Вернуться   Компьютерный форум > Компьютеры > Программы > Безопасность
 
 
Опции темы
Старый 16.09.2015, 12:00   #886 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

ничего особенного кроме подозрительного расширения.

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код:
;uVS v3.86.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v385c
OFFSGNSAVE

delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GHBMNNJOOEKPMOECNNNILNNBDLOLHKHI\0.5_0\GOOGLE*ДОКУМЕНТЫ ОФЛАЙН
deltmp
delnfr
restart
перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните сканирование (угроз) в Malwarebytes
safety вне форума  
Старый 24.09.2015, 13:39   #887 (ссылка)
Новичок
 
Регистрация: 24.01.2012
Сообщений: 544
Репутация: 1
По умолчанию

0233 ювс http://rghost.ru/78Hm7D8LB
pro-pan вне форума  
Старый 24.09.2015, 13:54   #888 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

Женя, образ чистый
safety вне форума  
Ads
Старый 24.09.2015, 15:02   #889 (ссылка)
Новичок
 
Регистрация: 24.01.2012
Сообщений: 544
Репутация: 1
По умолчанию

и еще один 0234 http://rghost.ru/8t9MwXWBp
pro-pan вне форума  
Старый 24.09.2015, 15:10   #890 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

здесь ярлыки браузеров заражены, исправляем скриптом

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код:
;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

;------------------------autoscript---------------------------

hide %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\PLUGINS\EXE\DECRYPTC.EXE
chklst
delvir

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

del %SystemDrive%\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.URL

delref HTTP:\\HOME.WEBALTA.RU

del %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.URL

del %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\FIREFOX.URL

regt 28
regt 29
; Java(TM) 6 Update 33 (64-bit)
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F86416033FF} /quiet
exec  MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216033FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart
перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните сканирование (угроз) в Malwarebytes
safety вне форума  
Старый 25.09.2015, 04:19   #891 (ссылка)
Новичок
 
Регистрация: 24.01.2012
Сообщений: 544
Репутация: 1
По умолчанию

0235 http://rghost.ru/7FMJbQJkx
pro-pan вне форума  
Старый 25.09.2015, 06:28   #892 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код:
;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
delref %SystemDrive%\USERS\USER5506.PC5506\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GHBMNNJOOEKPMOECNNNILNNBDLOLHKHI\0.5_0\GOOGLE*ДОКУМЕНТЫ ОФЛАЙН
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GHBMNNJOOEKPMOECNNNILNNBDLOLHKHI\0.5_0\GOOGLE*ДОКУМЕНТЫ ОФЛАЙН
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=A10665CFF701BE7E50EAF648E39CB3E9&TEXT={SEARCHTERMS}

deldirex %SystemDrive%\USERS\USER5506\APPDATA\ROAMING\VOPACKAGE

deldirex %SystemDrive%\USERS\USER5506\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\VOPACKAGE

REGT 27
regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart
перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните сканирование (угроз) в Malwarebytes
safety вне форума  
Старый 25.09.2015, 08:09   #893 (ссылка)
Новичок
 
Регистрация: 24.01.2012
Сообщений: 544
Репутация: 1
По умолчанию

0236 http://rghost.ru/8jMtkQ4qg
pro-pan вне форума  
Старый 25.09.2015, 08:16   #894 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

ничего особенного кроме стартовой HTTP://RUSHEN.WS,
если стартовая нормальная, то можно скрипт не выполнять

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код:
;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
delref HTTP://RUSHEN.WS
deltmp
delnfr
restart
перезагрузка, пишем о старых и новых проблемах.
----------
safety вне форума  
Старый 28.09.2015, 14:12   #895 (ссылка)
Новичок
 
Регистрация: 24.01.2012
Сообщений: 544
Репутация: 1
По умолчанию

0237 http://rghost.ru/8bKsL48cj
pro-pan вне форума  
Старый 28.09.2015, 14:34   #896 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код:
;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
delall %SystemDrive%\RECYCLER\XSZ.EXE
delall %SystemDrive%\RECYCLER\SYSTEM.EXE
delall %SystemDrive%\USERS\24C7~1\APPDATA\LOCAL\TEMP\RARSFX0\MPR.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\RECYCLER\SERVERS.EXE

delref %SystemDrive%\RECYCLER\LL.EXE

delref WEB7B.INI

delref -S:CMD.TXT

delref SVEVER.EXE

delref %SystemDrive%\RECYCLER\SVEVER.EXE

delref %SystemRoot%\WEB\1.EXE

delref 360RP.EXE

delref MSR.DAT

delref %SystemDrive%\PROGRAMDATA\APPLICATION DATA\STORM\UPDATE\%SESSIONNAME%\PJRCD.CC3

delref %SystemDrive%\PROGRAMDATA\APPLICATION DATA\STORM\UPDATE\%SESSIONNAME%\OWQOR.CC3

delref %SystemDrive%\PROGRAMDATA\APPLICATION DATA\STORM\UPDATE\%SESSIONNAME%\BWESQ.CC3

delref %SystemDrive%\PROGRAMDATA\APPLICATION DATA\STORM\UPDATE\%SESSIONNAME%\CMHFU.CC3

delref %SystemDrive%\PROGRAMDATA\APPLICATION DATA\STORM\UPDATE\%SESSIONNAME%\PSGPQ.CC3

delref %SystemDrive%\PROGRAMDATA\APPLICATION DATA\STORM\UPDATE\%SESSIONNAME%\KPUML.CC3

delref %SystemDrive%\PROGRAMDATA\APPLICATION DATA\STORM\UPDATE\%SESSIONNAME%\NKMSV.CC3

delref %SystemDrive%\PROGRAMDATA\APPLICATION DATA\STORM\UPDATE\%SESSIONNAME%\GNNLS.CC3

delref %SystemDrive%\PROGRAMDATA\APPLICATION DATA\STORM\UPDATE\%SESSIONNAME%\XJWEN.CC3

delref %SystemDrive%\PROGRAMDATA\APPLICATION DATA\STORM\UPDATE\%SESSIONNAME%\LNGKI.CC3

delref %SystemDrive%\PROGRAMDATA\APPLICATION DATA\STORM\UPDATE\%SESSIONNAME%\HNYRK.CC3

deltmp
delnfr
;-------------------------------------------------------------

restart
перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните сканирование (угроз) в Malwarebytes
safety вне форума  
Ads
Старый 28.09.2015, 14:59   #897 (ссылка)
Новичок
 
Регистрация: 24.01.2012
Сообщений: 544
Репутация: 1
По умолчанию

скрипт пытался удалить службу svchost при этом сообщал что сам файл удален не будет - нажимал постоянно "да". но похоже что ему так и не удалось удалить процесс - пришлось нажать "нет"
pro-pan вне форума  
Старый 28.09.2015, 15:15   #898 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

Женя, добавь новый образ автозапуска... посмотрим что осталось (их просто записей было 11)
safety вне форума  
Старый 28.09.2015, 15:18   #899 (ссылка)
Новичок
 
Регистрация: 24.01.2012
Сообщений: 544
Репутация: 1
По умолчанию

http://rghost.ru/8LNmwPn9t
pro-pan вне форума  
Старый 28.09.2015, 15:32   #900 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

нормализовалось, можно теперь в мбам еще сделать проверку.
safety вне форума  
 


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Проверка York30 Безопасность 4 05.04.2012 20:04
Проверка uVS ARAFATI Безопасность 10 27.11.2011 21:54
проверка Чайка Безопасность 22 17.01.2011 17:30
ПРОВЕРКА Tala Безопасность 5 11.06.2010 23:58
проверка hdd wadim Программы 5 24.03.2010 00:03


Текущее время: 02:09. Часовой пояс GMT +4. Powered by vBulletin® Version 5.8.9
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd.