Вернуться   Компьютерный форум > Компьютеры > Программы > Безопасность
 
 
Опции темы
Старый 28.01.2015, 11:42   #766 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

по шифраторам выходит что без HIPS тяжело будет блокировать запуск, поскольку у нас в отделах много любопытных дам работает (да и не дам тоже). обязательно глянут и запустят что там есть во вложении, даже если письмо написано иероглифами. еще и коллег попросят посмотреть (типа, что-то документ не открывается).

или поднимать в локальных политиках создавать правила ограниченного использования программ. поскольку HIPS-ы пока не работают так как надо. (чтобы блокировать запуск программ по относительным путям, и по маскам)
safety вне форума  
Старый 28.01.2015, 12:01   #767 (ссылка)
Новичок
 
Регистрация: 24.01.2012
Сообщений: 544
Репутация: 1
По умолчанию

Цитата:
Сообщение от safety Посмотреть сообщение
еще и коллег попросят посмотреть (типа, что-то документ не открывается).
ахаха... прямо так и было: одна получила письмо - не смогла открыть и позвала свою коллегу "помочь ей"... и понеслась ))
pro-pan вне форума  
Старый 28.01.2015, 12:06   #768 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

надо локализовать вредоносное письмо, от него можно плясать, если получится.
протестировать, выделить вредоносную программу, посмотреть кто ее детектирует и каким образом, и потом уже обращаться в вирлаб со слезной просьбой - помочь с расшифровкой.
safety вне форума  
Ads
Старый 28.01.2015, 13:27   #769 (ссылка)
Новичок
 
Регистрация: 24.01.2012
Сообщений: 544
Репутация: 1
По умолчанию

0198 http://rghost.ru/65wrcDVrV - не можем поменять стартовую страницу в браузере
pro-pan вне форума  
Старый 28.01.2015, 13:49   #770 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код:
;uVS v3.85.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\SYSTEMDIR\NETHOST.EXE
addsgn 1A4DCD9A5583C58CF42B254E3143FE8E6082AA7D783C5974854605C9333E92EE23174A1136DED525A28E0FD72E9F07FEF6D1D37FD59DFD2C59652F22FF436F73 8 Win32/RuKometa.A [ESET-NOD32]

delall %SystemDrive%\PROGRAM FILES\MICROSOFT DATA\INSTALLADDONS.EXE
addsgn 1AFCCB9A5583C58CF42B254E3143FE8E6082AA7D783C5974854605C9333E6BDD23174A1136DED525A28E0FD72E9F07FEF6D1D37FBD82AF2959652F2267503D76 8 RuKometa.B

zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\SYSTEMDIR\SETSEARCHM.EXE
zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\NET7D96.TMP.EXE
zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\NETA7C7.TMP.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://SIMSIMOTKROYSIA.RU/

deldirex %SystemDrive%\USERS\USER\APPDATA\LOCAL\SYSTEMDIR

deltmp
delnfr
;-------------------------------------------------------------

restart
перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните сканирование (угроз) в Malwarebytes
safety вне форума  
Старый 03.02.2015, 08:03   #771 (ссылка)
Новичок
 
Регистрация: 24.01.2012
Сообщений: 544
Репутация: 1
По умолчанию

0199 uvs http://rghost.ru/6hpRJvLpS
pro-pan вне форума  
Старый 03.02.2015, 08:12   #772 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код:
;uVS v3.85.3 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES\SEARCHPROTECT\SEARCHPROTECT\BIN\VC32LOADER.DLL
addsgn A7679B1928664D070E3CE3D664C8ED70357589FA768F179082C3C5BCD3127D11E11BC33D323D65A429906C2D6C1649C9BD9F6307595F4659214E91E7D005327C 64 SearchProtect

zoo %SystemDrive%\PROGRAM FILES\SPEED ANALYSIS 2\SCRIPTHOST.DLL
addsgn 79132211B9E9317E0AA1AB594D4C1205DAFFF47DC4EA942D892B2942AF292811E11BC39B56955B4B3BE47BAA461649FAF69BCC62DCB6943CA01B803FECE67125 64 BestToolBar

zoo %SystemDrive%\PROGRAM FILES\SPEED ANALYSIS 2\PROPERTYSYNC.EXE
addsgn 1A15B79A5583358CF42BC621498C1261DABFFCF689FA943CA1D34CD074C6FC200707E8B76D03CAE81FC3CC9F7753B5C9B88F6117BD25C5D4A63258E882FADC8C 8 Besttoolbars

zoo %SystemRoot%\APPPATCH\NBIN\VC32LOADER.DLL
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\КУМИ\LOCAL SETTINGS\APPLICATION DATA\SCREENTK\SCREENTOOL.EXE
addsgn 1A7F279A5583C58CF42B627DA804DEC9E946303A4536942CA1CF4EF074D2F49E577EF097B411B941AF40F189C7ECC9FA7DDF9A7CD6E778036677A45BC2EFD323 8 AdWare.Trioris.A [ESET-NOD32]

del %SystemDrive%\DOCUMENTS AND SETTINGS\КУМИ\LOCAL SETTINGS\APPLICATION DATA\YANDEX\BROWSER.BAT
del %SystemDrive%\DOCUMENTS AND SETTINGS\КУМИ\LOCAL SETTINGS\APPLICATION DATA\BROWSERMANAGER.BAT
del %SystemDrive%\IEXPLORE.BAT
del %SystemDrive%\OPERA.BAT
del %SystemDrive%\PCSULAUNCHER.BAT
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER.EXE
deldirex %SystemDrive%\PROGRAM FILES\PENNYBEE
delall %SystemDrive%\PROGRAM FILES\SEARCHPROTECT\MAIN\BIN\CLTMNGSVC.EXE
;------------------------autoscript---------------------------

sreg

chklst
delvir

delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER3.DLL
del %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER3.DLL

delref %Sys32%\EBAXFZE.DLL
del %Sys32%\EBAXFZE.DLL

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]
delref %SystemRoot%\SCREENTK.SYS
del %SystemRoot%\SCREENTK.SYS

delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=C430F916C5B3BE0F004F82FC5CC46EF2&TEXT={SEARCHTERMS}
delref HTTP://HOME.WEBALTA.RU/?STARTS&S=BE708CE4
regt 28
regt 29
; Screentool - снимки экрана
exec C:\Documents and Settings\Куми\Local Settings\Application Data\screentk\uninstall.exe
; Search Protect
exec C:\PROGRA~1\SearchProtect\Main\bin\uninstall.exe" /S
; Remote Desktop Access (VuuPC)
exec C:\Documents and Settings\Куми\Application Data\VOPackage\uninstall.exe
deldirex %SystemDrive%\PROGRAM FILES\SEARCHPROTECT\
deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\КУМИ\APPLICATION DATA\VOPACKAGE

deltmp
delnfr
areg

;-------------------------------------------------------------
перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните сканирование (угроз) в Malwarebytes
safety вне форума  
Старый 03.02.2015, 09:55   #773 (ссылка)
Новичок
 
Регистрация: 24.01.2012
Сообщений: 544
Репутация: 1
По умолчанию

к 0199 мвам http://rghost.ru/private/6T4RXMyRk/f...2a5f3541c7689d
pro-pan вне форума  
Старый 03.02.2015, 10:07   #774 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

в мбам удалить все найденное, кроме этой записи

Цитата:
Данные реестра: 4
PUM.Disabled.SecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|UpdatesDisableNotify, 1, Хорошо0), Плохо1),,[9875f9217a1059dd4ddfc9e210f5728e]
далее,


далее,

сделайте проверку в АдвКлинере
http://pchelpforum.ru/f26/t24207/2/#post1110672

*****
в АдвКлинере, в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)

остальное удалите по кнопке Очистить

далее,

закрываем уязвимости

Скопируйте всё содержимое страницы http://dataforce.ru/~kad/ScanVuln.txt в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится айл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

------------
если проблема не решится, добавьте логи расширения браузеров
http://pchelpforum.ru/f26/t24207/p1171371/
safety вне форума  
Старый 03.02.2015, 11:26   #775 (ссылка)
Новичок
 
Регистрация: 24.01.2012
Сообщений: 544
Репутация: 1
По умолчанию

0199 проблема не решена - прошу обратить внимание вот на это (скриншот) http://rghost.ru/8GFxw4xVW

новый лог ювс http://rghost.ru/6qBK6WWPH
pro-pan вне форума  
Старый 03.02.2015, 11:38   #776 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

ярлыки видимо неправильно зачистились скриптом (твиками). можно просто удалить эти ярлыки (из меню пуск), и заново создать на рабочем столе.

+
выполнить такой скрипт еще

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код:
;uVS v3.85.3 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP:\\INFADUB.RU

; Screentool - снимки экрана
exec C:\Documents and Settings\Куми\Local Settings\Application Data\screentk\uninstall.exe
deltmp
delnfr
;-------------------------------------------------------------

restart
перезагрузка, пишем о старых и новых проблемах.
----------
safety вне форума  
Ads
Старый 04.02.2015, 11:40   #777 (ссылка)
Новичок
 
Регистрация: 24.01.2012
Сообщений: 544
Репутация: 1
По умолчанию

0200 ювс http://rghost.ru/7C9GxrlFs
pro-pan вне форума  
Старый 04.02.2015, 11:44   #778 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

судя по образу комп чист

для профилактики:

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код:
;uVS v3.85.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
deltmp
delnfr
restart
перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните сканирование (угроз) в Malwarebytes
safety вне форума  
Старый 10.02.2015, 06:48   #779 (ссылка)
Новичок
 
Регистрация: 24.01.2012
Сообщений: 544
Репутация: 1
По умолчанию

0201 ювс http://rghost.ru/77qytpkBt
pro-pan вне форума  
Старый 10.02.2015, 07:12   #780 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

образ чистый, если проблема с рекламными банерами, то надо проверять настройки роутера.

а так, можно выполнить стандартные процедуры по очистке:
скрипт #778 + сканирование угроз в мбам, + закрытие уязвимостей в AVZ
safety вне форума  
 


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Проверка York30 Безопасность 4 05.04.2012 20:04
Проверка uVS ARAFATI Безопасность 10 27.11.2011 21:54
проверка Чайка Безопасность 22 17.01.2011 17:30
ПРОВЕРКА Tala Безопасность 5 11.06.2010 23:58
проверка hdd wadim Программы 5 24.03.2010 00:03


Текущее время: 17:38. Часовой пояс GMT +4. Powered by vBulletin® Version 5.8.9
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd.