Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] вирус в оперативной памяти

1
RSS
 
gray2020
gray2020
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 27.07.2012
Размещено 27.07.2012 10:18:02
Время Модуль сканиров... Объект Имя Вирус Действие Пользователь
27.07.2012 9:20:24 Модуль сканирова... файл Оперативная память » GuardMailRu.exe(3452) модифицированный Win32/Spy.Zbot.ZR троянская прог... очиака невозмо... HEO\sergeeva
26.07.2012 8:59:29 Модуль сканирова... файл Оперативная память » userinit.exe(3488) модифицированный Win32/Spy.Zbot.ZR троянская прог... очиака невозмо... HEO\sergeeva
25.07.2012 9:05:40 Модуль сканирова... файл Оперативная память » userinit.exe(396) модифицированный Win32/Spy.Zbot.ZR троянская прог... очиака невозмо... HEO\sergeeva
24.07.2012 11:57:56 Модуль сканирова... файл Оперативная память » explorer.exe(1592) модифицированный Win32/Spy.Zbot.ZR троянская прог... очиака невозмо... HEO\sergeeva
24.07.2012 8:58:04 Модуль сканирова... файл Оперативная память » GuardMailRu.exe(704) модифицированный Win32/Spy.Zbot.ZR троянская прог... очиака невозмо... HEO\sergeeva
23.07.2012 17:57:30 Модуль сканирова... файл Оперативная память » GuardMailRu.exe(1364) модифицированный Win32/Spy.Zbot.ZR троянская прог... очиака невозмо... HEO\sergeeva
23.07.2012 9:03:09 Модуль сканирова... файл Оперативная память » explorer.exe(2172) модифицированный Win32/Spy.Zbot.ZR троянская прог... очиака невозмо... HEO\sergeeva
20.07.2012 16:58:39 Модуль сканирова... файл Оперативная память » explorer.exe(3408) модифицированный Win32/Spy.Zbot.ZR троянская прог... очиака невозмо...
18.07.2012 13:40:33 Модуль сканирова... файл Оперативная память » explorer.exe(4072) модифицированный Win32/Spy.Zbot.ZR троянская прог... очиака невозмо... HEO\sergeeva
16.07.2012 8:55:52 Модуль сканирова... файл Оперативная память » GuardMailRu.exe(2312) модифицированный Win32/Spy.Zbot.ZR троянская прог... очиака невозмо... HEO\sergeeva
и т.д. и так каждый раз при перезагрузке

COMP001_2012-07-27_11-14-57.7z
Изменено: gray2020 - 27.07.2012 10:25:39
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.07.2012 10:33:24
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код
;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
addsgn A7679BF0AA0294D34BD4C68122881261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625CEB20C49F75C4C32EF4CA4CB715DA3BE4AC965B2FC706AB7E 8 Zbot.0727
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\SERGEEVA\APPLICATION DATA\YHAB\TOLAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\SERGEEVA\APPLICATION DATA\YHAB\TOLAY.EXE
chklst
delvir
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER3.DLL
deltmp
delnfr
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS, созданный после скрипта (например: ZOO_2011-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
[ Как создать образ автозапуска? ]
 
gray2020
gray2020
Пользователь
Сообщений: 2
Баллов: 1
Регистрация: 27.07.2012
Размещено 27.07.2012 15:01:13
Спасибо! Скрипт вычистил всю нечисть. Файл ZOO* отправил на указанные адреса.

malwarebytes нашел в реестре две козявки и с моего одобрения раздавил их.
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 27.07.2012 15:04:19
Далее выполните наши рекомендации пользователям
http://forum.esetnod32.ru/forum9/topic3998/
 
1
Читают тему