Вернуться   Компьютерный форум > Компьютеры > Программы > Безопасность
 
 
Опции темы
Старый 14.05.2012, 16:03   #121 (ссылка)
Новичок
 
Регистрация: 24.01.2012
Сообщений: 544
Репутация: 1
По умолчанию

0026
winpe+uvs http://rghost.ru/38077279
pro-pan вне форума  
Старый 14.05.2012, 18:01   #122 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

чисто,
для тщательной проверки системы лучше использовать метод сверки.
http://forum.esetnod32.ru/forum9/topic2729/
т.е. в активной системе создается файл сверки,
а из под WinPe&uVS выполняется поиск руткитов по файлу сверки (т.е. поиск расхождений между активной и пассивной системой.)
после выполнения поиска руткитов из под WinPe нужно создать образ автозапуска для проверки и анализа.
safety вне форума  
Старый 18.05.2012, 05:20   #123 (ссылка)
Новичок
 
Регистрация: 24.01.2012
Сообщений: 544
Репутация: 1
По умолчанию

ЕСЕТ намекнул про криптик
0027
авз http://rghost.ru/38143594
ювс http://rghost.ru/38143596
рсит http://rghost.ru/38143598
pro-pan вне форума  
Старый 18.05.2012, 06:33   #124 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

применить стандартный скрипт в uVS + быстрый скан в малваребайт
----
+ желательно перевести на лицензионный антивир без левых обновлялок.
------
Цитата:
Полное имя C:\PROGRAM FILES\TNOD USER & PASSWORD FINDER\TNODUP.EXE
Имя файла TNODUP.EXE
Тек. статус ВИРУС [Запускался неявно или вручную]

Сохраненная информация на момент создания образа
Статус [Запускался неявно или вручную]
Размер 1892352 байт
Создан 19.09.2011 в 05:20:54
Изменен 19.09.2011 в 05:20:54
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Версия файла 1, 4, 1, 0
Версия продукта 1, 4, 1, 0
Описание TNod User & Password Finder
Производитель Tukero[X]Team

Доп. информация на момент обновления списка
SHA1 93797738F6EB18B8DA79957077292BDE6A51E1A5
MD5 0EA8529B45B2D02BFE8DDEF94ABC283E
safety вне форума  
Старый 22.05.2012, 10:33   #125 (ссылка)
Новичок
 
Регистрация: 24.01.2012
Сообщений: 544
Репутация: 1
По умолчанию

0028
авз http://rghost.ru/38214275
ювс http://rghost.ru/38214281
рсит http://rghost.ru/38214283
pro-pan вне форума  
Старый 22.05.2012, 10:49   #126 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

выполните стандартный скрипт в uVS + быстрое сканирование с мбам
safety вне форума  
Старый 24.05.2012, 05:06   #127 (ссылка)
Новичок
 
Регистрация: 24.01.2012
Сообщений: 544
Репутация: 1
По умолчанию

0029

авз http://rghost.ru/38251854
ювс http://rghost.ru/38251855
рсит http://rghost.ru/38251857

мбам http://rghost.ru/38251903

Последний раз редактировалось pro-pan; 24.05.2012 в 05:32.
pro-pan вне форума  
Старый 24.05.2012, 07:24   #128 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

1. в мбам это удалить
Цитата:
Обнаруженные файлы: 2
C:\Documents and Settings\Владелец\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.
2. в uVS выполните стандартный скрипт

3. проверить этот файл на ВТ (если сохранится после стандартного скрипта)
Цитата:
Полное имя C:\DOCUMENTS AND SETTINGS\ВЛАДЕЛЕЦ\LOCAL SETTINGS\TEMP\SALEXTEN.DLL
Имя файла SALEXTEN.DLL
Тек. статус АКТИВНЫЙ ВНЕДРЯЕМЫЙ ПОДОЗРИТЕЛЬНЫЙ DLL в автозапуске

www.virustotal.com Хэш НЕ найден на сервере.

Сохраненная информация на момент создания образа
Статус АКТИВНЫЙ ВНЕДРЯЕМЫЙ ПОДОЗРИТЕЛЬНЫЙ DLL в автозапуске
Размер 8773 байт
Создан 06.03.2012 в 11:38:45
Изменен 28.08.2003 в 12:46:40
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла Типичен для вирусов и троянов

Доп. информация на момент обновления списка
SHA1 3715B874FD0CDD5D8C5F7BB5CB474CFDFF6C2F8B
MD5 DEEAD17B50AE55D77CC2BB4D1317BA86

Процессы на момент обновления списка
Процесс C:\WINDOWS\EXPLORER.EXE

Ссылки на объект
Ссылка HKLM\Software\Classes\Directory\shellex\CopyHookHa ndlers\ServantSalamander25\

Ссылка HKLM\Software\Classes\CLSID\{C78B6131-F3EA-11D2-94A1-00E0292A01E3}\InprocServer32\

Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\She ll Extensions\Approved\{C78B6131-F3EA-11D2-94A1-00E0292A01E3}
4. образ автозапуска в безопасном режиме (поскольку файлики, которые нашел мбам от Карберпа, но возможно это остатки)
safety вне форума  
Ads
Старый 24.05.2012, 10:06   #129 (ссылка)
Новичок
 
Регистрация: 24.01.2012
Сообщений: 544
Репутация: 1
По умолчанию

в мбам удалил найденное
после стандартного скрипта ювс файл SALEXTEN.DLL остался
его проверка на ВТ ничего подозрительно не дала
ювс в безопасном http://rghost.ru/38252654
pro-pan вне форума  
Старый 24.05.2012, 10:43   #130 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

чистый образ, нет Carberp
safety вне форума  
Старый 26.05.2012, 05:51   #131 (ссылка)
Новичок
 
Регистрация: 24.01.2012
Сообщений: 544
Репутация: 1
По умолчанию

0030
авз http://rghost.ru/38288788
ювс http://rghost.ru/38288789
рсит http://rghost.ru/38288791
pro-pan вне форума  
Старый 26.05.2012, 09:28   #132 (ссылка)
Эксперт
 
Регистрация: 25.05.2011
Сообщений: 9,136
Репутация: 811
По умолчанию

По 0030: скрипт в uVS:
Код:
;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

delref RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\DCI.EXE
delref .\RECYCLER\KOJ.DLL
delref HTTP://XTREME.WS/
deltmp
delnfr
restart
Судя по этому:
Цитата:
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Ошибка LSP Protocol = "AVSDA over [MSAFD Tcpip [TCP/IP]]" --> отсутствует файл C:\Program Files\Avira\AntiVir Desktop\avsda.dll
Ошибка LSP Protocol = "AVSDA over [MSAFD Tcpip [UDP/IP]]" --> отсутствует файл C:\Program Files\Avira\AntiVir Desktop\avsda.dll
Ошибка LSP Protocol = "AVSDA" --> отсутствует файл C:\Program Files\Avira\AntiVir Desktop\avsda.dll
Внимание ! Обнаружены ошибки в SPI/LSP. Количество ошибок - 3
и по тому, что её анинсталлер не прописан, Avira криво установлена. Я бы рекомендовал снести её с помощью Avira AntiVir RegistryCleaner и установить заново, либо поставить другой антивирус. Если есть проблемы с выходом в интернет на том компьютере - запустить скрипт в AVZ:
Код:
begin
 DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\B692687A-593D1A5E-45892B8D-66D938F\ukasq22f.exe');
 DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\B692687A-593D1A5E-45892B8D-66D938F\zlqqc9xz.exe');
ExecuteSysClean;
ExecuteRepair(14);
RebootWindows(False);
end.
И, как обычно - MBAM и проверка на уяззвимости.
Vvvyg вне форума  
Старый 26.05.2012, 16:28   #133 (ссылка)
Новичок
 
Регистрация: 24.01.2012
Сообщений: 544
Репутация: 1
По умолчанию

за лог авз отдельное спасибо - действительно были проблемы с доступом в Инет.
мабм чистый
АВИРу все-таки попытаюсь переустановить (лицензия). Установилась действительно криво - не запускались веб-протекшн и мэйл-протекшн - это и стало основанием для подозрений в наличии вирусов.

---------- Добавлено в 22:28 ---------- Предыдущее сообщение было написано в 20:53 ----------

0031 - Carberp
образ собрал из под ВинПЕ
ювс http://rghost.ru/38294126
pro-pan вне форума  
Старый 26.05.2012, 16:35   #134 (ссылка)
Эксперт
 
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
По умолчанию

Carberp или Winlock?
выполнить в uVS скрипт из файла
файл скрипта скачать отсюда
http://rghost.ru/38294199
---------
после выполнения - перегрузить систему в нормальный режим,
и сделать новый образ с рабочего стола.
safety вне форума  
Старый 26.05.2012, 16:54   #135 (ссылка)
Новичок
 
Регистрация: 24.01.2012
Сообщений: 544
Репутация: 1
По умолчанию

windows заблокирован
при проверки LiveCD выдал целый набор
trojan.carberp
trojan.hosts
trojan.hottrend
trojan.vbcrypt
trojan.muldrop
pro-pan вне форума  
 


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.


Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Проверка York30 Безопасность 4 05.04.2012 20:04
Проверка uVS ARAFATI Безопасность 10 27.11.2011 21:54
проверка Чайка Безопасность 22 17.01.2011 17:30
ПРОВЕРКА Tala Безопасность 5 11.06.2010 23:58
проверка hdd wadim Программы 5 24.03.2010 00:03


Текущее время: 20:44. Часовой пояс GMT +4. Powered by vBulletin® Version 5.8.9
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd.