12.10.2015, 14:00 | #917 (ссылка) | |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
это можно оставить в мбам
Цитата:
перегружаем систему, и закрываем уязвимости |
|
13.10.2015, 08:22 | #918 (ссылка) |
Новичок
Регистрация: 24.01.2012
Сообщений: 544
Репутация: 1
|
эта песня хороша - начинай сначала ))
http://rghost.ru/8zf7jcYBs |
13.10.2015, 08:30 | #919 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
повторно заразился Конфикером
выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код:
;uVS v3.86.5 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v385c OFFSGNSAVE addsgn A7679BC9DE37442480A1A2E6EFB50280D3FFF575B4927B7995C32E9AD328703826943D554B773C114281941A866240AD2B8C17A2D01AC4207A21F7C7D2F9DD8C 64 Win32/Conficker.AA [ESET-NOD32] zoo %Sys32%\PUUZPD.DLL delall %Sys32%\RASMEDIA.DLL ;------------------------autoscript--------------------------- chklst delvir deltmp delnfr ;------------------------------------------------------------- restart ---------- далее, выполните сканирование (угроз) в Malwarebytes Последний раз редактировалось safety; 13.10.2015 в 08:48. |
16.10.2015, 07:47 | #923 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
да, похоже на файловый вирус
(!) START.EXE заражен вирусом (!) ---------- пробуем очистку с помощью uVS выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код:
;uVS v3.86.5 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v385c OFFSGNSAVE zoo %SystemRoot%\TEMP\HRL13.TMP addsgn 9252773A156AC1CC0BA4514E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 64 Win32/ServStart.EQ [ESET-NOD32] zoo %SystemDrive%\PROGRAM FILES\SVCHOST.EXE addsgn 71D053655AEEB68DF42B23D54018728841AED81EFA04E08708BFE140D7C93A4394DC21A958DE44B658BCDD1EAFE8B60502D06B95AA254FADF4E6B52FC777FDE4 21 file.virus zoo %SystemDrive%\PROGRAM FILES\MICROSOFT KWGCWU\SVCHOST.EXE addsgn 71D053655AEEB68DF42B23D54018728841AED81E19F81F7808BFE140D7C93A4394DC21A958DE44B658BCDD1EAFE8B60502D06B95AA254FADF4E6B52FC777FDF5 21 file.virus zoo %SystemDrive%\PROGRAM FILES\MICROSOFT\DESKTOPLAYER.EXE addsgn 71D053655AEEB68DF42B23D54018728841AED81E8A63E08708BFE140D7C93A4394DC21A958DE44B658BCDD1EAFE8B60502D06B95AA254FADF4E6B52FC777FDFE 21 file.virus zoo %Sys32%\MSCT.EXE addsgn 71D053655AEEB68DF42B2D59643D828841AE2C96049E3B5C72132DA351D671C15F333FD021D2570224374F27AC90E42A9F218EF98C25C31024A0EB7646EFDC8C 11 file.vir ;------------------------autoscript--------------------------- chklst delvir delref WEB7B.INI delref -S:CMD.TXT delref -S:CMD.TXT&MSCT.EXE delref .\RECYCLER\S-6-8-46-0472125716-3272674844-267578333-2887\SVUXIXHF.EXE delref DANZA///DANOMM.EXE delref USB.WSF delref KEIOL.EXE delref PUUDUR.EXE deltmp delnfr ;------------------------------------------------------------- regt 12 regt 35 czoo restart архив (например: ZOO_2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту safety@chklst.ru ---------- + добавить новый образ автозапуска без проверки ЭЦП |
16.10.2015, 08:07 | #924 (ссылка) |
Новичок
Регистрация: 24.01.2012
Сообщений: 544
Репутация: 1
|
0244 tot jlby http://rghost.ru/7Pnx8BBzP
|
16.10.2015, 08:13 | #925 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
0244 чистый
выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код:
;uVS v3.86.5 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v385c OFFSGNSAVE deltmp delnfr restart ---------- далее, выполните сканирование (угроз) в Malwarebytes и можно ставить на него антивирусную защиту |
16.10.2015, 08:34 | #927 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
судя по файлам из ZOO имеем дело с файловым вирусом Virut
https://www.virustotal.com/ru/file/3...is/1444970020/ |
16.10.2015, 08:52 | #928 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код:
;uVS v3.86.5 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v385c OFFSGNSAVE zoo %Sys32%\5838000.EXE addsgn 71D053655AEEB68DF42B23D54018728841AED81E3605E08708BFE140D7C93A4394DC21A958DE44B658BCDD1EAFE8B60502D06B95AA254FADF4E6B52FC7EF4EE4 21 Virut zoo %SystemRoot%\QUGGUU.EXE addsgn 71D053655AEEB68DF42B23D54018728841AED81E49F81F7808BFE140D7C93A4394DC21A958DE44B658BCDD1EAFE8B60502D06B95AA254FADF4E6B52FC777FDF4 21 backdoor zoo %SystemRoot%\WICOEG.EXE addsgn 71D053655AEEB68DF42B23D54018728841AED81EC305E08708BFE140D7C93A4394DC21A958DE44B658BCDD1EAFE8B60502D06B95AA254FADF4E6B52FC777FD5B 21 backdoor del %SystemDrive%\1560.VBS del %SystemDrive%\1840.VBS del %SystemDrive%\3990.VBS del %SystemDrive%\6560.VBS del %SystemDrive%\6910.VBS del %SystemDrive%\7950.VBS del %SystemDrive%\7966.VBS del %SystemDrive%\8090.VBS del %SystemDrive%\9136.VBS del %SystemDrive%\9158.VBS del %SystemDrive%\BOOT1.EXE del %SystemDrive%\BOOTGET1.EXE del %SystemDrive%\BOOTMSCT.EXE del %SystemDrive%\BOOTSVCHOST.EXE del %SystemDrive%\DHL.EXE del %SystemDrive%\HEXGET1.EXE del %SystemDrive%\LPK.DLL delall %SystemDrive%\RCX14.TMP delall %SystemDrive%\RCX4.TMP delall %SystemDrive%\RCX5.TMP delall %SystemDrive%\RCX6.TMP delall %SystemDrive%\RCX7.TMP delall %SystemDrive%\RCX8.TMP delall %SystemDrive%\SETSVCHOST.EXE delall %SystemDrive%\SSVCHOST.EXE delall %SystemDrive%\SSVCHOSTSRV.EXE delall %SystemDrive%\DELPHI\4QQL645A.EXE delall %SystemDrive%\DELPHI\LPK.DLL delall %SystemDrive%\DELPHI\PENS\LPK.DLL delall %SystemDrive%\DELPHI\PENS0\LPK.DLL delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MACROVISION\FLEXNET CONNECT\11\LPK.DLL delall %SystemDrive%\DOCUMENTS AND SETTINGS\GUSO\РАБОЧИЙ СТОЛ\LPK.DLL delall %SystemRoot%\EXPLORERSRV.EXE delall D:\DHL.EXE delall D:\SET1.EXE delall D:\1\AUTOPATCHES\KAV6\6.0.2.678\LPK.DLL delall D:\1\AUTOPATCHES\KAV6\6.0.3.830\LPK.DLL delall D:\1\AUTOPATCHES\KAV6\6.0.4.1424\CA\LPK.DLL ;------------------------autoscript--------------------------- chklst delvir deltmp delnfr ;------------------------------------------------------------- czoo restart архив (например: ZOO_2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту safety@chklst.ru ---------- + добавить новый образ автозапуска, если скрипт не поможет, то лучше все таки пролечить систему из под live.cd |
Ads | |
16.10.2015, 11:13 | #930 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
это оставляем в мбам
PUM.Optional.DisabledSecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|AntiVirusDisableNotify, 1, Хорошо: (0), Плохо: (1),,[4061a3b4acdfd165a5dedd67db2914ec] PUM.Optional.DisabledSecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|FirewallDisableNotify, 1, Хорошо: (0), Плохо: (1),,[762b2e29becd60d6f88cb490c73d3fc1] PUM.Optional.DisabledSecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|UpdatesDisableNotify, 1, Хорошо: (0), Плохо: (1),,[d4cdbb9c781359ddb6cf70d408fc19e7] остальное все удалить, перегрузить систему, и сделать образ автозапуска без ЭЦП, посмотреть что останется в системе |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Проверка | York30 | Безопасность | 4 | 05.04.2012 20:04 |
Проверка uVS | ARAFATI | Безопасность | 10 | 27.11.2011 21:54 |
проверка | Чайка | Безопасность | 22 | 17.01.2011 17:30 |
ПРОВЕРКА | Tala | Безопасность | 5 | 11.06.2010 23:58 |
проверка hdd | wadim | Программы | 5 | 24.03.2010 00:03 |