Вирусы в оперативной памяти, очистка невозможна - Форум технической поддержки ESET NOD32

Сообщений: 5

Баллов: 2

Регистрация: 11.05.2014

Размещено 11.05.2014 19:52:10

Здравствуйте!
В общем из названия темы все понятно, суть такая дня 2 назад в диспетчере появилось очень много лишних процессов, после того как вставил сломанную флешку, проверил антивиром нашел 9 вирусов в памяти, сейчас их уже 39...
Помогите пожалуйста, виндоуз переустанавливать не желательно
Заранее спасибо

Прикрепленные файлы

RUSLAN1-PC_2014-05-11_21-26-46.7z (666.47 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.05.2014 19:57:45

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.82.5 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE zoo %SystemDrive%\RECYCLER\MSCINET.EXE addsgn 1A624E9A5583C58CF42B16C9CD8912C684CA1AB789AC756CDB4605C9576E714E231728510593E04EA04627DFA0574990798F004E6FDAB07574D498F98606A7B3 8 BackDoor.Siggen.8442 [DrWeb] zoo %SystemDrive%\USERS\KING\APPDATA\LOCAL\TEMP\WINDOWS\WINSYS.EXE addsgn 1A35449A5583C58CF42BF93AA24BF20AA04AF37348FA1F780E12465D2F179B4B57722851B3CE9D492B80E29029102FF51291F8145AB5E60C4B78CB71F7602D0C 8 Trojan.BtcMine.404 [DrWeb] zoo %SystemDrive%\USERS\KING\DOCUMENTS\VKMUSIC_4.36.EXE addsgn A7679B1991AE1F245CE76E3821389B40F9627A627605F7F5233C3A544C7F8EB3CB440AA8C1BD0780D47F6C56B4E9B6124D2B178D661AE544D1D5E42FA3F91217 8 Trojan.Packed.25266 [DrWeb] zoo %SystemDrive%\USERS\KING\PICTURES\VKMUSIC_4.43.2.EXE zoo %SystemDrive%\USERS\KING\PICTURES\VKMUSIC_4.44.EXE zoo %SystemDrive%\USERS\KING\DOCUMENTS\VKMUSIC_4.56.EXE zoo %SystemDrive%\PROGRAM FILES (X86)\НОВАЯ ПАПКА\НОВАЯ ПАПКА1\VKMUSIC_4.35.EXE zoo %SystemDrive%\USERS\KING\DOCUMENTS\VKMUSIC_4.57.EXE zoo %SystemDrive%\USERS\KING\DOCUMENTS\UISO9_PE.EXE zoo %SystemDrive%\USERS\KING\DOCUMENTS\ISETUP-5.5.4.EXE zoo %SystemDrive%\PROGRAM FILES (X86)\WEBMONEY\WEBMONEY.EXE addsgn 9204779A556A11225ADB6446B654E5D72A4017F9301110C06EC47C575F469A44DEFCC8A5D5A076BFD96B8C62ADFFBA11992301EF5A133BE6DAA6FD7797572DB9 8 Tool.BtcMine.126 [DrWeb] addsgn A7677AB787284C3382F88A59FAC81205CDCADAF689D1D290D9C3C5BCB8163F4C233C1C07B59E165C5932C69FCD2B11293FDFEBBC0D32320A2D77F4C7EF202273 8 BackDoor.IRC.NgrBot.443 [DrWeb] zoo %SystemDrive%\USERS\KING\APPDATA\ROAMING\IDENTITIES\CDUEUG.EXE zoo %SystemDrive%\USERS\KING\APPDATA\LOCAL\TEMP\ADOBE\READER_SL.EXE adddir %SystemDrive%\USERS\KING\APPDATA\ROAMING\IDENTITIES hide %SystemDrive%\PROGRAM FILES (X86)\WEBMONEY\WEBMONEY.EXE hide %SystemDrive%\USERS\KING\DOCUMENTS\UISO9_PE.EXE hide %SystemDrive%\USERS\KING\DOCUMENTS\ISETUP-5.5.4.EXE ;------------------------autoscript--------------------------- chklst delvir delref HTTP://SINDEX.BIZ/?COMPANY=3 ; Get Styles for Opera exec C:\Program Files (x86)\Get-Styles 2.0\op\uninstall.exe ; Get-Styles for Chrome exec C:\Program Files (x86)\Get-Styles 2.0\ch\uninstall.exe ; Get-Styles for IE exec C:\Program Files (x86)\Get-Styles 2.0\ie\uninstall.exe ; Get-Styles для ВКонтакте exec C:\Program Files (x86)\Get-Styles 2.0\utils\uninstall.exe ; OpenAL exec C:\Program Files (x86)\OpenAL\OpenALwEAX.exe" /U /S ; Ask Toolbar exec MsiExec.exe /X{4646332D-5637-006A-76A7-A758B70C0A00} /quiet deltmp delnfr ;------------------------------------------------------------- czoo restart

Код

;uVS v3.82.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
zoo %SystemDrive%\RECYCLER\MSCINET.EXE
addsgn 1A624E9A5583C58CF42B16C9CD8912C684CA1AB789AC756CDB4605C9576E714E231728510593E04EA04627DFA0574990798F004E6FDAB07574D498F98606A7B3 8 BackDoor.Siggen.8442 [DrWeb]

zoo %SystemDrive%\USERS\KING\APPDATA\LOCAL\TEMP\WINDOWS\WINSYS.EXE
addsgn 1A35449A5583C58CF42BF93AA24BF20AA04AF37348FA1F780E12465D2F179B4B57722851B3CE9D492B80E29029102FF51291F8145AB5E60C4B78CB71F7602D0C 8 Trojan.BtcMine.404 [DrWeb]

zoo %SystemDrive%\USERS\KING\DOCUMENTS\VKMUSIC_4.36.EXE
addsgn A7679B1991AE1F245CE76E3821389B40F9627A627605F7F5233C3A544C7F8EB3CB440AA8C1BD0780D47F6C56B4E9B6124D2B178D661AE544D1D5E42FA3F91217 8 Trojan.Packed.25266 [DrWeb]

zoo %SystemDrive%\USERS\KING\PICTURES\VKMUSIC_4.43.2.EXE
zoo %SystemDrive%\USERS\KING\PICTURES\VKMUSIC_4.44.EXE
zoo %SystemDrive%\USERS\KING\DOCUMENTS\VKMUSIC_4.56.EXE
zoo %SystemDrive%\PROGRAM FILES (X86)\НОВАЯ ПАПКА\НОВАЯ ПАПКА1\VKMUSIC_4.35.EXE
zoo %SystemDrive%\USERS\KING\DOCUMENTS\VKMUSIC_4.57.EXE
zoo %SystemDrive%\USERS\KING\DOCUMENTS\UISO9_PE.EXE
zoo %SystemDrive%\USERS\KING\DOCUMENTS\ISETUP-5.5.4.EXE
zoo %SystemDrive%\PROGRAM FILES (X86)\WEBMONEY\WEBMONEY.EXE
addsgn 9204779A556A11225ADB6446B654E5D72A4017F9301110C06EC47C575F469A44DEFCC8A5D5A076BFD96B8C62ADFFBA11992301EF5A133BE6DAA6FD7797572DB9 8 Tool.BtcMine.126 [DrWeb]

addsgn A7677AB787284C3382F88A59FAC81205CDCADAF689D1D290D9C3C5BCB8163F4C233C1C07B59E165C5932C69FCD2B11293FDFEBBC0D32320A2D77F4C7EF202273 8 BackDoor.IRC.NgrBot.443 [DrWeb]

zoo %SystemDrive%\USERS\KING\APPDATA\ROAMING\IDENTITIES\CDUEUG.EXE
zoo %SystemDrive%\USERS\KING\APPDATA\LOCAL\TEMP\ADOBE\READER_SL.EXE
adddir %SystemDrive%\USERS\KING\APPDATA\ROAMING\IDENTITIES
hide %SystemDrive%\PROGRAM FILES (X86)\WEBMONEY\WEBMONEY.EXE
hide %SystemDrive%\USERS\KING\DOCUMENTS\UISO9_PE.EXE
hide %SystemDrive%\USERS\KING\DOCUMENTS\ISETUP-5.5.4.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://SINDEX.BIZ/?COMPANY=3

; Get Styles for Opera
exec C:\Program Files (x86)\Get-Styles 2.0\op\uninstall.exe

; Get-Styles for Chrome
exec C:\Program Files (x86)\Get-Styles 2.0\ch\uninstall.exe

; Get-Styles for IE
exec C:\Program Files (x86)\Get-Styles 2.0\ie\uninstall.exe

; Get-Styles для ВКонтакте
exec C:\Program Files (x86)\Get-Styles 2.0\utils\uninstall.exe

; OpenAL
exec C:\Program Files (x86)\OpenAL\OpenALwEAX.exe" /U /S

; Ask Toolbar
exec MsiExec.exe /X{4646332D-5637-006A-76A7-A758B70C0A00} /quiet

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

Изменено: santy - 11.05.2014 20:00:59

[ Как создать образ автозапуска? ]

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.05.2014 21:23:43

что с проблемой? скрипт выполнен или нет?

[ Как создать образ автозапуска? ]

Сообщений: 5

Баллов: 2

Регистрация: 11.05.2014

Размещено 11.05.2014 21:52:17

Извиняюсь за столь долгий ответ, очень плохой интернет, долго скачивал программу, в общем вирусы вроде исчезли, но процессы в диспетчере задач по прежнему остались и также пожирают много оперативы
в uVS выгружал все процессы кроме системных, не помогает

Прикрепленные файлы

mbam.txt (4.3 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.05.2014 22:05:01

удалите все найденное в мбам,

перегрузите систему

далее,

1. сделайте еще раз сканирование в мбам

2. добавьте лог обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

3. выполните сканирование в ESET NOD32 только оперативной памяти.
лог сканирование добавьте на форум

[ Как создать образ автозапуска? ]

Сообщений: 5

Баллов: 2

Регистрация: 11.05.2014

Размещено 11.05.2014 22:36:19

мбам когда нашел все эти зараженные файлы я их в карантин отправил
процессы не уходят...

Прикрепленные файлы

угрозы.txt (25.31 КБ)
нод.txt (307 Б)
mbam2.txt (1.02 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.05.2014 22:47:14

в памяти нет обнаруженных вирусов - это уже хорошо.

Цитата
Просканированные диски, папки и файлы: Оперативная память Количество просканированных объектов: 217 Количество обнаруженных угроз: 0 Время выполнения: 0:30:40 Общее время проверки: 4 сек. (00:00:04)

последние угрозы обнаружены сегодня.

Цитата
11.05.2014 20:17:13 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = C:\Users\KING\AppData\Local\Temp\unfdt.exe модифицированный Win32/Lethic.AE троянская программа очистка невозможна RUSLAN1-PC\KING 11.05.2014 20:17:13 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = C:\Users\KING\AppData\Local\Temp\unfdt.exe модифицированный Win32/Lethic.AE троянская программа очистка невозможна RUSLAN1-PC\KING 11.05.2014 20:17:13 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = C:\Users\KING\AppData\Local\Temp\unfdt.exe модифицированный Win32/Lethic.AE троянская программа очистка невозможна RUSLAN1-PC\KING

Цитата

11.05.2014 20:17:13 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = C:\Users\KING\AppData\Local\Temp\unfdt.exe модифицированный Win32/Lethic.AE троянская программа очистка невозможна RUSLAN1-PC\KING
11.05.2014 20:17:13 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = C:\Users\KING\AppData\Local\Temp\unfdt.exe модифицированный Win32/Lethic.AE троянская программа очистка невозможна RUSLAN1-PC\KING
11.05.2014 20:17:13 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = C:\Users\KING\AppData\Local\Temp\unfdt.exe модифицированный Win32/Lethic.AE троянская программа очистка невозможна RUSLAN1-PC\KING

понаблюдайте за системой, если появятся новые угрозы, добавьте новый образ автозапуска

+
выполните рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

+
добавьте лог процессов из программы Process Explorer
http://technet.microsoft.com/ru-ru/sysinternals/bb896653.aspx

Изменено: santy - 12.05.2014 14:22:46

[ Как создать образ автозапуска? ]

Сообщений: 5

Баллов: 2

Регистрация: 11.05.2014

Размещено 12.05.2014 14:56:34

рекомендации все соблюдены, но сейчас дело не в них
вот лог процессов, при всех закрытых окнах память загружена на 30%, цпу на 5-10%

Прикрепленные файлы

System.txt (6.19 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.05.2014 16:44:03

судя по списку процессов левых (и лишних) процессов нет, за исключением может быть этого

Цитата
spd.exe 0.16 7 260 K 9 384 K 1576 cFosSpeed Service cFos Software GmbH

который похоже используется как Интернет Аксселератор (Internet Accelerator)

http://www.cfos.de/en/cfosspeed/cfosspeed.htm

Изменено: santy - 12.05.2014 16:54:00

[ Как создать образ автозапуска? ]

Сообщений: 5

Баллов: 2

Регистрация: 11.05.2014

Размещено 12.05.2014 17:08:33

хм т.е. это норма столько процессов? в автозагрузке стоит самое необходимое типо драйверов и антивируса, всего 7 пунктов, тогда как они могут сами запускаться??
раньше до вирусов было максимум процессов 15, ничего не менялось

[ Закрыто ] Вирусы в оперативной памяти, очистка невозможна