Помогите справиться с проблемой. - Форум технической поддержки ESET NOD32

Сообщений: 6

Баллов: 3

Регистрация: 30.08.2016

Размещено 30.08.2016 18:26:54

Помогите пожалуйста , после сканирования появляется это.. Как её удалить?
Оперативная память = svchost.exe(3472) - модифицированный Win32/Qadars.AL троянская программа - очищен удалением

Изменено: Дмитрий Шуваев - 30.08.2016 18:44:24

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 30.08.2016 20:39:34

Создайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/

Сообщений: 6

Баллов: 3

Регистрация: 30.08.2016

Размещено 01.09.2016 17:57:00

вот

Прикрепленные файлы

NONE-C772AB5EDC_2016-09-01_18-51-07.TXT (4.69 МБ)

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 01.09.2016 21:37:46

Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !

Код
;uVS v3.87.4 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE delref HTTP://UTROM.ORG/ZM/ delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=3FC9EFB4FF3FC7AC4FB910EE3C327BAA&TEXT={SEARCHTERMS} delref IUOZLT.EXE delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.645\AD.DLL del %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.645\AD.DLL delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.645\BAIDUPROTECT.EXE del %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.645\BAIDUPROTECT.EXE delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.645\BDKITUTILS.DLL del %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.645\BDKITUTILS.DLL delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.645\BDLOGICUTILS.DLL del %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.645\BDLOGICUTILS.DLL delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.645\BDMNET.DLL del %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.645\BDMNET.DLL delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.645\BDMREPORT.DLL del %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.645\BDMREPORT.DLL delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.645\BDSG0001.DLL del %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.645\BDSG0001.DLL delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.645\BDSGBUGRPT.EXE del %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.645\BDSGBUGRPT.EXE delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.645\DRIVERMANAGER.DLL del %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.645\DRIVERMANAGER.DLL delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.645\SAFEBROWSERDLL.DLL del %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.645\SAFEBROWSERDLL.DLL delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.645\SAFEEXPLORER.DLL del %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.645\SAFEEXPLORER.DLL delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.645\PLUGINS\BAIDUREPAIR.DLL del %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.645\PLUGINS\BAIDUREPAIR.DLL delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.645\PLUGINS\HIPS.DLL del %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.645\PLUGINS\HIPS.DLL delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\108\BDDOWNLOADER.EXE del %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\108\BDDOWNLOADER.EXE delref %Sys32%\DRIVERS\BD0004.SYS del %Sys32%\DRIVERS\BD0004.SYS delref %Sys32%\DRIVERS\BDMWRENCH.SYS del %Sys32%\DRIVERS\BDMWRENCH.SYS delref %Sys32%\DRIVERS\BDARKIT.SYS del %Sys32%\DRIVERS\BDARKIT.SYS delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\MAIL.RU\MAILRUUPDATER.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\DIMA\LOCAL SETTINGS\APPLICATION DATA\MAIL.RU\MAILRUUPDATER.EXE delall %SystemDrive%\PROGRAM FILES\MAIL.RU\MAILRUUPDATER\MAILRUUPDATER.EXE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\DIMA\APPLICATION DATA\{212FE02D-BCAD-4D14-38FE-EF0B09899320}\SEOPKZSZL.DOHTYOJ bl B66C7DA0BBDE48A51F32BB60D4EC2F9A 174260224 addsgn 1A801F9A55835A8CF42B25F540CC21CC1E8E316630B81F0C978246457DAA80C16BFA40AE2F22912326D8471442DBDD433FDF2B7711254FD34779FD140F1DE250 64 Qadars.AL chklst delvir delref %SystemDrive%\DOCUMENTS AND SETTINGS\DIMA\APPLICATION DATA\{212FE02D-BCAD-4D14-38FE-EF0B09899320}\SEOPKZSZL.DOHTYOJ delall %SystemDrive%\DOCUMENTS AND SETTINGS\DIMA\APPLICATION DATA\{212FE02D-BCAD-4D14-38FE-EF0B09899320}\SEOPKZSZL.DOHTYOJ delall %SystemDrive%\PROGRAM FILES\MAIL.RU\SPUTNIK\SPUTNIKHELPER.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\DIMA\APPLICATION DATA\TOR.EXE uidel C:\Documents and Settings\Dima\Local Settings\Application Data\Mail.Ru\MailRuUpdater.exe uninstall uidel MsiExec.exe /I{83CAF0DE-8D3B-4C37-A631-2B8F16EC3031} uidel "C:\Program Files\baidu\unins000.exe" deltmp delnfr restart

Код


;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
delref HTTP://UTROM.ORG/ZM/
delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=3FC9EFB4FF3FC7AC4FB910EE3C327BAA&TEXT={SEARCHTERMS}
delref IUOZLT.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.645\AD.DLL
del %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.645\AD.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.645\BAIDUPROTECT.EXE
del %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.645\BAIDUPROTECT.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.645\BDKITUTILS.DLL
del %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.645\BDKITUTILS.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.645\BDLOGICUTILS.DLL
del %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.645\BDLOGICUTILS.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.645\BDMNET.DLL
del %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.645\BDMNET.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.645\BDMREPORT.DLL
del %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.645\BDMREPORT.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.645\BDSG0001.DLL
del %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.645\BDSG0001.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.645\BDSGBUGRPT.EXE
del %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.645\BDSGBUGRPT.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.645\DRIVERMANAGER.DLL
del %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.645\DRIVERMANAGER.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.645\SAFEBROWSERDLL.DLL
del %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.645\SAFEBROWSERDLL.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.645\SAFEEXPLORER.DLL
del %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.645\SAFEEXPLORER.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.645\PLUGINS\BAIDUREPAIR.DLL
del %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.645\PLUGINS\BAIDUREPAIR.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.645\PLUGINS\HIPS.DLL
del %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.645\PLUGINS\HIPS.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\108\BDDOWNLOADER.EXE
del %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\108\BDDOWNLOADER.EXE
delref %Sys32%\DRIVERS\BD0004.SYS
del %Sys32%\DRIVERS\BD0004.SYS
delref %Sys32%\DRIVERS\BDMWRENCH.SYS
del %Sys32%\DRIVERS\BDMWRENCH.SYS
delref %Sys32%\DRIVERS\BDARKIT.SYS
del %Sys32%\DRIVERS\BDARKIT.SYS
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\MAIL.RU\MAILRUUPDATER.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\DIMA\LOCAL SETTINGS\APPLICATION DATA\MAIL.RU\MAILRUUPDATER.EXE
delall %SystemDrive%\PROGRAM FILES\MAIL.RU\MAILRUUPDATER\MAILRUUPDATER.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\DIMA\APPLICATION DATA\{212FE02D-BCAD-4D14-38FE-EF0B09899320}\SEOPKZSZL.DOHTYOJ
bl B66C7DA0BBDE48A51F32BB60D4EC2F9A 174260224
addsgn 1A801F9A55835A8CF42B25F540CC21CC1E8E316630B81F0C978246457DAA80C16BFA40AE2F22912326D8471442DBDD433FDF2B7711254FD34779FD140F1DE250 64 Qadars.AL
chklst
delvir
delref %SystemDrive%\DOCUMENTS AND SETTINGS\DIMA\APPLICATION DATA\{212FE02D-BCAD-4D14-38FE-EF0B09899320}\SEOPKZSZL.DOHTYOJ
delall %SystemDrive%\DOCUMENTS AND SETTINGS\DIMA\APPLICATION DATA\{212FE02D-BCAD-4D14-38FE-EF0B09899320}\SEOPKZSZL.DOHTYOJ
delall %SystemDrive%\PROGRAM FILES\MAIL.RU\SPUTNIK\SPUTNIKHELPER.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\DIMA\APPLICATION DATA\TOR.EXE
uidel C:\Documents and Settings\Dima\Local Settings\Application Data\Mail.Ru\MailRuUpdater.exe uninstall
uidel MsiExec.exe /I{83CAF0DE-8D3B-4C37-A631-2B8F16EC3031}
uidel "C:\Program Files\baidu\unins000.exe"
deltmp
delnfr
restart

+
Далее (даже если проблема решена) выполните лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic10688/

Выберите вариант сканирования: Быстрое или Полное сканирование.
Отчет предоставить для анализа ( в своей теме на форуме ).
Отчёт нужно предоставить в .txt ( блокнот )

Изменено: RP55 RP55 - 02.09.2016 20:13:20

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 01.09.2016 21:48:22

+

Добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

+

Отчёт по выполнению скрипта:
В папке с программой после выполнения скрипта должен появиться отчёт о его выполнении.
Прикрепите отчёт к данной теме.
Пример: ( 2012-05-18_02-15-25_log.txt )

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 02.09.2016 06:25:07

Дмитрий Шуваев,
банковские системы используете на вашей системе?

[ Как создать образ автозапуска? ]

Сообщений: 6

Баллов: 3

Регистрация: 30.08.2016

Размещено 02.09.2016 16:15:13

Пишет , что "Текст скрипта содержит ошибки , либо не содержит команд uVS , выполнение таких скриптов запрещено"
код ошибки меняется Оперативная память = svchost.exe(2528) - модифицированный Win32/Qadars.AL троянская программа - очищен удалением

Прикрепленные файлы

NONE-C772AB5EDC_2016-09-02_17-13-38.TXT (4.71 МБ)

Сообщений: 6

Баллов: 3

Регистрация: 30.08.2016

Размещено 02.09.2016 16:16:59

santy,
в смысле оплачиваю ли я покупки с этого компьютера , по банковской карте?

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 02.09.2016 19:13:32

Дмитрий,

используете ли вы он-лайн банковские системы с этого компьютера?

по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.87.4 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE addsgn 1AD78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian addsgn 1A3B5A9A55835A8CF42BF8DB65A016B0648A770761291F788504C3543C9771C7E5490002B5B91EA5276B8960331EA1A352DFE8F79583C423D202ACC7B8282273 64 bank_tr zoo %SystemDrive%\DOCUMENTS AND SETTINGS\DIMA\APPLICATION DATA\{212FE02D-BCAD-4D14-38FE-EF0B09899320}\SEOPKZSZL.DOHTYOJ CZOO sreg delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.645\BAIDUPROTECT.EXE delref %Sys32%\DRIVERS\BD0004.SYS delref %Sys32%\DRIVERS\BDARKIT.SYS delref %Sys32%\DRIVERS\BDMWRENCH.SYS delref %Sys32%\DRIVERS\BDSAFEBROWSER.SYS delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=3FC9EFB4FF3FC7AC4FB910EE3C327BAA&TEXT={SEARCHTERMS} delref %SystemDrive%\DOCUMENTS AND SETTINGS\DIMA\APPLICATION DATA\{212FE02D-BCAD-4D14-38FE-EF0B09899320}\SEOPKZSZL.DOHTYOJ delref HTTP://UTROM.ORG/ZM/ areg

Код


;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1AD78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian

addsgn 1A3B5A9A55835A8CF42BF8DB65A016B0648A770761291F788504C3543C9771C7E5490002B5B91EA5276B8960331EA1A352DFE8F79583C423D202ACC7B8282273 64 bank_tr

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\DIMA\APPLICATION DATA\{212FE02D-BCAD-4D14-38FE-EF0B09899320}\SEOPKZSZL.DOHTYOJ

CZOO

sreg
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.645\BAIDUPROTECT.EXE
delref %Sys32%\DRIVERS\BD0004.SYS
delref %Sys32%\DRIVERS\BDARKIT.SYS
delref %Sys32%\DRIVERS\BDMWRENCH.SYS
delref %Sys32%\DRIVERS\BDSAFEBROWSER.SYS
delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=3FC9EFB4FF3FC7AC4FB910EE3C327BAA&TEXT={SEARCHTERMS}
delref %SystemDrive%\DOCUMENTS AND SETTINGS\DIMA\APPLICATION DATA\{212FE02D-BCAD-4D14-38FE-EF0B09899320}\SEOPKZSZL.DOHTYOJ
delref HTTP://UTROM.ORG/ZM/
areg

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) выложите на обменник rghost.ru и дайте ссылку на этот файл в почту [email protected]
------------
далее,
добавьте новый образ автозапуска.
+
добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

+
добавьте логи выполнения скриптов uVS
это файлы дата_времяlog.txt в папке uVS

Изменено: santy - 02.09.2016 19:18:37

[ Как создать образ автозапуска? ]

Сообщений: 6

Баллов: 3

Регистрация: 30.08.2016

Размещено 03.09.2016 20:22:41

Спасибо большое , помогло!
не получилось добавить лог журнала обнаружения угроз.

Прикрепленные файлы

NONE-C772AB5EDC_2016-09-03_21-11-49.TXT (4.61 МБ)
2016-09-03_20-50-16_log.txt (17.54 КБ)

Помогите справиться с проблемой. , Оперативная память = svchost.exe(3472) - модифицированный Win32/Qadars.AL троянская программа - очищен удалением ,