Win32/AutoRun.Caphaw.A - Форум технической поддержки ESET NOD32

Сообщений: 6

Баллов: 3

Регистрация: 12.12.2013

Размещено 12.12.2013 00:38:12

Помогите, пожалуйста, побороть Win32/AutoRun.Caphaw.A. Вот ссылка на журнал обнаружения угроз и лог uVS: http://yadi.sk/d/040zoaBeEBCMU

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 12.12.2013 01:00:06

сделайте новый образ автозапуска в безопасном режиме
журнала обнаружения по ссылке нет. его тоже выложите

Правильно заданный вопрос - это уже половина ответа

Сообщений: 6

Баллов: 3

Регистрация: 12.12.2013

Размещено 12.12.2013 22:05:19

Прошу прощения, вместо ссылки на папку дал ссылку на один файл.
Исправляюсь. Вот журнал обнаружения угроз: http://yadi.sk/d/yNMxf-7_EDw4i
Образ автозапуска в безопасном режиме: http://yadi.sk/d/6DN2IHOlEDwUg

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 12.12.2013 22:08:52

Здравствуйте!

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);

Код
;;uVS v3.81.7 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 zoo %SystemDrive%\USERS\DMITRY\APPDATA\ROAMING\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\XLRD6AQQ\VIDEOPLAYER.RU\RU\PLAYER\LOADER\UPPOD\VSSVC.EXE bl 385DDC6E0C8DA0634265ECF3BB0A720A 321864 addsgn 1A378C65AAEBA096B57970DB6437072945CEFC3A76DFB318C1C33A99F4B6354CDC3263377A55626CB7E0C09FB933DD9A39DF175775BAF42CD252A84E8306DD56 8 Win32/AutoRun.Caphaw. chklst delvir delref HTTP://RU.START2.MOZILLA.COM/FIREFOX?CLIENT=FIREFOX-A&RLS=ORG.MOZILLA:RU:OFFICIAL ; Java(TM) 6 Update 32 exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216032FF} /quiet ; Java 7 Update 25 exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83217025FF} /quiet deltmp delnfr czoo restart

Код

;;uVS v3.81.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

zoo %SystemDrive%\USERS\DMITRY\APPDATA\ROAMING\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\XLRD6AQQ\VIDEOPLAYER.RU\RU\PLAYER\LOADER\UPPOD\VSSVC.EXE
bl 385DDC6E0C8DA0634265ECF3BB0A720A 321864
addsgn 1A378C65AAEBA096B57970DB6437072945CEFC3A76DFB318C1C33A99F4B6354CDC3263377A55626CB7E0C09FB933DD9A39DF175775BAF42CD252A84E8306DD56 8 Win32/AutoRun.Caphaw.
chklst
delvir
delref HTTP://RU.START2.MOZILLA.COM/FIREFOX?CLIENT=FIREFOX-A&RLS=ORG.MOZILLA:RU:OFFICIAL
; Java(TM) 6 Update 32
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216032FF} /quiet
; Java 7 Update 25
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83217025FF} /quiet
deltmp
delnfr
czoo
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
- в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например ZOO_2013-03-09_09-29-00.7z - это архив с вирусами, его нужно прислать на электронный адрес [email protected].
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.

Правильно заданный вопрос - это уже половина ответа

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 12.12.2013 22:45:44

+
сюда вышлите указанный карантин для анализа
[email protected]
судя по некоторым темам добавляется блокировка Хрома.
----------
+ учтите, что троян может смутировать, если уже была перезагрузка после создания образа в безопасном режиме

Изменено: santy - 12.12.2013 22:47:39

[ Как создать образ автозапуска? ]

Сообщений: 6

Баллов: 3

Регистрация: 12.12.2013

Размещено 12.12.2013 22:50:22

Цитата
Арвид пишет: - в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например ZOO_2013-03-09_09-29-00.7z - это архив с вирусами, его нужно прислать на электронный адрес [email protected].

Такого файла в папке, из которой запускалась программа, нет. После выполнения скрипта появился лог (http://yadi.sk/d/C6RCb66vEE7BN) и в папке ZOO два файла:
VSSVC.EXE._5EFC563CC592337934D170D868730BD2D49F1DB9
VSSVC.EXE._5EFC563CC592337934D170D868730BD2D49F1DB9.txt
Может, нужно что-то из этого?

Лог проверки Mbam будет попозже.

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 12.12.2013 22:51:53

Цитата
Дмитрий Михалин пишет: Может, нужно что-то из этого?

упакуйте оба файла в архив, залейте на обменник и дайте ссылку
далее делаем лог Мбам

Правильно заданный вопрос - это уже половина ответа

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 12.12.2013 22:55:22

ждем лог Мбам

Правильно заданный вопрос - это уже половина ответа

Сообщений: 6

Баллов: 3

Регистрация: 12.12.2013

Размещено 12.12.2013 23:14:26

http://yadi.sk/d/kbQN6ZGgEEBvu

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 12.12.2013 23:15:22

удалите найденное. затем и Мбам можете удалить.
после этого сделайте лог AdwCleaner
http://forum.esetnod32.ru/forum9/topic7084/

Правильно заданный вопрос - это уже половина ответа

[ Закрыто ] Win32/AutoRun.Caphaw.A