Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

Как удалить вирус в ОЗУ , Как удалить вирус в ОЗУ Spy.SpyEye.CA троянская программа

1 2 След.
RSS
 
Legolas
Legolas
Пользователь
Сообщений: 13
Баллов: 6
Регистрация: 27.02.2012
Размещено 01.03.2012 10:16:28
Я пробовал программой esetspyeyecleaner, она весит 60,4 Кб, но при запуске ничего не происходит. Что ещё делать? Перезагружал компьютер, после перезагрузки ничего не было, но буквально через 30 минут вирус снова появляется в ОЗУ, а Smart Security 5 только ругается и всё! Что ещё делать?
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 01.03.2012 10:19:21
http://forum.esetnod32.ru/forum9/topic2687/
Правильно заданный вопрос - это уже половина ответа
 
Legolas
Legolas
Пользователь
Сообщений: 13
Баллов: 6
Регистрация: 27.02.2012
Размещено 01.03.2012 10:51:08
Вот образ автозапуска! :?:  :!:
 
Валентин
Валентин
Администратор
Сообщений: 5270
Баллов: 8441
Регистрация: 12.05.2010
Размещено 01.03.2012 11:33:11
Повторно запустите програму UVS и выберите Меню "Скрипт" - "выполнить скрипт находящийся в буфере обмена".
И вставьте текст скрипта:

Цитата

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

zoo %SystemDrive%\USERS\ПАВЕЛ\APPDATA\LOCAL\TEMP\0.5485803658942705G8J8.EXE
delall %SystemDrive%\USERS\ПАВЕЛ\APPDATA\LOCAL\TEMP\0.5485803658942705G8J8.EXE
zoo %SystemDrive%\USERS\ПАВЕЛ\APPDATA\LOCAL\TEMP\COI8979.EXE
delall %SystemDrive%\USERS\ПАВЕЛ\APPDATA\LOCAL\TEMP\COI8979.EXE
zoo %SystemDrive%\USERS\ПАВЕЛ\APPDATA\LOCAL\TEMP\COID3A3.EXE
delall %SystemDrive%\USERS\ПАВЕЛ\APPDATA\LOCAL\TEMP\COID3A3.EXE
zoo %SystemDrive%\USERS\ПАВЕЛ\DESKTOP\STARTF\EEBUVD
delall %SystemDrive%\USERS\ПАВЕЛ\DESKTOP\STARTF\EEBUVD
zoo %SystemDrive%\USERS\ПАВЕЛ\DESKTOP\STARTF\HCXKUV
delall %SystemDrive%\USERS\ПАВЕЛ\DESKTOP\STARTF\HCXKUV
deltmp
delnfr
restart
И нажмите выполнить. Компьютер перезагрузится.

Сделайте дополнительно проверку системы malwarebytes (free version): http://www.malwarebytes.org/mbam.php
Установить (только сканер!), отказаться от тестового периода, обновить базы, выполнить быстрое сканирование, после завершения сканирования,текстовый лог сохранить как файл, пришлите нам этот лог файл.

В папке с программой UVS появится папка zoo, ее нужно поместить в архив, установить пароль infected и прислать на адрес [email protected] с просьбой добавить файл в вирусную базу.
ESET Technical Support
 
Legolas
Legolas
Пользователь
Сообщений: 13
Баллов: 6
Регистрация: 27.02.2012
Размещено 01.03.2012 11:43:54
Скрипт не помог!
 
Валентин
Валентин
Администратор
Сообщений: 5270
Баллов: 8441
Регистрация: 12.05.2010
Размещено 01.03.2012 12:10:02
Создайте пожалуйста новый образ.
ESET Technical Support
 
Legolas
Legolas
Пользователь
Сообщений: 13
Баллов: 6
Регистрация: 27.02.2012
Размещено 01.03.2012 12:38:25
Новый образ...
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.03.2012 12:44:56
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
zoo %SystemDrive%\USERS\ПАВЕЛ\APPDATA\LOCAL\TEMP\0.3591225392450542G8J8.EXE
addsgn 9252771A156AC1CC0B44514E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 kav_vir
delall %SystemDrive%\USERS\ПАВЕЛ\APPDATA\LOCAL\TEMP\0.3591225392450542G8J8.EXE
addsgn 988C1FAA342A4C9A61C4AEB1DB5C120525013B1E3FEA1F780CA62D37A45F4F1ADC02F3377E5516073B09897BD65649713BDB4B82C59AB0A77B7F2D3A33966273 8 SpyEye
zoo %SystemDrive%\SYSTEMHOST\24FC2AE3FB2.EXE
bl 2B2658091269EB98829126031CED18C5 329728
delall %SystemDrive%\SYSTEMHOST\24FC2AE3FB2.EXE
chklst
delvir
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
архив (например: 2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту [email protected], [email protected]
(если архив не был создан автоматически, добавить папку ZOO (если она не пуста) в архив с паролем infected )
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.03.2012 12:49:16
Валентин,
файлик лучше проверить. прежде чем убить.
Цитата
Полное имя                  C:\USERS\ПАВЕЛ\APPDATA\LOCAL\TEMP\YYY425C.EXE
Имя файла                   YYY425C.EXE
Тек. статус                 АКТИВНЫЙ ПРОВЕРЕННЫЙ
                           
www.virustotal.com          2012-02-28 [2009-12-21 11:05:57 UTC ( 2 years, 2 months ago )]
-                           Файл был чист на момент проверки.
                           
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ
Процесс                     32-х битный
Размер                      3072 байт
Создан                      01.03.2012 в 15:07:35
Изменен                     01.03.2012 в 15:07:35
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Оригинальное имя            systray.exe
Версия файла                5.2.3790.1830 (srv03_sp1_rtm.050324-1447)
Описание                    Systray .exe stub
Производитель               Microsoft Corporation
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                           
Доп. информация             на момент обновления списка
pid = 5144                  Павел-ПК\Павел
CmdLine                     "C:\Users\7636~1\AppData\Local\Temp\YYY425C.exe"
Процесс создан              15:07:35 [2012.03.01]
С момента создания          00:05:17
parentid = 2672            
SHA1                        D929D3389642E52BAE5AD8512293C9C4D3E4FAB5
MD5                         29090B6B4D6605A97AC760D06436AC2D
                           
непонятно, легитимный или нет.
Изменено: santy - 01.03.2012 12:49:52
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 01.03.2012 12:55:24
пока скрипт из сообщения 8 выполните, и новый образ автозапуска надо сделать
Изменено: santy - 01.03.2012 12:59:17
[ Как создать образ автозапуска? ]
 
1 2 След.
Читают тему