После обращения в тех поддержку - Форум технической поддержки ESET NOD32

Сообщений: 8

Баллов: 4

Регистрация: 11.09.2012

Размещено 11.09.2012 18:41:28

Здравствуйте!
Вами было зарегистрировано мое обращение № 682952.
Все ваши рекомендации выполнены, спасибо, комп пока работает.
Но есть одно НО...
Вами было рекомендовано удалить файл rnd0312.tmp из папки Documents and Settings, его я удалил, но я нашел еще один похожий по названию файл RND0312.TMP-0D727258.pf в папке C:\WINDOWS\Prefetch
Файл во вложении, что мне с ним сделать? прошу проверить этот файл.
Написал на форуме, так как посоветовали по телефону тех поддержки.

Прикрепленные файлы

RND0312.TMP-0D72725B.rar (1.66 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.09.2012 19:10:18

такое решение примените
http://pchelpforum.ru/f26/t95290/
+
ссылку на лог сканирования мбам добавьте сюда

[ Как создать образ автозапуска? ]

Сообщений: 8

Баллов: 4

Регистрация: 11.09.2012

Размещено 11.09.2012 19:18:59

проверку сделаю, лог прикреплю.
а вот со скриптом uVS сложнее... не знаю что это и не знаю как это делается.

Сообщений: 8

Баллов: 4

Регистрация: 11.09.2012

Размещено 11.09.2012 19:30:38

лог

Прикрепленные файлы

mbam-log-2012-09-11 (19-29-32).txt (4.01 КБ)

Изменено: Antony - 11.09.2012 19:31:17

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.09.2012 19:43:47

да, есть заражение в системе

сделайте образ автозапуска по инструкции
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Сообщений: 8

Баллов: 4

Регистрация: 11.09.2012

Размещено 11.09.2012 19:51:57

так? скачивал uVS не по вашей ссылке.

Прикрепленные файлы

COMP_2012-09-11_19-45-16.TXT (2.16 МБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.09.2012 19:54:55

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.76 BETA4 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 ;OFFSGNSAVE addsgn 4BEC779A55E18DB50E895EF264C812052501F1AB79B91F29B60395434522A10D23B4C6AE7D55AE899080849F46C7A2B9AC34EBACD419E5242D77A53253FF6173 8 Shiz.0911 zoo %SystemRoot%\APPPATCH\CRTWWYN.DAT delall %SystemRoot%\APPPATCH\CRTWWYN.DAT delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\RND0312.TMP chklst delvir delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE delref HTTP://SEARCH.QIP.RU deltmp delnfr czoo regt 12 restart

Код

;uVS v3.76 BETA4 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
;OFFSGNSAVE
addsgn 4BEC779A55E18DB50E895EF264C812052501F1AB79B91F29B60395434522A10D23B4C6AE7D55AE899080849F46C7A2B9AC34EBACD419E5242D77A53253FF6173 8 Shiz.0911
zoo %SystemRoot%\APPPATCH\CRTWWYN.DAT
delall %SystemRoot%\APPPATCH\CRTWWYN.DAT
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\RND0312.TMP
chklst
delvir
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
delref HTTP://SEARCH.QIP.RU
deltmp
delnfr
czoo
regt 12
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Сообщений: 8

Баллов: 4

Регистрация: 11.09.2012

Размещено 11.09.2012 19:57:31

а старое то в малваребайт удалять?

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.09.2012 20:01:38

нет, пока не надо, просто закройте его,
а после перезагрузки (после выполнения скрипта) еще раз сделайте быстрый скан в мбам для контроля.

Изменено: santy - 11.09.2012 20:02:14

[ Как создать образ автозапуска? ]

Сообщений: 8

Баллов: 4

Регистрация: 11.09.2012

Размещено 11.09.2012 20:26:50

результаты.

Прикрепленные файлы

mbam-log-2012-09-11 (20-25-01).txt (3.14 КБ)
ZOO_2012-09-11_20-10-27.7z (38.8 КБ)

[ Закрыто ] После обращения в тех поддержку