Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Вирусы в оперативной памяти HFPAPI.DLL, HFNAPI.DLL , Навязчивая реклама

1
RSS
 
Евгений Иванов
Евгений Иванов
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 25.06.2014
Размещено 25.06.2014 05:57:36
Начала встраиваться реклама во все страницы мозиллы. В правом верхнем углу появился листок с загнутым углом. Придушил временно программой NoScript. Прошу помощи, так как NOD32 не лечит, хотя и обещает каждый раз.

Журнал проверки
Версия базы данных сигнатур вирусов: 9992 (20140624)
Дaтa: 24.06.2014 Время: 23:31:05
Просканированные диски, папки и файлы: Оперативная память
Оперативная память = C:\WINDOWS\System32\HFPAPI.DLL - модифицированный Win32/RiskWare.NetFilter.B приложение - очищен удалением (после следующего перезапуска) - изолирован [1,2]
Оперативная память = C:\WINDOWS\System32\HFNAPI.DLL - модифицированный Win32/RiskWare.NetFilter.B приложение - очищен удалением (после следующего перезапуска) - изолирован [1,2]
Количество просканированных объектов: 448
Количество обнаруженных угроз: 2
Количество очищенных объектов: 2
Время выполнения: 23:31:07 Общее время проверки: 2 сек. (00:00:02)

Примечания:
[1] Объект был удален, так как содержал только тело вируса.
[2] Объект используется (открыт или выполняется). Для завершения очистки необходимо перезапустить систему.
================================================== ==
http://rghost.ru/56549764 - uVS
http://rghost.ru/56549809 - hijackthis.log
http://rghost.ru/56549988 - virusinfo_SYSCURE.zip
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.06.2014 06:14:40
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v3.82.8 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
zoo %Sys32%\NETHTSRV.EXE
addsgn 1AEC099A5583D98CF42B254E3143FE86C9AA77B381AC48128D9A7B04549471C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F879F23FE 8 Win32/Amonetize.AZ [ESET-NOD32]

zoo %Sys32%\NETUPDSRV.EXE
addsgn 1AA3E79A5583D98CF42B254E3143FE86C9AA77B381AC48128D9A7B84849771C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F879F23FE 8 Netupdate.mbam

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\SWVUPDATER\UPDATER.EXE
addsgn 9252775A106AC1CC0B84544E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 13 sohanad_vir

hide %Sys32%\NHELPER.EXE
addsgn 79132211B9E9317E0AA1AB593EE61205DAFFF47DC4EA942D892B2942AF292811E11BC3DCC10016A5AA6CAC9C4616EA2AD9DEF8FB5816142D3DFEB1E7630732FA 64 Win32/RiskWare.NetFilter.B [ESET-NOD32]

zoo %Sys32%\HFNAPI.DLL
addsgn 79132211B9E9317E0AA1AB5922801205DAFFF47DC4EA942D892B2942AF292811E11BC3DCC10016A5A86CA414031E1FAD17D7B1CCC538B23CA00A44DC628F678B 64 Win32/RiskWare.NetFilter.B [ESET-NOD32]

zoo %Sys32%\HFPAPI.DLL
;------------------------autoscript---------------------------

chklst
delvir

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]

delref %Sys32%\DRIVERS\NETHFDRV.SYS

; Network System Driver
exec C:\Program Files\Common Files\Config\uninstinethnfd.exe

; Java(TM) 6 Update 4
exec MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160040} /quiet

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.

архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
[ Как создать образ автозапуска? ]
 
Евгений Иванов
Евгений Иванов
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 25.06.2014
Размещено 25.06.2014 06:34:44
Все сделал.
Изменено: Евгений Иванов - 25.06.2014 06:36:36
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.06.2014 06:37:03
в мбам удалите все найденное,

далее, сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/
[ Как создать образ автозапуска? ]
 
Евгений Иванов
Евгений Иванов
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 25.06.2014
Размещено 25.06.2014 06:48:32
Цитата
78088 пишет:
в мбам удалите все найденное,

далее, сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/
Готово.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.06.2014 06:52:30
в АдвКлинере после сканирования,в секции Папки, снимите галки на записях mail.ru, yandex
остальное удалите по кнопке Очистить

далее, если проблема решилась,
выполните рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

если остались рекламные блоки, добавьте логи расширений браузеров
http://forum.esetnod32.ru/forum9/topic10570/
[ Как создать образ автозапуска? ]
 
Евгений Иванов
Евгений Иванов
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 25.06.2014
Размещено 25.06.2014 06:58:40
Цитата
78091 пишет:
в АдвКлинере после сканирования,в секции  Папки , снимите галки на записях mail.ru, yandex
остальное удалите по кнопке  Очистить
Успел грохнуть все папки :-)
Огромное спасибо из Владивостока!
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.06.2014 07:14:43
В Яндекс браузере нет необходимости, лучше использовать оф. сборку Хрома. если используете майл_ру агент, то возможно придется переустановить.
да, Владивосток. то-то в такую рань на форуме.  :)
у меня время новосибирское. :)
Изменено: santy - 25.06.2014 07:15:24
[ Как создать образ автозапуска? ]
 
1
Читают тему