Win32/Ciavax.A - Форум технической поддержки ESET NOD32

Сообщений: 7

Баллов: 3

Регистрация: 11.05.2013

Размещено 11.05.2013 17:22:04

Вчера возникла аналогичная проблема как у топикстартера. Выполнил скрипт в uVS, как было рекомендовано, но проблема не устранилась.
AnVir видит программу `backup` с 70% риска, после удаления через AnVir или вручную в C:\Application Data (там она под именем explorer.exe) программа сама восстанавливается через пару секунд.
Результаты проверки системы в малваребайт прилагаю.

MBAM-log-2013-05-11 (17-16-48).txt (13.04 КБ)

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 11.05.2013 17:44:14

Удалить все записи в программе, перезагрузить ПК и выполнить лог
http://forum.esetnod32.ru/forum9/topic2687/

Сообщений: 7

Баллов: 3

Регистрация: 11.05.2013

Размещено 11.05.2013 18:23:48

zloyDi, спасибо, только уточните пожалуйста, в какой программе все удалить.

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 11.05.2013 18:35:49

В той которой Вы лог выложили в 1 сообщении (МБАМ), на будущее выполнение чужих скриптов опасно для системы!

Сообщений: 7

Баллов: 3

Регистрация: 11.05.2013

Размещено 11.05.2013 19:32:30

TOSHKA_2013-05-11_19-16-37.rar (494.86 КБ)

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 11.05.2013 19:37:29

Доброго времени суток!

В папке с программой UVS будет файл script.cmd
Запустить файл, запустится окно программы для ввода скрипта,
скопировать скрипт написанный ниже и вставить в окно программы.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ ВСЕ БРАУЗЕРЫ!

Код
;uVS v3.77.13 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 zoo %SystemDrive%\PROGRAM FILES\BROWSETOSAVE\SPROTECTOR.DLL delref %SystemDrive%\PROGRAM FILES\BROWSETOSAVE\SPROTECTOR.DLL zoo %SystemDrive%\USERS\ЕЛЕНА\DOCUMENTS\APPLICATION DATA\EXPLORER.EXE bl 37B714C4CDD5BAD2037DAF0EE4E63BF8 77824 delall %SystemDrive%\USERS\ЕЛЕНА\DOCUMENTS\APPLICATION DATA\EXPLORER.EXE delref HTTP://START.FUNMOODS.COM/?F=1&A=IRON2&CHNL=IRON2&CD=2XZUYETN2Y1L1QZUYBYC0FTC0ATC0DYB0BYC0C0CTBYD0ATCTN0D0TZU0CTBYCYCTN1L2XZUTBTFTCTFTCTFTATCTB&CR=1524188125 delref /QUITINFO:00000250;00000254; delref /QUITINFO:00000488;0000048C; delref HTTP://HOME.WEBALTA.RU/?NEW exec MSIEXEC.EXE /I{2338890B-4BE4-47FD-AD51-577465FA6ADA} regt 3 regt 12 regt 18 deltmp delnfr restart

Код

;uVS v3.77.13 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

zoo %SystemDrive%\PROGRAM FILES\BROWSETOSAVE\SPROTECTOR.DLL
delref %SystemDrive%\PROGRAM FILES\BROWSETOSAVE\SPROTECTOR.DLL
zoo %SystemDrive%\USERS\ЕЛЕНА\DOCUMENTS\APPLICATION DATA\EXPLORER.EXE
bl 37B714C4CDD5BAD2037DAF0EE4E63BF8 77824
delall %SystemDrive%\USERS\ЕЛЕНА\DOCUMENTS\APPLICATION DATA\EXPLORER.EXE
delref HTTP://START.FUNMOODS.COM/?F=1&A=IRON2&CHNL=IRON2&CD=2XZUYETN2Y1L1QZUYBYC0FTC0ATC0DYB0BYC0C0CTBYD0ATCTN0D0TZU0CTBYCYCTN1L2XZUTBTFTCTFTCTFTATCTB&CR=1524188125
delref /QUITINFO:00000250;00000254;
delref /QUITINFO:00000488;0000048C;
delref HTTP://HOME.WEBALTA.RU/?NEW
exec MSIEXEC.EXE /I{2338890B-4BE4-47FD-AD51-577465FA6ADA}
regt 3
regt 12
regt 18
deltmp
delnfr
restart

И жмем кнопку Выполнить.
На запросы программы по удалению жмите ДА
ПК перезагрузится.

В папке с программой UVS будет папка zoo, ее поместить в архив, установить пароль virus и прислать сюда [email protected]

Сообщений: 7

Баллов: 3

Регистрация: 11.05.2013

Размещено 13.05.2013 16:50:56

Антивирус начал реагировать на троян, пытается удалить его, но вирус восстанавливается после каждого удаления.

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 13.05.2013 16:55:39

Скрипт был выполнен? Если нет, выполнить!

Сообщений: 7

Баллов: 3

Регистрация: 11.05.2013

Размещено 13.05.2013 17:00:06

zloyDi, был выполнен. Единственное что - вы говорили, что на запросы программы по удалению нужно жать да - так не было никаких запросов. Компьютер просто перезагрузился после выполнения скрипта.

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 13.05.2013 17:01:33

Выполните новый лог программы UVS.

[ Закрыто ] Win32/Ciavax.A