нужна помощь - Форум технической поддержки ESET NOD32

нужна помощь , DWRCST.EXE(3320) - модифицированный Win32/Spy.Zbot.ZR троянская программа - очистка невозможна

Сообщений: 1

Регистрация: 30.05.2013

Размещено 30.05.2013 12:43:26

Оперативная память = DWRCST.EXE(3320) - модифицированный Win32/Spy.Zbot.ZR троянская программа - очистка невозможна
скачал uvs v377 просканировал и сохранил полный образ автозапуска http://zalil.ru/34542599
НОД определяет но ни чего сделать не может
постоянно пытается запустится wusbmctl.exe пытался удалить система не дает
ибо после удаления опять востанавливается и пытается опять запустится
но не может так как не находит OpenCL.dll
Что делать
не однократно запускал полное сканирование как рекомендовал системный администратор
удалял все подозрительное но на перезагрузку комп не выходил
понимаю что вирус находится в память как его побороть

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 30.05.2013 12:46:19

Здравствуйте!

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);

Код
;;uVS v3.77.16 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 zoo %SystemDrive%\USERS\CHERNOV\APPDATA\ROAMING\LYYM\IXYS.EXE bl 5C9658395B486C26D780FA43441057EF 54784 addsgn A7679B1BB9F644720B87F882BF9BFA37DC75039C96776A98DD4B9843D98B89C57EE32BD2FCAA62217876C49FCDD019773827B89ADB414FD3AEB3A8169AFE5654 8 HEUR:Trojan.Win32.Generic [Kaspersky] bl 96A768DD52FF0115FFF85142056B3AF0 2261024 addsgn 1A38D79A5583C58CF42B254E3143FE58CCC4E8F68971E02942C2ED0F0BD6991D8217C30EFDDE621CA06CD214B7FEAA0582201E375DDBC42B7B9F68D038F97BF8 8 Guards3 bl 059FFB75D74173521F4E3BEC425D8E7F 1534976 addsgn 1AD78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 16 Praetorian zoo %SystemDrive%\USERS\CHERNOV\APPDATA\ROAMING\EPTEX\WOLA.EXE bl D5EFDA7644EA78CFBC78E3ED821F3455 156672 addsgn A7679B19B9421A25583C314C9B3721FA26B7ACBCC9FA9645C18985BCAFE3350663172BB83E559DA02B80849FCF1375B33DDF17476993F02CA67AFC658706AB7E 8 zbot bl 9CC5C24E0BCB282202C633F16402E3E1 795960 addsgn 1A06819A5583358CF42B627DA804DEC9E946303A4536D3F3D1E7C1371CF279BBE114C3573E20A1C229BA85EA681C898E5BE5897320FFBAC8596A65C7D73C6371 8 YandexUP exec C:\PROGRAM FILES\STARTNOW TOOLBAR\STARTNOWTOOLBARUNINSTALL.EXE exec MSIEXEC.EXE /I{86D4B82A-ABED-442A-BE86-96357B70F4FE} addsgn 1A90309A5583348CF42B627DA804DEC9AEC6D8F27E3B1C7885C3B198DAD7F28D2293032370A25C4A2B8084EAA91349FA7DDF65D671DAB02C2DFA000BC7062273 8 AskUPD bl 2219661CBC56D5485A20BA72FB5F9914 83336 chklst delvir delref HTTP://MAIL.RU/CNT/7993/ delref HTTP://PORTAL delref HTTP://SEARCH.QIP.RU delref HTTP://WWW.MAIL.RU/CNT/7227 deltmp delnfr czoo restart

Код

;;uVS v3.77.16 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

zoo %SystemDrive%\USERS\CHERNOV\APPDATA\ROAMING\LYYM\IXYS.EXE
bl 5C9658395B486C26D780FA43441057EF 54784
addsgn A7679B1BB9F644720B87F882BF9BFA37DC75039C96776A98DD4B9843D98B89C57EE32BD2FCAA62217876C49FCDD019773827B89ADB414FD3AEB3A8169AFE5654 8 HEUR:Trojan.Win32.Generic [Kaspersky]
bl 96A768DD52FF0115FFF85142056B3AF0 2261024
addsgn 1A38D79A5583C58CF42B254E3143FE58CCC4E8F68971E02942C2ED0F0BD6991D8217C30EFDDE621CA06CD214B7FEAA0582201E375DDBC42B7B9F68D038F97BF8 8 Guards3
bl 059FFB75D74173521F4E3BEC425D8E7F 1534976
addsgn 1AD78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 16 Praetorian
zoo %SystemDrive%\USERS\CHERNOV\APPDATA\ROAMING\EPTEX\WOLA.EXE
bl D5EFDA7644EA78CFBC78E3ED821F3455 156672
addsgn A7679B19B9421A25583C314C9B3721FA26B7ACBCC9FA9645C18985BCAFE3350663172BB83E559DA02B80849FCF1375B33DDF17476993F02CA67AFC658706AB7E 8 zbot
bl 9CC5C24E0BCB282202C633F16402E3E1 795960
addsgn 1A06819A5583358CF42B627DA804DEC9E946303A4536D3F3D1E7C1371CF279BBE114C3573E20A1C229BA85EA681C898E5BE5897320FFBAC8596A65C7D73C6371 8 YandexUP
exec C:\PROGRAM FILES\STARTNOW TOOLBAR\STARTNOWTOOLBARUNINSTALL.EXE
exec MSIEXEC.EXE /I{86D4B82A-ABED-442A-BE86-96357B70F4FE}
addsgn 1A90309A5583348CF42B627DA804DEC9AEC6D8F27E3B1C7885C3B198DAD7F28D2293032370A25C4A2B8084EAA91349FA7DDF65D671DAB02C2DFA000BC7062273 8 AskUPD
bl 2219661CBC56D5485A20BA72FB5F9914 83336
chklst
delvir
delref HTTP://MAIL.RU/CNT/7993/
delref HTTP://PORTAL
delref HTTP://SEARCH.QIP.RU
delref HTTP://WWW.MAIL.RU/CNT/7227
deltmp
delnfr
czoo
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
- в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например ZOO_2013-03-09_09-29-00.7z - это архив с вирусами, его нужно прислать на электронный адрес [email protected].
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.

Правильно заданный вопрос - это уже половина ответа