плановая проверка - Страница 62

pro-pan · 12.10.2015, 13:50

mbam http://rghost.ru/private/7Bv9JQxNz/7...8fe1ab6a916d68

safety · 12.10.2015, 14:00

это можно оставить в мбам

Цитата:

PUM.Disabled.SecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|AntiVirusDisableNotify, 1, Хорошо: (0), Плохо: (1),,[a30e86cf117ac96dac9a018a46bf1de3]
PUM.Disabled.SecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|FirewallDisableNotify, 1, Хорошо: (0), Плохо: (1),,[0fa28bcaf49747effe492863e124f907]
PUM.Disabled.SecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|UpdatesDisableNotify, 1, Хорошо: (0), Плохо: (1),,[7e33d184dcafbe788abeb7d431d48e72]

остальное все удаляем,

перегружаем систему, и закрываем уязвимости

pro-pan · 13.10.2015, 08:22

эта песня хороша - начинай сначала ))
http://rghost.ru/8zf7jcYBs

safety · 13.10.2015, 08:30

повторно заразился Конфикером

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:

;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
addsgn A7679BC9DE37442480A1A2E6EFB50280D3FFF575B4927B7995C32E9AD328703826943D554B773C114281941A866240AD2B8C17A2D01AC4207A21F7C7D2F9DD8C 64 Win32/Conficker.AA [ESET-NOD32]

zoo %Sys32%\PUUZPD.DLL
delall %Sys32%\RASMEDIA.DLL
;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните сканирование (угроз) в Malwarebytes

pro-pan · 14.10.2015, 10:57

0242 http://rghost.ru/6TNhk5Yjb

safety · 14.10.2015, 12:24

чисто,
java версия вот только устаревшая v 6.22
Java(TM) 6 Update 22
хотя может и совсем здесь не нужна

pro-pan · 16.10.2015, 07:32

0243 http://rghost.ru/8LBwVKYYW

safety · 16.10.2015, 07:47

да, похоже на файловый вирус
(!) START.EXE заражен вирусом (!)

----------
пробуем очистку с помощью uVS

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:

;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
zoo %SystemRoot%\TEMP\HRL13.TMP
addsgn 9252773A156AC1CC0BA4514E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 64 Win32/ServStart.EQ [ESET-NOD32]

zoo %SystemDrive%\PROGRAM FILES\SVCHOST.EXE
addsgn 71D053655AEEB68DF42B23D54018728841AED81EFA04E08708BFE140D7C93A4394DC21A958DE44B658BCDD1EAFE8B60502D06B95AA254FADF4E6B52FC777FDE4 21 file.virus

zoo %SystemDrive%\PROGRAM FILES\MICROSOFT KWGCWU\SVCHOST.EXE
addsgn 71D053655AEEB68DF42B23D54018728841AED81E19F81F7808BFE140D7C93A4394DC21A958DE44B658BCDD1EAFE8B60502D06B95AA254FADF4E6B52FC777FDF5 21 file.virus

zoo %SystemDrive%\PROGRAM FILES\MICROSOFT\DESKTOPLAYER.EXE
addsgn 71D053655AEEB68DF42B23D54018728841AED81E8A63E08708BFE140D7C93A4394DC21A958DE44B658BCDD1EAFE8B60502D06B95AA254FADF4E6B52FC777FDFE 21 file.virus

zoo %Sys32%\MSCT.EXE
addsgn 71D053655AEEB68DF42B2D59643D828841AE2C96049E3B5C72132DA351D671C15F333FD021D2570224374F27AC90E42A9F218EF98C25C31024A0EB7646EFDC8C 11 file.vir

;------------------------autoscript---------------------------

chklst
delvir

delref WEB7B.INI

delref -S:CMD.TXT

delref -S:CMD.TXT&MSCT.EXE

delref .\RECYCLER\S-6-8-46-0472125716-3272674844-267578333-2887\SVUXIXHF.EXE

delref DANZA///DANOMM.EXE

delref USB.WSF

delref KEIOL.EXE

delref PUUDUR.EXE

deltmp
delnfr
;-------------------------------------------------------------

regt 12
regt 35
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив (например: ZOO_2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту safety@chklst.ru
----------
+
добавить новый образ автозапуска без проверки ЭЦП

pro-pan · 16.10.2015, 08:07

0244 tot jlby http://rghost.ru/7Pnx8BBzP

safety · 16.10.2015, 08:13

0244 чистый

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:

;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните сканирование (угроз) в Malwarebytes

и можно ставить на него антивирусную защиту

pro-pan · 16.10.2015, 08:31

0243
ювс http://rghost.ru/8YlSs24SC
zoo http://rghost.ru/6KjF7ZXtx

safety · 16.10.2015, 08:34

судя по файлам из ZOO имеем дело с файловым вирусом Virut
https://www.virustotal.com/ru/file/3...is/1444970020/

safety · 16.10.2015, 08:52

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:

;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
zoo %Sys32%\5838000.EXE
addsgn 71D053655AEEB68DF42B23D54018728841AED81E3605E08708BFE140D7C93A4394DC21A958DE44B658BCDD1EAFE8B60502D06B95AA254FADF4E6B52FC7EF4EE4 21 Virut

zoo %SystemRoot%\QUGGUU.EXE
addsgn 71D053655AEEB68DF42B23D54018728841AED81E49F81F7808BFE140D7C93A4394DC21A958DE44B658BCDD1EAFE8B60502D06B95AA254FADF4E6B52FC777FDF4 21 backdoor

zoo %SystemRoot%\WICOEG.EXE
addsgn 71D053655AEEB68DF42B23D54018728841AED81EC305E08708BFE140D7C93A4394DC21A958DE44B658BCDD1EAFE8B60502D06B95AA254FADF4E6B52FC777FD5B 21 backdoor

del %SystemDrive%\1560.VBS
del %SystemDrive%\1840.VBS
del %SystemDrive%\3990.VBS
del %SystemDrive%\6560.VBS
del %SystemDrive%\6910.VBS
del %SystemDrive%\7950.VBS
del %SystemDrive%\7966.VBS
del %SystemDrive%\8090.VBS
del %SystemDrive%\9136.VBS
del %SystemDrive%\9158.VBS
del %SystemDrive%\BOOT1.EXE
del %SystemDrive%\BOOTGET1.EXE
del %SystemDrive%\BOOTMSCT.EXE
del %SystemDrive%\BOOTSVCHOST.EXE
del %SystemDrive%\DHL.EXE
del %SystemDrive%\HEXGET1.EXE
del %SystemDrive%\LPK.DLL
delall %SystemDrive%\RCX14.TMP
delall %SystemDrive%\RCX4.TMP
delall %SystemDrive%\RCX5.TMP
delall %SystemDrive%\RCX6.TMP
delall %SystemDrive%\RCX7.TMP
delall %SystemDrive%\RCX8.TMP
delall %SystemDrive%\SETSVCHOST.EXE
delall %SystemDrive%\SSVCHOST.EXE
delall %SystemDrive%\SSVCHOSTSRV.EXE
delall %SystemDrive%\DELPHI\4QQL645A.EXE
delall %SystemDrive%\DELPHI\LPK.DLL
delall %SystemDrive%\DELPHI\PENS\LPK.DLL
delall %SystemDrive%\DELPHI\PENS0\LPK.DLL
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MACROVISION\FLEXNET CONNECT\11\LPK.DLL
delall %SystemDrive%\DOCUMENTS AND SETTINGS\GUSO\РАБОЧИЙ СТОЛ\LPK.DLL
delall %SystemRoot%\EXPLORERSRV.EXE
delall D:\DHL.EXE
delall D:\SET1.EXE
delall D:\1\AUTOPATCHES\KAV6\6.0.2.678\LPK.DLL
delall D:\1\AUTOPATCHES\KAV6\6.0.3.830\LPK.DLL
delall D:\1\AUTOPATCHES\KAV6\6.0.4.1424\CA\LPK.DLL
;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив (например: ZOO_2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту safety@chklst.ru
----------
+
добавить новый образ автозапуска,
если скрипт не поможет, то лучше все таки пролечить систему из под live.cd

pro-pan · 16.10.2015, 11:09

0243 мбам http://rghost.ru/private/6drckJxbZ/a...cab040348774b7

safety · 16.10.2015, 11:13

это оставляем в мбам

PUM.Optional.DisabledSecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|AntiVirusDisableNotify, 1, Хорошо: (0), Плохо: (1),,[4061a3b4acdfd165a5dedd67db2914ec]
PUM.Optional.DisabledSecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|FirewallDisableNotify, 1, Хорошо: (0), Плохо: (1),,[762b2e29becd60d6f88cb490c73d3fc1]
PUM.Optional.DisabledSecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|UpdatesDisableNotify, 1, Хорошо: (0), Плохо: (1),,[d4cdbb9c781359ddb6cf70d408fc19e7]

остальное все удалить,
перегрузить систему,
и сделать образ автозапуска без ЭЦП, посмотреть что останется в системе

13.10.2015, 08:30	#919 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	повторно заразился Конфикером выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код: ;uVS v3.86.5 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v385c OFFSGNSAVE addsgn A7679BC9DE37442480A1A2E6EFB50280D3FFF575B4927B7995C32E9AD328703826943D554B773C114281941A866240AD2B8C17A2D01AC4207A21F7C7D2F9DD8C 64 Win32/Conficker.AA [ESET-NOD32] zoo %Sys32%\PUUZPD.DLL delall %Sys32%\RASMEDIA.DLL ;------------------------autoscript--------------------------- chklst delvir deltmp delnfr ;------------------------------------------------------------- restart перезагрузка, пишем о старых и новых проблемах. ---------- далее, выполните сканирование (угроз) в Malwarebytes Последний раз редактировалось safety; 13.10.2015 в 08:48.

16.10.2015, 08:13	#925 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	0244 чистый выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код: ;uVS v3.86.5 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v385c OFFSGNSAVE deltmp delnfr restart перезагрузка, пишем о старых и новых проблемах. ---------- далее, выполните сканирование (угроз) в Malwarebytes и можно ставить на него антивирусную защиту

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Проверка	York30	Безопасность	4	05.04.2012 20:04
Проверка uVS	ARAFATI	Безопасность	10	27.11.2011 21:54
проверка	Чайка	Безопасность	22	17.01.2011 17:30
ПРОВЕРКА	Tala	Безопасность	5	11.06.2010 23:58
проверка hdd	wadim	Программы	5	24.03.2010 00:03

12.10.2015, 13:50	#916 (ссылка)
pro-pan Новичок Регистрация: 24.01.2012 Сообщений: 544 Репутация: 1	mbam http://rghost.ru/private/7Bv9JQxNz/7...8fe1ab6a916d68

13.10.2015, 08:22	#918 (ссылка)
pro-pan Новичок Регистрация: 24.01.2012 Сообщений: 544 Репутация: 1	эта песня хороша - начинай сначала )) http://rghost.ru/8zf7jcYBs

14.10.2015, 10:57	#920 (ссылка)
pro-pan Новичок Регистрация: 24.01.2012 Сообщений: 544 Репутация: 1	0242 http://rghost.ru/6TNhk5Yjb

14.10.2015, 12:24	#921 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	чисто, java версия вот только устаревшая v 6.22 Java(TM) 6 Update 22 хотя может и совсем здесь не нужна

16.10.2015, 07:32	#922 (ссылка)
pro-pan Новичок Регистрация: 24.01.2012 Сообщений: 544 Репутация: 1	0243 http://rghost.ru/8LBwVKYYW

16.10.2015, 08:07	#924 (ссылка)
pro-pan Новичок Регистрация: 24.01.2012 Сообщений: 544 Репутация: 1	0244 tot jlby http://rghost.ru/7Pnx8BBzP

16.10.2015, 08:31	#926 (ссылка)
pro-pan Новичок Регистрация: 24.01.2012 Сообщений: 544 Репутация: 1	0243 ювс http://rghost.ru/8YlSs24SC zoo http://rghost.ru/6KjF7ZXtx

16.10.2015, 08:34	#927 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	судя по файлам из ZOO имеем дело с файловым вирусом Virut https://www.virustotal.com/ru/file/3...is/1444970020/

16.10.2015, 11:09	#929 (ссылка)
pro-pan Новичок Регистрация: 24.01.2012 Сообщений: 544 Репутация: 1	0243 мбам http://rghost.ru/private/6drckJxbZ/a...cab040348774b7

16.10.2015, 11:13	#930 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	это оставляем в мбам PUM.Optional.DisabledSecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER\|AntiVirusDisableNotify, 1, Хорошо: (0), Плохо: (1),,[4061a3b4acdfd165a5dedd67db2914ec] PUM.Optional.DisabledSecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER\|FirewallDisableNotify, 1, Хорошо: (0), Плохо: (1),,[762b2e29becd60d6f88cb490c73d3fc1] PUM.Optional.DisabledSecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER\|UpdatesDisableNotify, 1, Хорошо: (0), Плохо: (1),,[d4cdbb9c781359ddb6cf70d408fc19e7] остальное все удалить, перегрузить систему, и сделать образ автозапуска без ЭЦП, посмотреть что останется в системе

Ads

Ads

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)