плановая проверка - Страница 8

pro-pan · 12.05.2012, 12:34

0024
авз http://rghost.ru/38037831
ювс http://rghost.ru/38037838
рсит http://rghost.ru/38037840

Vvvyg · 12.05.2012, 12:50

По 24-му набору:
Скрипт в AVZ:

Код:

begin
ExecuteWizard('TSW',2,2,true);
end.

затем скрипт в uVS:

Код:

;uVS v3.75 BETA1 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

delref %SystemDrive%\HUADIO.TMP
delref HTTP://SEARCH.BABYLON.COM/HOME?AF=14276&BABSRC=NT_DEF
deltmp
delnfr
restart

далее - MBAM и проверку уязвимостей, там файрфокс как минимум старый с дырами.

pro-pan · 12.05.2012, 13:10

вообще то уязвимости закрыты еще до сбора логов... и фаерфокса в программах не наблюдаю
0024 мбам http://rghost.ru/38038201

Vvvyg · 12.05.2012, 13:24

В установленных программах есть Mozilla Firefox 3.5.6.

safety · 12.05.2012, 13:24

в мбам это оставить,

Цитата:

Объекты реестра обнаружены: 3
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

остальное удалите,
перегрузить систему и еще раз выполнить быстрый скан в малваребайт

pro-pan · 12.05.2012, 13:49

повторная проверка - чисто

safety · 12.05.2012, 13:58

значит все ок по ней.

pro-pan · 14.05.2012, 06:06

0024 - Соединение закрыто удалённым сервером

авз http://rghost.ru/38072592
ювс http://rghost.ru/38072596
рсит http://rghost.ru/38072597

safety · 14.05.2012, 06:44

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код:

;uVS v3.75 BETA1 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

addsgn A7679BC903E1117A5C5FDBBDE13E997835FFF575B4EEAB7BE9C32E9AD328703826943D554B773C699283E81A866240AD2B8C17A2D01AC4207A21F7C7CFF9DD8C 64 majachok
zoo %Sys32%\KHQZQJD.DLL
delref %Sys32%\KHQZQJD.DLL
deltmp
delnfr
setdns Подключение по локальной сети\4\{AC28148A-615F-4976-893B-6640E1C9C5C8}\
EXEC cmd /c"netsh winsock reset catalog"
CZOO
restart

перезагрузка, пишем о старых и новых проблемах.
архив, из каталога uVS, созданный после выполнения скрипта (например: 2012-12-31_23-59-59.rar/7z) отправить в почту sendvirus2011@gmail.com
----------
далее,
выполните быстрое сканирование в Malwarebytes

pro-pan · 14.05.2012, 07:03

архив из каталога uVS отправил
мбам чистый

safety · 14.05.2012, 07:15

ок, закрываем уязвимости

pro-pan · 14.05.2012, 10:08

0025
авз http://rghost.ru/38073396
ювс http://rghost.ru/38073398
рсит http://rghost.ru/38073400

safety · 14.05.2012, 10:38

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код:

;uVS v3.75 BETA1 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

delref %Sys32%\QJPWBNN.DLL
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните быстрое сканирование в Malwarebytes

pro-pan · 14.05.2012, 11:16

мбам http://rghost.ru/38073817

safety · 14.05.2012, 11:32

это удалить в мбам

Цитата:

Обнаруженные папки: 1
C:\Program Files\ololo (Trojan.VKHosts) -> Действие не было предпринято.

Обнаруженные файлы: 4
C:\WINDOWS\system32\srcsize32d.dat (Malware.Trace) -> Действие не было предпринято.
C:\Program Files\ololo\ku4uqt155.jpg (Trojan.VKHosts) -> Действие не было предпринято.
C:\Program Files\ololo\p.txt (Trojan.VKHosts) -> Действие не было предпринято.

--------------------
этот файл, скорее всего участвует в обходе валидации

Цитата:

C:\WINDOWS\system32\oobe\CRYPT.dll (Hacktool) -> Действие не было предпринято.

12.05.2012, 12:50	#107
Vvvyg Эксперт Регистрация: 25.05.2011 Сообщений: 9,136 Репутация: 811	По 24-му набору: Скрипт в AVZ: Код: begin ExecuteWizard('TSW',2,2,true); end. затем скрипт в uVS: Код: ;uVS v3.75 BETA1 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 delref %SystemDrive%\HUADIO.TMP delref HTTP://SEARCH.BABYLON.COM/HOME?AF=14276&BABSRC=NT_DEF deltmp delnfr restart далее - MBAM и проверку уязвимостей, там файрфокс как минимум старый с дырами.

12.05.2012, 13:24	#109
Vvvyg Эксперт Регистрация: 25.05.2011 Сообщений: 9,136 Репутация: 811	В установленных программах есть Mozilla Firefox 3.5.6. Последний раз редактировалось Vvvyg; 12.05.2012 в 13:29.

14.05.2012, 06:44	#114
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; Код: ;uVS v3.75 BETA1 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 addsgn A7679BC903E1117A5C5FDBBDE13E997835FFF575B4EEAB7BE9C32E9AD328703826943D554B773C699283E81A866240AD2B8C17A2D01AC4207A21F7C7CFF9DD8C 64 majachok zoo %Sys32%\KHQZQJD.DLL delref %Sys32%\KHQZQJD.DLL deltmp delnfr setdns Подключение по локальной сети\4\{AC28148A-615F-4976-893B-6640E1C9C5C8}\ EXEC cmd /c"netsh winsock reset catalog" CZOO restart перезагрузка, пишем о старых и новых проблемах. архив, из каталога uVS, созданный после выполнения скрипта (например: 2012-12-31_23-59-59.rar/7z) отправить в почту sendvirus2011@gmail.com ---------- далее, выполните быстрое сканирование в Malwarebytes

14.05.2012, 10:38	#118
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; Код: ;uVS v3.75 BETA1 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 delref %Sys32%\QJPWBNN.DLL deltmp delnfr restart перезагрузка, пишем о старых и новых проблемах. ---------- далее, выполните быстрое сканирование в Malwarebytes

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Проверка	York30	Безопасность	4	05.04.2012 20:04
Проверка uVS	ARAFATI	Безопасность	10	27.11.2011 21:54
проверка	Чайка	Безопасность	22	17.01.2011 17:30
ПРОВЕРКА	Tala	Безопасность	5	11.06.2010 23:58
проверка hdd	wadim	Программы	5	24.03.2010 00:03

12.05.2012, 12:34	#106
pro-pan Новичок Регистрация: 24.01.2012 Сообщений: 544 Репутация: 1	0024 авз http://rghost.ru/38037831 ювс http://rghost.ru/38037838 рсит http://rghost.ru/38037840

12.05.2012, 13:10	#108
pro-pan Новичок Регистрация: 24.01.2012 Сообщений: 544 Репутация: 1	вообще то уязвимости закрыты еще до сбора логов... и фаерфокса в программах не наблюдаю 0024 мбам http://rghost.ru/38038201

12.05.2012, 13:49	#111
pro-pan Новичок Регистрация: 24.01.2012 Сообщений: 544 Репутация: 1	повторная проверка - чисто

12.05.2012, 13:58	#112
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	значит все ок по ней.

14.05.2012, 06:06	#113
pro-pan Новичок Регистрация: 24.01.2012 Сообщений: 544 Репутация: 1	0024 - Соединение закрыто удалённым сервером авз http://rghost.ru/38072592 ювс http://rghost.ru/38072596 рсит http://rghost.ru/38072597

14.05.2012, 07:03	#115
pro-pan Новичок Регистрация: 24.01.2012 Сообщений: 544 Репутация: 1	архив из каталога uVS отправил мбам чистый

14.05.2012, 07:15	#116
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	ок, закрываем уязвимости

14.05.2012, 10:08	#117
pro-pan Новичок Регистрация: 24.01.2012 Сообщений: 544 Репутация: 1	0025 авз http://rghost.ru/38073396 ювс http://rghost.ru/38073398 рсит http://rghost.ru/38073400

14.05.2012, 11:16	#119
pro-pan Новичок Регистрация: 24.01.2012 Сообщений: 544 Репутация: 1	мбам http://rghost.ru/38073817

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads