JS/Spy.Banker.W не могу обезвредить, удалить. - Форум технической поддержки ESET NOD32

Сообщений: 9

Баллов: 4

Регистрация: 13.10.2014

Размещено 13.10.2014 13:53:40

Уже три дня мучает JS/Spy.Banker.W
На этом форуме нашел подобную проблему с приложеным скриптом. Сделал всё по предписаниям. Но проблема осталась.
Видимо скрипты для каждого случая индивидуальны?
Образ автозапуска прилагается.
http://rghost.ru/58497803

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.10.2014 16:04:11

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.83.3 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v383c OFFSGNSAVE deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\MEDIAGET2 hide %SystemDrive%\PROGRAM FILES\ULEAD SYSTEMS\ULEAD VIDEOSTUDIO 9.0\BURNIXA.EXE hide %SystemDrive%\PROGRAM FILES\THE KMPLAYER\KMPLAYER.EXE hide %SystemDrive%\PROGRAM FILES\ANVSOFT\ANY VIDEO CONVERTER\VIDEOCONVERTER.EXE hide %SystemDrive%\PROGRAM FILES\GIMP-2.0\BIN\GIMP-2.6.EXE ;------------------------autoscript--------------------------- chklst delvir delref HTTP://ESERVICE-2.COM/TABLES/RANGES/ROPSETTINGS2.RUG delref %Sys32%\TRKWKS.DLL ; OpenAL exec C:\Program Files\OpenAL\OpenALwEAX.exe" /U deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.83.3 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v383c
OFFSGNSAVE

deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\MEDIAGET2
hide %SystemDrive%\PROGRAM FILES\ULEAD SYSTEMS\ULEAD VIDEOSTUDIO 9.0\BURNIXA.EXE
hide %SystemDrive%\PROGRAM FILES\THE KMPLAYER\KMPLAYER.EXE
hide %SystemDrive%\PROGRAM FILES\ANVSOFT\ANY VIDEO CONVERTER\VIDEOCONVERTER.EXE
hide %SystemDrive%\PROGRAM FILES\GIMP-2.0\BIN\GIMP-2.6.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://ESERVICE-2.COM/TABLES/RANGES/ROPSETTINGS2.RUG

delref %Sys32%\TRKWKS.DLL

; OpenAL
exec C:\Program Files\OpenAL\OpenALwEAX.exe" /U
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.10.2014 18:26:06

+
вопрос:
это что у вас в автозапуске, поищите это файл в системе, есть он или нет

Цитата
Полное имя USRLOGON.CMD Имя файла USRLOGON.CMD Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске Удовлетворяет критериям CURRENTVERSION.WINLOGON (ССЫЛКА ~ \CURRENTVERSION\WINLOGON\)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) Сохраненная информация на момент создания образа Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Автозапуск Неизвестный файл использует ключ реестра часто используемый вирусами Ссылки на объект Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\AppSetup AppSetup UsrLogon.Cmd

Цитата

Полное имя USRLOGON.CMD
Имя файла USRLOGON.CMD
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Удовлетворяет критериям
CURRENTVERSION.WINLOGON (ССЫЛКА ~ \CURRENTVERSION\WINLOGON\)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1)

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Автозапуск Неизвестный файл использует ключ реестра часто используемый вирусами

Ссылки на объект
Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\AppSetup
AppSetup UsrLogon.Cmd

[ Как создать образ автозапуска? ]

Сообщений: 9

Баллов: 4

Регистрация: 13.10.2014

Размещено 13.10.2014 19:38:07

спасибо за поддержку.
Но проблема не решена.
Запустил скрипт. Обругался на что-то. Предложил удалить. Согласился.
После перезагрузки просканировал малваребайтом. Он сказал что всё чисто. Может из-за того, что утром сканируя нашел 4 дряни не понятной. Удалил.
Перезагрузился еще раз.
После запуска "оперы вер.24.0.1558.64" опять выскачило предупреждение об угрозе.

Поповоду автозагрузки.
Вот картинка от CCleaner. Там не нашел похожего.

Но в uVS увидел "winlogon". Запретил любое обращение к нему.

Сделал всё поновой. Файл прилагается.
http://rghost.ru/58504229

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.10.2014 19:57:08

добавьте так же логи журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

[ Как создать образ автозапуска? ]

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.10.2014 20:00:47

+
вопрос: это ваши настройки?

Цитата
Полное имя HTTP://ESERVICE-2.COM/TABLES/RANGES/ROPSETTINGS2.RUG Имя файла HTTP://ESERVICE-2.COM/TABLES/RANGES/ROPSETTINGS2.RUG Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске Удовлетворяет критериям AUTOCONFIGURL (ССЫЛКА ~ AUTOCONFIGURL)(1) AND (AUTOCONFIGURL ~ HTTP)(1) Сохраненная информация на момент создания образа Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Ссылки на объект Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL AutoConfigURL http://eservice-2.com/tables/ranges/ropsettings2.rug Ссылка HKEY_USERS\S-1-5-21-1409082233-1292428093-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL AutoConfigURL http://eservice-2.com/tables/ranges/ropsettings2.rug

Цитата

Полное имя HTTP://ESERVICE-2.COM/TABLES/RANGES/ROPSETTINGS2.RUG
Имя файла HTTP://ESERVICE-2.COM/TABLES/RANGES/ROPSETTINGS2.RUG
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Удовлетворяет критериям
AUTOCONFIGURL (ССЫЛКА ~ AUTOCONFIGURL)(1) AND (AUTOCONFIGURL ~ HTTP)(1)

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ

Ссылки на объект
Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL
AutoConfigURL http://eservice-2.com/tables/ranges/ropsettings2.rug

Ссылка HKEY_USERS\S-1-5-21-1409082233-1292428093-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL
AutoConfigURL http://eservice-2.com/tables/ranges/ropsettings2.rug

[ Как создать образ автозапуска? ]

Сообщений: 9

Баллов: 4

Регистрация: 13.10.2014

Размещено 13.10.2014 20:13:50

Логи журнала подгрузил.

Что касаемо второй части вопроса, то это для меня загадка. Но именно на этот адрес "HTTP://ESERVICE-2.COM" и ругается НОД с остановкой соединения.
Не помню, чтоб я туда заходил.

Прикрепленные файлы

угрозы.txt (54.42 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.10.2014 20:23:00

отключите автоматическую настройку прокси в браузере.
как показано на рисунке
http://support.kaspersky.ru/viruses/disinfection/9208#block1

[ Как создать образ автозапуска? ]

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.10.2014 20:28:29

так же проверьте систему этой утилитой
http://media.kaspersky.com/utilities/VirusUtilities/RU/capperkiller.exe

[ Как создать образ автозапуска? ]

Сообщений: 9

Баллов: 4

Регистрация: 13.10.2014

Размещено 13.10.2014 21:00:41

Да. В настройках прокси был именно этот адрес.
Удалил и поставил галку на автоматическом.
Перезагрузил. Опера загрузилась без скандалов с НОДом.
Просканил Капперкиллером. Уроз не обнаружено. НО!!! Вывалилась окно с ошибкой.
Картинку и файл ошибки приложил.

Прикрепленные файлы

f15a_appcompat.txt (60.67 КБ)

[ Закрыто ] JS/Spy.Banker.W не могу обезвредить, удалить.