Win32/Citirevo.AE - Форум технической поддержки ESET NOD32

Win32/Citirevo.AE

Сообщений: 1

Регистрация: 20.01.2013

Размещено 20.01.2013 11:18:05

Вирус в оперативке = C:\Windows\System32\jcvzsjn.dll - модифицированный Win32/Citirevo.AE троянская программа. по инструкции создала лог uVS.подскажите, пожалуйста, что делать дальше

Прикрепленные файлы

TONIK_3D_2013-01-20_10-50-41.7z (450.1 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.01.2013 11:26:01

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.77.5 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE delall %SystemDrive%\USERS\ДМИТРИЙ\0.5331979379353826.EXE delall %SystemDrive%\USERS\SWODY\0.5331979379353826.EXE delref HTTP://WEBALTA.RU/SEARCH addsgn 71D1DA39156A4C07285D82CF24C85747B8CAFC940818DA7885C3EC895977314CAA2AF5F77E55626C901CC49FC15A6D22F48BCC8E6CEF828C6D77D83B4E0BD4D3 64 sitrevo.0120 zoo %Sys32%\JCVZSJN.DLL delref %Sys32%\JCVZSJN.DLL delall %SystemDrive%\USERS\SWODY\APPDATA\LOCAL\MEDIAGET2\MEDIAGET.EXE delall %SystemDrive%\USERS\ДМИТРИЙ\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE delall %SystemDrive%\USERS\SWODY\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE delall %SystemRoot%\TEMP\1843136.EXE delall %SystemRoot%\APPPATCH\EPKXJQ.EXE delall %SystemDrive%\USERS\SWODY\APPDATA\LOCAL\YANDEX\UPDATER\YUPD ATE-EXECUTOR.EXE delall %SystemDrive%\USERS\ДМИТРИЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\MORPHVOXPRO.LNK deltmp delnfr regt 12 regt 14 delall %SystemDrive%\PROGRAM FILES\TICNO\INDEXATOR\SEARCHSERVICE.EXE delall %SystemDrive%\PROGRAM FILES\TICNO\MULTIBAR\SEARCHSERVICE.EXE CZOO restart

Код

;uVS v3.77.5 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
delall %SystemDrive%\USERS\ДМИТРИЙ\0.5331979379353826.EXE
delall %SystemDrive%\USERS\SWODY\0.5331979379353826.EXE
delref HTTP://WEBALTA.RU/SEARCH
addsgn 71D1DA39156A4C07285D82CF24C85747B8CAFC940818DA7885C3EC895977314CAA2AF5F77E55626C901CC49FC15A6D22F48BCC8E6CEF828C6D77D83B4E0BD4D3 64 sitrevo.0120
zoo %Sys32%\JCVZSJN.DLL
delref %Sys32%\JCVZSJN.DLL
delall %SystemDrive%\USERS\SWODY\APPDATA\LOCAL\MEDIAGET2\MEDIAGET.EXE
delall %SystemDrive%\USERS\ДМИТРИЙ\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
delall %SystemDrive%\USERS\SWODY\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
delall %SystemRoot%\TEMP\1843136.EXE
delall %SystemRoot%\APPPATCH\EPKXJQ.EXE
delall %SystemDrive%\USERS\SWODY\APPDATA\LOCAL\YANDEX\UPDATER\YUPD ATE-EXECUTOR.EXE
delall %SystemDrive%\USERS\ДМИТРИЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\MORPHVOXPRO.LNK
deltmp
delnfr
regt 12
regt 14
delall %SystemDrive%\PROGRAM FILES\TICNO\INDEXATOR\SEARCHSERVICE.EXE
delall %SystemDrive%\PROGRAM FILES\TICNO\MULTIBAR\SEARCHSERVICE.EXE
CZOO
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.ese tnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]