santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] Win32/Spy.Ranbyus.I в svchost.exe, Как вылечить?

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 14.12.2012 10:53:26

удалите все найденное в мбам,
перегрузите систему,
и еще раз выполните быстрое сканирование в мбам

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Win32/Spy.Ranbyus.I в svchost.exe, Как вылечить?

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 14.12.2012 09:40:26

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE zoo %SystemRoot%\GIGALAN.SYS addsgn 98EC1D65A32E68798BDB2A1D64C812ED0A8AFCF60C3A6B51D048293DBC56714C23474E131A751E692B0DC8BBBAAE79907CDF6BB8AA25A0E475515B3B02865B72 8 newdriver1213 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\MEDIAGET2\MEDIAGET.EXE addsgn 1A65719A55839B8EF42B5194406C9105DAAF40530AFAE05DD96646BCAFF329E9A01748A86BDE71B65E886C1EB3E9B6A3201C638D00515C71C46AA42FC7CADD56 8 mediaget zoo %Sys32%\BTHMHFEDBHIEIA.EXE delall %Sys32%\BTHMHFEDBHIEIA.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\MEDIAGET2\MEDIAGET.EXE delref HTTP://WEBALTA.RU/SEARCH czoo deltmp delnfr sreg delref %SystemRoot%\GIGALAN.SYS areg

Код

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
zoo %SystemRoot%\GIGALAN.SYS
addsgn 98EC1D65A32E68798BDB2A1D64C812ED0A8AFCF60C3A6B51D048293DBC56714C23474E131A751E692B0DC8BBBAAE79907CDF6BB8AA25A0E475515B3B02865B72 8 newdriver1213
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\MEDIAGET2\MEDIAGET.EXE
addsgn 1A65719A55839B8EF42B5194406C9105DAAF40530AFAE05DD96646BCAFF329E9A01748A86BDE71B65E886C1EB3E9B6A3201C638D00515C71C46AA42FC7CADD56 8 mediaget
zoo %Sys32%\BTHMHFEDBHIEIA.EXE
delall %Sys32%\BTHMHFEDBHIEIA.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\MEDIAGET2\MEDIAGET.EXE
delref HTTP://WEBALTA.RU/SEARCH
czoo
deltmp
delnfr
sreg
delref %SystemRoot%\GIGALAN.SYS
areg

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS, созданный после скрипта (например: ZOO_2011-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] ошибка создания временного файла

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 14.12.2012 05:46:09

+
проверьте на http://virustotal.com этот файл.
-----------

Цитата
Полное имя C:\WINDOWS\SYSTEM32\DRIVERS\KLIF.SYS Имя файла KLIF.SYS Тек. статус драйвер в автозапуске Сохраненная информация на момент создания образа Статус драйвер в автозапуске Размер 584536 байт Создан 12.12.2012 в 14:12:33 Изменен 25.10.2012 в 17:11:46 Цифр. подпись Отсутствует либо ее не удалось проверить Доп. информация на момент обновления списка SHA1 48EEC76D41A321E966473E6830158C227940EBF7 MD5 4492412B7E5DAE33B7A2E3CAEBFCD6DA Ссылки на объект Ссылка HKLM\System\CurrentControlSet\Services\KLIF\ImagePath ImagePath system32\DRIVERS\klif.sys KLIF тип запуска: При инициализации ядра (1)

Цитата

Полное имя C:\WINDOWS\SYSTEM32\DRIVERS\KLIF.SYS
Имя файла KLIF.SYS
Тек. статус драйвер в автозапуске

Сохраненная информация на момент создания образа
Статус драйвер в автозапуске
Размер 584536 байт
Создан 12.12.2012 в 14:12:33
Изменен 25.10.2012 в 17:11:46
Цифр. подпись Отсутствует либо ее не удалось проверить

Доп. информация на момент обновления списка
SHA1 48EEC76D41A321E966473E6830158C227940EBF7
MD5 4492412B7E5DAE33B7A2E3CAEBFCD6DA

Ссылки на объект
Ссылка HKLM\System\CurrentControlSet\Services\KLIF\ImagePath
ImagePath system32\DRIVERS\klif.sys
KLIF тип запуска: При инициализации ядра (1)

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Заблокирована загрузка системы

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.12.2012 20:41:27

пробуйте загрузиться с Live.CD и создать образ автозапуска.
http://forum.esetnod32.ru/forum27/topic2102/

нужен будет чистый комп для записи диска на CD или USB.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] При работе в интернете идет переадресация на klubrelaks, переадресация на сайт

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.12.2012 20:39:34

логи мбам добавьте, и кратко опишите - решена проблема или нет.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] ошибка создания временного файла

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.12.2012 20:38:04

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE zoo %SystemRoot%\GIGALAN.SYS addsgn 98EC1D65BD454C720B516EC54D9D99E9A4667CF689FA4FF5C1E7E53F70D6FC0007EB7B7360549DCAE17F7B8F8E4E6F05691A440354DAB02CAC9B342FC706DAFE 8 newdriver1203 zoo %Sys32%\DGQWABLPRSDYHE.EXE addsgn A7679B23506A4C7261D4C4B12DBDEB5673320453C8FAF7F53E3D3A02581D304C10D7963F2EFEDC494F7FB4FBCF36A1E3C02117F98D32A291D3888FECFA266C73 18 Randbyus.1206 delall %Sys32%\DGQWABLPRSDYHE.EXE deltmp delnfr czoo sreg delref %SystemRoot%\GIGALAN.SYS areg

Код

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
zoo %SystemRoot%\GIGALAN.SYS
addsgn 98EC1D65BD454C720B516EC54D9D99E9A4667CF689FA4FF5C1E7E53F70D6FC0007EB7B7360549DCAE17F7B8F8E4E6F05691A440354DAB02CAC9B342FC706DAFE 8 newdriver1203
zoo %Sys32%\DGQWABLPRSDYHE.EXE
addsgn A7679B23506A4C7261D4C4B12DBDEB5673320453C8FAF7F53E3D3A02581D304C10D7963F2EFEDC494F7FB4FBCF36A1E3C02117F98D32A291D3888FECFA266C73 18 Randbyus.1206
delall %Sys32%\DGQWABLPRSDYHE.EXE
deltmp
delnfr
czoo
sreg
delref %SystemRoot%\GIGALAN.SYS
areg

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Вирус в оперативной

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.12.2012 14:02:34

Код
;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\KIWE\FUEG.EXE addsgn A7679B19B192CF9E2787F8E6A38C3625E76E51AE4EBE3B60402768E438B6020F23E8D65FDE159DC46FA4A8160232557728DB001BA8254F8F6904E72F66425130 9 Carberp.1112 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE addsgn 1A7F8B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 16 Praetorian delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\KIWE\FUEG.EXE deltmp delnfr czoo restart

Код

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\KIWE\FUEG.EXE
addsgn A7679B19B192CF9E2787F8E6A38C3625E76E51AE4EBE3B60402768E438B6020F23E8D65FDE159DC46FA4A8160232557728DB001BA8254F8F6904E72F66425130 9 Carberp.1112
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1A7F8B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 16 Praetorian
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\KIWE\FUEG.EXE
deltmp
delnfr
czoo
restart

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Ошибка создания временного файла

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.12.2012 13:37:36

Код
;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE zoo %SystemRoot%\GIGALAN.SYS addsgn 98EC1D65A32E68798BDB2A1D64C812ED0A8AFCF60C3A6B51D048293DBC56714C23474E131A751E692B0DC8BBBAAE79907CDF6BB8AA25A0E475515B3B02865B72 8 newdriver1213 deltmp delnfr czoo sreg delref %SystemRoot%\GIGALAN.SYS areg

Код

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %SystemRoot%\GIGALAN.SYS
addsgn 98EC1D65A32E68798BDB2A1D64C812ED0A8AFCF60C3A6B51D048293DBC56714C23474E131A751E692B0DC8BBBAAE79907CDF6BB8AA25A0E475515B3B02865B72 8 newdriver1213
deltmp
delnfr
czoo
sreg
delref %SystemRoot%\GIGALAN.SYS
areg

[ Как создать образ автозапуска? ]

Перейти

Win32/Qhost.PES троянская программа - очищен удалением - изолирован.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.12.2012 10:14:34

Код
;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE addsgn 1AA78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE delref HTTP://EROSHAL.UCOZ.RU/ deltmp delnfr regt 14 restart

Код

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1AA78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian
delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
delref HTTP://EROSHAL.UCOZ.RU/
deltmp
delnfr
regt 14
restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

Win32/Qhost.PES троянская программа - очищен удалением - изолирован.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.12.2012 10:05:06

добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Перейти