плановая проверка - Страница 13

Vvvyg · 14.06.2012, 10:36

Э... MBAM по 36-му кейсу?

pro-pan · 14.06.2012, 10:37

по 37-му

---------- Добавлено в 16:37 ---------- Предыдущее сообщение было написано в 16:37 ----------

просто начал его делать еще до того, как вы исправили скрипт и попросили новый лог ювс... на всякий случай его выложил

Vvvyg · 14.06.2012, 10:50

В MBAM удалить всё, кроме

Код:

Объекты реестра обнаружены:  3
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

Скрипт в uVS:

Код:

;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

delref HTTP://START.TICNO.COM
delref HTTP://WWW.SMAXXI.BIZ
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\MEDIAGET2\MEDIAGET.EXE
delref %SystemDrive%\DOCUME~1\ADMIN\LOCALS~1\TEMP\TORRENT2EXE\T2E.EXE
setdns Подключение по локальной сети 2\4\{FEDDAB51-DAC6-45E9-B5D6-44AACA8E5DF5}\8.8.8.8,8.8.4.4
setdns Подключение по локальной сети\4\{3BEE172D-2362-411F-A006-6482882D82D3}\8.8.8.8,8.8.4.4
exec "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL
exec C:\PROGRAM FILES\STARTNOW TOOLBAR\STARTNOWTOOLBARUNINSTALL.EXE
deltmp
delnfr
restart

И проверку уязвимостей.

pro-pan · 20.06.2012, 09:10

0038
авз http://rghost.ru/38766524
ювс http://rghost.ru/38766526
рсит http://rghost.ru/38766529

safety · 20.06.2012, 09:15

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код:

;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
zoo %SystemDrive%\PROGRAM FILES\USB_ANTI_AUTORUN\USB.WSF
delall %SystemDrive%\PROGRAM FILES\USB_ANTI_AUTORUN\USB.WSF
delall USB.WSF
deltmp
delnfr
regt 5
restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните быстрое сканирование в Malwarebytes

safety · 20.06.2012, 09:26

добавил команду удаления в скрипт, чтобы очистить эти ссылки в реестре
------------

Цитата:

Полное имя USB.WSF
Имя файла USB.WSF
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Удовлетворяет критериям
USB_ANTI_AUTORUN ИМЯ ФАЙЛА: USB.WSF

Сохраненная информация на момент создания образа
Статус в автозапуске
Инф. о файле Не удается найти указанный файл.
Цифр. подпись проверка не производилась

Ссылки на объект
Ссылка HKEY_USERS\S-1-5-21-854245398-746137067-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Exp lorer\MountPoints2\{1e4eb3fc-c767-11df-b416-001d7d47e8b6}\Shell\explore\Command\
NULL wscript.exe usb.wsf

Ссылка HKEY_USERS\S-1-5-21-854245398-746137067-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Exp lorer\MountPoints2\{1e4eb3fc-c767-11df-b416-001d7d47e8b6}\Shell\open\Command\
NULL wscript.exe usb.wsf

Ссылка HKEY_USERS\S-1-5-21-854245398-746137067-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Exp lorer\MountPoints2\{6996d028-915c-11e0-b508-001d7d47e8b6}\Shell\explore\Command\
NULL wscript.exe usb.wsf

Ссылка HKEY_USERS\S-1-5-21-854245398-746137067-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Exp lorer\MountPoints2\{6996d028-915c-11e0-b508-001d7d47e8b6}\Shell\open\Command\
NULL wscript.exe usb.wsf

Ссылка HKEY_USERS\S-1-5-21-854245398-746137067-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Exp lorer\MountPoints2\{b1cf479b-720e-11e0-b4e6-001d7d47e8b6}\Shell\explore\Command\
NULL wscript.exe usb.wsf

Ссылка HKEY_USERS\S-1-5-21-854245398-746137067-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Exp lorer\MountPoints2\{b1cf479b-720e-11e0-b4e6-001d7d47e8b6}\Shell\open\Command\
NULL wscript.exe usb.wsf

Ссылка HKEY_USERS\S-1-5-21-854245398-746137067-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Exp lorer\MountPoints2\{fb60fe6c-825b-11e0-b4f6-001d7d47e8b6}\Shell\explore\Command\
NULL wscript.exe usb.wsf

Ссылка HKEY_USERS\S-1-5-21-854245398-746137067-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Exp lorer\MountPoints2\{fb60fe6c-825b-11e0-b4f6-001d7d47e8b6}\Shell\open\Command\
NULL wscript.exe usb.wsf

pro-pan · 20.06.2012, 11:24

мбам по 0038 будет только завтра
0039 - бесплатные смс-ки и все-такое
авз http://rghost.ru/38767315
ювс http://rghost.ru/38767331
рсит http://rghost.ru/38767335

safety · 20.06.2012, 11:39

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код:

;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
addsgn A7679BC9DE3744245C5FDBBDE13E997835FFF575B4F6AB7AE9C32E9AD328703826943D554B773C699282E81A866240AD2B8C17A2D01AC4207A21F7C7CFF9DD8C 64 majachok.0620
zoo %Sys32%\XYPNICH.DLL
delref %Sys32%\XYPNICH.DLL
deltmp
delnfr
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив, из каталога uVS, созданный после выполнения скрипта (например: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту sendvirus2011@gmail.com
----------
далее,
выполните быстрое сканирование в Malwarebytes

pro-pan · 20.06.2012, 16:07

мбам чистый
0040
авз http://zalil.ru/33477048
ювс http://zalil.ru/33477060
рсит http://zalil.ru/33477066

Vvvyg · 20.06.2012, 16:22

Цитата:

Сообщение от pro-pan

0040

Чисто. Avast! древний, а так всё в порядке.

pro-pan · 26.06.2012, 14:57

0041
авз http://rghost.ru/38878771
ювс http://rghost.ru/38878777
рсит http://rghost.ru/38878782

Vvvyg · 26.06.2012, 15:08

Скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
 DeleteFile('C:\WINDOWS\system32\qyhexwjc.dll');
 DeleteFile('C:\WINDOWS\system32\WORD.exe');
 DeleteFile('C:\WINDOWS\Tasks\At1.job');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteWizard('SCU',2,2,true);
BC_Activate;
RebootWindows(true);
end.

И MBAM.

pro-pan · 26.06.2012, 15:30

мбам чистый

Vvvyg · 26.06.2012, 15:37

Тогда - уязвимости и всё.

pro-pan · 26.06.2012, 16:11

0042
авз http://rghost.ru/38880161
ювс http://rghost.ru/38880174
рсит http://rghost.ru/38880177

20.06.2012, 09:15	#185 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; Код: ;uVS v3.75 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %SystemDrive%\PROGRAM FILES\USB_ANTI_AUTORUN\USB.WSF delall %SystemDrive%\PROGRAM FILES\USB_ANTI_AUTORUN\USB.WSF delall USB.WSF deltmp delnfr regt 5 restart перезагрузка, пишем о старых и новых проблемах. ---------- далее, выполните быстрое сканирование в Malwarebytes Последний раз редактировалось safety; 20.06.2012 в 09:25. Причина: добавил команду, обрати внимание

20.06.2012, 11:39	#188 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; Код: ;uVS v3.75 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 addsgn A7679BC9DE3744245C5FDBBDE13E997835FFF575B4F6AB7AE9C32E9AD328703826943D554B773C699282E81A866240AD2B8C17A2D01AC4207A21F7C7CFF9DD8C 64 majachok.0620 zoo %Sys32%\XYPNICH.DLL delref %Sys32%\XYPNICH.DLL deltmp delnfr czoo restart перезагрузка, пишем о старых и новых проблемах. архив, из каталога uVS, созданный после выполнения скрипта (например: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту sendvirus2011@gmail.com ---------- далее, выполните быстрое сканирование в Malwarebytes

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Проверка	York30	Безопасность	4	05.04.2012 20:04
Проверка uVS	ARAFATI	Безопасность	10	27.11.2011 21:54
проверка	Чайка	Безопасность	22	17.01.2011 17:30
ПРОВЕРКА	Tala	Безопасность	5	11.06.2010 23:58
проверка hdd	wadim	Программы	5	24.03.2010 00:03

14.06.2012, 10:36	#181 (ссылка)
Vvvyg Эксперт Регистрация: 25.05.2011 Сообщений: 9,136 Репутация: 811	Э... MBAM по 36-му кейсу?

14.06.2012, 10:37	#182 (ссылка)
pro-pan Новичок Регистрация: 24.01.2012 Сообщений: 544 Репутация: 1	по 37-му ---------- Добавлено в 16:37 ---------- Предыдущее сообщение было написано в 16:37 ---------- просто начал его делать еще до того, как вы исправили скрипт и попросили новый лог ювс... на всякий случай его выложил

20.06.2012, 09:10	#184 (ссылка)
pro-pan Новичок Регистрация: 24.01.2012 Сообщений: 544 Репутация: 1	0038 авз http://rghost.ru/38766524 ювс http://rghost.ru/38766526 рсит http://rghost.ru/38766529

20.06.2012, 11:24	#187 (ссылка)
pro-pan Новичок Регистрация: 24.01.2012 Сообщений: 544 Репутация: 1	мбам по 0038 будет только завтра 0039 - бесплатные смс-ки и все-такое авз http://rghost.ru/38767315 ювс http://rghost.ru/38767331 рсит http://rghost.ru/38767335

20.06.2012, 16:07	#189 (ссылка)
pro-pan Новичок Регистрация: 24.01.2012 Сообщений: 544 Репутация: 1	мбам чистый 0040 авз http://zalil.ru/33477048 ювс http://zalil.ru/33477060 рсит http://zalil.ru/33477066

26.06.2012, 14:57	#191 (ссылка)
pro-pan Новичок Регистрация: 24.01.2012 Сообщений: 544 Репутация: 1	0041 авз http://rghost.ru/38878771 ювс http://rghost.ru/38878777 рсит http://rghost.ru/38878782

26.06.2012, 15:30	#193 (ссылка)
pro-pan Новичок Регистрация: 24.01.2012 Сообщений: 544 Репутация: 1	мбам чистый

26.06.2012, 15:37	#194 (ссылка)
Vvvyg Эксперт Регистрация: 25.05.2011 Сообщений: 9,136 Репутация: 811	Тогда - уязвимости и всё.

26.06.2012, 16:11	#195 (ссылка)
pro-pan Новичок Регистрация: 24.01.2012 Сообщений: 544 Репутация: 1	0042 авз http://rghost.ru/38880161 ювс http://rghost.ru/38880174 рсит http://rghost.ru/38880177

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads

Ads