плановая проверка - Страница 39

safety · 19.11.2013, 09:26

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код:

;uVS v3.81.7 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\LONER\APPLICATION DATA\DSITE\UPDATEPROC\UPDATETASK.EXE
addsgn A7679B235D6A4C7261D4C4B12DBDEB549DC2F2B78912E1437A3CF67C05BE075C6217A7A80E31146943C088DE467E3DF63CDF6527B9623C3C6C774CA240F9DDF8 17 Win32/InstallCore.BD

hide %SystemDrive%\PROGRAM FILES\BIRTHDAY\BIRTHMIL.EXE
hide %SystemDrive%\PROGRAM FILES\AIMP2\AIMP2C.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://WWW1.DELTA-SEARCH.COM/?AFFID=119370&BABSRC=NT_SS&MNTRID=20B2001E3358D383

delref HTTP://WWW1.DELTA-SEARCH.COM/?AFFID=119370&BABSRC=HP_SS&MNTRID=20B2001E3358D383

; Java(TM) 6 Update 14
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216014FF} /quiet

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните быстрое сканирование в Malwarebytes

+
сделайте проверку в АдвКлинере
http://pchelpforum.ru/f26/t24207/2/#post1110672

в мбам и АдвКлинере пока ничего не удаляем

safety · 19.11.2013, 09:34

+
можно проверить настройки роутера, если подключение через роутер

Цитата:

Полное имя 192.168.0.1\Подключение по локальной сети\4\{189C0885-6137-43AE-9F56-7373197452D3}
Имя файла {189C0885-6137-43AE-9F56-7373197452D3}
Тек. статус DNS

Сохраненная информация на момент создания образа
DNS 192.168.0.1
Статус DNS

с помощью minitoolbox
http://www.bleepingcomputer.com/download/minitoolbox/

надо отметить все report & list

pro-pan · 19.11.2013, 09:40

0142 ювс http://rghost.ru/50276527

safety · 19.11.2013, 09:49

1. этот файл заменить в безопасном режиме

Цитата:

Полное имя C:\WINDOWS\SYSTEM32\TERMSRV.DLL
Имя файла TERMSRV.DLL
Тек. статус АКТИВНЫЙ ?ВИРУС? ИЗВЕСТНЫЙ ПОДОЗРИТЕЛЬНЫЙ сервисная_DLL в автозапуске [SVCHOST]

www.virustotal.com 2013-11-05 [2009-05-05 11:40:42 UTC ( 4 years, 6 months ago )]
AntiVir SPR/Tool.Ursnif.B.19
Microsoft VirTool:Win32/Ursnif.B
ESET-NOD32 Win32/Spy.Ursnif.A

взять отсюда:

http://rghost.ru/50276660

2.
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код:

;uVS v3.81.7 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
addsgn 1ADF8B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praeto

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ПОЛЬЗОВАТЕЛЬ\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://WWW.APEHA.RU

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните быстрое сканирование в Malwarebytes
&закрываем уязвимости

pro-pan · 20.11.2013, 13:15

0143 ювс http://rghost.ru/50302993

safety · 21.11.2013, 06:43

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код:

;uVS v3.81.7 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE

delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\QIPGUARD\QIPGUARD.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\QIPGUARD\CHROME.DLL
hide %SystemRoot%\ERDNT\BACKUP.EXE
hide %SystemDrive%\PROGRAM FILES\DOWNLOAD MASTER\DMASTER.EXE
;------------------------autoscript---------------------------

; Java(TM) 6 Update 29
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216027FF} /quiet

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните быстрое сканирование в Malwarebytes

& закрываем уязвимости

pro-pan · 10.12.2013, 13:03

0144 ювс http://rghost.ru/50852782

safety · 10.12.2013, 13:10

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код:

;uVS v3.81.7 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ПОЛЬЗОВАТЕЛЬ\APPLICATION DATA\NEWNEXT.ME\NENGINE.DLL
addsgn 79132211B9E9317E0AA1AB59A52C1205DAFFF47DC4EA942D892B2942AF292811E11BC3DCC10016A57D0BF193CB50B67FBBABFC9ABACEB02CEA77B22FC706CA34 64 Trojan.Siggen6.685 [DrWeb]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ПОЛЬЗОВАТЕЛЬ\APPLICATION DATA\SWVUPDATER\UPDATER.EXE
addsgn 9252775A106AC1CC0B84544E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 13 sohanad_vir

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ПОЛЬЗОВАТЕЛЬ\LOCAL SETTINGS\TEMP\{3E86585F-9685-4575-8B2F-F25E8C73D692}\INFOENHANCER.EXE
addsgn 9204779A556A147751DFAEB1EFF811F50E4A7708EF57DE9889480DECFDFDB94FD29C0B006F1C170D12860C9B7763BFD1BD7363BAD53B400822B645234DEE8E78 8 Trojan.Siggen3.39984 [DrWeb]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ПОЛЬЗОВАТЕЛЬ\LOCAL SETTINGS\TEMP\UPDATER.EXE
addsgn 9252620A156AC1CCE0AB514E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 Trojan.DownLoad3.8872 [DrWeb]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ПОЛЬЗОВАТЕЛЬ\LOCAL SETTINGS\APPLICATION DATA\GENIENEXT\NENGINE.DLL
hide %SystemDrive%\PROGRAM FILES\TOTAL COMMANDER\PLUGINS\EXE\DECRYPTC.EXE
hide %SystemDrive%\PROGRAM FILES\TOTAL COMMANDER\UTILS\RANSOMHIDE\RANSOMHIDE.EXE
;------------------------autoscript---------------------------

chklst
delvir

; McAfee Security Scan Plus
exec C:\Program Files\McAfee Security Scan\uninstall.exe

; Java(TM) 6 Update 11
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF} /quiet

deltmp
delnfr
;-------------------------------------------------------------
CZOO
restart

перезагрузка, пишем о старых и новых проблемах.
архив, из каталога uVS, созданный после выполнения скрипта (например: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту sendvirus2011@gmail.com
----------
далее,
выполните быстрое сканирование в Malwarebytes

pro-pan · 11.12.2013, 08:51

вот такой случай http://icdm.by/help/452-after-virus-mail-skype.html - хотелось бы провериться
0145 ювс http://rghost.ru/50879986

safety · 11.12.2013, 09:31

если есть такая проблема, то нужен образ из безопасного режима, довольно часто только в безопасном этот троян виден

pro-pan · 11.12.2013, 09:50

новый лог http://rghost.ru/50880678

safety · 11.12.2013, 09:56

чисто.

safety · 11.12.2013, 13:16

добавьте лог минитулбокс
http://www.bleepingcomputer.com/download/minitoolbox/

отметить все list,report

pro-pan · 13.12.2013, 12:52

0146 ювс http://rghost.ru/50933304

safety · 13.12.2013, 12:56

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код:

;uVS v3.81.7 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ПОЛЬЗОВАТЕЛЬ\APPLICATION DATA\NEWNEXT.ME\NENGINE.DLL
addsgn 79132211B9E9317E0AA1AB59A52C1205DAFFF47DC4EA942D892B2942AF292811E11BC3DCC10016A57D0BF193CB50B67FBBABFC9ABACEB02CEA77B22FC706CA34 64 Trojan.Siggen6.685 [DrWeb]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ПОЛЬЗОВАТЕЛЬ\APPLICATION DATA\SWVUPDATER\UPDATER.EXE
addsgn 9252775A106AC1CC0B84544E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 13 sohanad_vir

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ПОЛЬЗОВАТЕЛЬ\LOCAL SETTINGS\TEMP\{3E86585F-9685-4575-8B2F-F25E8C73D692}\INFOENHANCER.EXE
addsgn 9204779A556A147751DFAEB1EFF811F50E4A7708EF57DE9889480DECFDFDB94FD29C0B006F1C170D12860C9B7763BFD1BD7363BAD53B400822B645234DEE8E78 8 Trojan.Siggen3.39984 [DrWeb]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ПОЛЬЗОВАТЕЛЬ\LOCAL SETTINGS\TEMP\UPDATER.EXE
zoo %SystemDrive%\PROGRAM FILES\TOTAL COMMANDER\PLUGINS\EXE\DECRYPTC.EXE
addsgn 9252620A156AC1CCE0AB514E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 Trojan.DownLoad3.8872 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES\TOTAL COMMANDER\UTILS\RANSOMHIDE\RANSOMHIDE.EXE
addsgn 9252776A116AC1CC0BF4554E3341F788B9AE7C3776052EB8D5FA19C9AB90371F4BF546503E021E8A2FD3EC2CFF1449ACFE1CEC21051DB32F2D75A4BF5796B2E3 13 tr.Carberp

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ПОЛЬЗОВАТЕЛЬ\LOCAL SETTINGS\APPLICATION DATA\GENIENEXT\NENGINE.DLL
hide %SystemDrive%\PROGRAM FILES\TOTAL COMMANDER\PLUGINS\EXE\DECRYPTC.EXE
hide %SystemDrive%\PROGRAM FILES\TOTAL COMMANDER\UTILS\RANSOMHIDE\RANSOMHIDE.EXE
;------------------------autoscript---------------------------

chklst
delvir

; McAfee Security Scan Plus
exec C:\Program Files\McAfee Security Scan\uninstall.exe

; Java(TM) 6 Update 11
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF} /quiet

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните быстрое сканирование в Malwarebytes

19.11.2013, 09:26	#571 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; Код: ;uVS v3.81.7 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\LONER\APPLICATION DATA\DSITE\UPDATEPROC\UPDATETASK.EXE addsgn A7679B235D6A4C7261D4C4B12DBDEB549DC2F2B78912E1437A3CF67C05BE075C6217A7A80E31146943C088DE467E3DF63CDF6527B9623C3C6C774CA240F9DDF8 17 Win32/InstallCore.BD hide %SystemDrive%\PROGRAM FILES\BIRTHDAY\BIRTHMIL.EXE hide %SystemDrive%\PROGRAM FILES\AIMP2\AIMP2C.EXE ;------------------------autoscript--------------------------- chklst delvir delref HTTP://WWW1.DELTA-SEARCH.COM/?AFFID=119370&BABSRC=NT_SS&MNTRID=20B2001E3358D383 delref HTTP://WWW1.DELTA-SEARCH.COM/?AFFID=119370&BABSRC=HP_SS&MNTRID=20B2001E3358D383 ; Java(TM) 6 Update 14 exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216014FF} /quiet deltmp delnfr ;------------------------------------------------------------- restart перезагрузка, пишем о старых и новых проблемах. ---------- далее, выполните быстрое сканирование в Malwarebytes + сделайте проверку в АдвКлинере http://pchelpforum.ru/f26/t24207/2/#post1110672 в мбам и АдвКлинере пока ничего не удаляем

21.11.2013, 06:43	#576 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; Код: ;uVS v3.81.7 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\QIPGUARD\QIPGUARD.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\QIPGUARD\CHROME.DLL hide %SystemRoot%\ERDNT\BACKUP.EXE hide %SystemDrive%\PROGRAM FILES\DOWNLOAD MASTER\DMASTER.EXE ;------------------------autoscript--------------------------- ; Java(TM) 6 Update 29 exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216027FF} /quiet deltmp delnfr ;------------------------------------------------------------- restart перезагрузка, пишем о старых и новых проблемах. ---------- далее, выполните быстрое сканирование в Malwarebytes & закрываем уязвимости

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Проверка	York30	Безопасность	4	05.04.2012 20:04
Проверка uVS	ARAFATI	Безопасность	10	27.11.2011 21:54
проверка	Чайка	Безопасность	22	17.01.2011 17:30
ПРОВЕРКА	Tala	Безопасность	5	11.06.2010 23:58
проверка hdd	wadim	Программы	5	24.03.2010 00:03

19.11.2013, 09:40	#573 (ссылка)
pro-pan Новичок Регистрация: 24.01.2012 Сообщений: 544 Репутация: 1	0142 ювс http://rghost.ru/50276527

20.11.2013, 13:15	#575 (ссылка)
pro-pan Новичок Регистрация: 24.01.2012 Сообщений: 544 Репутация: 1	0143 ювс http://rghost.ru/50302993

10.12.2013, 13:03	#577 (ссылка)
pro-pan Новичок Регистрация: 24.01.2012 Сообщений: 544 Репутация: 1	0144 ювс http://rghost.ru/50852782

11.12.2013, 08:51	#579 (ссылка)
pro-pan Новичок Регистрация: 24.01.2012 Сообщений: 544 Репутация: 1	вот такой случай http://icdm.by/help/452-after-virus-mail-skype.html - хотелось бы провериться 0145 ювс http://rghost.ru/50879986

11.12.2013, 09:31	#580 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	если есть такая проблема, то нужен образ из безопасного режима, довольно часто только в безопасном этот троян виден

11.12.2013, 09:50	#581 (ссылка)
pro-pan Новичок Регистрация: 24.01.2012 Сообщений: 544 Репутация: 1	новый лог http://rghost.ru/50880678

11.12.2013, 09:56	#582 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	чисто.

11.12.2013, 13:16	#583 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	добавьте лог минитулбокс http://www.bleepingcomputer.com/download/minitoolbox/ отметить все list,report

13.12.2013, 12:52	#584 (ссылка)
pro-pan Новичок Регистрация: 24.01.2012 Сообщений: 544 Репутация: 1	0146 ювс http://rghost.ru/50933304

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads

Ads