Форум esetnod32.ru [тема: JS/Spy.Banker.W не могу обезвредить, удалить.] http://forum.esetnod32.ru Новое в теме JS/Spy.Banker.W не могу обезвредить, удалить. форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Thu, 30 Apr 2026 15:41:21 +0300 JS/Spy.Banker.W не могу обезвредить, удалить. JS/Spy.Banker.W не могу обезвредить, удалить. в форуме Обнаружение вредоносного кода и ложные срабатывания.
Выполните на последок
http://forum.esetnod32.ru/forum9/topic3998/

Спасибо.
14.10.2014 09:37:46, zloyDi.]]> http://forum.esetnod32.ru/messages/forum6/topic11283/message80196/ http://forum.esetnod32.ru/messages/forum6/topic11283/message80196/ Tue, 14 Oct 2014 09:37:46 +0400 Обнаружение вредоносного кода и ложные срабатывания JS/Spy.Banker.W не могу обезвредить, удалить. JS/Spy.Banker.W не могу обезвредить, удалить. в форуме Обнаружение вредоносного кода и ложные срабатывания.
Сделал очистку.
Вирусная база обновилась.
Сканирование показало ноль ошибок.
Вроде как всё хорошо.
НО!!!
Когда началась эта проблема, я делал сканирование НОДом. Если быть точным, то сегодня в полдень. И антивирус ничего не находил. Так же было ноль угроз. Но ругался на спибанкер. Загадка.

Буду надеятся, что проблема решена. Посмотрим как будет дальше.
Огромное спасибо за помощь и терпение.
13.10.2014 23:55:23, ALex_HS.]]> http://forum.esetnod32.ru/messages/forum6/topic11283/message80192/ http://forum.esetnod32.ru/messages/forum6/topic11283/message80192/ Mon, 13 Oct 2014 23:55:23 +0400 Обнаружение вредоносного кода и ложные срабатывания JS/Spy.Banker.W не могу обезвредить, удалить. JS/Spy.Banker.W не могу обезвредить, удалить. в форуме Обнаружение вредоносного кода и ложные срабатывания.
В программе, жмем кнопку Очистить. Она все сама удалит. Выполните обновление антивируса и проверьте есть ли проблема. В базу была внесена новая версия вируса
13.10.2014 22:38:37, zloyDi.]]> http://forum.esetnod32.ru/messages/forum6/topic11283/message80183/ http://forum.esetnod32.ru/messages/forum6/topic11283/message80183/ Mon, 13 Oct 2014 22:38:37 +0400 Обнаружение вредоносного кода и ложные срабатывания JS/Spy.Banker.W не могу обезвредить, удалить. JS/Spy.Banker.W не могу обезвредить, удалить. в форуме Обнаружение вредоносного кода и ложные срабатывания.
В тупике. Это про что разговор? Кого надо удалить?
Предположу, что речь идет об этом списке.
Скрытый текст

Про МэйлРу даже и не помню, что бы могло мной использоваться от них.
13.10.2014 22:30:35, ALex_HS.]]> http://forum.esetnod32.ru/messages/forum6/topic11283/message80179/ http://forum.esetnod32.ru/messages/forum6/topic11283/message80179/ Mon, 13 Oct 2014 22:30:35 +0400 Обнаружение вредоносного кода и ложные срабатывания JS/Spy.Banker.W не могу обезвредить, удалить. JS/Spy.Banker.W не могу обезвредить, удалить. в форуме Обнаружение вредоносного кода и ложные срабатывания.
Записи с Mail.Ru оставить, если используете софт от этого производителя. Остальное удалить. ПК перезагрузить.

Проверить что с проблемой.
13.10.2014 21:54:35, zloyDi.]]> http://forum.esetnod32.ru/messages/forum6/topic11283/message80177/ http://forum.esetnod32.ru/messages/forum6/topic11283/message80177/ Mon, 13 Oct 2014 21:54:35 +0400 Обнаружение вредоносного кода и ложные срабатывания JS/Spy.Banker.W не могу обезвредить, удалить. JS/Spy.Banker.W не могу обезвредить, удалить. в форуме Обнаружение вредоносного кода и ложные срабатывания.
Выполнено.
AdwCleaner[R0].txt
13.10.2014 21:48:14, Александр Ковынев.]]> http://forum.esetnod32.ru/messages/forum6/topic11283/message80176/ http://forum.esetnod32.ru/messages/forum6/topic11283/message80176/ Mon, 13 Oct 2014 21:48:14 +0400 Обнаружение вредоносного кода и ложные срабатывания JS/Spy.Banker.W не могу обезвредить, удалить. JS/Spy.Banker.W не могу обезвредить, удалить. в форуме Обнаружение вредоносного кода и ложные срабатывания.
Такой лог еще выполните
http://forum.esetnod32.ru/forum9/topic7084/

Спасибо.
13.10.2014 21:42:00, zloyDi.]]> http://forum.esetnod32.ru/messages/forum6/topic11283/message80174/ http://forum.esetnod32.ru/messages/forum6/topic11283/message80174/ Mon, 13 Oct 2014 21:42:00 +0400 Обнаружение вредоносного кода и ложные срабатывания JS/Spy.Banker.W не могу обезвредить, удалить. JS/Spy.Banker.W не могу обезвредить, удалить. в форуме Обнаружение вредоносного кода и ложные срабатывания.
Неее. Попутал.
Вовсех трёх браузераз был один и тот-же адрес.
Везде удалил строку и поставил галку на автомат.
13.10.2014 21:22:35, Александр Ковынев.]]> http://forum.esetnod32.ru/messages/forum6/topic11283/message80173/ http://forum.esetnod32.ru/messages/forum6/topic11283/message80173/ Mon, 13 Oct 2014 21:22:35 +0400 Обнаружение вредоносного кода и ложные срабатывания JS/Spy.Banker.W не могу обезвредить, удалить. JS/Spy.Banker.W не могу обезвредить, удалить. в форуме Обнаружение вредоносного кода и ложные срабатывания.
Уже прошерстил.
Стоит три браузера. Опера, Хром, и Иэксплорер.
В опере был этот адрес.
В эксплорере какой-то другой, совсем не похожий. Убрал и поставил галку на автомат.
А хром использует настройки эксплорера (я так понял). Потому как выпало индентичное окошко как и в эксплорере.
13.10.2014 21:14:57, Александр Ковынев.]]> http://forum.esetnod32.ru/messages/forum6/topic11283/message80170/ http://forum.esetnod32.ru/messages/forum6/topic11283/message80170/ Mon, 13 Oct 2014 21:14:57 +0400 Обнаружение вредоносного кода и ложные срабатывания JS/Spy.Banker.W не могу обезвредить, удалить. JS/Spy.Banker.W не могу обезвредить, удалить. в форуме Обнаружение вредоносного кода и ложные срабатывания.
Проверьте настройки прокси и в других браузерах. Эти ган..ы меняют код файла. через час, антивирус будет опять детектировать скрипт, по этому лучше убедится что в других браузерах чисто.

====quote====

Thank you for your submission.
The detection for this threat will be included in our next signature update.

ropsettings2.rug - JS/Spy.Banker.W trojan
=============

13.10.2014 21:05:19, zloyDi.]]> http://forum.esetnod32.ru/messages/forum6/topic11283/message80168/ http://forum.esetnod32.ru/messages/forum6/topic11283/message80168/ Mon, 13 Oct 2014 21:05:19 +0400 Обнаружение вредоносного кода и ложные срабатывания JS/Spy.Banker.W не могу обезвредить, удалить. JS/Spy.Banker.W не могу обезвредить, удалить. в форуме Обнаружение вредоносного кода и ложные срабатывания.
Да. В настройках прокси был именно этот адрес.
Удалил и поставил галку на автоматическом.
Перезагрузил. Опера загрузилась без скандалов с НОДом.
Просканил Капперкиллером. Уроз не обнаружено. НО!!! Вывалилась окно с ошибкой.
Картинку и файл ошибки приложил. [FILE ID=95308]

f15a_appcompat.txt
13.10.2014 21:00:41, Александр Ковынев.]]> http://forum.esetnod32.ru/messages/forum6/topic11283/message80167/ http://forum.esetnod32.ru/messages/forum6/topic11283/message80167/ Mon, 13 Oct 2014 21:00:41 +0400 Обнаружение вредоносного кода и ложные срабатывания JS/Spy.Banker.W не могу обезвредить, удалить. JS/Spy.Banker.W не могу обезвредить, удалить. в форуме Обнаружение вредоносного кода и ложные срабатывания.
так же проверьте систему этой утилитой
http://media.kaspersky.com/utilities/VirusUtilities/RU/capperkiller.exe
13.10.2014 20:28:29, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic11283/message80161/ http://forum.esetnod32.ru/messages/forum6/topic11283/message80161/ Mon, 13 Oct 2014 20:28:29 +0400 Обнаружение вредоносного кода и ложные срабатывания JS/Spy.Banker.W не могу обезвредить, удалить. JS/Spy.Banker.W не могу обезвредить, удалить. в форуме Обнаружение вредоносного кода и ложные срабатывания.
отключите автоматическую настройку прокси в браузере.
как показано на рисунке
http://support.kaspersky.ru/viruses/disinfection/9208#block1
13.10.2014 20:23:00, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic11283/message80160/ http://forum.esetnod32.ru/messages/forum6/topic11283/message80160/ Mon, 13 Oct 2014 20:23:00 +0400 Обнаружение вредоносного кода и ложные срабатывания JS/Spy.Banker.W не могу обезвредить, удалить. JS/Spy.Banker.W не могу обезвредить, удалить. в форуме Обнаружение вредоносного кода и ложные срабатывания.
Логи журнала подгрузил.

Что касаемо второй части вопроса, то это для меня загадка. Но именно на этот адрес "HTTP://ESERVICE-2.COM" и ругается НОД с остановкой соединения.
Не помню, чтоб я туда заходил.
угрозы.txt
13.10.2014 20:13:50, Александр Ковынев.]]> http://forum.esetnod32.ru/messages/forum6/topic11283/message80159/ http://forum.esetnod32.ru/messages/forum6/topic11283/message80159/ Mon, 13 Oct 2014 20:13:50 +0400 Обнаружение вредоносного кода и ложные срабатывания JS/Spy.Banker.W не могу обезвредить, удалить. JS/Spy.Banker.W не могу обезвредить, удалить. в форуме Обнаружение вредоносного кода и ложные срабатывания.
+
вопрос: это ваши настройки?


====quote====
Полное имя                  HTTP://ESERVICE-2.COM/TABLES/RANGES/ROPSETTINGS2.RUG
Имя файла                   HTTP://ESERVICE-2.COM/TABLES/RANGES/ROPSETTINGS2.RUG
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
AUTOCONFIGURL               (ССЫЛКА ~ AUTOCONFIGURL)(1)   AND   (AUTOCONFIGURL ~ HTTP)(1)
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL
AutoConfigURL               http://eservice-2.com/tables/ranges/ropsettings2.rug
                           
Ссылка                      HKEY_USERS\S-1-5-21-1409082233-1292428093-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL
AutoConfigURL               http://eservice-2.com/tables/ranges/ropsettings2.rug

=============

13.10.2014 20:00:47, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic11283/message80158/ http://forum.esetnod32.ru/messages/forum6/topic11283/message80158/ Mon, 13 Oct 2014 20:00:47 +0400 Обнаружение вредоносного кода и ложные срабатывания JS/Spy.Banker.W не могу обезвредить, удалить. JS/Spy.Banker.W не могу обезвредить, удалить. в форуме Обнаружение вредоносного кода и ложные срабатывания.
добавьте так же логи журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/
13.10.2014 19:57:08, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic11283/message80157/ http://forum.esetnod32.ru/messages/forum6/topic11283/message80157/ Mon, 13 Oct 2014 19:57:08 +0400 Обнаружение вредоносного кода и ложные срабатывания JS/Spy.Banker.W не могу обезвредить, удалить. JS/Spy.Banker.W не могу обезвредить, удалить. в форуме Обнаружение вредоносного кода и ложные срабатывания.
спасибо за поддержку.
Но проблема не решена.
Запустил скрипт. Обругался на что-то. Предложил удалить. Согласился.
После перезагрузки просканировал малваребайтом. Он сказал что всё чисто. Может из-за того, что утром сканируя нашел 4 дряни не понятной. Удалил.
Перезагрузился еще раз.
После запуска "оперы вер.24.0.1558.64" опять выскачило предупреждение об угрозе.

Поповоду автозагрузки.
Вот картинка от CCleaner. Там не нашел похожего.
[FILE ID=95305]
Но в uVS увидел "winlogon". Запретил любое обращение к нему.

Сделал всё поновой. Файл прилагается.
http://rghost.ru/58504229

13.10.2014 19:38:07, Александр Ковынев.]]> http://forum.esetnod32.ru/messages/forum6/topic11283/message80155/ http://forum.esetnod32.ru/messages/forum6/topic11283/message80155/ Mon, 13 Oct 2014 19:38:07 +0400 Обнаружение вредоносного кода и ложные срабатывания JS/Spy.Banker.W не могу обезвредить, удалить. JS/Spy.Banker.W не могу обезвредить, удалить. в форуме Обнаружение вредоносного кода и ложные срабатывания.
+
вопрос:
это что у вас в автозапуске, поищите это файл в системе, есть он или нет

====quote====
Полное имя                  USRLOGON.CMD
Имя файла                   USRLOGON.CMD
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
CURRENTVERSION.WINLOGON     (ССЫЛКА ~ \CURRENTVERSION\WINLOGON\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1)
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Автозапуск                  Неизвестный файл использует ключ реестра часто используемый вирусами
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\AppSetup
AppSetup                    UsrLogon.Cmd
                           

=============

13.10.2014 18:26:06, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic11283/message80151/ http://forum.esetnod32.ru/messages/forum6/topic11283/message80151/ Mon, 13 Oct 2014 18:26:06 +0400 Обнаружение вредоносного кода и ложные срабатывания JS/Spy.Banker.W не могу обезвредить, удалить. JS/Spy.Banker.W не могу обезвредить, удалить. в форуме Обнаружение вредоносного кода и ложные срабатывания.
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
====code==== 

;uVS v3.83.3 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v383c
OFFSGNSAVE

deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\APPLICATION DATA\MEDIAGET2
hide %SystemDrive%\PROGRAM FILES\ULEAD SYSTEMS\ULEAD VIDEOSTUDIO 9.0\BURNIXA.EXE
hide %SystemDrive%\PROGRAM FILES\THE KMPLAYER\KMPLAYER.EXE
hide %SystemDrive%\PROGRAM FILES\ANVSOFT\ANY VIDEO CONVERTER\VIDEOCONVERTER.EXE
hide %SystemDrive%\PROGRAM FILES\GIMP-2.0\BIN\GIMP-2.6.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://ESERVICE-2.COM/TABLES/RANGES/ROPSETTINGS2.RUG

delref %Sys32%\TRKWKS.DLL

; OpenAL
exec C:\Program Files\OpenAL\OpenALwEAX.exe" /U
deltmp
delnfr
;-------------------------------------------------------------

restart
=============
перезагрузка, пишем о старых и новых проблемах.
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
13.10.2014 16:04:11, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic11283/message80149/ http://forum.esetnod32.ru/messages/forum6/topic11283/message80149/ Mon, 13 Oct 2014 16:04:11 +0400 Обнаружение вредоносного кода и ложные срабатывания JS/Spy.Banker.W не могу обезвредить, удалить. JS/Spy.Banker.W не могу обезвредить, удалить. в форуме Обнаружение вредоносного кода и ложные срабатывания.
Уже три дня мучает JS/Spy.Banker.W
На этом форуме нашел подобную проблему с приложеным скриптом. Сделал всё по предписаниям. Но проблема осталась.
Видимо скрипты для каждого случая индивидуальны?
Образ автозапуска прилагается.
http://rghost.ru/58497803
13.10.2014 13:53:40, Александр Ковынев.]]> http://forum.esetnod32.ru/messages/forum6/topic11283/message80147/ http://forum.esetnod32.ru/messages/forum6/topic11283/message80147/ Mon, 13 Oct 2014 13:53:40 +0400 Обнаружение вредоносного кода и ложные срабатывания