Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] svchost.exe - Модифицированный Win32/Spy.Ranbyus.J троянская программа

1
RSS
 
Mister
Mister
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 13.04.2013
Размещено 13.04.2013 20:09:47
Здраствуйте.
С 11.04.2013 при проверке такая угроза. Очистка невозможно. Как удалить этот вирус?
ПС: Есть такая папка с файлами (думаю вирус здесь...):
C:\WINDOWS\system32\ntlog\
conn.exe
svchost.exe
start.exe
radreg.reg
hidcon.exe
network.cfg
sleep.exe
ntsvc.exe
csrss.exe
AdmDll.dll
raddrv.dll

Логи uVS:
BARON_2013-04-13_20-48-53.rar (398.11 КБ)
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 13.04.2013 20:18:02
Доброго времени суток!

В папке с программой UVS будет файл script.cmd
Запустить файл, запустится окно программы для ввода скрипта,
скопировать скрипт написанный ниже и вставить в окно программы.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ ВСЕ БРАУЗЕРЫ!

Код
;uVS v3.77.8 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %Sys32%\NTLOG\CSRSS.EXE
; C:\WINDOWS\SYSTEM32\NTLOG\CSRSS.EXE
bl 4DA2155A683838F6D2FF544437FB76C8 184320
delall %Sys32%\NTLOG\CSRSS.EXE
zoo %Sys32%\NTLOG\SVCHOST.EXE
; C:\WINDOWS\SYSTEM32\NTLOG\SVCHOST.EXE
bl A41884F043ADEE2EC3F3A8F0A9DB5DB8 254649
delall %Sys32%\NTLOG\SVCHOST.EXE
delref HTTP://NIGHTWAREZ.RU/
delref HTTP://SEXYDOLL.RU/
delref HTTP://WWW.APEHA.RU
zoo %Sys32%\MACHINEUPPER32.EXE
; C:\WINDOWS\SYSTEM32\MACHINEUPPER32.EXE
bl 495D58DF63E846BA20AD5D17F3A8D661 132096
delall %Sys32%\MACHINEUPPER32.EXE
exec C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE /UNINSTALL
regt 3
regt 18
deltmp
delnfr
restart
И жмем кнопку Выполнить.
На запросы программы по удалению жмите ДА
ПК перезагрузится.

В папке с программой UVS будет папка zoo, ее поместить в архив, установить пароль virus и прислать сюда [email protected]

Далее(даже если проблема решена) выполнить лог программой MBAM
http://forum.esetnod32.ru/forum9/topic682/
Выбрать быстрое сканирование. Отчет предоставить для анализа
 
Mister
Mister
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 13.04.2013
Размещено 13.04.2013 20:39:06
лог MBAM:MBAM-log-2013-04-13 (21-35-41).txt (4.3 КБ)

Вопрос: Могу ли удалить папку C:\WINDOWS\system32\ntlog\ ? Точна такая Виндовс стоит на другом компьютере, и там нету этой папки...
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 13.04.2013 20:43:06
В программе МБАМ оставить только это

Цитата
C:\WINDOWS\KMService.exe (RiskWare.Tool.CK) -> 808 -> Действие не было предпринято.

Объекты реестра обнаружены: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Expl­orer|NoSMHelp (PUM.Hijack.Help) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

Обнаруженные файлы: 2
C:\WINDOWS\KMService.exe (RiskWare.Tool.CK) -> Действие не было предпринято.

Остальное удалить. ПК перезагрузить. Папку о которой Вы говорите можно удалить.

+ включить в настройках антивируса детектирование потенциально опасного и нежелательного ПО.
Выполнить полный скан ПК.

После перезагрузки выполнить вот это
http://forum.esetnod32.ru/forum9/topic3998/

Сообщите о результате.
Изменено: zloyDi - 13.04.2013 20:43:47

 
Mister
Mister
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 13.04.2013
Размещено 14.04.2013 13:24:56
Выполнил полный скан.
Раздел С чистый. Нашлось около 250 возможных вирусов, в основном разные крэки программ, программные коды (хтмл, ява, паскаль).
Почти всех удалил (были уже не нужны). Оставил только эту (можно оставить или всё таки удалить?).
Скрытый текст
.
Спасибо за помощь...
Изменено: Mister - 14.04.2013 13:25:58
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 14.04.2013 20:14:09
Выполните рекомендации
Правильно заданный вопрос - это уже половина ответа
 
1
Читают тему