Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Проблема с вирусом. , Обнаружен вирус и он не удалаеться

1
RSS
 
treyww
treyww
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 14.01.2012
Размещено 14.01.2012 11:53:41
Оперативная память » explorer.exe(1976) - модифицированный Win32/Spy.Shiz.NCE троянская программа - очистка невозможна.Вот такое он мне пишет.И интернет очень тяжело грузит наверно из-за него.
Лог имеется.
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 14.01.2012 12:03:51
Запускаем uVS еще раз, только теперь меню Скрипт - Выполнить скрипт находящийся в буфере обмена
Вставляем текст скрипта:
Перед выполнением скрипта, закрыть браузеры!
Код
;;uVS v3.73 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALEKSANDR\APPLICATION DATA\MICROSOFT CORPORATION\DSWEAY32.RCC
bl 75BD43B0D86EE0378DDF9348FBB21038 184320
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALEKSANDR\APPLICATION DATA\MICROSOFT CORPORATION\DSWEAY32.RCC
zoo %SystemRoot%\APPPATCH\XRAAPT.EXE
bl 9904700AF0647B01FC958BF5605CE5AB 255824
delall %SystemRoot%\APPPATCH\XRAAPT.EXE
regt 12
regt 13
regt 1
regt 2
regt 3
deltmp
delnfr
czoo


И жмем Выполнить. После выполнения скрипта - ПК перезагрузится.
В папке с программой UVS появится архив с сегодняшней датой\временем (без имени ПК) - его надо прислать на адрес [email protected]. Если архив не появился, то сами архивируем папку ZOO, ставим пароль virus и отправляем на адрес.
После перезагрузки сделать лог MalwareBytes и выложить сюда. Можно сделать быструю проверку, а не полную.
Правильно заданный вопрос - это уже половина ответа
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 14.01.2012 12:05:23
Не хило, подписанный Spy.Shiz :)

Цитата
Полное имя                  C:\WINDOWS\APPPATCH\XRAAPT.EXE
Имя файла                   XRAAPT.EXE
Тек. статус                 ?ВИРУС? ВИРУС ПРОВЕРЕННЫЙ в автозапуске
                           
Удовлетворяет критериям    
USERINIT                    ССЫЛКА: HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\USERINIT
АВТОЗАПУСК                  ССЫЛКА: HKEY_USERS\S-1-5-21-1644491937-1417001333-682003330-1004\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\USERINIT
                           
Сохраненная информация      на момент создания образа
Статус                      ПРОВЕРЕННЫЙ в автозапуске
Размер                      255824 байт
Создан                      13.01.2012 в 21:24:29
Изменен                     14.01.2012 в 13:45:30
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано Primetech Ltd.
                           
Версия файла                3.1.6.8
Описание                    Nonantigenic
Продукт                     Unpremeditate
Copyright                   inscrutability
                           
Доп. информация             на момент обновления списка
SHA1                        0094B34CBAA0AC1D0242673F2B9F4196CB17AC71
MD5                         9904700AF0647B01FC958BF5605CE5AB
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\System
System                      C:\WINDOWS\apppatch\xraapt.exe
Правильно заданный вопрос - это уже половина ответа
 
treyww
treyww
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 14.01.2012
Размещено 14.01.2012 12:48:11
лог MalwareBytes.Программу удалить,после этого?Или ей пользоваться по окончанию пробного периода.anti-malware пишет мне когда захожу в фаерфокс ,что было предотвращена попытка доступа к вредоносному сайту,вид:исходный и айпи сайта.
 
treyww
treyww
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 14.01.2012
Размещено 14.01.2012 12:48:52
Цитата
Арвид пишет:
Запускаем uVS еще раз, только теперь меню  Скрипт - Выполнить скрипт находящийся в буфере обмена

Вставляем текст скрипта:

Перед выполнением скрипта, закрыть браузеры!  

Код
 ;;uVS v3.73 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALEKSANDR\APPLICATION DATA\MICROSOFT CORPORATION\DSWEAY32.RCC
bl 75BD43B0D86EE0378DDF9348FBB21038 184320
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALEKSANDR\APPLICATION DATA\MICROSOFT CORPORATION\DSWEAY32.RCC
zoo %SystemRoot%\APPPATCH\XRAAPT.EXE
bl 9904700AF0647B01FC958BF5605CE5AB 255824
delall %SystemRoot%\APPPATCH\XRAAPT.EXE
regt 12
regt 13
regt 1
regt 2
regt 3
deltmp
delnfr
czoo




И жмем Выполнить. После выполнения скрипта - ПК перезагрузится.

В папке с программой UVS появится архив с сегодняшней датой\временем (без имени ПК) - его надо прислать на адрес [email protected]. Если архив не появился, то сами архивируем папку ZOO, ставим пароль virus и отправляем на адрес.

После перезагрузки сделать  лог MalwareBytes  и выложить сюда. Можно сделать быструю проверку, а не полную.
Теперь этого вируса нет,и интернет работать стал нормально,как и прежде,спасибо ваи.
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 14.01.2012 12:51:41
в Mbam чисто. ничего удалять не надо
саму программу можете удалить
Выполните рекомендации
Изменено: Арвид - 14.01.2012 12:52:17
Правильно заданный вопрос - это уже половина ответа
 
treyww
treyww
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 14.01.2012
Размещено 14.01.2012 12:55:07
Цитата
Арвид пишет:
в Mbam чисто. ничего удалять не надо

саму программу можете удалить

Выполните рекомендации
Сори,что MBAM нашел там два,вредоносных файла,я их удалил,но вроде после этого все нормально.Еще раз спасибо!
 
1
Читают тему