Вирус Explorer.exe (1972) - Форум технической поддержки ESET NOD32

Сообщений: 12

Баллов: 6

Регистрация: 05.02.2012

Размещено 05.02.2012 17:24:09

Здравствуйте. Надеюсь на вашу помощь. Nod нашел вирус в оперативной памяти. Explorer.exe(1972) - модифицированный Win32/Spy.Shiz.NCE троянская программа. Очистка невозможна. Подскажите пожалуйста, как от него избавиться?

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 05.02.2012 17:24:55

Sunshine

Создайте лог в uVS
http://forum.esetnod32.ru/forum9/topic2687/
Скачать uVS

Изменено: RP55 RP55 - 05.02.2012 17:26:33

Сообщений: 12

Баллов: 6

Регистрация: 05.02.2012

Размещено 05.02.2012 17:47:38

RP55 RP55

Создала... Что делать дальше?

Изменено: Sunshine - 05.02.2012 19:40:34

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 05.02.2012 17:57:40

Sunshine

Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИКМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!

Код
;uVS v3.74 script [http://dsrt.dyndns.org] zoo %SystemRoot%\APPPATCH\TSAUORI.EXE bl B5F63AAFF83E8AA8AD60DF3078989884 252928 addsgn A7679B19B90E1B24B323F5B16472CD20118A77044EBFBFE059CCC5BF2576277FD5413C424E05DD49885085DB461D4C193E9BE83ADC8740A5508BE7792F01CD8C 8 Spy.exe delall %SystemRoot%\APPPATCH\TSAUORI.EXE chklst delvir delref HTTP://WWW.APEHA.RU delref HTTP://WWW.MICROSOFT.COM/ISAPI/REDIR.DLL?PRD={SUB_PRD}&CLCID={SUB_CLSID}&PVER={SUB_PVER}&AR=HOME regt 12 deltmp delnfr czoo restart

Код

 
;uVS v3.74 script [http://dsrt.dyndns.org]          
zoo %SystemRoot%\APPPATCH\TSAUORI.EXE
bl B5F63AAFF83E8AA8AD60DF3078989884 252928
addsgn A7679B19B90E1B24B323F5B16472CD20118A77044EBFBFE059CCC5BF2576277FD5413C424E05DD49885085DB461D4C193E9BE83ADC8740A5508BE7792F01CD8C 8 Spy.exe

delall %SystemRoot%\APPPATCH\TSAUORI.EXE
chklst
delvir
delref HTTP://WWW.APEHA.RU
delref HTTP://WWW.MICROSOFT.COM/ISAPI/REDIR.DLL?PRD={SUB_PRD}&CLCID={SUB_CLSID}&PVER={SUB_PVER}&AR=HOME
regt 12
deltmp
delnfr
czoo
restart

Архив из папки uVS (с копиями вирусов для вирлаба, имя автоматически формируется от текущей даты,
например: 2010-10-04_13-30-55.rar/7z)
... отправить в почту [email protected] ;
*** если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected
+
Сделайте быструю проверку системы в Malwarebytes
http://forum.esetnod32.ru/forum9/topic682/

Изменено: RP55 RP55 - 05.02.2012 17:58:51

Сообщений: 12

Баллов: 6

Регистрация: 05.02.2012

Размещено 05.02.2012 18:08:23

RP55 RP55

Подскажите, каким образом "Скопировать текст КОДА - в буфер обмена."?

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 05.02.2012 18:13:02

выделяете мышкой начиная с первой строчки:
;uVS v3.74 script [http://dsrt.dyndns.org]
и заканчиваете последней:
restart
затем правой кнопкой по выделенному тексту и жмете Копировать

Изменено: Арвид - 05.02.2012 18:13:16

Правильно заданный вопрос - это уже половина ответа

Сообщений: 12

Баллов: 6

Регистрация: 05.02.2012

Размещено 05.02.2012 18:21:53

Арвид

Эммм. Имелось ввиду другое. =/
Т.е. просто "скопировать", а затем открыть uVS и выполнить скрипт из буфера обмена?

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 05.02.2012 18:29:39

Цитата
Sunshine пишет: Т.е. просто "скопировать", а затем открыть uVS и выполнить скрипт из буфера обмена?

Именно так.

Сообщений: 12

Баллов: 6

Регистрация: 05.02.2012

Размещено 05.02.2012 19:02:58

А после выполнения скрипта, просто закрыть программу и сделать проверку системы через malwarebytes? И все, проблема решится?
Сорри, что столько вопросов. Первый раз такая ситуация, и программы для меня неизвестные.

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 05.02.2012 19:05:01

Компьютер перезагрузился после выполнения скрипта? Если да, то делайте проверку с помощью malwarebytes

Правильно заданный вопрос - это уже половина ответа