Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] При сканировании nod 32 (лицензия) выдает Win32/Ainslot.AA - очистка невозможна.

1
RSS
 
Женя Буко
Женя Буко
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 21.11.2013
Размещено 21.11.2013 21:11:44
Цитата
openid.yandex.ru/fuel7 пишет:
Вечера, друзья.
После загрузки компьютера запускается распаковщик RAR, возле трэя появляется окошко nod 32:
Объект
http://mh9978.x10.mx/Adobe32x.exe
Угроза:
BAT/CoinMiner.CG троянская программа
Информация:
соединение прервано - изолирован.
При сканировании nod 32 (лицензия) выдает Win32/Ainslot.AA - очистка невозможна.
Помимо этого, ещё до появления трояна, при запуске пк запускается хром со страницей oov.net (в автозагрузке не нашел).
Помогите пожалуйста решить, заранее спасибо!

Добрый вечер, проблема такая же что и описано выше, помогите избавиться от вируса, прикрепляю образ,заранее спасибо!!!
Изменено: Женя Буко - 21.11.2013 21:29:11
 
santy
santy
Администратор
Сообщений: 17963
Баллов: 14370
Регистрация: 16.03.2010
Размещено 21.11.2013 21:31:06
1. сделайте образ автозапуска из безопасного режима системы

2. добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

3. проверьте этот файл на ВирусТотал. http://virustotal.com
Цитата
C:\USERS\BUKIN\VIDEOS\MFCMIFC.EXE
Изменено: santy - 21.11.2013 21:49:29
[ Как создать образ автозапуска? ]
 
Женя Буко
Женя Буко
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 21.11.2013
Размещено 21.11.2013 22:37:05
Цитата
santy пишет:
1. сделайте образ автозапуска из безопасного режима системы

2. добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

3. проверьте этот файл на ВирусТотал.  http://virustotal.com
Цитата
C:\USERS\BUKIN\VIDEOS\MFCMIFC.EXE

Добавил лог и образ (в безопасном режиме)
 
Женя Буко
Женя Буко
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 21.11.2013
Размещено 21.11.2013 22:40:07
Проверил файл, 2/47
 
santy
santy
Администратор
Сообщений: 17963
Баллов: 14370
Регистрация: 16.03.2010
Размещено 21.11.2013 22:45:43
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код

;uVS v3.81.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE

delall %SystemDrive%\USERS\BUKIN\APPDATA\ROAMING\ADOBEX32X\INVIS.VBS
zoo %SystemDrive%\USERS\BUKIN\APPDATA\ROAMING\ADOBEX32X\WINSVCHOST.EXE
bl 0D6D6CD1124A2EBB100C2C3626BD3CEB 129024
delall %SystemDrive%\USERS\BUKIN\APPDATA\ROAMING\ADOBEX32X\WINSVCHOST.EXE
zoo %SystemDrive%\USERS\BUKIN\VIDEOS\MFCMIFC.EXE
delall %SystemDrive%\USERS\BUKIN\VIDEOS\MFCMIFC.EXE
zoo %SystemDrive%\USERS\BUKIN\VIDEOS\NAPSNAP.EXE
delall %SystemDrive%\USERS\BUKIN\VIDEOS\NAPSNAP.EXE
deltmp
delnfr
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
[ Как создать образ автозапуска? ]
 
Женя Буко
Женя Буко
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 21.11.2013
Размещено 21.11.2013 23:11:21
Цитата
santy пишет:
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код
 

;uVS v3.81.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE

delall %SystemDrive%\USERS\BUKIN\APPDATA\ROAMING\ADOBEX32X\INVIS.VBS
zoo %SystemDrive%\USERS\BUKIN\APPDATA\ROAMING\ADOBEX32X\WINSVCHOST.EXE
bl 0D6D6CD1124A2EBB100C2C3626BD3CEB 129024
delall %SystemDrive%\USERS\BUKIN\APPDATA\ROAMING\ADOBEX32X\WINSVCHOST.EXE
zoo %SystemDrive%\USERS\BUKIN\VIDEOS\MFCMIFC.EXE
delall %SystemDrive%\USERS\BUKIN\VIDEOS\MFCMIFC.EXE
zoo %SystemDrive%\USERS\BUKIN\VIDEOS\NAPSNAP.EXE
delall %SystemDrive%\USERS\BUKIN\VIDEOS\NAPSNAP.EXE
deltmp
delnfr
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

Спасибо помогло, сканирование сделал, но обнаружен 1 объект что с ним делать? (добавил фото сканирования и лог программы)
 
santy
santy
Администратор
Сообщений: 17963
Баллов: 14370
Регистрация: 16.03.2010
Размещено 22.11.2013 05:36:04
удалите найденное в мбам,

далее,

выполните рекомендации
http://forum.esetnod32.ru/forum9/topic3998/
[ Как создать образ автозапуска? ]
 
Женя Буко
Женя Буко
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 21.11.2013
Размещено 22.11.2013 09:53:56
Цитата
santy пишет:
удалите найденное в мбам,

далее,

выполните рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

Все ясно спасибо вам.
 
1
Читают тему