11.12.2014, 07:22 | #751 (ссылка) |
Новичок
Регистрация: 24.01.2012
Сообщений: 544
Репутация: 1
|
к 0192 mbam http://rghost.ru/59561122
---------- Добавлено в 13:22 ---------- Предыдущее сообщение было написано в 13:20 ---------- k 0192 mbam http://rghost.ru/59561122 |
11.12.2014, 07:29 | #752 (ссылка) | |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
это оставить в мбам
Цитата:
далее, ***** в АдвКлинере, в секции Папки снимите галки с записей mail.ru, yandex (если есть такие) остальное удалите по кнопке Очистить далее, закрываем уязвимости Скопируйте всё содержимое страницы http://dataforce.ru/~kad/ScanVuln.txt в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится айл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player. ------------ если с браузерами будет проблема, добавьте логи расширения браузеров http://pchelpforum.ru/f26/t24207/p1171371/ |
|
Ads | |
11.12.2014, 11:40 | #754 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
Женя, вот чувствуется твоя профилактическая работа, редко системы бывают сильно зараженными
выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код:
;uVS v3.85.3 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v385c OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir ; Java(TM) 6 Update 30 exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216030FF} /quiet deltmp delnfr ;------------------------------------------------------------- restart ---------- далее, выполните сканирование (угроз) в Malwarebytes |
12.12.2014, 11:53 | #756 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
ничего особенного
выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код:
;uVS v3.85.3 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v385c OFFSGNSAVE hide %SystemDrive%\PROGRAM FILES\AMICON\CLIENT FPSU-IP\FILEHASH\WINFPSUHASH.EXE ;------------------------autoscript--------------------------- chklst delvir delref HTTP://WWW.MYSTARTSEARCH.COM/?TYPE=HP&TS=1416444547&FROM=SKY&UID=MAXTORX6Y120P0_Y36DMD8E deltmp delnfr ;------------------------------------------------------------- restart ---------- далее, выполните сканирование (угроз) в Malwarebytes |
16.01.2015, 10:56 | #757 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код:
;uVS v3.85.3 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v385c OFFSGNSAVE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\КУМИ\LOCAL SETTINGS\APPLICATION DATA\SCREENTK\SCREENTOOL.EXE addsgn 1A7F279A5583C58CF42B627DA804DEC9E946303A4536942CA1CF4EF074D2F49E577EF097B411B941AF40F189C7ECC9FA7DDF9A7CD6E778036677A45BC2EFD323 8 AdWare.Trioris.A [ESET-NOD32] del %SystemDrive%\IEXPLORE.BAT del %SystemDrive%\OPERA.BAT del %SystemDrive%\PCSULAUNCHER.BAT delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER.EXE addsgn 1A7AEF9A5583C58CF42B95BC14B97A0550880F3560E786788548043F30D2718B23B7A6343E93DD412B430FDE4293898F7867401736DA73A7D2222FC3447B2A73 8 anyprotect zoo %SystemDrive%\PROGRAM FILES\ANYPROTECTEX\ANYPROTECT.EXE del %SystemDrive%\DOCUMENTS AND SETTINGS\КУМИ\LOCAL SETTINGS\APPLICATION DATA\YANDEX\BROWSER.BAT del %SystemDrive%\DOCUMENTS AND SETTINGS\КУМИ\LOCAL SETTINGS\APPLICATION DATA\BROWSERMANAGER.BAT delall %SystemDrive%\PROGRAM FILES\SEARCH EXTENSIONS\CLIENT.EXE delall %SystemDrive%\PROGRAM FILES\SEARCHPROTECT\SEARCHPROTECT\BIN\CLTMNG.EXE delall %SystemDrive%\PROGRAM FILES\SEARCHPROTECT\MAIN\BIN\CLTMNGSVC.EXE delall %SystemDrive%\PROGRAM FILES\SEARCHPROTECT\UI\BIN\CLTMNGUI.EXE delall %Sys32%\EBAXFZE.DLL delall %SystemDrive%\DOCUMENTS AND SETTINGS\КУМИ\LOCAL SETTINGS\APPLICATION DATA\WEBINTERNETSECURITY\UNINSTALL.WEBINTERNETSECURITY.EXE delall %SystemDrive%\PROGRAM FILES\SEARCHPROTECT\SEARCHPROTECT\BIN\VC32LOADER.DLL addsgn 0DC92F771E6A4C720BD4AEB164C83EE82E8AFCF689FA1F7885C3466F9184714C2317C1573E550F492B80F8724D16353576DFBA211189719AD01CA1398C4EAB46 8 Trojan.KillFiles.21383 [DrWeb] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\КУМИ\LOCAL SETTINGS\APPLICATION DATA\WEBINTERNETSECURITY\WEBINTERNETSECURITY.EXE ;------------------------autoscript--------------------------- sreg chklst delvir delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER3.DLL del %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER3.DLL delref %SystemRoot%\SCREENTK.SYS del %SystemRoot%\SCREENTK.SYS delref HTTP=127.0.0.1:1054;HTTPS=127.0.0.1:1054 delref HTTP://SINDEX.BIZ/?COMPANY=5 delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=C430F916C5B3BE0F004F82FC5CC46EF2&TEXT={SEARCHTERMS} delref HTTP://HOME.WEBALTA.RU/?STARTS&S=BE708CE4 regt 28 regt 29 ; BlockAndSurf exec C:\Program Files\ver2BlockAndSurf\Uninstall.exe ; AnyProtect exec C:\Program Files\AnyProtectEx\uninstall.exe ; ConvertAd exec C:\Documents and Settings\Куми\Local Settings\Application Data\ConvertAd\uninstall.exe ; Optimizer Pro v3.2 exec C:\Program Files\Optimizer Pro\unins000.exe" /VERYSILENT ; Screentool - снимки экрана exec C:\Documents and Settings\Куми\Local Settings\Application Data\screentk\uninstall.exe ; Search Protect exec C:\PROGRA~1\SearchProtect\Main\bin\uninstall.exe" /S ; Remote Desktop Access (VuuPC) exec C:\Documents and Settings\Куми\Application Data\VOPackage\uninstall.exe deldirex %SystemDrive%\PROGRAM FILES\VER2BLOCKANDSURF deldir %SystemDrive%\PROGRAM FILES\VER2BLOCKANDSURF deltmp delnfr areg ;------------------------------------------------------------- если не будут выходить браузеры в сеть, убрать настройки прокси в браузерах. ---------- далее, выполните сканирование (угроз) в Malwarebytes |
19.01.2015, 12:30 | #758 (ссылка) |
Новичок
Регистрация: 24.01.2012
Сообщений: 544
Репутация: 1
|
0196 ювс http://rghost.ru/60433902
|
19.01.2015, 12:41 | #759 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
вирусни нет, есть только следы в реестре,
выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код:
;uVS v3.85.3 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE delall %SystemDrive%\USERS\BUHGALTER\DOCUMENTS\COMMONDATA\WINHLP31.EXE delall %SystemDrive%\USERS\BUHGALTER\DESKTOP\IDW4371.EXE delall %SystemDrive%\USERS\BUHGALTER\DOWNLOADS\IDW440 (1).EXE delall %SystemDrive%\USERS\BUHGALTER\DOWNLOADS\IDW440 (3).EXE delall %SystemDrive%\USERS\BUHGALTER\DOWNLOADS\IDW440.EXE ;------------------------autoscript--------------------------- chklst delvir ; Java(TM) 6 Update 30 exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216030FF} /quiet deltmp delnfr ;------------------------------------------------------------- restart ---------- далее, выполните сканирование (угроз) в Malwarebytes + обновить java до актуальной версии 6 или 7. |
28.01.2015, 10:35 | #760 (ссылка) |
Новичок
Регистрация: 24.01.2012
Сообщений: 544
Репутация: 1
|
0197 ювс http://rghost.ru/6dkHyPRmT
комп находится в локальной сети . в общей папке все документы (ворд / эксель...) переименовались и у всех в конце наименования добавилось ИМЯФАЙЛА.doc.id-0976064168_sos@xsmail.com |
Ads | |
28.01.2015, 10:53 | #761 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
следов шифратора уже нет в образе автозапуска.
добавьте по ссылке один из зашифрованных файлов. что-то неизвестное расширение файла. с дешифраторами для новых типов шифраторов только вирлабы могут помочь. что-от новое, следов даже в поисковиках еще нет. а есть еще компы в локальной сети с общими ресурсами? тоже могут доки зашифроваться, если юзер компа где был запущен зловред имеет доступ к шарам на других компах. Последний раз редактировалось safety; 28.01.2015 в 11:12. |
28.01.2015, 11:14 | #762 (ссылка) |
Новичок
Регистрация: 24.01.2012
Сообщений: 544
Репутация: 1
|
начали разбираться.... судя по всему вирус полез с локальной сетки - установили даже группу компов, на которых открывали зараженные письма (с ссылкой)
вот один из измененных файлов http://rghost.ru/8Sz6YnfTx |
28.01.2015, 11:23 | #763 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
ничего нет в поисковиках по этому типу расширений
_sos@xsmail.com проверьте, чтобы не было доступа к базам 1с если есть в локальной сети, иначе зашифруют базы, тогда без выкупа не отделаешься от этого шифратора. если компов немного, можно выключить все, и по одному вычислять, запущен на нем шифратор или нет. или сетку отключить на компах и тогда уже проверять каждый. (но тогда удаленно не получится проверять.) ------------ + если сохранилось письмо с вредоносным вложением, вышлите в почту safety@chklst.ru с паролем infected ----------- если шифрование было на нескольких машинах, то можно добавить по паре файлов с нескольких машин. видимо идентификаторы будут разные. Последний раз редактировалось safety; 28.01.2015 в 11:31. |
28.01.2015, 11:37 | #765 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
хм, могло прилететь и из общей сетки. посмотри на зашифрованных файлах, кто является владельцем файла. возможно будет владельцем тот, на чьем компе было запущен процесс шифрования.
но и не забываем о копиях документов. есть или нет. вполне возможно, что восстановление доков будет возможно только с архивных копий. |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
Опции темы | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Проверка | York30 | Безопасность | 4 | 05.04.2012 20:04 |
Проверка uVS | ARAFATI | Безопасность | 10 | 27.11.2011 21:54 |
проверка | Чайка | Безопасность | 22 | 17.01.2011 17:30 |
ПРОВЕРКА | Tala | Безопасность | 5 | 11.06.2010 23:58 |
проверка hdd | wadim | Программы | 5 | 24.03.2010 00:03 |