плановая проверка

suvandre · 14.09.2012, 11:39

Всем привет!!!
первый компьютер : http://rghost.ru/40353358
второй компьютер: http://rghost.ru/40353362

safety · 14.09.2012, 11:49

01 комп
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код:

;uVS v3.76 BETA5 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
;OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\ESPHOST.EXE
addsgn 71006B5D514E4E720BD451A4ACAB5105CDC1010976776B5E854E799B50D6714C82F7A0143EAA7DC0DD0D38B8461649FADC0B8B31552550BCBDE734BF5796B2E3 8 Siggen

delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\ESPHOST.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
deltmp
delnfr
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив, из каталога uVS, созданный после выполнения скрипта (например: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту sendvirus2011@gmail.com
----------
далее,
выполните быстрое сканирование в Malwarebytes

safety · 14.09.2012, 12:12

+ вопрос
этот файл сами устанавливали?

Цитата:

Полное имя C:\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\ESPHOST.EXE
Имя файла ESPHOST.EXE
Тек. статус АКТИВНЫЙ ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске

www.virustotal.com 2012-09-13 [2012-08-30 15:55:04 UTC ( 2 weeks ago )]
Symantec WS.Reputation.1
Avast Win32

ownloader-QKJ [Trj]
AntiVir TR/Siggen.AQ

Удовлетворяет критериям
USERINIT ССЫЛКА: HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\USERINIT
ЛИШНЕЕ В USERINIT USERINIT: C:\WINDOWS\SYSTEM32\USERINIT.EXE,C:\DOCUME~1\ADMIN \LOCALS~1\TEMP\ESPHOST.EXE

Сохраненная информация на момент создания образа
Статус АКТИВНЫЙ ПРОВЕРЕННЫЙ в автозапуске
Размер 152616 байт
Создан 31.08.2012 в 15:10:50
Изменен 31.08.2012 в 15:10:50
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Действительна, подписано Sun Microsystems Component Publisher

Оригинальное имя espia.exe
Версия файла 2.0.6.1
Описание Espia Client Updater
Производитель Rastaman Vibration, Inc.

Доп. информация на момент обновления списка
pid = 1228 OSNOV\Admin
CmdLine C:\DOCUME~1\Admin\LOCALS~1\Temp\esphost.exe
Процесс создан 12:45:20 [2012.09.14]
С момента создания 02:11:19
parentid = 472 C:\WINDOWS\SYSTEM32\WINLOGON.EXE
SHA1 543A7A9B75BEB1567C646295F9082B616A01D1E3
MD5 308099A2717871F22F47D698EB7B2D2D

Ссылки на объект
Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
Userinit C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\Admin \LOCALS~1\Temp\esphost.exe

suvandre · 14.09.2012, 12:19

сканирование в Malwarebytes произвел, архив, из каталога uVS, созданный после выполнения скрипта отправил

---------- Добавлено в 15:18 ---------- Предыдущее сообщение было написано в 15:17 ----------

отчет от Malwarebytes отправлять?

---------- Добавлено в 15:19 ---------- Предыдущее сообщение было написано в 15:18 ----------

ESPHOST.EXE сам не устанавливал

safety · 14.09.2012, 12:26

да, ссылку на отчет мбам добавить сюда

suvandre · 14.09.2012, 12:54

ссылка на отчет мбам:
http://rghost.ru/40354122

safety · 14.09.2012, 13:01

чисто,
выполните закрытие уязвимостей
Выполните скрипт в AVZ при наличии доступа в интернет:
--------

Код:

begin
if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile(GetAVZDirectory  + 'log\avz_log.txt');
 If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
 Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
 if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false)
 else MessageDlg('Часто используемые уязвимости не обнаружены.', mtInformation, mbOk, 0);
end.

---------
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player.

safety · 14.09.2012, 13:02

далее, по 02 компу работаем

Vvvyg · 14.09.2012, 13:52

Давайте для разнообразия почистим с помощью AVZ, заодно удалим хвосты от AVG. От него там драйвера активные, в т. ч. и антируткит, что наверняка не очень хорошо для штатного avast!
в AVZ меню "Файл" -> "Выполнить скрипт" вставить содержимое окна "код" ниже и нажать "Запустить":

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantineEx(True);
 DelCLSID('{9F97547E-460A-42C5-AE0C-81C61FFAEBC3}');
 TerminateProcessByName('c:\docume~1\admin\locals~1\temp\esphost.exe');
 QuarantineFile('c:\docume~1\admin\locals~1\temp\esphost.exe','');
 DeleteFile('c:\docume~1\admin\locals~1\temp\esphost.exe');
 BC_DeleteSvc('AVGIDSErHrxpx');
 BC_DeleteFile('C:\WINDOWS\System32\Drivers\AVGIDSxx.sys');
 BC_DeleteSvc('AvgLdx86');
 BC_DeleteFile('C:\WINDOWS\System32\Drivers\avgldx86.sys');
 BC_DeleteSvc('AvgMFx86');
 BC_DeleteFile('C:\WINDOWS\System32\Drivers\avgmfx86.sys');
 BC_DeleteSvc('AvgRKx86');
 BC_DeleteFile('C:\WINDOWS\System32\Drivers\avgrkx86.sys');
 BC_DeleteSvc('AvgTdiX');
 BC_DeleteFile('C:\WINDOWS\System32\Drivers\avgtdix.sys');
 DeleteFile('C:\PROGRA~1\AVG\AVG9\avgameh.dll');
 DelWinlogonNotifyByKeyName('avgrsstarter');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('SCU',2,2,true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
В папке с AVZ появится архив карантина quarantine.zip, выложите его на файлообменник и дайте ссылку на него в личном сообщении.
Далее MBAM.

suvandre · 17.09.2012, 09:17

AVZ архив карантина 02комп: http://rghost.ru/40411714

safety · 17.09.2012, 09:23

далее,
выполните быстрое сканирование в Malwarebytes

suvandre · 17.09.2012, 09:38

MBAM выполнил, лог здесь http://rghost.ru/40411803

safety · 17.09.2012, 09:40

лог чистый
выполните закрытие уязвимостей,
аналогичное по 1 компьютеру в сообщении 7
--------
+ сделайте новый образ автозапуска для контроля очистки остатков прочих антивирусов.

14.09.2012, 11:39	#1
suvandre Новичок Регистрация: 11.05.2012 Сообщений: 46 Репутация: 0	плановая проверка Всем привет!!! первый компьютер : http://rghost.ru/40353358 второй компьютер: http://rghost.ru/40353362

14.09.2012, 11:49	#2
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	01 комп выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; Код: ;uVS v3.76 BETA5 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 ;OFFSGNSAVE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\ESPHOST.EXE addsgn 71006B5D514E4E720BD451A4ACAB5105CDC1010976776B5E854E799B50D6714C82F7A0143EAA7DC0DD0D38B8461649FADC0B8B31552550BCBDE734BF5796B2E3 8 Siggen delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\ESPHOST.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML deltmp delnfr czoo restart перезагрузка, пишем о старых и новых проблемах. архив, из каталога uVS, созданный после выполнения скрипта (например: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту sendvirus2011@gmail.com ---------- далее, выполните быстрое сканирование в Malwarebytes

14.09.2012, 13:01	#7
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	чисто, выполните закрытие уязвимостей Выполните скрипт в AVZ при наличии доступа в интернет: -------- Код: begin if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile(GetAVZDirectory + 'log\avz_log.txt'); If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt') Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false) else MessageDlg('Часто используемые уязвимости не обнаружены.', mtInformation, mbOk, 0); end. --------- После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
плановая проверка	pro-pan	Безопасность	1026	16.03.2016 15:37
плановая проверка.2	suvandre	Безопасность	57	02.10.2015 10:00
Плановая проверка	York30	Безопасность	6	10.06.2012 22:33
Проверка	GO_OSHA	Безопасность	4	15.05.2012 01:45
ПРОВЕРКА	Tala	Безопасность	5	11.06.2010 23:58

14.09.2012, 12:19	#4
suvandre Новичок Регистрация: 11.05.2012 Сообщений: 46 Репутация: 0	сканирование в Malwarebytes произвел, архив, из каталога uVS, созданный после выполнения скрипта отправил ---------- Добавлено в 15:18 ---------- Предыдущее сообщение было написано в 15:17 ---------- отчет от Malwarebytes отправлять? ---------- Добавлено в 15:19 ---------- Предыдущее сообщение было написано в 15:18 ---------- ESPHOST.EXE сам не устанавливал

14.09.2012, 12:26	#5
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	да, ссылку на отчет мбам добавить сюда

14.09.2012, 12:54	#6
suvandre Новичок Регистрация: 11.05.2012 Сообщений: 46 Репутация: 0	ссылка на отчет мбам: http://rghost.ru/40354122

14.09.2012, 13:02	#8
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	далее, по 02 компу работаем

17.09.2012, 09:17	#10
suvandre Новичок Регистрация: 11.05.2012 Сообщений: 46 Репутация: 0	AVZ архив карантина 02комп: http://rghost.ru/40411714

17.09.2012, 09:23	#11
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	далее, выполните быстрое сканирование в Malwarebytes

17.09.2012, 09:38	#12
suvandre Новичок Регистрация: 11.05.2012 Сообщений: 46 Репутация: 0	MBAM выполнил, лог здесь http://rghost.ru/40411803

17.09.2012, 09:40	#13
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	лог чистый выполните закрытие уязвимостей, аналогичное по 1 компьютеру в сообщении 7 -------- + сделайте новый образ автозапуска для контроля очистки остатков прочих антивирусов.

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads

Ads