плановая проверка

[pro-pan]

0026
winpe+uvs http://rghost.ru/38077279

[safety]

чисто,
для тщательной проверки системы лучше использовать метод сверки.
http://forum.esetnod32.ru/forum9/topic2729/
т.е. в активной системе создается файл сверки,
а из под WinPe&uVS выполняется поиск руткитов по файлу сверки (т.е. поиск расхождений между активной и пассивной системой.)
после выполнения поиска руткитов из под WinPe нужно создать образ автозапуска для проверки и анализа.

[pro-pan]

ЕСЕТ намекнул про криптик
0027
авз http://rghost.ru/38143594
ювс http://rghost.ru/38143596
рсит http://rghost.ru/38143598

[safety]

применить стандартный скрипт в uVS + быстрый скан в малваребайт
----
+ желательно перевести на лицензионный антивир без левых обновлялок.
------

Цитата:

Полное имя C:\PROGRAM FILES\TNOD USER & PASSWORD FINDER\TNODUP.EXE
Имя файла TNODUP.EXE
Тек. статус ВИРУС [Запускался неявно или вручную]

Сохраненная информация на момент создания образа
Статус [Запускался неявно или вручную]
Размер 1892352 байт
Создан 19.09.2011 в 05:20:54
Изменен 19.09.2011 в 05:20:54
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Версия файла 1, 4, 1, 0
Версия продукта 1, 4, 1, 0
Описание TNod User & Password Finder
Производитель Tukero[X]Team

Доп. информация на момент обновления списка
SHA1 93797738F6EB18B8DA79957077292BDE6A51E1A5
MD5 0EA8529B45B2D02BFE8DDEF94ABC283E

[pro-pan]

0028
авз http://rghost.ru/38214275
ювс http://rghost.ru/38214281
рсит http://rghost.ru/38214283

[safety]

выполните стандартный скрипт в uVS + быстрое сканирование с мбам

[pro-pan]

0029

авз http://rghost.ru/38251854
ювс http://rghost.ru/38251855
рсит http://rghost.ru/38251857

мбам http://rghost.ru/38251903

[safety]

1. в мбам это удалить

Цитата:

Обнаруженные файлы: 2
C:\Documents and Settings\Владелец\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.

2. в uVS выполните стандартный скрипт

3. проверить этот файл на ВТ (если сохранится после стандартного скрипта)

Цитата:

Полное имя C:\DOCUMENTS AND SETTINGS\ВЛАДЕЛЕЦ\LOCAL SETTINGS\TEMP\SALEXTEN.DLL
Имя файла SALEXTEN.DLL
Тек. статус АКТИВНЫЙ ВНЕДРЯЕМЫЙ ПОДОЗРИТЕЛЬНЫЙ DLL в автозапуске

www.virustotal.com Хэш НЕ найден на сервере.

Сохраненная информация на момент создания образа
Статус АКТИВНЫЙ ВНЕДРЯЕМЫЙ ПОДОЗРИТЕЛЬНЫЙ DLL в автозапуске
Размер 8773 байт
Создан 06.03.2012 в 11:38:45
Изменен 28.08.2003 в 12:46:40
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла Типичен для вирусов и троянов

Доп. информация на момент обновления списка
SHA1 3715B874FD0CDD5D8C5F7BB5CB474CFDFF6C2F8B
MD5 DEEAD17B50AE55D77CC2BB4D1317BA86

Процессы на момент обновления списка
Процесс C:\WINDOWS\EXPLORER.EXE

Ссылки на объект
Ссылка HKLM\Software\Classes\Directory\shellex\CopyHookHa ndlers\ServantSalamander25\

Ссылка HKLM\Software\Classes\CLSID\{C78B6131-F3EA-11D2-94A1-00E0292A01E3}\InprocServer32\

Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\She ll Extensions\Approved\{C78B6131-F3EA-11D2-94A1-00E0292A01E3}

4. образ автозапуска в безопасном режиме (поскольку файлики, которые нашел мбам от Карберпа, но возможно это остатки)

[pro-pan]

в мбам удалил найденное
после стандартного скрипта ювс файл SALEXTEN.DLL остался
его проверка на ВТ ничего подозрительно не дала
ювс в безопасном http://rghost.ru/38252654

[safety]

чистый образ, нет Carberp

[pro-pan]

0030
авз http://rghost.ru/38288788
ювс http://rghost.ru/38288789
рсит http://rghost.ru/38288791

[Vvvyg]

По 0030: скрипт в uVS:

Код:

;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

delref RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\DCI.EXE
delref .\RECYCLER\KOJ.DLL
delref HTTP://XTREME.WS/
deltmp
delnfr
restart

Судя по этому:

Цитата:

4. Проверка Winsock Layered Service Provider (SPI/LSP)
Ошибка LSP Protocol = "AVSDA over [MSAFD Tcpip [TCP/IP]]" --> отсутствует файл C:\Program Files\Avira\AntiVir Desktop\avsda.dll
Ошибка LSP Protocol = "AVSDA over [MSAFD Tcpip [UDP/IP]]" --> отсутствует файл C:\Program Files\Avira\AntiVir Desktop\avsda.dll
Ошибка LSP Protocol = "AVSDA" --> отсутствует файл C:\Program Files\Avira\AntiVir Desktop\avsda.dll
Внимание ! Обнаружены ошибки в SPI/LSP. Количество ошибок - 3

и по тому, что её анинсталлер не прописан, Avira криво установлена. Я бы рекомендовал снести её с помощью Avira AntiVir RegistryCleaner и установить заново, либо поставить другой антивирус. Если есть проблемы с выходом в интернет на том компьютере - запустить скрипт в AVZ:

Код:

begin
 DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\B692687A-593D1A5E-45892B8D-66D938F\ukasq22f.exe');
 DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\B692687A-593D1A5E-45892B8D-66D938F\zlqqc9xz.exe');
ExecuteSysClean;
ExecuteRepair(14);
RebootWindows(False);
end.

И, как обычно - MBAM и проверка на уяззвимости.

[pro-pan]

за лог авз отдельное спасибо - действительно были проблемы с доступом в Инет.
мабм чистый
АВИРу все-таки попытаюсь переустановить (лицензия). Установилась действительно криво - не запускались веб-протекшн и мэйл-протекшн - это и стало основанием для подозрений в наличии вирусов.

---------- Добавлено в 22:28 ---------- Предыдущее сообщение было написано в 20:53 ----------

0031 - Carberp
образ собрал из под ВинПЕ
ювс http://rghost.ru/38294126

[safety]

Carberp или Winlock?
выполнить в uVS скрипт из файла
файл скрипта скачать отсюда
http://rghost.ru/38294199
---------
после выполнения - перегрузить систему в нормальный режим,
и сделать новый образ с рабочего стола.

[pro-pan]

windows заблокирован
при проверки LiveCD выдал целый набор
trojan.carberp
trojan.hosts
trojan.hottrend
trojan.vbcrypt
trojan.muldrop