Vitokhv (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

Как отправить файлы из карантина Malwarebytes' Anti-Malware

Сообщений: 411

Баллов: 328

Регистрация: 29.05.2010

Размещено 20.01.2011 11:48:25

Понять не могу как вообще папка карантина этой программы может помочь?
Вот лог в котором 100% причина блокировки обновления нода.
Папка и файлы имеются, могу прислать, но они чистые даже сам Malwarebytes не видит.

Код
Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Версия базы данных: 5363 Windows 5.1.2600 Service Pack 3 Internet Explorer 7.0.5730.13 01.01.2003 7:03:22 mbam-log-2003-01-01 (07-03-22).txt Тип сканирования: Полное сканирование (C:\\|) Просканированные объекты: 348848 Времени прошло: 1 часов, 9 минут, 18 секунд Заражённые процессы в памяти: 0 Заражённые модули в памяти: 0 Заражённые ключи в реестре: 0 Заражённые параметры в реестре: 1 Объекты реестра заражены: 5 Заражённые папки: 1 Заражённые файлы: 27 Заражённые процессы в памяти: (Вредоносных программ не обнаружено) Заражённые модули в памяти: (Вредоносных программ не обнаружено) Заражённые ключи в реестре: (Вредоносных программ не обнаружено) Заражённые параметры в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\load (Worm.Viking) -> Value: load -> Quarantined and deleted successfully. Объекты реестра заражены: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Policies\Explorer\NoSMHelp (PUM.Hijack.Help) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\regfile\shell\open\command\(defa ult) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and deleted successfully. Заражённые папки: c:\documents and settings\Admin\local settings\Temp\E_4 (Worm.AutoRun) -> Quarantined and deleted successfully. Заражённые файлы: c:\documents and settings\Admin\local settings\Temp\agentvkontaktesetup.exe (Rogue.Installer) -> Quarantined and deleted successfully. c:\documents and settings\Admin\local settings\Temp\E_4\dp1.fne (Worm.Autorun) -> Quarantined and deleted successfully. c:\documents and settings\Admin\local settings\Temp\E_4\RegEx.fne (Worm.Autorun) -> Quarantined and deleted successfully. c:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\8BQ1GGC2\agentsetup[1].exe (Rogue.Installer) -> Quarantined and deleted successfully. c:\documents and settings\Admin\рабочий стол\downloads\keygen.exe (Trojan.Downloader) -> Quarantined and deleted successfully. c:\program files\activision\call of duty 4 - modern warfare\easyaccount.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully. c:\program files\daemon tools\setupdtsb.exe (Adware.WhenU) -> Quarantined and deleted successfully. c:\WINDOWS\system32\dp1.fne (Worm.Autorun) -> Quarantined and deleted successfully. c:\WINDOWS\system32\shell.fne (Worm.AutoRun) -> Quarantined and deleted successfully. c:\WINDOWS\system32\eAPI.fne (Worm.AutoRun) -> Quarantined and deleted successfully. c:\WINDOWS\system32\krnln.fnr (Worm.Autorun) -> Quarantined and deleted successfully. c:\WINDOWS\system32\com.run (Trojan.Agent) -> Quarantined and deleted successfully. c:\WINDOWS\system32\RegEx.fne (Worm.Autorun) -> Quarantined and deleted successfully. c:\WINDOWS\system32\CPLDAPU\ProduKey.exe (PUP.PSWTool.ProductKey) -> Not selected for removal. c:\WINDOWS\system32\D0ED12\dp1.fne (Worm.Autorun) -> Quarantined and deleted successfully. c:\WINDOWS\system32\D0ED12\internet.fne (HackTool.Patcher) -> Quarantined and deleted successfully. c:\WINDOWS\system32\D0ED12\RegEx.fne (Worm.Autorun) -> Quarantined and deleted successfully. c:\WINDOWS\system32\internet.fne (Worm.AutoRun) -> Quarantined and deleted successfully. c:\WINDOWS\system32\og.dll (Worm.AutoRun) -> Quarantined and deleted successfully. c:\WINDOWS\system32\og.edt (Worm.AutoRun) -> Quarantined and deleted successfully. c:\WINDOWS\system32\RegEx.fnr (Worm.AutoRun) -> Quarantined and deleted successfully. c:\WINDOWS\system32\spec.fne (Worm.AutoRun) -> Quarantined and deleted successfully. c:\WINDOWS\system32\ul.dll (Worm.AutoRun) -> Quarantined and deleted successfully. c:\documents and settings\Admin\local settings\Temp\E_4\krnln.fnr (Spyware.Agent) -> Quarantined and deleted successfully. c:\documents and settings\Admin\local settings\Temp\E_4\eAPI.fne (Worm.AutoRun) -> Quarantined and deleted successfully. c:\documents and settings\Admin\local settings\Temp\E_4\RegEx.fnr (Worm.AutoRun) -> Quarantined and deleted successfully. c:\documents and settings\Admin\local settings\Temp\E_4\spec.fne (Worm.AutoRun) -> Quarantined and deleted successfully.

Код

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Версия базы данных: 5363

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

01.01.2003 7:03:22
mbam-log-2003-01-01 (07-03-22).txt

Тип сканирования: Полное сканирование (C:\|)
Просканированные объекты: 348848
Времени прошло: 1 часов, 9 минут, 18 секунд

Заражённые процессы в памяти: 0
Заражённые модули в памяти: 0
Заражённые ключи в реестре: 0
Заражённые параметры в реестре: 1
Объекты реестра заражены: 5
Заражённые папки: 1
Заражённые файлы: 27

Заражённые процессы в памяти:
(Вредоносных программ не обнаружено)

Заражённые модули в памяти:
(Вредоносных программ не обнаружено)

Заражённые ключи в реестре:
(Вредоносных программ не обнаружено)

Заражённые параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\load (Worm.Viking) -> Value: load -> Quarantined and deleted successfully.

Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Policies\Explorer\NoSMHelp (PUM.Hijack.Help) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\regfile\shell\open\command\(defa ult) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and deleted successfully.

Заражённые папки:
c:\documents and settings\Admin\local settings\Temp\E_4 (Worm.AutoRun) -> Quarantined and deleted successfully.

Заражённые файлы:
c:\documents and settings\Admin\local settings\Temp\agentvkontaktesetup.exe (Rogue.Installer) -> Quarantined and deleted successfully.
c:\documents and settings\Admin\local settings\Temp\E_4\dp1.fne (Worm.Autorun) -> Quarantined and deleted successfully.
c:\documents and settings\Admin\local settings\Temp\E_4\RegEx.fne (Worm.Autorun) -> Quarantined and deleted successfully.
c:\documents and settings\Admin\local settings\temporary internet files\Content.IE5\8BQ1GGC2\agentsetup[1].exe (Rogue.Installer) -> Quarantined and deleted successfully.
c:\documents and settings\Admin\рабочий стол\downloads\keygen.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\program files\activision\call of duty 4 - modern warfare\easyaccount.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
c:\program files\daemon tools\setupdtsb.exe (Adware.WhenU) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\dp1.fne (Worm.Autorun) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\shell.fne (Worm.AutoRun) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\eAPI.fne (Worm.AutoRun) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\krnln.fnr (Worm.Autorun) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\com.run (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\RegEx.fne (Worm.Autorun) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\CPLDAPU\ProduKey.exe (PUP.PSWTool.ProductKey) -> Not selected for removal.
c:\WINDOWS\system32\D0ED12\dp1.fne (Worm.Autorun) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\D0ED12\internet.fne (HackTool.Patcher) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\D0ED12\RegEx.fne (Worm.Autorun) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\internet.fne (Worm.AutoRun) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\og.dll (Worm.AutoRun) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\og.edt (Worm.AutoRun) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\RegEx.fnr (Worm.AutoRun) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\spec.fne (Worm.AutoRun) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\ul.dll (Worm.AutoRun) -> Quarantined and deleted successfully.
c:\documents and settings\Admin\local settings\Temp\E_4\krnln.fnr (Spyware.Agent) -> Quarantined and deleted successfully.
c:\documents and settings\Admin\local settings\Temp\E_4\eAPI.fne (Worm.AutoRun) -> Quarantined and deleted successfully.
c:\documents and settings\Admin\local settings\Temp\E_4\RegEx.fnr (Worm.AutoRun) -> Quarantined and deleted successfully.
c:\documents and settings\Admin\local settings\Temp\E_4\spec.fne (Worm.AutoRun) -> Quarantined and deleted successfully.

Перейти

Видео уроки по uVS - комментарии

Сообщений: 411

Баллов: 328

Регистрация: 29.05.2010

Размещено 20.01.2011 11:19:14

Сделал следующее:
На флешку E:\ извлекаю архив uvs_v344.zip в uvs_v344 и переименовываю в uvs, далее, создаю из файла !startF.cmd > "Ярлык для !startF.cmd" и переименовываю в startf
Дает возможность запуска файла !startF.cmd через командную строку, который в свою очередь распаковывает папку uvs во временную на диск C:\ или D:\

В итоге получается:
C:\Documents and Settings\Администратор>E:\startf.lnk (обязательно указать расширение ярлыка .lnk)

Остается загадкой как угадывать путь к флешке, а именно ее букву, хотя бы первые 5 букв.

Изменено: Виктор - 20.01.2011 12:29:12

Перейти

Интересно, с чем связана такая посещаемость форума :).

Сообщений: 411

Баллов: 328

Регистрация: 29.05.2010

Размещено 19.01.2011 13:27:01

Может пытаются зарегистрироваться на форуме

Горячие темы:
Обновление антивируса
Установка и настройка антивируса
Обнаружение вредоносного кода и ложные срабатывания

Изменено: Виктор - 19.01.2011 13:40:11

Перейти

Видео уроки по uVS - комментарии

Сообщений: 411

Баллов: 328

Регистрация: 29.05.2010

Размещено 19.01.2011 12:22:07

Работает с ярлыком.
На диске C:\ извлекаю архив uvs_v344.zip в uvs_v344 и переименовываю в uvs, далее, в этой папке копирую ярлык startf.exe на C:\

В итоге получается:
C:\Documents and Settings\Администратор>C:\startf
или
C:\Documents and Settings\Администратор>C:\startf.lnk

Таким методом излечил баннер, через "Безопасный режим с поддержкой командной строки"
Насчет диска CD, запустится ли при отключенном автозапуске?

Изменено: Виктор - 19.01.2011 12:23:15

Перейти

Видео уроки по uVS - комментарии

Сообщений: 411

Баллов: 328

Регистрация: 29.05.2010

Размещено 19.01.2011 11:15:16

Как в командной строке CMD распознать какая флешка и CD привод активный?
На котором установлена папка uvs и рядом с ней файлы из архива _autorun.zip

т.к. при условии отсутствия автозапуска, запускать придется вручную.

Например через "Безопасный режим с поддержкой командной строки"
C:\Documents and Settings\Администратор>E:\!startF.cmd

Суть в том, что НЕИЗВСТНО какая буква присвоится приводу CD/DVD

Изменено: Виктор - 19.01.2011 11:24:39

Перейти

Вирус вымогатель!!! Неужели снова?!

Сообщений: 411

Баллов: 328

Регистрация: 29.05.2010

Размещено 19.01.2011 02:36:45

Номера:
89653686420 - 400 руб.
89646285059 - 370 руб.
89653686511 - 400 руб.
89646285089 - 400 руб.
89653686457 - 360 руб.
89646285067 - 380 руб.
89057933681 - 380 руб.

Коды разблокировки для номера 89653686420:
1) пробел1111111 (комментарий: обязательно в начале нажать клавишу пробел)
2) +9999999 (комментарий: легкий код)
Проверено!

Изменено: Виктор - 19.01.2011 03:06:33

Перейти

Вирус вымогатель!!! Неужели снова?!

Сообщений: 411

Баллов: 328

Регистрация: 29.05.2010

Размещено 19.01.2011 01:33:46

Баннер на 25 посту этой темы, блокирует доступ к диспетчеру через калькулятор. Malwarebytes ничего не нашел.
Есть ли у uVS данная лечилка?

Вот, что прописывает к калькулятору:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\Debugger

И собственно Winlogon исправленный в uVS
Удалено значение: HKEY_USERS\S-1-5-21-3960705935-1329643150-21155791-500\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

Перейти

Вирус вымогатель!!! Неужели снова?!

Сообщений: 411

Баллов: 328

Регистрация: 29.05.2010

Размещено 18.01.2011 19:18:22

Номера:
89628734451
89052614451
89651247938
89636669410

Код разблокировки для номера 89628734451: 16342131 (комментарий: после 5-го раза разблокировался)
Проверено!

Код разблокировки для номера 89052614451: 16342131 (комментарий: разблокировался кнопками на баннере с 1-го раза)
Проверено!

Изменено: Виктор - 18.01.2011 20:23:38

Перейти

Вирус вымогатель!!! Неужели снова?!

Сообщений: 411

Баллов: 328

Регистрация: 29.05.2010

Размещено 17.01.2011 14:16:55

Извините, забыл прислать файл.
Отправил на [email protected]

VIRLAB-9-170111.rar
Опасаюсь намеренно заражать компьютер, чтобы сделать логи автозапуска.

Перейти

Вирус вымогатель!!! Неужели снова?!

Сообщений: 411

Баллов: 328

Регистрация: 29.05.2010

Размещено 17.01.2011 13:52:29

Номер 89857295946

Определяется как Win32/LockScreen.ZX
Нажав сочетание клавиш Win + D сворачивается и появляется контроль над компьютером.

Нужен код разблокировки.

Изменено: Виктор - 17.01.2011 13:55:21

Перейти