Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Вирус в оперативной памяти Explorer.exe:1576. , При роверке DrWeb написал что не может удалить вирус из оперативной памяти помогите.

1 2 3 След.
RSS
 
Maks140898
Maks140898
Пользователь
Сообщений: 14
Баллов: 7
Регистрация: 19.06.2012
Размещено 19.06.2012 10:12:02
При роверке DrWeb написал что не может удалить вирус из оперативной памяти помогите.
Вот лог http://rghost.ru/38747859
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 19.06.2012 10:55:21
В папке с программой UVS будет файл script.cmd
Запустить файл, запустится окно программы для ввода скрипта,
скопировать скрипт написанный ниже и вставить в окно программы.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ ВСЕ БРАУЗЕРЫ!

Код
;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %SystemDrive%\AUTORUN.INF
zoo %SystemDrive%\LWQKBV.PIF
delall %SystemDrive%\AUTORUN.INF
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\CQCE.EXE
bl 5D3D195648820C95F20E4E9189E1937B 12970
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\CQCE.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\WINBQIEGE.EXE
bl D33C936EA45C170CCBF93917AB7734C0 51882
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\WINBQIEGE.EXE
regt 1
regt 2
regt 3
regt 7
regt 12
regt 18
deltmp
delnfr
restart
И жмем кнопку Выполнить.
На запросы программы по удалению жмите ДА
ПК перезагрузится.

В папке с программой UVS будет папка zoo, ее поместить в архив, установить пароль virus и прислать сюда [email protected]

Далее(даже если проблема решена) выполнить лог программой MBAM
http://forum.esetnod32.ru/forum9/topic682/
Выбрать быстрое сканирование. Отчет предоставить для анализа
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 19.06.2012 11:00:42
похоже на файловое заражение Sality
---------
Цитата
Полное имя                  C:\LWQKBV.PIF
Имя файла                   LWQKBV.PIF
Тек. статус                 ВИРУС ПОДОЗРИТЕЛЬНЫЙ АВТОРАНОВЫЙ
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ АВТОРАНОВЫЙ
Размер                      103140 байт
Создан                      18.06.2012 в 20:08:56
Изменен                     18.06.2012 в 20:08:56
Атрибуты                    СКРЫТЫЙ  СИСТЕМНЫЙ  R/O  
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Атрибут файла               "Скрытый" или "Системный" [типично для вирусов]
Автозапуск                  из AUTORUN.INF в корне диска [типично для авторановых вирусов]
                           
Доп. информация             на момент обновления списка
SHA1                        8FFABBBC1AF89A5636F3B629C7E8CAEF3166179E
MD5                         DCE0AB6E086828AA224C92E6BCD52BE8
                           
Ссылки на объект            
Ссылка                      C:\autorun.inf
[ Как создать образ автозапуска? ]
 
Maks140898
Maks140898
Пользователь
Сообщений: 14
Баллов: 7
Регистрация: 19.06.2012
Размещено 19.06.2012 11:30:58
Папку ZOO я отправил вот отчёт MBAM
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 19.06.2012 12:01:37
пролечите систему с помощью Live.CD ESET rescue
http://forum.esetnod32.ru/forum9/topic1966/

затем можно сделать новый образ по правилам для проверки
http://forum.esetnod32.ru/forum9/topic2687/
[ Как создать образ автозапуска? ]
 
Maks140898
Maks140898
Пользователь
Сообщений: 14
Баллов: 7
Регистрация: 19.06.2012
Размещено 19.06.2012 13:11:33
Я хотел бы уточнить полная переустоновка виндовс с дефрагментацией всех дисков поможет устранить эту проблемму?
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 19.06.2012 13:16:12
Проще будет пролечиться
Правильно заданный вопрос - это уже половина ответа
 
Maks140898
Maks140898
Пользователь
Сообщений: 14
Баллов: 7
Регистрация: 19.06.2012
Размещено 19.06.2012 13:24:52
Тоесть я правильно понимаю что установка поможет избавиться от вируса?
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 19.06.2012 13:26:18
пролечите с помощью Live.CD систему и флэшки от этого вируса, потом новые логи сделайте. Это реально поможет без переустановки.
Изменено: santy - 19.06.2012 13:26:49
[ Как создать образ автозапуска? ]
 
Maks140898
Maks140898
Пользователь
Сообщений: 14
Баллов: 7
Регистрация: 19.06.2012
Размещено 19.06.2012 13:33:22
У меня почему то не запускается LIve cd
 
1 2 3 След.
Читают тему