плановая проверка - Страница 51

pro-pan · 11.12.2014, 07:22

к 0192 mbam http://rghost.ru/59561122

---------- Добавлено в 13:22 ---------- Предыдущее сообщение было написано в 13:20 ----------

k 0192 mbam http://rghost.ru/59561122

safety · 11.12.2014, 07:29

это оставить в мбам

Цитата:

Процессы: 1
Trojan.FakeAlert, C:\Windows\kmsem\KMService.exe, 2260, , [de5468f91468c86e7be8402f08f86898]

Файлы: 18
Trojan.FakeAlert, C:\Windows\kmsem\KMService.exe, , [de5468f91468c86e7be8402f08f86898],
PUP.Hacktool, C:\Program Files\Microsoft Office\activator.exe, , [4be74c15dba106308cb34155629ee41c],
Hacktool.Agent, C:\Windows\Loader.exe, , [7bb7f170ec90b87e972703635ba6ef11],

остальное все удаляем,

далее,

*****
в АдвКлинере, в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)

остальное удалите по кнопке Очистить

далее,

закрываем уязвимости

Скопируйте всё содержимое страницы http://dataforce.ru/~kad/ScanVuln.txt в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится айл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

------------
если с браузерами будет проблема,

добавьте логи расширения браузеров
http://pchelpforum.ru/f26/t24207/p1171371/

pro-pan · 11.12.2014, 10:46

0193 http://rghost.ru/59564415

safety · 11.12.2014, 11:40

Женя, вот чувствуется твоя профилактическая работа, редко системы бывают сильно зараженными

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:

;uVS v3.85.3 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

; Java(TM) 6 Update 30
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216030FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните сканирование (угроз) в Malwarebytes

pro-pan · 12.12.2014, 11:35

0194 http://rghost.ru/59597624

safety · 12.12.2014, 11:53

ничего особенного

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:

;uVS v3.85.3 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE

hide %SystemDrive%\PROGRAM FILES\AMICON\CLIENT FPSU-IP\FILEHASH\WINFPSUHASH.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://WWW.MYSTARTSEARCH.COM/?TYPE=HP&TS=1416444547&FROM=SKY&UID=MAXTORX6Y120P0_Y36DMD8E

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните сканирование (угроз) в Malwarebytes

safety · 16.01.2015, 10:56

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:

;uVS v3.85.3 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\КУМИ\LOCAL SETTINGS\APPLICATION DATA\SCREENTK\SCREENTOOL.EXE
addsgn 1A7F279A5583C58CF42B627DA804DEC9E946303A4536942CA1CF4EF074D2F49E577EF097B411B941AF40F189C7ECC9FA7DDF9A7CD6E778036677A45BC2EFD323 8 AdWare.Trioris.A [ESET-NOD32]

del %SystemDrive%\IEXPLORE.BAT
del %SystemDrive%\OPERA.BAT
del %SystemDrive%\PCSULAUNCHER.BAT
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER.EXE
addsgn 1A7AEF9A5583C58CF42B95BC14B97A0550880F3560E786788548043F30D2718B23B7A6343E93DD412B430FDE4293898F7867401736DA73A7D2222FC3447B2A73 8 anyprotect

zoo %SystemDrive%\PROGRAM FILES\ANYPROTECTEX\ANYPROTECT.EXE
del %SystemDrive%\DOCUMENTS AND SETTINGS\КУМИ\LOCAL SETTINGS\APPLICATION DATA\YANDEX\BROWSER.BAT
del %SystemDrive%\DOCUMENTS AND SETTINGS\КУМИ\LOCAL SETTINGS\APPLICATION DATA\BROWSERMANAGER.BAT
delall %SystemDrive%\PROGRAM FILES\SEARCH EXTENSIONS\CLIENT.EXE
delall %SystemDrive%\PROGRAM FILES\SEARCHPROTECT\SEARCHPROTECT\BIN\CLTMNG.EXE
delall %SystemDrive%\PROGRAM FILES\SEARCHPROTECT\MAIN\BIN\CLTMNGSVC.EXE
delall %SystemDrive%\PROGRAM FILES\SEARCHPROTECT\UI\BIN\CLTMNGUI.EXE
delall %Sys32%\EBAXFZE.DLL
delall %SystemDrive%\DOCUMENTS AND SETTINGS\КУМИ\LOCAL SETTINGS\APPLICATION DATA\WEBINTERNETSECURITY\UNINSTALL.WEBINTERNETSECURITY.EXE
delall %SystemDrive%\PROGRAM FILES\SEARCHPROTECT\SEARCHPROTECT\BIN\VC32LOADER.DLL
addsgn 0DC92F771E6A4C720BD4AEB164C83EE82E8AFCF689FA1F7885C3466F9184714C2317C1573E550F492B80F8724D16353576DFBA211189719AD01CA1398C4EAB46 8 Trojan.KillFiles.21383 [DrWeb]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\КУМИ\LOCAL SETTINGS\APPLICATION DATA\WEBINTERNETSECURITY\WEBINTERNETSECURITY.EXE
;------------------------autoscript---------------------------

sreg

chklst
delvir

delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER3.DLL
del %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER3.DLL

delref %SystemRoot%\SCREENTK.SYS
del %SystemRoot%\SCREENTK.SYS

delref HTTP=127.0.0.1:1054;HTTPS=127.0.0.1:1054
delref HTTP://SINDEX.BIZ/?COMPANY=5
delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=C430F916C5B3BE0F004F82FC5CC46EF2&TEXT={SEARCHTERMS}
delref HTTP://HOME.WEBALTA.RU/?STARTS&S=BE708CE4
regt 28
regt 29
; BlockAndSurf
exec C:\Program Files\ver2BlockAndSurf\Uninstall.exe
; AnyProtect
exec C:\Program Files\AnyProtectEx\uninstall.exe
; ConvertAd
exec C:\Documents and Settings\Куми\Local Settings\Application Data\ConvertAd\uninstall.exe
; Optimizer Pro v3.2
exec C:\Program Files\Optimizer Pro\unins000.exe" /VERYSILENT
; Screentool - снимки экрана
exec C:\Documents and Settings\Куми\Local Settings\Application Data\screentk\uninstall.exe
; Search Protect
exec C:\PROGRA~1\SearchProtect\Main\bin\uninstall.exe" /S
; Remote Desktop Access (VuuPC)
exec C:\Documents and Settings\Куми\Application Data\VOPackage\uninstall.exe
deldirex %SystemDrive%\PROGRAM FILES\VER2BLOCKANDSURF
deldir %SystemDrive%\PROGRAM FILES\VER2BLOCKANDSURF

deltmp
delnfr
areg

;-------------------------------------------------------------

перезагрузка, пишем о старых и новых проблемах.
если не будут выходить браузеры в сеть, убрать настройки прокси в браузерах.
----------
далее,
выполните сканирование (угроз) в Malwarebytes

pro-pan · 19.01.2015, 12:30

0196 ювс http://rghost.ru/60433902

safety · 19.01.2015, 12:41

вирусни нет, есть только следы в реестре,

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:

;uVS v3.85.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
delall %SystemDrive%\USERS\BUHGALTER\DOCUMENTS\COMMONDATA\WINHLP31.EXE
delall %SystemDrive%\USERS\BUHGALTER\DESKTOP\IDW4371.EXE
delall %SystemDrive%\USERS\BUHGALTER\DOWNLOADS\IDW440 (1).EXE
delall %SystemDrive%\USERS\BUHGALTER\DOWNLOADS\IDW440 (3).EXE
delall %SystemDrive%\USERS\BUHGALTER\DOWNLOADS\IDW440.EXE
;------------------------autoscript---------------------------

chklst
delvir

; Java(TM) 6 Update 30
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216030FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните сканирование (угроз) в Malwarebytes
+
обновить java до актуальной версии 6 или 7.

pro-pan · 28.01.2015, 10:35

0197 ювс http://rghost.ru/6dkHyPRmT
комп находится в локальной сети . в общей папке все документы (ворд / эксель...) переименовались и у всех в конце наименования добавилось ИМЯФАЙЛА.doc.id-0976064168_sos@xsmail.com

safety · 28.01.2015, 10:53

следов шифратора уже нет в образе автозапуска.

добавьте по ссылке один из зашифрованных файлов. что-то неизвестное расширение файла.
с дешифраторами для новых типов шифраторов только вирлабы могут помочь.

что-от новое, следов даже в поисковиках еще нет.

а есть еще компы в локальной сети с общими ресурсами?
тоже могут доки зашифроваться, если юзер компа где был запущен зловред имеет доступ к шарам на других компах.

pro-pan · 28.01.2015, 11:14

начали разбираться.... судя по всему вирус полез с локальной сетки - установили даже группу компов, на которых открывали зараженные письма (с ссылкой)
вот один из измененных файлов http://rghost.ru/8Sz6YnfTx

safety · 28.01.2015, 11:23

ничего нет в поисковиках по этому типу расширений
_sos@xsmail.com

проверьте, чтобы не было доступа к базам 1с если есть в локальной сети, иначе зашифруют базы, тогда без выкупа не отделаешься от этого шифратора.

если компов немного, можно выключить все, и по одному вычислять, запущен на нем шифратор или нет.

или сетку отключить на компах и тогда уже проверять каждый. (но тогда удаленно не получится проверять.)
------------
+
если сохранилось письмо с вредоносным вложением, вышлите в почту safety@chklst.ru
с паролем infected

-----------
если шифрование было на нескольких машинах, то можно добавить по паре файлов с нескольких машин.
видимо идентификаторы будут разные.

pro-pan · 28.01.2015, 11:24

организация крупная (~100) - у меня на обслуживании только один отдел - отключил их физически от общей сетки...кабель выдернул и все)))

safety · 28.01.2015, 11:37

хм, могло прилететь и из общей сетки. посмотри на зашифрованных файлах, кто является владельцем файла. возможно будет владельцем тот, на чьем компе было запущен процесс шифрования.

но и не забываем о копиях документов. есть или нет. вполне возможно, что восстановление доков будет возможно только с архивных копий.

11.12.2014, 11:40	#754 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	Женя, вот чувствуется твоя профилактическая работа, редко системы бывают сильно зараженными выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код: ;uVS v3.85.3 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v385c OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir ; Java(TM) 6 Update 30 exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216030FF} /quiet deltmp delnfr ;------------------------------------------------------------- restart перезагрузка, пишем о старых и новых проблемах. ---------- далее, выполните сканирование (угроз) в Malwarebytes

12.12.2014, 11:53	#756 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	ничего особенного выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код: ;uVS v3.85.3 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v385c OFFSGNSAVE hide %SystemDrive%\PROGRAM FILES\AMICON\CLIENT FPSU-IP\FILEHASH\WINFPSUHASH.EXE ;------------------------autoscript--------------------------- chklst delvir delref HTTP://WWW.MYSTARTSEARCH.COM/?TYPE=HP&TS=1416444547&FROM=SKY&UID=MAXTORX6Y120P0_Y36DMD8E deltmp delnfr ;------------------------------------------------------------- restart перезагрузка, пишем о старых и новых проблемах. ---------- далее, выполните сканирование (угроз) в Malwarebytes

19.01.2015, 12:41	#759 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	вирусни нет, есть только следы в реестре, выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код: ;uVS v3.85.3 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE delall %SystemDrive%\USERS\BUHGALTER\DOCUMENTS\COMMONDATA\WINHLP31.EXE delall %SystemDrive%\USERS\BUHGALTER\DESKTOP\IDW4371.EXE delall %SystemDrive%\USERS\BUHGALTER\DOWNLOADS\IDW440 (1).EXE delall %SystemDrive%\USERS\BUHGALTER\DOWNLOADS\IDW440 (3).EXE delall %SystemDrive%\USERS\BUHGALTER\DOWNLOADS\IDW440.EXE ;------------------------autoscript--------------------------- chklst delvir ; Java(TM) 6 Update 30 exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216030FF} /quiet deltmp delnfr ;------------------------------------------------------------- restart перезагрузка, пишем о старых и новых проблемах. ---------- далее, выполните сканирование (угроз) в Malwarebytes + обновить java до актуальной версии 6 или 7.

28.01.2015, 10:53	#761 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	следов шифратора уже нет в образе автозапуска. добавьте по ссылке один из зашифрованных файлов. что-то неизвестное расширение файла. с дешифраторами для новых типов шифраторов только вирлабы могут помочь. что-от новое, следов даже в поисковиках еще нет. а есть еще компы в локальной сети с общими ресурсами? тоже могут доки зашифроваться, если юзер компа где был запущен зловред имеет доступ к шарам на других компах. Последний раз редактировалось safety; 28.01.2015 в 11:12.

28.01.2015, 11:23	#763 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	ничего нет в поисковиках по этому типу расширений _sos@xsmail.com проверьте, чтобы не было доступа к базам 1с если есть в локальной сети, иначе зашифруют базы, тогда без выкупа не отделаешься от этого шифратора. если компов немного, можно выключить все, и по одному вычислять, запущен на нем шифратор или нет. или сетку отключить на компах и тогда уже проверять каждый. (но тогда удаленно не получится проверять.) ------------ + если сохранилось письмо с вредоносным вложением, вышлите в почту safety@chklst.ru с паролем infected ----------- если шифрование было на нескольких машинах, то можно добавить по паре файлов с нескольких машин. видимо идентификаторы будут разные. Последний раз редактировалось safety; 28.01.2015 в 11:31.

11.12.2014, 07:22	#751 (ссылка)
pro-pan Новичок Регистрация: 24.01.2012 Сообщений: 544 Репутация: 1	к 0192 mbam http://rghost.ru/59561122 ---------- Добавлено в 13:22 ---------- Предыдущее сообщение было написано в 13:20 ---------- k 0192 mbam http://rghost.ru/59561122

11.12.2014, 10:46	#753 (ссылка)
pro-pan Новичок Регистрация: 24.01.2012 Сообщений: 544 Репутация: 1	0193 http://rghost.ru/59564415

12.12.2014, 11:35	#755 (ссылка)
pro-pan Новичок Регистрация: 24.01.2012 Сообщений: 544 Репутация: 1	0194 http://rghost.ru/59597624

19.01.2015, 12:30	#758 (ссылка)
pro-pan Новичок Регистрация: 24.01.2012 Сообщений: 544 Репутация: 1	0196 ювс http://rghost.ru/60433902

28.01.2015, 10:35	#760 (ссылка)
pro-pan Новичок Регистрация: 24.01.2012 Сообщений: 544 Репутация: 1	0197 ювс http://rghost.ru/6dkHyPRmT комп находится в локальной сети . в общей папке все документы (ворд / эксель...) переименовались и у всех в конце наименования добавилось ИМЯФАЙЛА.doc.id-0976064168_sos@xsmail.com

28.01.2015, 11:14	#762 (ссылка)
pro-pan Новичок Регистрация: 24.01.2012 Сообщений: 544 Репутация: 1	начали разбираться.... судя по всему вирус полез с локальной сетки - установили даже группу компов, на которых открывали зараженные письма (с ссылкой) вот один из измененных файлов http://rghost.ru/8Sz6YnfTx

28.01.2015, 11:24	#764 (ссылка)
pro-pan Новичок Регистрация: 24.01.2012 Сообщений: 544 Репутация: 1	организация крупная (~100) - у меня на обслуживании только один отдел - отключил их физически от общей сетки...кабель выдернул и все)))

28.01.2015, 11:37	#765 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	хм, могло прилететь и из общей сетки. посмотри на зашифрованных файлах, кто является владельцем файла. возможно будет владельцем тот, на чьем компе было запущен процесс шифрования. но и не забываем о копиях документов. есть или нет. вполне возможно, что восстановление доков будет возможно только с архивных копий.

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Опции темы
Версия для печати Отправить по электронной почте

Ads

Ads

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Проверка	York30	Безопасность	4	05.04.2012 20:04
Проверка uVS	ARAFATI	Безопасность	10	27.11.2011 21:54
проверка	Чайка	Безопасность	22	17.01.2011 17:30
ПРОВЕРКА	Tala	Безопасность	5	11.06.2010 23:58
проверка hdd	wadim	Программы	5	24.03.2010 00:03