Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Антивирус выявил ciavax

1 2 След.
RSS
 
Артем Шаров
Артем Шаров
Пользователь
Сообщений: 8
Баллов: 4
Регистрация: 04.08.2013
Размещено 04.08.2013 14:52:18
Здравствуйте!
Антивирус выявил ciavax в оперативной памяти, удаление невозможно.
Прошу помощи
Образ автозапуска:
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 04.08.2013 15:02:10
Здравствуйте!

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);
Код
;;uVS v3.80.15 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

bl 47F3A95C39A3515CB6F9A1C1FC442A8C 190336
addsgn 9252779A106AC1CC0BC4554EA34F8E25238AA65AD3F548FB483C2EB2C046E1DCA91185DF39129C925E870F81C5F8B5EBA6AD05CA54DAB02C2CACD1284C18A19D 8 QIP
bl 46A328F6506D1C338B5D52F079AB026C 185728
addsgn 729053925465C9AB0AD4AED1DAC8E241250742F6A901E02F060E3A575D46E1DCA91185DF39129C925E870F81C5F8B5EBA6AD05CA54DAB02C2CACD1284C18A19D 64 QIPguard
bl B5E9118564DE4DFF41D4A9E3ABA1E4E1 141184
addsgn 79132211B9E9317E0AA1AB59B4921205DAFFF47DC4EA942D892B2942AF292811E11BC33FCEA59D594F7FB19F4616497139FBF8FB39FEA0A14153B40427557424 64 QIPBar
zoo %SystemDrive%\USERS\АРТЕМ\DOCUMENTS\APPLICATION DATA\EXPLORER.EXE
bl AC961BB37F8AC060CC219790F84A930C 77824
addsgn A7679BF0AA02F4824BD4C6B5AB881261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C0B70C49F75C4C32EF4CA0CC314DA3BE4AC965B2FC706AB7E 8 Ciavax
chklst
delvir
deltmp
delnfr
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
delref HTTP://YANDEX.RU/YANDSEARCH?STYPE=FIRST&CLID=135297&TEXT=
regt 14
; Java(TM) 6 Update 31
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216031FF} /quiet
czoo
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
- в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например ZOO_2013-03-09_09-29-00.7z - это архив с вирусами, его нужно прислать на электронный адрес [email protected].

- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.
Правильно заданный вопрос - это уже половина ответа
 
Артем Шаров
Артем Шаров
Пользователь
Сообщений: 8
Баллов: 4
Регистрация: 04.08.2013
Размещено 04.08.2013 15:48:39
При выполнении скрипта забыл отключить защиту антивируса, чем это чревато.
С трудом отправил это сообщение, Opera раз 5 висла и перегружалась.
При попытке зайти на свою почту, чтобы отправить ZOO, стала появлятся страница с просьбой ввести номер телефона.Сейчас попробую еще раз отправить.
mbam выявил 9 вредоносных файлов, их удалять?
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 04.08.2013 16:03:57
удалите найденное в мбам,
перегрузите систему

и еще раз сделайте быстрое сканрование в мбам
[ Как создать образ автозапуска? ]
 
Артем Шаров
Артем Шаров
Пользователь
Сообщений: 8
Баллов: 4
Регистрация: 04.08.2013
Размещено 04.08.2013 16:58:36
найденное в мбам удалил, повторное сканирование вредоносных файлов не выявил.
Почта запускается без просьбы ввести номер телефона.

Но в автозагрузках системы убрал галочки с подозрительных файлов. После перезагрузки всеравно запускается один файл :~backup~     команда: C:\Users\Артем\Documents\Application Data\explorer.exe
расположение: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Дата создания папки 28 июля 2013, предположительно в это время появилась некорректная работа компьютера.
Посылаю эту папку и ZOO на [email protected].

Что мне далать дальше? можно ли удалить эту папку обычным удалением?
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 04.08.2013 16:59:38
добавьте новый образ автозапуска
(скорее всего осталась только ссылка в реестре, сам файл возможно удален.)
Изменено: santy - 04.08.2013 17:00:28
[ Как создать образ автозапуска? ]
 
Артем Шаров
Артем Шаров
Пользователь
Сообщений: 8
Баллов: 4
Регистрация: 04.08.2013
Размещено 04.08.2013 17:02:44
файл Zoo отправился,  а папка с файлами C:\Users\Артем\Documents\Application Data\explorer.exe не отправилась, ссылаясь на вирус
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 04.08.2013 17:06:36
сделайте что выше написано
Правильно заданный вопрос - это уже половина ответа
 
Артем Шаров
Артем Шаров
Пользователь
Сообщений: 8
Баллов: 4
Регистрация: 04.08.2013
Размещено 04.08.2013 17:18:29
Новый образ автозапуска:

файл  Explorer.exe   статус Ciavax(64) выявлен. что с ним делать?
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 04.08.2013 17:20:08
выполните
Код
;uVS v3.80.15 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

bl AC961BB37F8AC060CC219790F84A930C 77824
delmz %SystemDrive%\USERS\АРТЕМ\DOCUMENTS\APPLICATION DATA\EXPLORER.EXE
delall %SystemDrive%\USERS\АРТЕМ\DOCUMENTS\APPLICATION DATA\EXPLORER.EXE
restart
Изменено: Арвид - 04.08.2013 17:20:41
Правильно заданный вопрос - это уже половина ответа
 
1 2 След.
Читают тему