Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Оперативная память svchost.exe(1536) модифицированный Win32/Spy.SpyEye.CA троянская программа очистка невозможна

1
RSS
 
koyokin33
koyokin33
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 27.03.2012
Размещено 27.03.2012 20:21:29
Помогите удалить заразу. Nod выдает

оперативная память svchost.exe(1536) модифицированный Win32/Spy.SpyEye.CA троянская программа очистка невозможна
или
оперативная память dwm.exe(1548) модифицированный Win32/Spy.SpyEye.CA троянская программа очистка невозможна

образ из uvs в прикрепленном файле
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.03.2012 20:32:31
1. сделайте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

2. сделайте образ автозапуска в безопасном режиме.
Изменено: santy - 27.03.2012 20:32:44
[ Как создать образ автозапуска? ]
 
koyokin33
koyokin33
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 27.03.2012
Размещено 27.03.2012 22:16:26
лог журнала обнаружения угроз
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 27.03.2012 22:18:52
Сначала базы антивируса обновите до актуальной 7003!
Далее то что попросил Santy
 
koyokin33
koyokin33
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 27.03.2012
Размещено 27.03.2012 23:04:58
сделал образ автозапуска в безопасном режиме
базы антивируса обновил до актуальной 7003
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 27.03.2012 23:07:20
В папке с программой UVS будет файл script.cmd
Запустить файл, запустится окно программы для ввода скрипта,
скопировать скрипт написанный ниже и вставить в окно программы.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ ВСЕ БРАУЗЕРЫ!

Код
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

zoo %SystemDrive%\SYSTEMHOST\24FC2AE33AA.EXE
bl BB9291102DF84059AB690891F5015258 325120
delall %SystemDrive%\SYSTEMHOST\24FC2AE33AA.EXE
regt 1
regt 2
regt 3
regt 7
regt 18
deltmp
delnfr
restart
И жмем кнопку Выполнить.
На запросы программы по удалению жмите ДА
ПК перезагрузится.

В папке с программой UVS будет папка zoo, ее поместить в архив, установить пароль virus и прислать сюда [email protected]

Далее(даже если проблема решена) выполнить лог программой MBAM
http://forum.esetnod32.ru/forum9/topic682/
Выбрать быстрое сканирование. Отчет предоставить для анализа
 
koyokin33
koyokin33
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 27.03.2012
Размещено 27.03.2012 23:34:06
после выполнения скрипта, НОД не ругался, браузеры стали работать
Отчет MBAM для анализа
кстати, то что нашел MBAM удалить или как?
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 27.03.2012 23:38:11
Удалить только вот это

Код
Обнаруженные файлы:  2
C:\Windows\System32\Numlock.dll (Trojan.Downloader) -> Действие не было предпринято.
C:\Windows\System32\Russia_Clock.scr (Trojan.Downloader) -> Действие не было предпринято.


Далее выполните наши рекомендации пользователям
http://forum.esetnod32.ru/forum9/topic3998/

Тему закрываю.
 
1
Читают тему