плановая проверка - Страница 22

safety · 21.09.2012, 07:18

по 0074
это легальный файл в автозапуске?

Цитата:

C:\OTCHETNOST\OTCHETNOST.EXE

safety · 21.09.2012, 07:22

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код:

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

;OFFSGNSAVE
exec "C:\PROGRAM FILES\TNOD USER & PASSWORD FINDER\UNINST-TNOD.EXE"
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните быстрое сканирование в Malwarebytes

pro-pan · 21.09.2012, 08:10

мбам http://rghost.ru/40487652

safety · 21.09.2012, 08:22

это можно удалить в мбам

Цитата:

C:\Users\Computer\Desktop\TNod-1.4.1-beta-2-setup.exe (Trojan.Agent.CK) -> Действие не было предпринято.

сделайте еще логи в АВЗ
+
данный файл проверить на http://virustotal.com

Цитата:

C:\OTCHETNOST\OTCHETNOST.EXE

pro-pan · 21.09.2012, 10:26

авз http://rghost.ru/40488164

safety · 21.09.2012, 10:38

Лог avz чистый, сделайте еще RSIT

pro-pan · 21.09.2012, 10:57

рсит http://rghost.ru/40488370

safety · 21.09.2012, 11:18

хм, папка создана сегодня

Цитата:

2012-09-21 13:56:40 ----D---- C:\Otchetnost

safety · 21.09.2012, 11:21

похоже, это... почтовый агент

Цитата:

Почтовый агент-->"C:\Otchetnost\unins000.exe"

pro-pan · 25.09.2012, 15:00

0075
ювс http://rghost.ru/40564125

safety · 25.09.2012, 15:10

хм, Авира пропустила.
------------
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код:

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
;OFFSGNSAVE
addsgn A7679BF0AA028CB30BC4C61D5AC80261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C1B40848F75C4C32EF4CA980250CA3BE4AC965B2FC706AB7E 8 winlogon.0925
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ПОПОВА\LOCAL SETTINGS\TEMP\WINLOGON.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ПОПОВА\LOCAL SETTINGS\TEMP\WINLOGON.EXE
chklst
delvir
delall %SystemDrive%\DOCUME~1\ПОПОВА\LOCALS~1\TEMP\RARSFX1\MPR.EXE
deltmp
delnfr
czoo
regt 12
restart

перезагрузка, пишем о старых и новых проблемах.
архив, из каталога uVS, созданный после выполнения скрипта (например: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту sendvirus2011@gmail.com
----------
далее,
выполните быстрое сканирование в Malwarebytes

pro-pan · 25.09.2012, 17:20

мбам http://rghost.ru/40566460

safety · 25.09.2012, 17:26

удалите в мбам следующее

Цитата:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Trojan.Agent) -> Плохо: (C:\DOCUME~1\Попова\LOCALS~1\Temp\winlogon.exe) Хорошо: () -> Действие не было предпринято.
Обнаруженные папки: 0
(Вредоносных программ не обнаружено)

C:\Documents and Settings\Попова\Local Settings\Temp\winlogon.exe (Trojan.Agent) -> Действие не было предпринято.

перегрузить систему,
и еще раз выполнить быстрый скан.
(странно, почему он скриптом не удалился)

pro-pan · 25.09.2012, 17:56

да уж странненько... и авира выругалась на него после скрипта
повторная проверка мбам ничего не показала

safety · 25.09.2012, 18:55

хорошо,
1. выполните еще раз скрипт в uVS

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код:

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

;OFFSGNSAVE
addsgn A7679BF0AA028CB30BC4C61D5AC80261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C1B40848F75C4C32EF4CA980250CA3BE4AC965B2FC706AB7E 8 winlogon.0924

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ПОПОВА\LOCAL SETTINGS\TEMP\WINLOGON.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ПОПОВА\LOCAL SETTINGS\TEMP\WINLOGON.EXE
chklst
delvir
czoo
regt 1
regt 2
regt 3
regt 12

restart

перезагрузка, пишем о старых и новых проблемах.

2. добавьте все логи выполнения скриптов из папки uVS

21.09.2012, 07:22	#317 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; Код: ;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 ;OFFSGNSAVE exec "C:\PROGRAM FILES\TNOD USER & PASSWORD FINDER\UNINST-TNOD.EXE" deltmp delnfr restart перезагрузка, пишем о старых и новых проблемах. ---------- далее, выполните быстрое сканирование в Malwarebytes

25.09.2012, 15:10	#326 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	хм, Авира пропустила. ------------ выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; Код: ;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 ;OFFSGNSAVE addsgn A7679BF0AA028CB30BC4C61D5AC80261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C1B40848F75C4C32EF4CA980250CA3BE4AC965B2FC706AB7E 8 winlogon.0925 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ПОПОВА\LOCAL SETTINGS\TEMP\WINLOGON.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ПОПОВА\LOCAL SETTINGS\TEMP\WINLOGON.EXE chklst delvir delall %SystemDrive%\DOCUME~1\ПОПОВА\LOCALS~1\TEMP\RARSFX1\MPR.EXE deltmp delnfr czoo regt 12 restart перезагрузка, пишем о старых и новых проблемах. архив, из каталога uVS, созданный после выполнения скрипта (например: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту sendvirus2011@gmail.com ---------- далее, выполните быстрое сканирование в Malwarebytes

25.09.2012, 18:55	#330 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	хорошо, 1. выполните еще раз скрипт в uVS выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; Код: ;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 ;OFFSGNSAVE addsgn A7679BF0AA028CB30BC4C61D5AC80261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C1B40848F75C4C32EF4CA980250CA3BE4AC965B2FC706AB7E 8 winlogon.0924 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ПОПОВА\LOCAL SETTINGS\TEMP\WINLOGON.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ПОПОВА\LOCAL SETTINGS\TEMP\WINLOGON.EXE chklst delvir czoo regt 1 regt 2 regt 3 regt 12 restart перезагрузка, пишем о старых и новых проблемах. 2. добавьте все логи выполнения скриптов из папки uVS

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Проверка	York30	Безопасность	4	05.04.2012 20:04
Проверка uVS	ARAFATI	Безопасность	10	27.11.2011 21:54
проверка	Чайка	Безопасность	22	17.01.2011 17:30
ПРОВЕРКА	Tala	Безопасность	5	11.06.2010 23:58
проверка hdd	wadim	Программы	5	24.03.2010 00:03

21.09.2012, 08:10	#318 (ссылка)
pro-pan Новичок Регистрация: 24.01.2012 Сообщений: 544 Репутация: 1	мбам http://rghost.ru/40487652

21.09.2012, 10:26	#320 (ссылка)
pro-pan Новичок Регистрация: 24.01.2012 Сообщений: 544 Репутация: 1	авз http://rghost.ru/40488164

21.09.2012, 10:38	#321 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	Лог avz чистый, сделайте еще RSIT

21.09.2012, 10:57	#322 (ссылка)
pro-pan Новичок Регистрация: 24.01.2012 Сообщений: 544 Репутация: 1	рсит http://rghost.ru/40488370

25.09.2012, 15:00	#325 (ссылка)
pro-pan Новичок Регистрация: 24.01.2012 Сообщений: 544 Репутация: 1	0075 ювс http://rghost.ru/40564125

25.09.2012, 17:20	#327 (ссылка)
pro-pan Новичок Регистрация: 24.01.2012 Сообщений: 544 Репутация: 1	мбам http://rghost.ru/40566460

25.09.2012, 17:56	#329 (ссылка)
pro-pan Новичок Регистрация: 24.01.2012 Сообщений: 544 Репутация: 1	да уж странненько... и авира выругалась на него после скрипта повторная проверка мбам ничего не показала

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads

Ads