плановая проверка - Страница 15

safety · 05.07.2012, 11:30

Цитата:

Сообщение от pro-pan

0045 ... авз во время проверки выругался на кидо, доступ к сайтам антивирусов заблокирован

Да, Kido/Conficker был, до того как Vvvyg применил скрипт.
---------

Цитата:

Полное имя C:\WINDOWS\SYSTEM32\OAWXBJ.DLL
Имя файла OAWXBJ.DLL
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ сервисная_DLL в автозапуске [SVCHOST]

www.virustotal.com 2012-06-11 [2008-12-29 22:26:04 UTC ( 3 years, 6 months ago )]
Symantec W32.Downadup.B
Avast Win32:Confi [Wrm]
Kaspersky Net-Worm.Win32.Kido.ih
BitDefender Win32.Worm.Downadup.Gen
DrWeb Win32.HLLW.Autoruner.5555
AntiVir Worm/Conficker.Z.32
Microsoft Worm:Win32/Conficker.C

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ сервисная_DLL в автозапуске [SVCHOST]
Размер 164746 байт
Создан 02.03.2006 в 22:00:00
Изменен 02.03.2006 в 22:00:00
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Файл Возможно защищенный файл

Доп. информация на момент обновления списка
SHA1 C2A8998F34FB6FE505635E0AC352CE2838A3ACA6
MD5 87136C488903474630369E232704FA4D

Ссылки на объект
Ссылка HKLM\System\CurrentControlSet\Services\dxonqyivy\P arameters\ServiceDLL
ServiceDLL C:\WINDOWS\system32\oawxbj.dll

pro-pan · 06.07.2012, 13:22

0046
авз http://rghost.ru/39065505
ювс http://rghost.ru/39065513
рсит http://rghost.ru/39065521

safety · 06.07.2012, 13:29

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код:

;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

delall %Sys32%\BFEDFFH.DLL
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\NETPROTOCOL.EXE
zoo %SystemRoot%\APPPATCH\BSNAYM.EXE
delall %SystemRoot%\APPPATCH\BSNAYM.EXE
delall %Sys32%\MACHINEUPDATE32.EXE
deltmp
delnfr
regt 12
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив, из каталога uVS, созданный после выполнения скрипта (например: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту sendvirus2011@gmail.com
----------
далее,
выполните быстрое сканирование в Malwarebytes

pro-pan · 06.07.2012, 13:44

мбам http://rghost.ru/39065848

safety · 06.07.2012, 13:53

это удалите в мбам

Цитата:

Обнаруженные параметры в реестре: 1
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|SysDebug32 (Trojan.Agent) -> Параметры: њ°ґp.!*щБXп?$Nй„Вp’ґц1FР[^ўssВШЋ#ЕOQ*ќ`nзБъu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃ Й„iu“kЃЙ„iu“kЃЙ„iёјЧг*у`Ыeз±ћa\lр%ЖЪeU-u“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu“kЃЙ„iu “kЃЙ„iИ -> Действие не было предпринято.

а этот файл

Цитата:

Обнаруженные файлы: 1
C:\WINDOWS\system32\wbem\winmgmt.exe (Trojan.Cidox.WR) -> Действие не было предпринято.

надо првоерить на Вирустотал
возможно было ложное срабатывание
поскольку этот файл системный

pro-pan · 09.07.2012, 06:15

0047 - не открывается эксплорер
ювс http://rghost.ru/39111475

safety · 09.07.2012, 06:38

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код:

;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\DIMON\APPLICATION DATA\PKPIPX.EXE
addsgn 9252778A146AC1CC0BD4514E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5FC202ADA4D985CC8F 14 a variant of Win32/Kryptik.JWT [NOD32]
delall %SystemDrive%\DOCUMENTS AND SETTINGS\DIMON\APPLICATION DATA\PKPIPX.EXE
delall %SystemDrive%\PROGRAM FILES\MPK\MPK.EXE
delall %SystemDrive%\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE
addsgn A7679BC9DE37442480A1A2E6EFB50280D3FFF575B4666B7995C32E9AD328703826943D554B773C415081941A866240AD2B8C17A2D01AC4207A21F7C7D2F9DD8C 64 Win32/Conficker.AA [NOD32]
zoo %Sys32%\EXGRZ.DLL
delall %Sys32%\EXGRZ.DLL
delref HTTP://SEARCH.QIP.RU
chklst
delvir
deltmp
delnfr
czoo
regt 5
regt 12
restart

перезагрузка, пишем о старых и новых проблемах.
архив, из каталога uVS, созданный после выполнения скрипта (например: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту sendvirus2011@gmail.com
----------
далее,
выполните быстрое сканирование в Malwarebytes

pro-pan · 10.07.2012, 11:05

0048 - эксплорер - Не удалось загрузить эту страницу
авз http://rghost.ru/39130069
ювс http://rghost.ru/39130076
рсит http://rghost.ru/39130078

Vvvyg · 10.07.2012, 11:17

Выполните скрипт в AVZ:

Код:

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\Documents and Settings\Домашний\Application Data\Vknwnr.exe');
 DeleteFile('C:\Documents and Settings\Домашний\Application Data\Wknwns.exe');
 DeleteFile('C:\Program Files\Mail.Ru\Guard\GuardMailRu.exe');
 DeleteFile('F:\RECYCLER\1B37F31F.EXE');
 DeleteFile('C:\Documents and Settings\Домашний\Start Menu\Programs\Startup\Memo.exe');
 DeleteFile('C:\Documents and Settings\Домашний\Start Menu\Programs\Startup\x11.exe');
 DeleteFile('C:\Documents and Settings\Домашний\Start Menu\Programs\Startup\xd11.exe');
 DeleteFile('C:\Documents and Settings\Домашний\Start Menu\Programs\Startup\xxx2.exe');
 DeleteFile('C:\Documents and Settings\Домашний\Start Menu\Programs\Startup\xy11.exe');
 DeleteFileMask('C:\Documents and Settings\Домашний\Application Data', '*.tmp', false);
 DeleteFileMask('C:\Documents and Settings\Домашний\Application Data', '*.exe', false);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится!
Выполните 2-й стандартный скрипт в AVZ и дайте ссылку на файл virusinfo_syscheck.zip.

safety · 10.07.2012, 11:20

+ такой скрипт в uVS
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код:

;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\ДОМАШНИЙ\APPLICATION DATA
crimg

без перезагрузки
добавить образ автозапуска, который будет создан автоматически

pro-pan · 10.07.2012, 11:34

новый лог автозапуска http://rghost.ru/39130319

safety · 10.07.2012, 11:40

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код:

;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo F:\RECYCLER\1B37F31F.EXE
addsgn A7679BF0AA02B4124BD4C65139881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CB21D9FE82BD6D7D4AE6D775BACCA6EA033 12 a variant of Win32/Injector.OOW [NOD32]
bl 28F687441C8D3A9D208B03BF44187AE2 150240
delall F:\RECYCLER\1B37F31F.EXE
chklst
delvir
deltmp
delnfr
regt 5
CZOO
restart

перезагрузка, пишем о старых и новых проблемах.
архив, из каталога uVS, созданный после выполнения скрипта (например: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту sendvirus2011@gmail.com
----------
далее,
выполните быстрое сканирование в Malwarebytes

pro-pan · 10.07.2012, 11:59

мбам http://rghost.ru/39130539

safety · 10.07.2012, 12:11

это можно удалить в мбам

Цитата:

C:\WINDOWS\system32\winlogon.Del (Heuristics.Reserved.Word.Exploit) -> Действие не было предпринято.

+ закрытие уязвимостей

Vvvyg · 10.07.2012, 12:42

+поправить время - 2002 г. установлен. И Nod32 непонятно чем занимается, практически весь имевшийся зверинец ему известен...

06.07.2012, 13:29	#213 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; Код: ;uVS v3.75 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 delall %Sys32%\BFEDFFH.DLL delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\NETPROTOCOL.EXE zoo %SystemRoot%\APPPATCH\BSNAYM.EXE delall %SystemRoot%\APPPATCH\BSNAYM.EXE delall %Sys32%\MACHINEUPDATE32.EXE deltmp delnfr regt 12 czoo restart перезагрузка, пишем о старых и новых проблемах. архив, из каталога uVS, созданный после выполнения скрипта (например: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту sendvirus2011@gmail.com ---------- далее, выполните быстрое сканирование в Malwarebytes

09.07.2012, 06:38	#217 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; Код: ;uVS v3.75 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\DIMON\APPLICATION DATA\PKPIPX.EXE addsgn 9252778A146AC1CC0BD4514E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5FC202ADA4D985CC8F 14 a variant of Win32/Kryptik.JWT [NOD32] delall %SystemDrive%\DOCUMENTS AND SETTINGS\DIMON\APPLICATION DATA\PKPIPX.EXE delall %SystemDrive%\PROGRAM FILES\MPK\MPK.EXE delall %SystemDrive%\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE addsgn A7679BC9DE37442480A1A2E6EFB50280D3FFF575B4666B7995C32E9AD328703826943D554B773C415081941A866240AD2B8C17A2D01AC4207A21F7C7D2F9DD8C 64 Win32/Conficker.AA [NOD32] zoo %Sys32%\EXGRZ.DLL delall %Sys32%\EXGRZ.DLL delref HTTP://SEARCH.QIP.RU chklst delvir deltmp delnfr czoo regt 5 regt 12 restart перезагрузка, пишем о старых и новых проблемах. архив, из каталога uVS, созданный после выполнения скрипта (например: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту sendvirus2011@gmail.com ---------- далее, выполните быстрое сканирование в Malwarebytes

10.07.2012, 11:20	#220 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	+ такой скрипт в uVS выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; Код: ;uVS v3.75 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 adddir %SystemDrive%\DOCUMENTS AND SETTINGS\ДОМАШНИЙ\APPLICATION DATA crimg без перезагрузки добавить образ автозапуска, который будет создан автоматически

10.07.2012, 11:40	#222 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; Код: ;uVS v3.75 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo F:\RECYCLER\1B37F31F.EXE addsgn A7679BF0AA02B4124BD4C65139881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CB21D9FE82BD6D7D4AE6D775BACCA6EA033 12 a variant of Win32/Injector.OOW [NOD32] bl 28F687441C8D3A9D208B03BF44187AE2 150240 delall F:\RECYCLER\1B37F31F.EXE chklst delvir deltmp delnfr regt 5 CZOO restart перезагрузка, пишем о старых и новых проблемах. архив, из каталога uVS, созданный после выполнения скрипта (например: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту sendvirus2011@gmail.com ---------- далее, выполните быстрое сканирование в Malwarebytes

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Проверка	York30	Безопасность	4	05.04.2012 20:04
Проверка uVS	ARAFATI	Безопасность	10	27.11.2011 21:54
проверка	Чайка	Безопасность	22	17.01.2011 17:30
ПРОВЕРКА	Tala	Безопасность	5	11.06.2010 23:58
проверка hdd	wadim	Программы	5	24.03.2010 00:03

06.07.2012, 13:22	#212 (ссылка)
pro-pan Новичок Регистрация: 24.01.2012 Сообщений: 544 Репутация: 1	0046 авз http://rghost.ru/39065505 ювс http://rghost.ru/39065513 рсит http://rghost.ru/39065521

06.07.2012, 13:44	#214 (ссылка)
pro-pan Новичок Регистрация: 24.01.2012 Сообщений: 544 Репутация: 1	мбам http://rghost.ru/39065848

09.07.2012, 06:15	#216 (ссылка)
pro-pan Новичок Регистрация: 24.01.2012 Сообщений: 544 Репутация: 1	0047 - не открывается эксплорер ювс http://rghost.ru/39111475

10.07.2012, 11:05	#218 (ссылка)
pro-pan Новичок Регистрация: 24.01.2012 Сообщений: 544 Репутация: 1	0048 - эксплорер - Не удалось загрузить эту страницу авз http://rghost.ru/39130069 ювс http://rghost.ru/39130076 рсит http://rghost.ru/39130078

10.07.2012, 11:34	#221 (ссылка)
pro-pan Новичок Регистрация: 24.01.2012 Сообщений: 544 Репутация: 1	новый лог автозапуска http://rghost.ru/39130319

10.07.2012, 11:59	#223 (ссылка)
pro-pan Новичок Регистрация: 24.01.2012 Сообщений: 544 Репутация: 1	мбам http://rghost.ru/39130539

10.07.2012, 12:42	#225 (ссылка)
Vvvyg Эксперт Регистрация: 25.05.2011 Сообщений: 9,136 Репутация: 811	+поправить время - 2002 г. установлен. И Nod32 непонятно чем занимается, практически весь имевшийся зверинец ему известен...

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads

Ads