Помогите удалить JS/Spy.Banker.T - Форум технической поддержки ESET NOD32

Сообщений: 4

Баллов: 2

Регистрация: 17.07.2014

Размещено 17.07.2014 17:18:02

Появляется периодически, JS/Spy.Banker.T показывает то сидит в процессе svchost то в mozila.exe, NOD только блокирует попытку его зайти по ссылке , а удалять нет! Хелп

Прикрепленные файлы

KASHIR_2014-07-17_17-26-05.7z (400.68 КБ)

Изменено: Сергей Яковлев - 17.07.2014 17:32:19

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 17.07.2014 17:23:08

Нужен лог
http://forum.esetnod32.ru/forum9/topic2687/

Сообщений: 4

Баллов: 2

Регистрация: 17.07.2014

Размещено 17.07.2014 17:41:45

Добавил лог, нашел в реестре прописанные url, удалил, попробую просканировать еще раз

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 17.07.2014 17:52:28

Ну сообщите тогда результат...

Сообщений: 4

Баллов: 2

Регистрация: 17.07.2014

Размещено 17.07.2014 18:00:41

Почистил реестр, удалил Firefox, поставил Chrome, попытки выйти на левые сайты прекратились, понаблюдаю еще. Спасибо

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 17.07.2014 18:03:37

Сергей Яковлев
Раз уж Вы перешли на самолечение то:
--------
Полное имя 0HTT ( P )://ELTRASTA.COM/DATEUPTO/TIMER2.RUT

Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Ссылки на объект
Ссылка HKLM\System\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies\
0http://eltrasta.com/dateupto/timer2.rut

----------------
Полное имя HTT ( P )://ELTRASTA.COM/DATEUPTO/TIMER2.RUT

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Ссылки на объект
Ссылка HKLM\vwdykikzm\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL
AutoConfigURL htt ( p )://eltrasta.com/dateupto/timer2.rut

Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL
AutoConfigURL htt ( p )://eltrasta.com/dateupto/timer2.rut

Ссылка HKEY_USERS\S-1-5-21-2218210365-278549834-152457995-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL
AutoConfigURL htt ( p )://eltrasta.com/dateupto/timer2.rut

Ссылка HKEY_USERS\S-1-5-21-2218210365-278549834-152457995-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL
AutoConfigURL htt ( p )://eltrasta.com/dateupto/timer2.rut
-----------
( p )

Изменено: RP55 RP55 - 17.07.2014 18:05:35

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 17.07.2014 18:23:35

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.83 BETA 6 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE delref HTTP://ELTRASTA.COM/DATEUPTO/TIMER2.RUT delref 0HTTP://ELTRASTA.COM/DATEUPTO/TIMER2.RUT delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE deltmp delnfr restart

Код


;uVS v3.83 BETA 6 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
delref HTTP://ELTRASTA.COM/DATEUPTO/TIMER2.RUT
delref 0HTTP://ELTRASTA.COM/DATEUPTO/TIMER2.RUT
delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Сообщений: 4

Баллов: 2

Регистрация: 17.07.2014

Размещено 18.07.2014 15:47:17

Спасибо, все сделал, малвэйр нашел еще, удалил HiJack\autoconfig в реестре. Все работает, вирус пропал

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 18.07.2014 18:33:33

выполните рекомендации по безопасной работе
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

[ Закрыто ] Помогите удалить JS/Spy.Banker.T