystemDrive%\PROGRAM FILES\COMMON FILES\SERVICES\MSAUTILI.IM delall %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE delall %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DMSXYFC9RVO.EXE chklst delvir regt 1 regt 2 regt 3 regt 5 regt 18 deltmp delnfr czoo restart

Код

 
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

bl 059FFB75D74173521F4E3BEC425D8E7F 1534976
addsgn 1AD78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 16 Praetorian

zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\SERVICES\MSAUTILI.IM
bl B6FC19C5B0DB2686876CC743B2A17CA5 410112
addsgn 98ED2F58596A267161D4C4B18C8CECFADA0F3C8299056B5C893CB1985C2905682FE813BC3D3F9C11E98C8493573A3BDA6CF39A7255DAB02C2D77A42FC70622D8 8 Corkow.A

zoo %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DMSXYFC9RVO.EXE
bl 5D65FB4599CF5B051913E68BFC789DFD 141312
addsgn A7679B19B91E247237B2E3DB81A2E0ED19A0FCF60A3E131240A94BD633BCB6A4350AC357BD918D1AC36CAE9F467E493DFDA2824DBDD9922C2DF46027916E228F 8 Carb.435

delall %SystemDrive%\PROGRAM FILES\COMMON FILES\SERVICES\MSAUTILI.IM
delall %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
delall %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DMSXYFC9RVO.EXE
chklst
delvir
regt 1
regt 2
regt 3
regt 5
regt 18
deltmp
delnfr
czoo
restart

Изменено: RP55 RP55 - 01.05.2012 16:21:50

Перейти