28.01.2015, 11:42 | #766 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
по шифраторам выходит что без HIPS тяжело будет блокировать запуск, поскольку у нас в отделах много любопытных дам работает (да и не дам тоже). обязательно глянут и запустят что там есть во вложении, даже если письмо написано иероглифами. еще и коллег попросят посмотреть (типа, что-то документ не открывается).
или поднимать в локальных политиках создавать правила ограниченного использования программ. поскольку HIPS-ы пока не работают так как надо. (чтобы блокировать запуск программ по относительным путям, и по маскам) |
28.01.2015, 12:06 | #768 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
надо локализовать вредоносное письмо, от него можно плясать, если получится.
протестировать, выделить вредоносную программу, посмотреть кто ее детектирует и каким образом, и потом уже обращаться в вирлаб со слезной просьбой - помочь с расшифровкой. |
Ads | |
28.01.2015, 13:27 | #769 (ссылка) |
Новичок
Регистрация: 24.01.2012
Сообщений: 544
Репутация: 1
|
0198 http://rghost.ru/65wrcDVrV - не можем поменять стартовую страницу в браузере
|
28.01.2015, 13:49 | #770 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код:
;uVS v3.85.3 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\SYSTEMDIR\NETHOST.EXE addsgn 1A4DCD9A5583C58CF42B254E3143FE8E6082AA7D783C5974854605C9333E92EE23174A1136DED525A28E0FD72E9F07FEF6D1D37FD59DFD2C59652F22FF436F73 8 Win32/RuKometa.A [ESET-NOD32] delall %SystemDrive%\PROGRAM FILES\MICROSOFT DATA\INSTALLADDONS.EXE addsgn 1AFCCB9A5583C58CF42B254E3143FE8E6082AA7D783C5974854605C9333E6BDD23174A1136DED525A28E0FD72E9F07FEF6D1D37FBD82AF2959652F2267503D76 8 RuKometa.B zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\SYSTEMDIR\SETSEARCHM.EXE zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\NET7D96.TMP.EXE zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\NETA7C7.TMP.EXE ;------------------------autoscript--------------------------- chklst delvir delref HTTP://SIMSIMOTKROYSIA.RU/ deldirex %SystemDrive%\USERS\USER\APPDATA\LOCAL\SYSTEMDIR deltmp delnfr ;------------------------------------------------------------- restart ---------- далее, выполните сканирование (угроз) в Malwarebytes |
03.02.2015, 08:03 | #771 (ссылка) |
Новичок
Регистрация: 24.01.2012
Сообщений: 544
Репутация: 1
|
0199 uvs http://rghost.ru/6hpRJvLpS
|
03.02.2015, 08:12 | #772 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код:
;uVS v3.85.3 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v385c OFFSGNSAVE zoo %SystemDrive%\PROGRAM FILES\SEARCHPROTECT\SEARCHPROTECT\BIN\VC32LOADER.DLL addsgn A7679B1928664D070E3CE3D664C8ED70357589FA768F179082C3C5BCD3127D11E11BC33D323D65A429906C2D6C1649C9BD9F6307595F4659214E91E7D005327C 64 SearchProtect zoo %SystemDrive%\PROGRAM FILES\SPEED ANALYSIS 2\SCRIPTHOST.DLL addsgn 79132211B9E9317E0AA1AB594D4C1205DAFFF47DC4EA942D892B2942AF292811E11BC39B56955B4B3BE47BAA461649FAF69BCC62DCB6943CA01B803FECE67125 64 BestToolBar zoo %SystemDrive%\PROGRAM FILES\SPEED ANALYSIS 2\PROPERTYSYNC.EXE addsgn 1A15B79A5583358CF42BC621498C1261DABFFCF689FA943CA1D34CD074C6FC200707E8B76D03CAE81FC3CC9F7753B5C9B88F6117BD25C5D4A63258E882FADC8C 8 Besttoolbars zoo %SystemRoot%\APPPATCH\NBIN\VC32LOADER.DLL zoo %SystemDrive%\DOCUMENTS AND SETTINGS\КУМИ\LOCAL SETTINGS\APPLICATION DATA\SCREENTK\SCREENTOOL.EXE addsgn 1A7F279A5583C58CF42B627DA804DEC9E946303A4536942CA1CF4EF074D2F49E577EF097B411B941AF40F189C7ECC9FA7DDF9A7CD6E778036677A45BC2EFD323 8 AdWare.Trioris.A [ESET-NOD32] del %SystemDrive%\DOCUMENTS AND SETTINGS\КУМИ\LOCAL SETTINGS\APPLICATION DATA\YANDEX\BROWSER.BAT del %SystemDrive%\DOCUMENTS AND SETTINGS\КУМИ\LOCAL SETTINGS\APPLICATION DATA\BROWSERMANAGER.BAT del %SystemDrive%\IEXPLORE.BAT del %SystemDrive%\OPERA.BAT del %SystemDrive%\PCSULAUNCHER.BAT delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER.EXE deldirex %SystemDrive%\PROGRAM FILES\PENNYBEE delall %SystemDrive%\PROGRAM FILES\SEARCHPROTECT\MAIN\BIN\CLTMNGSVC.EXE ;------------------------autoscript--------------------------- sreg chklst delvir delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER3.DLL del %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER3.DLL delref %Sys32%\EBAXFZE.DLL del %Sys32%\EBAXFZE.DLL delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID] delref %SystemRoot%\SCREENTK.SYS del %SystemRoot%\SCREENTK.SYS delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=C430F916C5B3BE0F004F82FC5CC46EF2&TEXT={SEARCHTERMS} delref HTTP://HOME.WEBALTA.RU/?STARTS&S=BE708CE4 regt 28 regt 29 ; Screentool - снимки экрана exec C:\Documents and Settings\Куми\Local Settings\Application Data\screentk\uninstall.exe ; Search Protect exec C:\PROGRA~1\SearchProtect\Main\bin\uninstall.exe" /S ; Remote Desktop Access (VuuPC) exec C:\Documents and Settings\Куми\Application Data\VOPackage\uninstall.exe deldirex %SystemDrive%\PROGRAM FILES\SEARCHPROTECT\ deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\КУМИ\APPLICATION DATA\VOPACKAGE deltmp delnfr areg ;------------------------------------------------------------- ---------- далее, выполните сканирование (угроз) в Malwarebytes |
03.02.2015, 10:07 | #774 (ссылка) | |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
в мбам удалить все найденное, кроме этой записи
Цитата:
далее, сделайте проверку в АдвКлинере http://pchelpforum.ru/f26/t24207/2/#post1110672 ***** в АдвКлинере, в секции Папки снимите галки с записей mail.ru, yandex (если есть такие) остальное удалите по кнопке Очистить далее, закрываем уязвимости Скопируйте всё содержимое страницы http://dataforce.ru/~kad/ScanVuln.txt в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится айл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player. ------------ если проблема не решится, добавьте логи расширения браузеров http://pchelpforum.ru/f26/t24207/p1171371/ |
|
03.02.2015, 11:26 | #775 (ссылка) |
Новичок
Регистрация: 24.01.2012
Сообщений: 544
Репутация: 1
|
0199 проблема не решена - прошу обратить внимание вот на это (скриншот) http://rghost.ru/8GFxw4xVW
новый лог ювс http://rghost.ru/6qBK6WWPH |
03.02.2015, 11:38 | #776 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
ярлыки видимо неправильно зачистились скриптом (твиками). можно просто удалить эти ярлыки (из меню пуск), и заново создать на рабочем столе.
+ выполнить такой скрипт еще выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код:
;uVS v3.85.3 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v385c OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir delref HTTP:\\INFADUB.RU ; Screentool - снимки экрана exec C:\Documents and Settings\Куми\Local Settings\Application Data\screentk\uninstall.exe deltmp delnfr ;------------------------------------------------------------- restart ---------- |
Ads | |
04.02.2015, 11:40 | #777 (ссылка) |
Новичок
Регистрация: 24.01.2012
Сообщений: 544
Репутация: 1
|
0200 ювс http://rghost.ru/7C9GxrlFs
|
04.02.2015, 11:44 | #778 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
судя по образу комп чист
для профилактики: выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код:
;uVS v3.85.3 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE deltmp delnfr restart ---------- далее, выполните сканирование (угроз) в Malwarebytes |
10.02.2015, 06:48 | #779 (ссылка) |
Новичок
Регистрация: 24.01.2012
Сообщений: 544
Репутация: 1
|
0201 ювс http://rghost.ru/77qytpkBt
|
10.02.2015, 07:12 | #780 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
образ чистый, если проблема с рекламными банерами, то надо проверять настройки роутера.
а так, можно выполнить стандартные процедуры по очистке: скрипт #778 + сканирование угроз в мбам, + закрытие уязвимостей в AVZ |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
Опции темы | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Проверка | York30 | Безопасность | 4 | 05.04.2012 20:04 |
Проверка uVS | ARAFATI | Безопасность | 10 | 27.11.2011 21:54 |
проверка | Чайка | Безопасность | 22 | 17.01.2011 17:30 |
ПРОВЕРКА | Tala | Безопасность | 5 | 11.06.2010 23:58 |
проверка hdd | wadim | Программы | 5 | 24.03.2010 00:03 |