плановая проверка - Страница 27

safety · 21.11.2012, 07:09

судя по логу - комп чистый,
----------
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код:

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
delall %SystemDrive%\DOCUME~1\7B5C~1\LOCALS~1\TEMP\RARSFX0\MPR.EXE
delall %SystemDrive%\DOCUME~1\7B5C~1\LOCALS~1\TEMP\RARSFX0\MPR_FREADER.SYS
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните быстрое сканирование в Malwarebytes

малваребайт надо обновить до 1.65
http://rghost.ru/users/santy/release...files/41002362
+
закрытие уязвимостей

pro-pan · 26.11.2012, 10:15

0091
авз http://rghost.ru/41815934
ювс http://rghost.ru/41815939

safety · 26.11.2012, 10:37

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код:

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
zoo %Sys32%\QFRUOKG.DLL
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-14699\BRENASA.EXE
addsgn 925277CA176AC1CC0B14534E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 Dorkbot.0803
zoo %SystemRoot%\YADRIVE32.EXE
addsgn A7679B1BB94E4F720B6CAFB064C84152A64E007F8DDE482ED64029B8D9FA55CFDF15CCD2C1559D49919F84DC46541BCB8B5E2652E02A4FADFB77EF20C750AFFE 8 Dorkbot.B
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\ZABERG.EXE
addsgn A7679B1BB97E4F720B85F832A0349B1901DDAAA50A161BF1A9E7464052D9F4B12317C3EFC1DAD9496BD0B556C7DF694F8D2069A35591BF2C7CFA115F39F9DDCB 8 Dorkbot.0723
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0068\MTEFQ2.EXE
addsgn A7679B2355684C728A38AEB264C8AA51258AFCA5D979F37C0CD7E1EB0685F2A0279EEF73079592CD2981849FFEE996B97D9FB8438E5B7B0C98875BAE1406697C 8 Dorkbot.0703
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0056\MP18982.EXE
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0076\MIXHDG.EXE
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0016\MIP982.EXE
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0076\MP130982.EXE
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0069\MMAILS2.EXE
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-0096\MP1LMQ2.EXE
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1272\UFFIVE92.EXE
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1170\UFIVE17.EXE
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-3958\YUWFIVE172.EXE
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-3978\YUWLMQ.EXE
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-3978\YUWMAILS.EXE
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-3968\YUWFIVE92.EXE
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-3993\YUWP98.EXE
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-3994\YUWTEF.EXE
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-3992\YUWP18.EXE
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-3991\YUWP130.EXE
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-3988\YUWMIX.EXE
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-12340\NEWCONT1RND.EXE
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-12310\NEWCONT2RND1.EXE
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-12356\NEWCONT6RND5.EXE
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-12341\NEWCONT4RND3.EXE
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-12330\NEWCONT3RND2.EXE
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-12389\NEWCONT9RND8.EXE
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-12387\NEWCONT8RND7.EXE
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-12367\NEWCONT7RND6.EXE
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-12352\NEWCONT5RND4.EXE
delref %Sys32%\QFRUOKG.DLL
chklst
delvir
delall %SystemDrive%\RECYCLER\S-1-5-21-0243636035-3055115376-381863306-1556\PQLMQ.EXE
delall %SystemDrive%\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\SCSAVER.EXE
delref HTTP://WEBALTA.RU/SEARCH
delall %SystemDrive%\RECYCLER\S-1-5-21-1267793612-8857200242-288734452-9365\WINIGN.EXE
regt 14
regt 5
czoo
exec "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL
exec C:\PROGRAM FILES\MAIL.RU\SPUTNIK\MAILRUSPUTNIK.EXE UNINSTALL
exec C:\PROGRAM FILES\TICNO\INDEXATOR\UNINSTALL.EXE
exec C:\PROGRAM FILES\TICNO\TABS\UNINSTALL.EXE
exec C:\PROGRAM FILES\TICNO\MULTIBAR\UNINSTALL.EXE
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
архив, из каталога uVS, созданный после выполнения скрипта (например: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту sendvirus2011@gmail.com
----------
далее,
выполните быстрое сканирование в Malwarebytes

pro-pan · 26.11.2012, 11:11

мбамСЬ http://rghost.ru/41816295

safety · 26.11.2012, 11:13

удалить все найденное в мбам, кроме этих записей

Цитата:

HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

перегрузиться, и еще раз выполнить быстрое сканирование в мбам

Vvvyg · 26.11.2012, 11:15

Большой вопрос там к антивирусу - он вовсе отключен, или не обновлялся пару лет?

pro-pan · 26.11.2012, 11:16

он не обновлялся пару лет... но по-моему ему самому на это наплевать )))
после лечения буду ставить другой

safety · 26.11.2012, 11:22

Цитата:

Сообщение от Vvvyg

Большой вопрос там к антивирусу - он вовсе отключен, или не обновлялся пару лет?

Он не отключен, Вадим, его просто засыпало вирусами. Такой холмик сверху и смайлик вместо креста.

pro-pan · 26.11.2012, 11:31

новый мбам http://rghost.ru/41816458

---------- Добавлено в 17:31 ---------- Предыдущее сообщение было написано в 17:29 ----------

вебальту надо удалить из домашней страницы

safety · 26.11.2012, 11:32

намного лучше
это удалить в мбам

Цитата:

Обнаруженные параметры в реестре: 2
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} (PUP.ToolBar.WA) -> Параметры: -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} (PUP.ToolBar.WA) -> Параметры: Поиск WebAlta -> Действие не было предпринято.

---------------
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код:

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
ADDDIR C:\Documents and Settings\Admin\Application Data
CRIMG

без перезагрузки, добавить новый образ, который будет создан автоматически
----------

pro-pan · 26.11.2012, 11:50

новый лог ювс http://rghost.ru/41816642

Vvvyg · 26.11.2012, 11:57

Это именно лог выполнения скрипта, а нужен свежесозданный образ.

safety · 26.11.2012, 12:00

да, вот этот файл, MICROSOF-73CD2F_2012-11-26_16-42-38.TXT
возможно он будет в архиве

pro-pan · 28.11.2012, 05:51

0092
ювс http://rghost.ru/41858402

safety · 28.11.2012, 07:00

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код:

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
addsgn A7679B19B192CF9E2F82C6B565C8126F6575E9FE09BA1FBFC1E7DDB2A7298EC16733E7907A71BD46DC7F7B1602325D7728DB0033B5254F8FADF4E52F6686A132 8 Carberp.1128
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\YPX5NYYU8OU.EXE
bl 3581BB0707DD46041B2A0993F9FD3A66 188416
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\YPX5NYYU8OU.EXE
addsgn 0DE1B0BE166AB377F4FFEDB18C61E7FADA0BF9BC9BB91F05E0EFC5312CE375F44417C3573DAD1E64BBAFC79F4B605B92C65BDE72DADF4D1B6E776522F1186173 8 Shiz.1128
zoo %SystemRoot%\APPPATCH\TBESBC.EXE
delall %SystemRoot%\APPPATCH\TBESBC.EXE
delref COPY
chklst
delvir
deltmp
delnfr
czoo
regt 12
regt 14
restart

перезагрузка, пишем о старых и новых проблемах.
архив, из каталога uVS, созданный после выполнения скрипта (например: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту sendvirus2011@gmail.com
----------
далее,
выполните быстрое сканирование в Malwarebytes

21.11.2012, 07:09	#391 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	судя по логу - комп чистый, ---------- выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; Код: ;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE delall %SystemDrive%\DOCUME~1\7B5C~1\LOCALS~1\TEMP\RARSFX0\MPR.EXE delall %SystemDrive%\DOCUME~1\7B5C~1\LOCALS~1\TEMP\RARSFX0\MPR_FREADER.SYS deltmp delnfr restart перезагрузка, пишем о старых и новых проблемах. ---------- далее, выполните быстрое сканирование в Malwarebytes малваребайт надо обновить до 1.65 http://rghost.ru/users/santy/release...files/41002362 + закрытие уязвимостей Последний раз редактировалось safety; 21.11.2012 в 09:28.

28.11.2012, 07:00	#405 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; Код: ;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE addsgn A7679B19B192CF9E2F82C6B565C8126F6575E9FE09BA1FBFC1E7DDB2A7298EC16733E7907A71BD46DC7F7B1602325D7728DB0033B5254F8FADF4E52F6686A132 8 Carberp.1128 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\YPX5NYYU8OU.EXE bl 3581BB0707DD46041B2A0993F9FD3A66 188416 delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\YPX5NYYU8OU.EXE addsgn 0DE1B0BE166AB377F4FFEDB18C61E7FADA0BF9BC9BB91F05E0EFC5312CE375F44417C3573DAD1E64BBAFC79F4B605B92C65BDE72DADF4D1B6E776522F1186173 8 Shiz.1128 zoo %SystemRoot%\APPPATCH\TBESBC.EXE delall %SystemRoot%\APPPATCH\TBESBC.EXE delref COPY chklst delvir deltmp delnfr czoo regt 12 regt 14 restart перезагрузка, пишем о старых и новых проблемах. архив, из каталога uVS, созданный после выполнения скрипта (например: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту sendvirus2011@gmail.com ---------- далее, выполните быстрое сканирование в Malwarebytes

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Проверка	York30	Безопасность	4	05.04.2012 20:04
Проверка uVS	ARAFATI	Безопасность	10	27.11.2011 21:54
проверка	Чайка	Безопасность	22	17.01.2011 17:30
ПРОВЕРКА	Tala	Безопасность	5	11.06.2010 23:58
проверка hdd	wadim	Программы	5	24.03.2010 00:03

26.11.2012, 10:15	#392 (ссылка)
pro-pan Новичок Регистрация: 24.01.2012 Сообщений: 544 Репутация: 1	0091 авз http://rghost.ru/41815934 ювс http://rghost.ru/41815939

26.11.2012, 11:11	#394 (ссылка)
pro-pan Новичок Регистрация: 24.01.2012 Сообщений: 544 Репутация: 1	мбамСЬ http://rghost.ru/41816295

26.11.2012, 11:15	#396 (ссылка)
Vvvyg Эксперт Регистрация: 25.05.2011 Сообщений: 9,136 Репутация: 811	Большой вопрос там к антивирусу - он вовсе отключен, или не обновлялся пару лет?

26.11.2012, 11:16	#397 (ссылка)
pro-pan Новичок Регистрация: 24.01.2012 Сообщений: 544 Репутация: 1	он не обновлялся пару лет... но по-моему ему самому на это наплевать ))) после лечения буду ставить другой

26.11.2012, 11:31	#399 (ссылка)
pro-pan Новичок Регистрация: 24.01.2012 Сообщений: 544 Репутация: 1	новый мбам http://rghost.ru/41816458 ---------- Добавлено в 17:31 ---------- Предыдущее сообщение было написано в 17:29 ---------- вебальту надо удалить из домашней страницы

26.11.2012, 11:50	#401 (ссылка)
pro-pan Новичок Регистрация: 24.01.2012 Сообщений: 544 Репутация: 1	новый лог ювс http://rghost.ru/41816642

26.11.2012, 11:57	#402 (ссылка)
Vvvyg Эксперт Регистрация: 25.05.2011 Сообщений: 9,136 Репутация: 811	Это именно лог выполнения скрипта, а нужен свежесозданный образ.

26.11.2012, 12:00	#403 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	да, вот этот файл, MICROSOF-73CD2F_2012-11-26_16-42-38.TXT возможно он будет в архиве

28.11.2012, 05:51	#404 (ссылка)
pro-pan Новичок Регистрация: 24.01.2012 Сообщений: 544 Репутация: 1	0092 ювс http://rghost.ru/41858402

Здесь присутствуют: 2 (пользователей: 0 , гостей: 2)

Ads

Ads