Вернуться   Компьютерный форум > Компьютеры > Программы > Безопасность
 
 
Опции темы
Старый 14.09.2012, 11:39   #1 (ссылка)
Новичок
 
Регистрация: 11.05.2012
Сообщений: 46
Репутация: 0
По умолчанию плановая проверка

Всем привет!!!
первый компьютер : http://rghost.ru/40353358
второй компьютер: http://rghost.ru/40353362
suvandre вне форума  
Старый 14.09.2012, 11:49   #2 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

01 комп
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код:
;uVS v3.76 BETA5 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
;OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\ESPHOST.EXE
addsgn 71006B5D514E4E720BD451A4ACAB5105CDC1010976776B5E854E799B50D6714C82F7A0143EAA7DC0DD0D38B8461649FADC0B8B31552550BCBDE734BF5796B2E3 8 Siggen

delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\ESPHOST.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
deltmp
delnfr
czoo
restart
перезагрузка, пишем о старых и новых проблемах.
архив, из каталога uVS, созданный после выполнения скрипта (например: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту sendvirus2011@gmail.com
----------
далее,
выполните быстрое сканирование в Malwarebytes
safety вне форума  
Старый 14.09.2012, 12:12   #3 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

+ вопрос
этот файл сами устанавливали?
Цитата:
Полное имя C:\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\ESPHOST.EXE
Имя файла ESPHOST.EXE
Тек. статус АКТИВНЫЙ ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске

www.virustotal.com 2012-09-13 [2012-08-30 15:55:04 UTC ( 2 weeks ago )]
Symantec WS.Reputation.1
Avast Win32ownloader-QKJ [Trj]
AntiVir TR/Siggen.AQ

Удовлетворяет критериям
USERINIT ССЫЛКА: HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\USERINIT
ЛИШНЕЕ В USERINIT USERINIT: C:\WINDOWS\SYSTEM32\USERINIT.EXE,C:\DOCUME~1\ADMIN \LOCALS~1\TEMP\ESPHOST.EXE

Сохраненная информация на момент создания образа
Статус АКТИВНЫЙ ПРОВЕРЕННЫЙ в автозапуске
Размер 152616 байт
Создан 31.08.2012 в 15:10:50
Изменен 31.08.2012 в 15:10:50
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Действительна, подписано Sun Microsystems Component Publisher

Оригинальное имя espia.exe
Версия файла 2.0.6.1
Описание Espia Client Updater
Производитель Rastaman Vibration, Inc.

Доп. информация на момент обновления списка
pid = 1228 OSNOV\Admin
CmdLine C:\DOCUME~1\Admin\LOCALS~1\Temp\esphost.exe
Процесс создан 12:45:20 [2012.09.14]
С момента создания 02:11:19
parentid = 472 C:\WINDOWS\SYSTEM32\WINLOGON.EXE
SHA1 543A7A9B75BEB1567C646295F9082B616A01D1E3
MD5 308099A2717871F22F47D698EB7B2D2D

Ссылки на объект
Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
Userinit C:\WINDOWS\system32\userinit.exe,C:\DOCUME~1\Admin \LOCALS~1\Temp\esphost.exe
safety вне форума  
Старый 14.09.2012, 12:19   #4 (ссылка)
Новичок
 
Регистрация: 11.05.2012
Сообщений: 46
Репутация: 0
По умолчанию

сканирование в Malwarebytes произвел, архив, из каталога uVS, созданный после выполнения скрипта отправил

---------- Добавлено в 15:18 ---------- Предыдущее сообщение было написано в 15:17 ----------

отчет от Malwarebytes отправлять?

---------- Добавлено в 15:19 ---------- Предыдущее сообщение было написано в 15:18 ----------

ESPHOST.EXE сам не устанавливал
suvandre вне форума  
Старый 14.09.2012, 12:26   #5 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

да, ссылку на отчет мбам добавить сюда
safety вне форума  
Старый 14.09.2012, 12:54   #6 (ссылка)
Новичок
 
Регистрация: 11.05.2012
Сообщений: 46
Репутация: 0
По умолчанию

ссылка на отчет мбам:
http://rghost.ru/40354122
suvandre вне форума  
Старый 14.09.2012, 13:01   #7 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

чисто,
выполните закрытие уязвимостей
Выполните скрипт в AVZ при наличии доступа в интернет:
--------
Код:
begin
if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile(GetAVZDirectory  + 'log\avz_log.txt');
 If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
 Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
 if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false)
 else MessageDlg('Часто используемые уязвимости не обнаружены.', mtInformation, mbOk, 0);
end.
---------
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player.
safety вне форума  
Старый 14.09.2012, 13:02   #8 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

далее, по 02 компу работаем
safety вне форума  
Ads
Старый 14.09.2012, 13:52   #9 (ссылка)
Эксперт
 
Регистрация: 25.05.2011
Сообщений: 9,136
Репутация: 811
По умолчанию

Давайте для разнообразия почистим с помощью AVZ, заодно удалим хвосты от AVG. От него там драйвера активные, в т. ч. и антируткит, что наверняка не очень хорошо для штатного avast!
в AVZ меню "Файл" -> "Выполнить скрипт" вставить содержимое окна "код" ниже и нажать "Запустить":
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantineEx(True);
 DelCLSID('{9F97547E-460A-42C5-AE0C-81C61FFAEBC3}');
 TerminateProcessByName('c:\docume~1\admin\locals~1\temp\esphost.exe');
 QuarantineFile('c:\docume~1\admin\locals~1\temp\esphost.exe','');
 DeleteFile('c:\docume~1\admin\locals~1\temp\esphost.exe');
 BC_DeleteSvc('AVGIDSErHrxpx');
 BC_DeleteFile('C:\WINDOWS\System32\Drivers\AVGIDSxx.sys');
 BC_DeleteSvc('AvgLdx86');
 BC_DeleteFile('C:\WINDOWS\System32\Drivers\avgldx86.sys');
 BC_DeleteSvc('AvgMFx86');
 BC_DeleteFile('C:\WINDOWS\System32\Drivers\avgmfx86.sys');
 BC_DeleteSvc('AvgRKx86');
 BC_DeleteFile('C:\WINDOWS\System32\Drivers\avgrkx86.sys');
 BC_DeleteSvc('AvgTdiX');
 BC_DeleteFile('C:\WINDOWS\System32\Drivers\avgtdix.sys');
 DeleteFile('C:\PROGRA~1\AVG\AVG9\avgameh.dll');
 DelWinlogonNotifyByKeyName('avgrsstarter');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('SCU',2,2,true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
В папке с AVZ появится архив карантина quarantine.zip, выложите его на файлообменник и дайте ссылку на него в личном сообщении.
Далее MBAM.
Vvvyg вне форума  
Старый 17.09.2012, 09:17   #10 (ссылка)
Новичок
 
Регистрация: 11.05.2012
Сообщений: 46
Репутация: 0
По умолчанию

AVZ архив карантина 02комп: http://rghost.ru/40411714
suvandre вне форума  
Старый 17.09.2012, 09:23   #11 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

далее,
выполните быстрое сканирование в Malwarebytes
safety вне форума  
Старый 17.09.2012, 09:38   #12 (ссылка)
Новичок
 
Регистрация: 11.05.2012
Сообщений: 46
Репутация: 0
По умолчанию

MBAM выполнил, лог здесь http://rghost.ru/40411803
suvandre вне форума  
Старый 17.09.2012, 09:40   #13 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

лог чистый
выполните закрытие уязвимостей,
аналогичное по 1 компьютеру в сообщении 7
--------
+ сделайте новый образ автозапуска для контроля очистки остатков прочих антивирусов.
safety вне форума  
Ads
 


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
плановая проверка pro-pan Безопасность 1026 16.03.2016 15:37
плановая проверка.2 suvandre Безопасность 57 02.10.2015 10:00
Плановая проверка York30 Безопасность 6 10.06.2012 22:33
Проверка GO_OSHA Безопасность 4 15.05.2012 01:45
ПРОВЕРКА Tala Безопасность 5 11.06.2010 23:58


Текущее время: 10:30. Часовой пояс GMT +4. Powered by vBulletin® Version 5.8.9
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd.