Программа eset показывает наличие вирусов - Форум технической поддержки ESET NOD32

Сообщений: 7

Баллов: 3

Регистрация: 05.01.2016

Размещено 05.01.2016 09:41:14

Здравствуйте.
Программа eset показывает , при каждой загрузке компьютера, наличие вирусов. Она пишет, что удален (изолирован), но при следующей загрузке появляется снова, даже в бОльших количествах.
По названию вижу, что это файл npsafe_surfing.dll , который распространяется по разным папкам, как связанным с браузерами, так и по другим.
Помогите, пожалуйста, окончательно его уничтожить.
http://rghost.ru/6tZzbYhwL ссылка на автозапуск

Сообщений: 17968

Баллов: 28748

Регистрация: 16.03.2010

Размещено 05.01.2016 10:41:11

1.
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.86.8 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.10.16434.218\QMUDISK.SYS delall %Sys32%\TSSK.SYS delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\PLUGINS\PLUGINSSETUPBAK\QMSYSTEMSETUP_10.10.16434.218_112217724.EXE hide %SystemDrive%\PROGRAM FILES\MAPLE 17\BIN.WIN\MAPLELAUNCHHELP.EXE hide %SystemDrive%\PROGRAM FILES\MAPLE 17\BIN.WIN\MAPLEW.EXE ;------------------------autoscript--------------------------- hide %SystemDrive%\USERS\HOME\DOWNLOADS\LAME_V3.99.3_FOR_WINDOWS.EXE chklst delvir deldirex %SystemDrive%\USERS\HOME\APPDATA\ROAMING\DEALPLY\UPDATE~1 delref FILES\DEALPLY\DEALPLYUPDATE.EXE delref %SystemDrive%\PROGRA~2\WINCERT\WIN32C~1.DLL deldirex %SystemDrive%\PROGRA~1\SEARCH~1\DATAMNGR delref {F34C9277-6577-4DFF-B2D7-7D58092F272F}\[CLSID] delref {02478D38-C3F9-4EFB-9B51-7695ECA05670}\[CLSID] delref {C1ED9DA0-AFD0-4B90-AC6A-D3874F591014}\[CLSID] deldirex %SystemDrive%\PROGRAM FILES\DEALPLY delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOFDGAFMDEGFKHFDFKMLLFEFMCMCJLLEC%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPNOOFFJHCLKOCPLOPFFDBCDGHMIFFHJI%26INSTALLSOURCE%3DONDEMAND%26UC delref %SystemDrive%\USERS\HOME\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\ILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK\4.0.5_1\ПОИСК MAIL.RU deldirex %SystemDrive%\USERS\HOME\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER delref %SystemDrive%\USERS\HOME\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE deldirex %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER deldirex %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.10.16434.218 deldirex %SystemDrive%\USERS\HOME\APPDATA\LOCAL\SWVUPDATER deldirex %SystemDrive%\PROGRAM FILES\COMMON FILES\TENCENT\QQDOWNLOAD\130 deldirex %SystemDrive%\USERS\HOME\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\DEALPLY regt 27 regt 28 regt 29 ; DealPly (remove only) exec C:\Program Files\DealPly\uninst.exe ; Get-Styles for Chrome exec C:\Program Files\Get-Styles 2.0\ch\uninstall.exe ; Get-Styles for IE exec C:\Program Files\Get-Styles 2.0\ie\uninstall.exe ; Get-Styles для ВКонтакте exec C:\Program Files\Get-Styles 2.0\utils\uninstall.exe ; Search-Results Toolbar exec C:\PROGRA~1\SEARCH~1\Datamngr\SRTOOL~1\uninstall.exe exec C:\Users\Home\AppData\Roaming\DealPly\UpdateProc\UpdateTask.exe /Uninstall ; Version Checker for Funmoods exec C:\Users\Home\AppData\Roaming\Funmoods\UpdateProc\UpdateTask.exe /Uninstall deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.86.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.10.16434.218\QMUDISK.SYS
delall %Sys32%\TSSK.SYS
delall %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\PLUGINS\PLUGINSSETUPBAK\QMSYSTEMSETUP_10.10.16434.218_112217724.EXE
hide %SystemDrive%\PROGRAM FILES\MAPLE 17\BIN.WIN\MAPLELAUNCHHELP.EXE
hide %SystemDrive%\PROGRAM FILES\MAPLE 17\BIN.WIN\MAPLEW.EXE
;------------------------autoscript---------------------------

hide %SystemDrive%\USERS\HOME\DOWNLOADS\LAME_V3.99.3_FOR_WINDOWS.EXE
chklst
delvir

deldirex %SystemDrive%\USERS\HOME\APPDATA\ROAMING\DEALPLY\UPDATE~1

delref FILES\DEALPLY\DEALPLYUPDATE.EXE

delref %SystemDrive%\PROGRA~2\WINCERT\WIN32C~1.DLL

deldirex %SystemDrive%\PROGRA~1\SEARCH~1\DATAMNGR

delref {F34C9277-6577-4DFF-B2D7-7D58092F272F}\[CLSID]

delref {02478D38-C3F9-4EFB-9B51-7695ECA05670}\[CLSID]

delref {C1ED9DA0-AFD0-4B90-AC6A-D3874F591014}\[CLSID]

deldirex %SystemDrive%\PROGRAM FILES\DEALPLY

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOFDGAFMDEGFKHFDFKMLLFEFMCMCJLLEC%26INSTALLSOURCE%3DONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPNOOFFJHCLKOCPLOPFFDBCDGHMIFFHJI%26INSTALLSOURCE%3DONDEMAND%26UC

delref %SystemDrive%\USERS\HOME\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\ILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK\4.0.5_1\ПОИСК MAIL.RU

deldirex %SystemDrive%\USERS\HOME\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref %SystemDrive%\USERS\HOME\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE

deldirex %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

deldirex %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.10.16434.218

deldirex %SystemDrive%\USERS\HOME\APPDATA\LOCAL\SWVUPDATER

deldirex %SystemDrive%\PROGRAM FILES\COMMON FILES\TENCENT\QQDOWNLOAD\130

deldirex %SystemDrive%\USERS\HOME\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\DEALPLY

regt 27
regt 28
regt 29
; DealPly (remove only)
exec C:\Program Files\DealPly\uninst.exe
; Get-Styles for Chrome
exec C:\Program Files\Get-Styles 2.0\ch\uninstall.exe
; Get-Styles for IE
exec C:\Program Files\Get-Styles 2.0\ie\uninstall.exe
; Get-Styles для ВКонтакте
exec C:\Program Files\Get-Styles 2.0\utils\uninstall.exe
; Search-Results Toolbar
exec C:\PROGRA~1\SEARCH~1\Datamngr\SRTOOL~1\uninstall.exe
exec C:\Users\Home\AppData\Roaming\DealPly\UpdateProc\UpdateTask.exe /Uninstall
; Version Checker for Funmoods
exec C:\Users\Home\AppData\Roaming\Funmoods\UpdateProc\UpdateTask.exe /Uninstall
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
+
добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

[ Как создать образ автозапуска? ]

Сообщений: 7

Баллов: 3

Регистрация: 05.01.2016

Размещено 05.01.2016 13:05:48

Спасибо большое. Кажется, основательно почистила компьютер.
После последней перезагрузки тот файл dll больше не возникал, в сообщении программы ESET.

Малваребайт нашла 207 потенциально нежелательных программ. Все удалила. Или на карантин... кажется, так было написано.
Вот логи ESET, из журнала http://rghost.ru/8ynsn7GKl

Сообщений: 17968

Баллов: 28748

Регистрация: 16.03.2010

Размещено 05.01.2016 14:25:24

Елена,
проверьте еще эти файлы на вирустотал http://virustotal.com
C:\WINDOWS\SYSTEM32\IHCTRL32.DLL
C:\WINDOWS\SYSTEM32\WSAUDIO.DLL

и добавьте здесь ссылки на линк проверки
чтобы убедиться, чистые они или нет.

[ Как создать образ автозапуска? ]

Сообщений: 7

Баллов: 3

Регистрация: 05.01.2016

Размещено 05.01.2016 15:04:26

Проверила, вроде бы везде был зеленый.
Вот ссылки

https://www.virustotal.com/ru/file/75748074b970c4021642727432a41a73d07cc2b517dd5f8b1610813e00c33e7d/...

https://www.virustotal.com/ru/file/20ab24532294a1cdad1c180d3051684289c083afabbb9223899443f67e3927dd/...

Сообщений: 17968

Баллов: 28748

Регистрация: 16.03.2010

Размещено 05.01.2016 15:10:59

хорошо,
выполните наши рекомендации по безопасной работе в сети
http://forum.esetnod32.ru/forum9/topic12354/

[ Как создать образ автозапуска? ]

[ Закрыто ] Программа eset показывает наличие вирусов