Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] модифицированный Win32/Fynloski.AA , очистка невозможна

1
RSS
 
Дмитрий Михайлов
Дмитрий Михайлов
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 21.12.2013
Размещено 21.12.2013 10:42:36
При запуске компьютера NOD видит следующее:
Оперативная память = C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe - модифицированный Win32/Fynloski.AA троянская программа - очистка невозможна
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 21.12.2013 10:57:03
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код

;uVS v3.81.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE

hide %SystemDrive%\PROGRAM FILES\MATHCAD\MATHCAD 15\MATHCAD.EXE
zoo %SystemDrive%\USERS\ДМИТРИЙ\APPDATA\LOCAL\TEMP\FVTDL\29709.VBS
delall %SystemDrive%\USERS\ДМИТРИЙ\APPDATA\LOCAL\TEMP\FVTDL\29709.VBS
delall %SystemRoot%\MICROSOFT\JUSHED.EXE
delall %SystemDrive%\USERS\ДМИТРИЙ\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL
delall %SystemDrive%\USERS\ДМИТРИЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\WINDOWS.LNK
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
[ Как создать образ автозапуска? ]
 
Дмитрий Михайлов
Дмитрий Михайлов
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 21.12.2013
Размещено 22.12.2013 19:09:31
Не помогло. NOD при проверке выдает тоже самое:
Оперативная память = C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe - модифицированный Win32/Fynloski.AA троянская программа - очистка невозможна
Прикладываю образ автозапуска и и лог проверки программой малваребайт.
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 22.12.2013 19:22:27
Удалить все записи в программе MBAM кроме

Цитата
C:\Windows\KMSERVICE.EXE (RiskWare.Tool.CK) -> Действие не было предпринято.
C:\Users\FASTSTONE CAPTURE V7.1 FINAL + PORTABLE ENG_RUS\Keygen\keygen.exe (RiskWare.Tool.CK) -> Действие не было предпринято.

Перезагрузите ПК. Сообщите о результате.

Спасибо.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.12.2013 19:38:57
+
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код
;uVS v3.81.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE

zoo %SystemDrive%\PROGRAM FILES\WWNHD\53005.VBS
zoo %SystemDrive%\PROGRAM FILES\WWNHD\71565.CMD
delall %SystemDrive%\PROGRAM FILES\WWNHD\53005.VBS
delall %SystemDrive%\PROGRAM FILES\WWNHD\71565.CMD
hide %SystemDrive%\PROGRAM FILES\MATHCAD\MATHCAD 15\MATHCAD.EXE
dirzooex %SystemDrive%\PROGRAM FILES\WWNHD
deltmp
delnfr
CZOO
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_дата_время.rar/7z) отправить в почту [email protected], [email protected], [email protected]
------------
+
далее,
сразу
сделайте новый образ автозапуска, лучше из безопасного режима системы.
Изменено: santy - 22.12.2013 19:41:25
[ Как создать образ автозапуска? ]
 
Дмитрий Михайлов
Дмитрий Михайлов
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 21.12.2013
Размещено 27.12.2013 07:29:08
Удалил все записи в MBAM кроме выделенных. После этого НОД уже не ругался. Далее выполнил скрипт. К сожалению образ в безопасном режиме создать не получилось, так как нет клавиатуры PS/2. Так что кидаю так. Файл ZOO дополнительно отправляю по почте. Большое спасибо за помощь!
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.12.2013 07:39:59
сделайте новую быструю проверку в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

если лог будет чистый,
выполните рекомендации
http://forum.esetnod32.ru/forum9/topic3998/
[ Как создать образ автозапуска? ]
 
Дмитрий Михайлов
Дмитрий Михайлов
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 21.12.2013
Размещено 28.12.2013 11:23:02
Лог чистый (в нем только то, что не удалил в прошлый раз). Рекомендациям последую, спасибо за помощь еще раз!
 
1
Читают тему