26.01.2013, 14:34 | #1 (permalink) |
Новичок
Регистрация: 26.01.2013
Сообщений: 2
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 10
|
Помогите справиться с вирусом
|
26.01.2013, 14:34 | |
Helpmaster
Member
Регистрация: 08.03.2016
Сообщений: 0
|
Участники нашего форума ранее создавали подобные топики, отсылаю вам ссылки Проблема с вирусом Люди добрые, помогите пожалуйста справиться с контрольной |
26.01.2013, 17:14 | #2 (permalink) |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
добавьте образ автозапуска в следующее ваше сообщение как вложенный файл Как создать образ автозапуска в uVS. Краткая инструкция если не получится из нормального режима системы сделать, сделайте из безопасного режима системы.
|
28.01.2013, 01:03 | #3 (permalink) |
Новичок
Регистрация: 06.01.2013
Сообщений: 2
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 10
|
Баннер на windows 7 как на картинке, в заглавном сообщении
Баннер о блокировании windows 7 такой же как и на картинке, только номер телефона другой, добавляю сюда образ автозапуска...
или создать новую тему? |
28.01.2013, 01:53 | #4 (permalink) |
Member
Регистрация: 14.09.2010
Сообщений: 36
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 10
|
Николай_С, вы чего это так возбудились? Нормальная утилита для анализа системы. Анализ прост и ясен.
HiJackThis - устарел безнадежно и в чистом виде уже года 2 не используется. Выполните скрипт UVS и пришлите карантин Код:
;uVS v3.77.1 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 breg ; C:\USERS\АЛЕКСЕЙ\8859592.EXE addsgn A7679B19B192CF9E5F87F8E6E98C36557575E9F619BA1FBFC1E7DD14F0578DC16733DF907A718DE28B01781602325D7728DB001FB8254F8F8534E52F66AE6132 8 Trojan.Winlock.6412 zoo %SystemDrive%\USERS\АЛЕКСЕЙ\8859592.EXE bl 85EE5579991B32AA91146EA7A43DC273 93184 ; zoo %SystemDrive%\USERS\АЛЕКСЕЙ\8859592.EXE ; C:\SYSTEMHOST\24FC2AE30E1.EXE addsgn A7679BF0AA024C634BD4C6C52E881261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C0790C49F75C4C32EF4CA14DA15DA3BE4AC965B2FC706AB7E 8 Дрянь zoo %SystemDrive%\SYSTEMHOST\24FC2AE30E1.EXE bl CC4BD35FF01204C77ABF3F569C83B3A9 286720 ; zoo %SystemDrive%\SYSTEMHOST\24FC2AE30E1.EXE deltmp chklst delvir czoo restart |
28.01.2013, 02:33 | #5 (permalink) |
Новичок
Регистрация: 06.01.2013
Сообщений: 2
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 10
|
Большое спасибо, все хорошо, только не до конца понял куда отправлять архив с карантином?
|
Ads | |
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
28.01.2013, 08:13 | #7 (permalink) |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
1. просьба к администраторам раздела удалить сообщения из темы не по делу.
ANASTASIKUS 2. выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; Код:
;uVS v3.77.5 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE setdns Подключение по локальной сети\4\{2A50B391-4FD3-41AF-B418-84971189DCE7}\ delref HTTP://WEBALTA.RU/SEARCH delref %Sys32%\DRIVERS\81853245.SYS delall %SystemDrive%\DOCUME~1\ALLUSE~1\APPLIC~1\BROWSE~1\25986~1.67\{C16C1~1\BROWSE~1.DLL delref HTTP://SEARCH.BABYLON.COM/?AFFID=109220&TT=111212_NOKW_5012_8&BABSRC=NT_SS&MNTRID=A409EB270000000000006CF04913CD2C deltmp delnfr exec MSIEXEC.EXE /I{E55E7026-EF2A-4A17-AAA7-DB98EA3FD1B1} exec "C:\PROGRAM FILES\BABYLONTOOLBAR\BABYLONTOOLBAR\1.8.4.9\GUNINSTALLER.EXE" -UPRTC -KEY "BABYLONTOOLBAR" exec MSIEXEC.EXE /X{26A24AE4-039D-4CA4-87B4-2F83216020FF} exec "C:\PROGRAM FILES\PANDORA.TV\PANSERVICE\UNINS000.EXE" EXEC cmd /c"ipconfig /flushdns" restart ---------- далее, выполните быстрое сканирование в малваребайт Как создать лог сканирования в malwarebytes? |
28.01.2013, 08:25 | #8 (permalink) | |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
Цитата:
остались задачи с подменой hosts выполните данный скрипт еще раз (что-то уже было удалено в первом скрипте) выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; Код:
;uVS v3.77.5 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 addsgn A7679BF0AA024C634BD4C6C52E881261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C0790C49F75C4C32EF4CA14DA15DA3BE4AC965B2FC706AB7E 8 SpyEye.0128 zoo %SystemDrive%\SYSTEMHOST\24FC2AE30E1.EXE delall %SystemDrive%\SYSTEMHOST\24FC2AE30E1.EXE addsgn A7679B19B192CF9E5F87F8E6E98C36557575E9F619BA1FBFC1E7DD14F0578DC16733DF907A718DE28B01781602325D7728DB001FB8254F8F8534E52F66AE6132 8 Trojan.Winlock.6412 [DrWeb] zoo %SystemDrive%\USERS\АЛЕКСЕЙ\8859592.EXE delall %SystemDrive%\USERS\АЛЕКСЕЙ\8859592.EXE delall %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE delall %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\LOCAL\MEDIAGET2\MEDIAGET.EXE chklst delvir delref /C deltmp delnfr exec MSIEXEC.EXE /X{86D4B82A-ABED-442A-BE86-96357B70F4FE} exec MSIEXEC.EXE /X{26A24AE4-039D-4CA4-87B4-2F83216023FF} exec "C:\PROGRAM FILES\MCAFEE SECURITY SCAN\UNINSTALL.EXE" exec "C:\USERS\АЛЕКСЕЙ\APPDATA\LOCAL\MEDIAGET2\UNINS000.EXE" exec "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL regt 14 restart ---------- далее, выполните быстрое сканирование в малваребайт Как создать лог сканирования в malwarebytes? |
|
28.01.2013, 08:36 | #9 (permalink) |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
hj, это вчерашний день.
в данном случае в образе автозапуска помимо трояна-локера в shell еще и SpyEye, который виден в системе только с применением антисплайсинга. поэтому hj в данном случае много чего не увидит. |
28.01.2013, 08:39 | #10 (permalink) | |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
вот, кстати, задачи с подменой hosts
Цитата:
|
|
Ads | |
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
|
|