плановая проверка - Страница 9

pro-pan · 14.05.2012, 16:03

0026
winpe+uvs http://rghost.ru/38077279

safety · 14.05.2012, 18:01

чисто,
для тщательной проверки системы лучше использовать метод сверки.
http://forum.esetnod32.ru/forum9/topic2729/
т.е. в активной системе создается файл сверки,
а из под WinPe&uVS выполняется поиск руткитов по файлу сверки (т.е. поиск расхождений между активной и пассивной системой.)
после выполнения поиска руткитов из под WinPe нужно создать образ автозапуска для проверки и анализа.

pro-pan · 18.05.2012, 05:20

ЕСЕТ намекнул про криптик
0027
авз http://rghost.ru/38143594
ювс http://rghost.ru/38143596
рсит http://rghost.ru/38143598

safety · 18.05.2012, 06:33

применить стандартный скрипт в uVS + быстрый скан в малваребайт
----
+ желательно перевести на лицензионный антивир без левых обновлялок.
------

Цитата:

Полное имя C:\PROGRAM FILES\TNOD USER & PASSWORD FINDER\TNODUP.EXE
Имя файла TNODUP.EXE
Тек. статус ВИРУС [Запускался неявно или вручную]

Сохраненная информация на момент создания образа
Статус [Запускался неявно или вручную]
Размер 1892352 байт
Создан 19.09.2011 в 05:20:54
Изменен 19.09.2011 в 05:20:54
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Версия файла 1, 4, 1, 0
Версия продукта 1, 4, 1, 0
Описание TNod User & Password Finder
Производитель Tukero[X]Team

Доп. информация на момент обновления списка
SHA1 93797738F6EB18B8DA79957077292BDE6A51E1A5
MD5 0EA8529B45B2D02BFE8DDEF94ABC283E

pro-pan · 22.05.2012, 10:33

0028
авз http://rghost.ru/38214275
ювс http://rghost.ru/38214281
рсит http://rghost.ru/38214283

safety · 22.05.2012, 10:49

выполните стандартный скрипт в uVS + быстрое сканирование с мбам

pro-pan · 24.05.2012, 05:06

0029

авз http://rghost.ru/38251854
ювс http://rghost.ru/38251855
рсит http://rghost.ru/38251857

мбам http://rghost.ru/38251903

safety · 24.05.2012, 07:24

1. в мбам это удалить

Цитата:

Обнаруженные файлы: 2
C:\Documents and Settings\Владелец\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.
C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.

2. в uVS выполните стандартный скрипт

3. проверить этот файл на ВТ (если сохранится после стандартного скрипта)

Цитата:

Полное имя C:\DOCUMENTS AND SETTINGS\ВЛАДЕЛЕЦ\LOCAL SETTINGS\TEMP\SALEXTEN.DLL
Имя файла SALEXTEN.DLL
Тек. статус АКТИВНЫЙ ВНЕДРЯЕМЫЙ ПОДОЗРИТЕЛЬНЫЙ DLL в автозапуске

www.virustotal.com Хэш НЕ найден на сервере.

Сохраненная информация на момент создания образа
Статус АКТИВНЫЙ ВНЕДРЯЕМЫЙ ПОДОЗРИТЕЛЬНЫЙ DLL в автозапуске
Размер 8773 байт
Создан 06.03.2012 в 11:38:45
Изменен 28.08.2003 в 12:46:40
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла Типичен для вирусов и троянов

Доп. информация на момент обновления списка
SHA1 3715B874FD0CDD5D8C5F7BB5CB474CFDFF6C2F8B
MD5 DEEAD17B50AE55D77CC2BB4D1317BA86

Процессы на момент обновления списка
Процесс C:\WINDOWS\EXPLORER.EXE

Ссылки на объект
Ссылка HKLM\Software\Classes\Directory\shellex\CopyHookHa ndlers\ServantSalamander25\

Ссылка HKLM\Software\Classes\CLSID\{C78B6131-F3EA-11D2-94A1-00E0292A01E3}\InprocServer32\

Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\She ll Extensions\Approved\{C78B6131-F3EA-11D2-94A1-00E0292A01E3}

4. образ автозапуска в безопасном режиме (поскольку файлики, которые нашел мбам от Карберпа, но возможно это остатки)

pro-pan · 24.05.2012, 10:06

в мбам удалил найденное
после стандартного скрипта ювс файл SALEXTEN.DLL остался
его проверка на ВТ ничего подозрительно не дала
ювс в безопасном http://rghost.ru/38252654

safety · 24.05.2012, 10:43

чистый образ, нет Carberp

pro-pan · 26.05.2012, 05:51

0030
авз http://rghost.ru/38288788
ювс http://rghost.ru/38288789
рсит http://rghost.ru/38288791

Vvvyg · 26.05.2012, 09:28

По 0030: скрипт в uVS:

Код:

;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

delref RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\DCI.EXE
delref .\RECYCLER\KOJ.DLL
delref HTTP://XTREME.WS/
deltmp
delnfr
restart

Судя по этому:

Цитата:

4. Проверка Winsock Layered Service Provider (SPI/LSP)
Ошибка LSP Protocol = "AVSDA over [MSAFD Tcpip [TCP/IP]]" --> отсутствует файл C:\Program Files\Avira\AntiVir Desktop\avsda.dll
Ошибка LSP Protocol = "AVSDA over [MSAFD Tcpip [UDP/IP]]" --> отсутствует файл C:\Program Files\Avira\AntiVir Desktop\avsda.dll
Ошибка LSP Protocol = "AVSDA" --> отсутствует файл C:\Program Files\Avira\AntiVir Desktop\avsda.dll
Внимание ! Обнаружены ошибки в SPI/LSP. Количество ошибок - 3

и по тому, что её анинсталлер не прописан, Avira криво установлена. Я бы рекомендовал снести её с помощью Avira AntiVir RegistryCleaner и установить заново, либо поставить другой антивирус. Если есть проблемы с выходом в интернет на том компьютере - запустить скрипт в AVZ:

Код:

begin
 DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\B692687A-593D1A5E-45892B8D-66D938F\ukasq22f.exe');
 DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\B692687A-593D1A5E-45892B8D-66D938F\zlqqc9xz.exe');
ExecuteSysClean;
ExecuteRepair(14);
RebootWindows(False);
end.

И, как обычно - MBAM и проверка на уяззвимости.

pro-pan · 26.05.2012, 16:28

за лог авз отдельное спасибо - действительно были проблемы с доступом в Инет.
мабм чистый
АВИРу все-таки попытаюсь переустановить (лицензия). Установилась действительно криво - не запускались веб-протекшн и мэйл-протекшн - это и стало основанием для подозрений в наличии вирусов.

---------- Добавлено в 22:28 ---------- Предыдущее сообщение было написано в 20:53 ----------

0031 - Carberp
образ собрал из под ВинПЕ
ювс http://rghost.ru/38294126

safety · 26.05.2012, 16:35

Carberp или Winlock?
выполнить в uVS скрипт из файла
файл скрипта скачать отсюда
http://rghost.ru/38294199
---------
после выполнения - перегрузить систему в нормальный режим,
и сделать новый образ с рабочего стола.

pro-pan · 26.05.2012, 16:54

windows заблокирован
при проверки LiveCD выдал целый набор
trojan.carberp
trojan.hosts
trojan.hottrend
trojan.vbcrypt
trojan.muldrop

24.05.2012, 05:06	#127 (ссылка)
pro-pan Новичок Регистрация: 24.01.2012 Сообщений: 544 Репутация: 1	0029 авз http://rghost.ru/38251854 ювс http://rghost.ru/38251855 рсит http://rghost.ru/38251857 мбам http://rghost.ru/38251903 Последний раз редактировалось pro-pan; 24.05.2012 в 05:32.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Проверка	York30	Безопасность	4	05.04.2012 20:04
Проверка uVS	ARAFATI	Безопасность	10	27.11.2011 21:54
проверка	Чайка	Безопасность	22	17.01.2011 17:30
ПРОВЕРКА	Tala	Безопасность	5	11.06.2010 23:58
проверка hdd	wadim	Программы	5	24.03.2010 00:03

14.05.2012, 16:03	#121 (ссылка)
pro-pan Новичок Регистрация: 24.01.2012 Сообщений: 544 Репутация: 1	0026 winpe+uvs http://rghost.ru/38077279

14.05.2012, 18:01	#122 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	чисто, для тщательной проверки системы лучше использовать метод сверки. http://forum.esetnod32.ru/forum9/topic2729/ т.е. в активной системе создается файл сверки, а из под WinPe&uVS выполняется поиск руткитов по файлу сверки (т.е. поиск расхождений между активной и пассивной системой.) после выполнения поиска руткитов из под WinPe нужно создать образ автозапуска для проверки и анализа.

18.05.2012, 05:20	#123 (ссылка)
pro-pan Новичок Регистрация: 24.01.2012 Сообщений: 544 Репутация: 1	ЕСЕТ намекнул про криптик 0027 авз http://rghost.ru/38143594 ювс http://rghost.ru/38143596 рсит http://rghost.ru/38143598

22.05.2012, 10:33	#125 (ссылка)
pro-pan Новичок Регистрация: 24.01.2012 Сообщений: 544 Репутация: 1	0028 авз http://rghost.ru/38214275 ювс http://rghost.ru/38214281 рсит http://rghost.ru/38214283

22.05.2012, 10:49	#126 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	выполните стандартный скрипт в uVS + быстрое сканирование с мбам

24.05.2012, 10:06	#129 (ссылка)
pro-pan Новичок Регистрация: 24.01.2012 Сообщений: 544 Репутация: 1	в мбам удалил найденное после стандартного скрипта ювс файл SALEXTEN.DLL остался его проверка на ВТ ничего подозрительно не дала ювс в безопасном http://rghost.ru/38252654

24.05.2012, 10:43	#130 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	чистый образ, нет Carberp

26.05.2012, 05:51	#131 (ссылка)
pro-pan Новичок Регистрация: 24.01.2012 Сообщений: 544 Репутация: 1	0030 авз http://rghost.ru/38288788 ювс http://rghost.ru/38288789 рсит http://rghost.ru/38288791

26.05.2012, 16:28	#133 (ссылка)
pro-pan Новичок Регистрация: 24.01.2012 Сообщений: 544 Репутация: 1	за лог авз отдельное спасибо - действительно были проблемы с доступом в Инет. мабм чистый АВИРу все-таки попытаюсь переустановить (лицензия). Установилась действительно криво - не запускались веб-протекшн и мэйл-протекшн - это и стало основанием для подозрений в наличии вирусов. ---------- Добавлено в 22:28 ---------- Предыдущее сообщение было написано в 20:53 ---------- 0031 - Carberp образ собрал из под ВинПЕ ювс http://rghost.ru/38294126

26.05.2012, 16:35	#134 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	Carberp или Winlock? выполнить в uVS скрипт из файла файл скрипта скачать отсюда http://rghost.ru/38294199 --------- после выполнения - перегрузить систему в нормальный режим, и сделать новый образ с рабочего стола.

Ads

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

26.05.2012, 16:54	#135 (ссылка)
pro-pan Новичок Регистрация: 24.01.2012 Сообщений: 544 Репутация: 1	windows заблокирован при проверки LiveCD выдал целый набор trojan.carberp trojan.hosts trojan.hottrend trojan.vbcrypt trojan.muldrop