вирус в оперативной памяти. Очистка невозможна - Форум технической поддержки ESET NOD32

Сообщений: 9

Баллов: 4

Регистрация: 27.03.2012

Размещено 05.05.2012 15:16:54

Добрый день. Помогите, пожалуйста, избавиться от вируса.
После проверки было сообщение: вирус в оперативной памяти..... очистка невозможна. После повторной проверки такое сообщение больше не появлялось, но проблема осталась: не загружается эксплорер. Но через мозиллу всё работает.
Вот ссылка на образ автозапуска.
http://rghost.ru/37923979

Заранее спасибо.

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 05.05.2012 16:05:11

Здравствуйте!

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);

Код
;;uVS v3.75 BETA1 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\LITTLE BEAR\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\CJ3XTVOTHYE.EXE bl 5C15EC0B70E3AFE62A80FEB6D9FA883B 140800 delall %SystemDrive%\DOCUMENTS AND SETTINGS\LITTLE BEAR\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\CJ3XTVOTHYE.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML deltmp delnfr exec cmd /k attrib -r -s -h "%appdata%\igfxtray.dat"&del "%appdata%\igfxtray.dat"&exit exec cmd /k del "%windir%\system32\ieunitdrf.inf"&exit czoo restart

Код

;;uVS v3.75 BETA1 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\LITTLE BEAR\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\CJ3XTVOTHYE.EXE
bl 5C15EC0B70E3AFE62A80FEB6D9FA883B 140800
delall %SystemDrive%\DOCUMENTS AND SETTINGS\LITTLE BEAR\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\CJ3XTVOTHYE.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
deltmp
delnfr
exec cmd /k attrib -r -s -h "%appdata%\igfxtray.dat"&del "%appdata%\igfxtray.dat"&exit
exec cmd /k del "%windir%\system32\ieunitdrf.inf"&exit
czoo
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится;
- в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например 2012-03-09_09-29-00.7z - это архив с вирусами, его нужно прислать на электронный адрес [email protected].
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.

Правильно заданный вопрос - это уже половина ответа

Сообщений: 9

Баллов: 4

Регистрация: 27.03.2012

Размещено 05.05.2012 16:50:07

отправила на [email protected] архив 2012-05-05_16-41-48

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 05.05.2012 16:53:36

ждем лог Мбам

Правильно заданный вопрос - это уже половина ответа

Сообщений: 9

Баллов: 4

Регистрация: 27.03.2012

Размещено 05.05.2012 17:08:27

Отправила на [email protected] файл mbam-log-2012-05-05 (17-06-39)

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 05.05.2012 17:17:11

лог Мбам сюда нужен

Правильно заданный вопрос - это уже половина ответа

Сообщений: 9

Баллов: 4

Регистрация: 27.03.2012

Размещено 05.05.2012 17:19:09

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Версия базы данных: v2012.04.04.08

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Little Bear :: HOME-7B2F5C4BAD [администратор]

05.05.2012 16:59:33
mbam-log-2012-05-05 (17-06-39).txt

Тип сканирования: Быстрое сканирование
Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM
Опции сканирования отключены: P2P
Просканированные объекты: 192629
Времени прошло: 1 минут , 56 секунд

Обнаруженные процессы в памяти: 0
(Вредоносных программ не обнаружено)

Обнаруженные модули в памяти: 0
(Вредоносных программ не обнаружено)

Обнаруженные ключи в реестре: 2
HKCR\CLSID\{82184935-B894-4AB2-8590-603BA7D74B71} (Trojan.WebMoner) -> Действие не было предпринято.
HKCR\harm.eProtocol (Trojan.WebMoner) -> Действие не было предпринято.

Обнаруженные параметры в реестре: 0
(Вредоносных программ не обнаружено)

Объекты реестра обнаружены: 1
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

Обнаруженные папки: 0
(Вредоносных программ не обнаружено)

Обнаруженные файлы: 0
(Вредоносных программ не обнаружено)

(конец)

Сообщений: 9

Баллов: 4

Регистрация: 27.03.2012

Размещено 05.05.2012 17:20:14

Это оно? Я правильно выложила? Я не очень опытный пользователь

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 05.05.2012 17:20:16

Это удалить:

Цитата
HKCR\CLSID\{82184935-B894-4AB2-8590-603BA7D74B71} (Trojan.WebMoner) -> Действие не было предпринято. HKCR\harm.eProtocol (Trojan.WebMoner) -> Действие не было предпринято.

Затем Выполните рекомендации

Правильно заданный вопрос - это уже половина ответа

Сообщений: 9

Баллов: 4

Регистрация: 27.03.2012

Размещено 05.05.2012 17:37:02

Прошу прощения, не поняла, где это удалить??

[ Закрыто ] вирус в оперативной памяти. Очистка невозможна