Антивирус нашёл странные файлы - Форум технической поддержки ESET NOD32

Сообщений: 11

Баллов: 5

Регистрация: 28.03.2013

Размещено 23.03.2014 17:11:58

При запуске системы NOD32 Antivirus пожаловался на липовые .exe файлы в папке Application Data (Kryptik.BVYR), удалил их, но, судя по всему, они появляются снова. Выкладываю логи:

Прикрепленные файлы

4D8D5E2E7D244F0_2014-03-23_19-06-13.7z (289.71 КБ)

Изменено: Andrewzz - 23.03.2014 17:22:26

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 23.03.2014 17:46:17

Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !

Код
;uVS v3.82.1 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 del %SystemRoot%\TASKS\AT1.JOB delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MOZILLA\VHXEIOJ.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\АНДРЕЙ\APPLICATION DATA\INSTALLSHIELD\XPERSINST.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\АНДРЕЙ\APPLICATION DATA\SKYPE\STARTSKYPE.EXE bl 9CBAEBD1CD8676B1D88947C0854CAA58 21317760 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ВЛАДЕЛЕЦ\РАБОЧИЙ СТОЛ\MOBOGENIE_SETUP_2.2.1_73.EXE delall %SystemDrive%\DOCUME~1\86A9~1\LOCALS~1\TEMP\CMDLINEEXT02.DLL delall %Sys32%\EAPA3HST.DLL delall %Sys32%\EAPAHOST.DLL deltmp delnfr dnsreset restart

Код

     

;uVS v3.82.1 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

del %SystemRoot%\TASKS\AT1.JOB
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MOZILLA\VHXEIOJ.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АНДРЕЙ\APPLICATION DATA\INSTALLSHIELD\XPERSINST.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АНДРЕЙ\APPLICATION DATA\SKYPE\STARTSKYPE.EXE
bl 9CBAEBD1CD8676B1D88947C0854CAA58 21317760
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ВЛАДЕЛЕЦ\РАБОЧИЙ СТОЛ\MOBOGENIE_SETUP_2.2.1_73.EXE
delall %SystemDrive%\DOCUME~1\86A9~1\LOCALS~1\TEMP\CMDLINEEXT02.DLL
delall %Sys32%\EAPA3HST.DLL
delall %Sys32%\EAPAHOST.DLL
deltmp
delnfr
dnsreset
restart

-------------

Пишем по результату.
+
Далее (даже если проблема решена) выполнить лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic682/
Выбрать быстрое сканирование. Отчет предоставить для анализа.

Сообщений: 11

Баллов: 5

Регистрация: 28.03.2013

Размещено 23.03.2014 18:03:43

Спасибо. Кажется, проблема решена. Никаких подозрительных файлов антивирус не находит. Malwarebytes ничего не нашёл (кроме того, что у меня отключены обновления системы), лог:

Прикрепленные файлы

MBAM-log-2014-03-23 (20-02-53).txt (2.32 КБ)

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 23.03.2014 18:07:18

В Malwarebytes - чисто

Далее: Выполните лог в AdwCleaner: http://forum.esetnod32.ru/forum9/topic7084/

Сообщений: 11

Баллов: 5

Регистрация: 28.03.2013

Размещено 23.03.2014 18:12:03

Вот:

Прикрепленные файлы

AdwCleaner[R1].txt (1.42 КБ)

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 23.03.2014 18:32:18

Записи относящиеся к Mail.Ru и Yandex можете не удалять ( если пользуетесь программой )
На вкладке Folders для Mail.Ru и Yandex снимите [V]

Удалите найденное в AdwCleaner по кнопке Clean, подтвердите действие
с автоперезагрузкой

Если проблема решена:

Выполните рекомендации:
http://forum.esetnod32.ru/forum9/topic3998/

Сообщений: 11

Баллов: 5

Регистрация: 28.03.2013

Размещено 23.03.2014 18:40:27

Спасибо, проблема решена!

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.03.2014 19:31:16

+ проверьте, есть ли в системе данный файл

Цитата
C:\WINDOWS\system32\wbem\wmic.exe

если нет его, скачайте и положите в указанный каталог
http://rghost.ru/53288655

[ Как создать образ автозапуска? ]

[ Закрыто ] Антивирус нашёл странные файлы