Форум esetnod32.ru [тема: Вирусы...Помогите!] http://forum.esetnod32.ru Новое в теме Вирусы...Помогите! форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Thu, 30 Apr 2026 08:15:32 +0300 Вирусы...Помогите! Вирусы...Помогите! в форуме Обнаружение вредоносного кода и ложные срабатывания.
Ок. Предупрежу его что не доделал.  
08.10.2015 09:38:36, Владимир Шариков.]]> http://forum.esetnod32.ru/messages/forum6/topic12491/message88318/ http://forum.esetnod32.ru/messages/forum6/topic12491/message88318/ Thu, 08 Oct 2015 09:38:36 +0300 Обнаружение вредоносного кода и ложные срабатывания Вирусы...Помогите! Вирусы...Помогите! в форуме Обнаружение вредоносного кода и ложные срабатывания.
а зачем нужен образ автозапуска? :)
1. в логах много информации по конкретному заражению, которая может быть интересна и полезна хелперам в их работе.
так же полезно знать, что осталось в системе после выполнения скрипта uVS, т.е. вполне возможно что какие то файлы не были удалены в uVS

в инструкции по ссылке конкретно указывается,

====quote====
Сохраняем файл на диск, даем файлу произвольное имя и прикрепляем лог на форуме по запросу хелпера.
=============

т.е. система была до отказа была забита адварными программами.
в таких случаях мы чистим uVS, затем сканируем в малваребайт, потом еще в AdwCleaner, и еще в FRST приходится что-то добивать.

а иначе юзер вернется к вам через несколько дней со своими проблемами.
07.10.2015 06:55:15, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic12491/message88286/ http://forum.esetnod32.ru/messages/forum6/topic12491/message88286/ Wed, 07 Oct 2015 06:55:15 +0300 Обнаружение вредоносного кода и ложные срабатывания Вирусы...Помогите! Вирусы...Помогите! в форуме Обнаружение вредоносного кода и ложные срабатывания.
santy, ,дико извиняюсь, но комп уже отдал... так бы конечно же логи все предоставил. (еще подумал о логах, но вроде как не просили про их надобность. Написал как есть)
====quote====
перезагрузка, пишем о старых и новых проблемах.
=============
Если получиться взять еще раз, то обязательно скину. Спешил с работы, хотел отдать коллеге до конца раб дня. (попросили починить). Малвербайт 67 угроз обнаружил нежелательного ПО, глазами пробежался все почти из "темпа" и "аппдате". Не чего криминального там.
Скрытый текст

06.10.2015 22:52:05, Владимир Шариков.]]> http://forum.esetnod32.ru/messages/forum6/topic12491/message88282/ http://forum.esetnod32.ru/messages/forum6/topic12491/message88282/ Tue, 06 Oct 2015 22:52:05 +0300 Обнаружение вредоносного кода и ложные срабатывания Вирусы...Помогите! Вирусы...Помогите! в форуме Обнаружение вредоносного кода и ложные срабатывания.
Владимир,
просьба все запрашиваемые логи добавлять в тему лечения.
06.10.2015 19:41:59, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic12491/message88275/ http://forum.esetnod32.ru/messages/forum6/topic12491/message88275/ Tue, 06 Oct 2015 19:41:59 +0300 Обнаружение вредоносного кода и ложные срабатывания Вирусы...Помогите! Вирусы...Помогите! в форуме Обнаружение вредоносного кода и ложные срабатывания.
буду проверять. Пока вроде все работает. Малвербайтом все поудалял. Если возникнут проблемы отпишусь. СПАСИБО.  
06.10.2015 19:16:40, Владимир Шариков.]]> http://forum.esetnod32.ru/messages/forum6/topic12491/message88274/ http://forum.esetnod32.ru/messages/forum6/topic12491/message88274/ Tue, 06 Oct 2015 19:16:40 +0300 Обнаружение вредоносного кода и ложные срабатывания Вирусы...Помогите! Вирусы...Помогите! в форуме Обнаружение вредоносного кода и ложные срабатывания.
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
====code==== 

;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES (X86)\CLICKCAPTION_1.10.0.2\SERVICE\CCSVC.EXE
addsgn 1A85219A5583378CF42B627DA804DEC9E946303A4536D3B40E8FE1B00753B843A785C3573E03CEC2F20BF0BB52E18FF97DDFE8F929FEA05926B64D2DC883A773 8 Win32/AdWare.Vitruvian.D [ESET-NOD32]

zoo %SystemDrive%\USERS\PK\APPDATA\ROAMING\DIGITALSITES\UPDATEPROC\UPDATETASK.EXE
addsgn A7679B19919AF4E68195AE59D409ECFA4F8A94EA01BB1F10ED4A84BC384AF80D23AEF3DC7F552729A0C184273E9D08FA9538BD8DAA322A83D388A42F38F9DD8C 8 Win32/DealPly

zoo %SystemDrive%\PROGRAM FILES\CLICKCAPTION_1.10.0.2\IE\CLICKCAPTIONCLIENTIE.DLL
addsgn BA652BBE5D22C5062FC4F9F9E724324CAE72772CC171EEFB7FC2B0B9B805244C235B4890B586D5C2E5C80FC36226017109FBD03AD61E9073C474A42FC7CAEEBF 64 Win64/Adware.Vitruvian.B [ESET-NOD32]

zoo %SystemDrive%\PROGRAM FILES (X86)\CLICKCAPTION_1.10.0.2\IE\CLICKCAPTIONCLIENTIE.DLL
addsgn A7679B1928664D070E3CD1F464C8ED70357589FA768F179082C3C5BCD3127D11E11BC33D323D55932A906CDA451649C9BD9F6307595F4659214E9187CD04327C 64 AdWare.Vitruvian.D [ESET-NOD32]

zoo %SystemDrive%\PROGRAM FILES (X86)\CLEARTHINK\BIN\BCD064.DLL
addsgn BA652BBE5D22C5062FC4F9F9E724324CAE72772CC171EEFB7FC2B0B9B8F9114C235B4890B586D5C2E5C80FC36226017109FBD03AD61E9073C4D05AD038CAEEBF 64 Trojan.BPlug.219 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES (X86)\CLEARTHINK\BIN\BCD0.DLL
addsgn 79132211B9E9317E0AA1AB59C5B61205DAFFF47DC4EA942D892B2942AF292811E11BC3EF13DB9F598818769C56D14C668FDCF851D0D8A0EB28D7562CD7D1A671 64 Win32/BrowseFox.M [ESET-NOD32]

zoo %SystemDrive%\PROGRAM FILES (X86)\CLEARTHINK\BIN\CLEARTHINK.BROWSERADAPTER.EXE
addsgn 1A29569A5583C58CF42B254E3143FE58CC79F9F689C11208F582C5C95225B2A56035C357B5AAC8C2C703688FAD1BB68F7537AE5155DAE9A9ED03ABD0B20ECAF9 8 Win32/BrowseFox

zoo %SystemDrive%\PROGRAM FILES (X86)\CLEARTHINK\BIN\CLEARTHINK.BROWSERADAPTER64.EXE
addsgn BA6F9BB2BDA96A720B9C2D754C2140FBDA75303A60111A78850F09709C1ABD80EFDB0F9BF2995185E74CE2F94909CDFA7DDFE8721DE1BD057476A45AD64EE3B2 8 Win64/BrowseFox

zoo %SystemDrive%\PROGRAM FILES (X86)\CLEARTHINK\BIN\CLEARTHINK.PURBROWSE64.EXE
addsgn BA6F9BB2BD1DD8720B9C2D754C2164FBDA75303AC57712DD29C1C58F909FFA9D679A835F055FE962D440CD9C9695B1D70F2D6533B859483D5A711C22C70622B0 8 edu_app

;------------------------autoscript---------------------------

sreg

chklst
delvir

; ClearThink
exec C:\Program Files (x86)\ClearThink\ClearThinkUn.exe OFS_

deldirex %SystemDrive%\PROGRAM FILES (X86)\CLEARTHINK

deldirex %SystemDrive%\USERS\PK\APPDATA\LOCAL\MEDIAGET2

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]
delref %Sys32%\DRIVERS\CCNFD_1_10_0_2.SYS
del %Sys32%\DRIVERS\CCNFD_1_10_0_2.SYS

delref %Sys32%\DRIVERS\{1FE5A9EB-D0AD-44C6-8E0E-E079118DB915}GW64.SYS
del %Sys32%\DRIVERS\{1FE5A9EB-D0AD-44C6-8E0E-E079118DB915}GW64.SYS

delref %Sys32%\DRIVERS\{2429C312-24D3-4127-94ED-C247FE9E02FC}W64.SYS
del %Sys32%\DRIVERS\{2429C312-24D3-4127-94ED-C247FE9E02FC}W64.SYS

delref %Sys32%\DRIVERS\{2AC9EB83-636E-4A51-AB66-BF4F388A02AB}GW64.SYS
del %Sys32%\DRIVERS\{2AC9EB83-636E-4A51-AB66-BF4F388A02AB}GW64.SYS

delref %Sys32%\DRIVERS\{481A6589-8E34-4BD5-9BE2-2F7CE66C44D6}GW64.SYS
del %Sys32%\DRIVERS\{481A6589-8E34-4BD5-9BE2-2F7CE66C44D6}GW64.SYS

delref %Sys32%\DRIVERS\{4DBBE3B0-AF29-43DD-BCBA-7BFABD419F61}GW64.SYS
del %Sys32%\DRIVERS\{4DBBE3B0-AF29-43DD-BCBA-7BFABD419F61}GW64.SYS

delref %Sys32%\DRIVERS\{663D99D0-F31D-457E-980B-DC5DAF227786}W64.SYS
del %Sys32%\DRIVERS\{663D99D0-F31D-457E-980B-DC5DAF227786}W64.SYS

delref %Sys32%\DRIVERS\{6CFEC6A5-9D93-4492-985A-470A68EFF4E9}W64.SYS
del %Sys32%\DRIVERS\{6CFEC6A5-9D93-4492-985A-470A68EFF4E9}W64.SYS

delref %Sys32%\DRIVERS\{75729234-632F-47D7-8E20-2E89BA1587CF}GW64.SYS
del %Sys32%\DRIVERS\{75729234-632F-47D7-8E20-2E89BA1587CF}GW64.SYS

delref %Sys32%\DRIVERS\{94538859-34DE-4CD4-9DC6-AA29E98FF214}GW64.SYS
del %Sys32%\DRIVERS\{94538859-34DE-4CD4-9DC6-AA29E98FF214}GW64.SYS

delref %Sys32%\DRIVERS\{B35AFCF6-0992-4551-B2DA-3AF8A5DC5119}GW64.SYS
del %Sys32%\DRIVERS\{B35AFCF6-0992-4551-B2DA-3AF8A5DC5119}GW64.SYS

delref %Sys32%\DRIVERS\{BCD08FC8-CB56-41A3-8B19-3C556687A504}W64.SYS
del %Sys32%\DRIVERS\{BCD08FC8-CB56-41A3-8B19-3C556687A504}W64.SYS

delref %Sys32%\DRIVERS\{C5E48979-BD7F-4CF7-9B73-2482A67A4F37}GW64.SYS
del %Sys32%\DRIVERS\{C5E48979-BD7F-4CF7-9B73-2482A67A4F37}GW64.SYS

delref %Sys32%\DRIVERS\{C89879CB-75B8-4CB6-BC13-07C704396FD0}GW64.SYS
del %Sys32%\DRIVERS\{C89879CB-75B8-4CB6-BC13-07C704396FD0}GW64.SYS

delref %Sys32%\DRIVERS\{D609E0EB-8157-494A-B166-6F24F8A1CBB4}W64.SYS
del %Sys32%\DRIVERS\{D609E0EB-8157-494A-B166-6F24F8A1CBB4}W64.SYS

delref %Sys32%\DRIVERS\{F8280EDE-2AB0-420D-AE0F-169BA406978B}GW64.SYS
del %Sys32%\DRIVERS\{F8280EDE-2AB0-420D-AE0F-169BA406978B}GW64.SYS

delref %Sys32%\DRIVERS\{F8280EDE-2AB0-420D-AE0F-169BA406978B}W64.SYS
del %Sys32%\DRIVERS\{F8280EDE-2AB0-420D-AE0F-169BA406978B}W64.SYS

delref %Sys32%\DRIVERS\{FE90D265-3BE8-45CD-8D93-3CA3523FD9EA}GW64.SYS
del %Sys32%\DRIVERS\{FE90D265-3BE8-45CD-8D93-3CA3523FD9EA}GW64.SYS

deldirex %SystemDrive%\USERS\PK\APPDATA\LOCAL\MEDIA GET LLC\MEDIAGET2

delref HTTP:\\PLARIUM.COM\PLAY\RU\PIRATES\TOP\?ADCAMPAIGN=31909&CLICKID=TAYETBTAZZYB0DYC0EYBZZ0CYETDYETD&PUBLISHERID=72
delref HTTP:\\PLARIUM.COM\PLAY\RU\STORMFALL\TOP\?ADCAMPAIGN=34522&CLICKID=TAYETBTAZZYB0DYC0EYBZZ0CYETDYETD&PUBLISHERID=2_72
regt 27
regt 28
regt 29
deltmp
delnfr
areg

;-------------------------------------------------------------
=============
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
06.10.2015 16:20:25, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic12491/message88270/ http://forum.esetnod32.ru/messages/forum6/topic12491/message88270/ Tue, 06 Oct 2015 16:20:25 +0300 Обнаружение вредоносного кода и ложные срабатывания Вирусы...Помогите! Вирусы...Помогите! в форуме Обнаружение вредоносного кода и ложные срабатывания.
Здравствуйте. Помогите. Лог прикрепил.
PK-HP_2015-10-06_15-29-07.7z
06.10.2015 15:37:42, Владимир Шариков.]]> http://forum.esetnod32.ru/messages/forum6/topic12491/message88269/ http://forum.esetnod32.ru/messages/forum6/topic12491/message88269/ Tue, 06 Oct 2015 15:37:42 +0300 Обнаружение вредоносного кода и ложные срабатывания