santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

Вирус в оперативной памяти., При включении ноутбука выскакивает "Вирус в оперативной памяти"

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.11.2012 19:34:49

сделайте образ автозапуска с помощью поиска руткитов по файлу сверки.
http://forum.esetnod32.ru/forum9/topic2729/

1. здесь надо создать в uVS файл сверки из под активной системы.

2. загрузиться с LIVE.CD, запустить uVS для исследования вашей системы с жесткого диска,
и из uVS выполнить поиск скрытых файлов, и не закрывая uVS создать образ автозапуска.
----------
вот этот образ автозапуска и нужен будет для анализа скрытых в системе файлов.

[ Как создать образ автозапуска? ]

Перейти

Вирус в оперативной памяти., При включении ноутбука выскакивает "Вирус в оперативной памяти"

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.11.2012 19:29:58

Цитата
13.11.2012 17:35:05 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = svchost.exe(1032) вероятно модифицированный Win32/Sirefef.DT троянская программа очистка невозможна 13.11.2012 17:35:02 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = \GLOBAL??\e22fd8bc\Windows\$NtUninstallKB14995$\3794786492\Desktop.ini Win32/Sirefef.DN троянская программа очищен удалением 13.11.2012 2:10:59 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = \GLOBAL??\e22fd8bc\Windows\$NtUninstallKB14995$\3794786492\Desktop.ini Win32/Sirefef.DN троянская программа очищен удалением LENOVOG565\user

Цитата

13.11.2012 17:35:05 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = svchost.exe(1032) вероятно модифицированный Win32/Sirefef.DT троянская программа очистка невозможна
13.11.2012 17:35:02 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = \GLOBAL??\e22fd8bc\Windows\$NtUninstallKB14995$\3794786492\Desktop.ini Win32/Sirefef.DN троянская программа очищен удалением
13.11.2012 2:10:59 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = \GLOBAL??\e22fd8bc\Windows\$NtUninstallKB14995$\3794786492\Desktop.ini Win32/Sirefef.DN троянская программа очищен удалением LENOVOG565\user

хм..
tdsskiller ничего не нашел

Цитата
18:19:02.0485 2992 ============================================================ 18:19:02.0485 2992 Scan finished 18:19:02.0485 2992 ============================================================ 18:19:02.0516 2984 Detected object count: 2 18:19:02.0516 2984 Actual detected object count: 2 18:19:27.0818 2984 KMService ( UnsignedFile.Multi.Generic ) - skipped by user 18:19:27.0818 2984 KMService ( UnsignedFile.Multi.Generic ) - User select action: Skip 18:19:27.0820 2984 nlsX86cc ( UnsignedFile.Multi.Generic ) - skipped by user 18:19:27.0820 2984 nlsX86cc ( UnsignedFile.Multi.Generic ) - User select action: Skip 18:21:21.0965 1508 Deinitialize success

Цитата

18:19:02.0485 2992 ============================================================
18:19:02.0485 2992 Scan finished
18:19:02.0485 2992 ============================================================
18:19:02.0516 2984 Detected object count: 2
18:19:02.0516 2984 Actual detected object count: 2
18:19:27.0818 2984 KMService ( UnsignedFile.Multi.Generic ) - skipped by user
18:19:27.0818 2984 KMService ( UnsignedFile.Multi.Generic ) - User select action: Skip
18:19:27.0820 2984 nlsX86cc ( UnsignedFile.Multi.Generic ) - skipped by user
18:19:27.0820 2984 nlsX86cc ( UnsignedFile.Multi.Generic ) - User select action: Skip
18:21:21.0965 1508 Deinitialize success

образ сейчас еще раз проверю

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Вирус Win32/Qhost троянская программа -как избавиться?

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.11.2012 19:25:31

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE delref HTTP://WEBALTA.RU/SEARCH deltmp delnfr delref HTTP://BROWSERHELP2.RU regt 14 exec MSIEXEC.EXE /X{86D4B82A-ABED-442A-BE86-96357B70F4FE} exec "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL exec C:\PROGRAM FILES\MAIL.RU\SPUTNIK\MAILRUSPUTNIK.EXE UNINSTALL exec C:\PROGRAM FILES\TICNO\TABS\UNINSTALL.EXE exec C:\PROGRAM FILES\TICNO\MULTIBAR\UNINSTALL.EXE restart

Код

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
delref HTTP://WEBALTA.RU/SEARCH
deltmp
delnfr
delref HTTP://BROWSERHELP2.RU
regt 14
exec MSIEXEC.EXE /X{86D4B82A-ABED-442A-BE86-96357B70F4FE}
exec "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL
exec C:\PROGRAM FILES\MAIL.RU\SPUTNIK\MAILRUSPUTNIK.EXE UNINSTALL
exec C:\PROGRAM FILES\TICNO\TABS\UNINSTALL.EXE
exec C:\PROGRAM FILES\TICNO\MULTIBAR\UNINSTALL.EXE
restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

Ошибка создания временного файла

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.11.2012 19:22:04

Код
;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE zoo %SystemRoot%\DFVBN.SYS addsgn A76D8B9A556ACC01098C6DE98C2EEDFADA8EF9F288FA1E906CBCC5BC986EF934AB10DA7E462DB4CD1CBD3C57FE9E31721381C66564A2C854A50F6C970FBEAA0B 8 Trojan.Hosts.4756 [DrWeb] deltmp delnfr czoo delref HTTP://WEBALTA.RU exec C:\PROGRA~1\YAHOO!\COMMON\UNYPSR.EXE exec C:\PROGRA~1\YAHOO!\COMMON\UNYT.EXE sreg delref %SystemRoot%\DFVBN.SYS areg

Код

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
zoo %SystemRoot%\DFVBN.SYS
addsgn A76D8B9A556ACC01098C6DE98C2EEDFADA8EF9F288FA1E906CBCC5BC986EF934AB10DA7E462DB4CD1CBD3C57FE9E31721381C66564A2C854A50F6C970FBEAA0B 8 Trojan.Hosts.4756 [DrWeb]
deltmp
delnfr
czoo
delref HTTP://WEBALTA.RU
exec C:\PROGRA~1\YAHOO!\COMMON\UNYPSR.EXE
exec C:\PROGRA~1\YAHOO!\COMMON\UNYT.EXE
sreg
delref %SystemRoot%\DFVBN.SYS
areg

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

Оперативная память = explorer.exe(1784) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа, помогите излечиться

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.11.2012 11:49:11

сделайте все проверка здесь и сейчас, а не через неделю.

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.11.2012 11:48:19

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE delref HTTP://BROWSERHELP2.RU delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\MICROSOFT\LSASS.EXE deltmp delnfr regt 14 restart

Код

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
delref HTTP://BROWSERHELP2.RU
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\MICROSOFT\LSASS.EXE
deltmp
delnfr
regt 14
restart

[ Как создать образ автозапуска? ]

Перейти

Eset обнаружил Win32/TrojanDownloader.Carberp.AD

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.11.2012 10:53:28

Код
;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\WMNZUQCDIV0.EXE addsgn A7679B19B192CF9E2787F8E6A38C3625E76E51AE4EBE3B60402768E438B6020F23E8D65FDE159DC46FA4A8160232557728DB001BA8254F8F6904E72F66425130 8 Carberp.1112 bl F27D6C9525BCAFADDAFF0CA9F651F61F 196608 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\WMNZUQCDIV0.EXE chklst delvir delref COPY delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL delref HTTP://QIP.RU delref HTTP://SEARCH.QIP.RU deltmp delnfr restart czoo

Код

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\WMNZUQCDIV0.EXE
addsgn A7679B19B192CF9E2787F8E6A38C3625E76E51AE4EBE3B60402768E438B6020F23E8D65FDE159DC46FA4A8160232557728DB001BA8254F8F6904E72F66425130 8 Carberp.1112
bl F27D6C9525BCAFADDAFF0CA9F651F61F 196608
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\WMNZUQCDIV0.EXE
chklst
delvir
delref COPY
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
deltmp
delnfr
restart
czoo

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS, созданный после скрипта (например: ZOO_2011-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

Win32/Qhost троянская программа

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.11.2012 10:18:47

выполните сканирование в малваребайт

[ Как создать образ автозапуска? ]

Перейти

Win32/Qhost троянская программа

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.11.2012 10:02:40

Код
;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE delref HTTP://WWW.YAHOO.COM deltmp delnfr delall %SystemDrive%\DOCUMENTS AND SETTINGS\EKATRIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE regt 14 exec "C:\PROGRAM FILES\MCAFEE SECURITY SCAN\UNINSTALL.EXE" exec C:\PROGRAM FILES\MCAFEE\SITEADVISOR\UNINSTALL.EXE restart

Код

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
delref HTTP://WWW.YAHOO.COM
deltmp
delnfr
delall %SystemDrive%\DOCUMENTS AND SETTINGS\EKATRIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
regt 14
exec "C:\PROGRAM FILES\MCAFEE SECURITY SCAN\UNINSTALL.EXE"
exec C:\PROGRAM FILES\MCAFEE\SITEADVISOR\UNINSTALL.EXE
restart

[ Как создать образ автозапуска? ]

Перейти

Win32/Qhost троянская программа

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.11.2012 10:00:30

эту программу используете в работе? предоставляет возможность терминального доступа к системе.

Цитата
Полное имя C:\WINDOWS\SYSTEM32\BETWINSERVICEXP.EXE Имя файла BETWINSERVICEXP.EXE Тек. статус АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ сервис в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ] [SAFE_MODE] Сохраненная информация на момент создания образа Статус АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ сервис в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ] [SAFE_MODE] Размер 261448 байт Создан 16.04.2012 в 12:07:33 Изменен 16.04.2012 в 12:07:31 Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись НАРУШЕНА, файл модифицирован или заражен Оригинальное имя BeTwinService.exe Версия файла 2.00 built by: WinDDK Описание BeTwin Terminal Services Производитель ThinSoft Pte Ltd. Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Цифровая подпись Недействительна (файл поврежден/заражен) Доп. информация на момент обновления списка pid = 1516 NT AUTHORITY\SYSTEM CmdLine System32\BeTwinServiceXP.exe Процесс создан 08:11:07 [2012.11.13] С момента создания 01:38:22 parentid = 780 C:\WINDOWS\SYSTEM32\SERVICES.EXE LISTEN 0.0.0.0:3389 SHA1 EE1395D69AE3F87D9772A5A02A33DC44562026DA MD5 6FD6AD11E81543D3B114B4EE7CC3C2E5

Цитата

Полное имя C:\WINDOWS\SYSTEM32\BETWINSERVICEXP.EXE
Имя файла BETWINSERVICEXP.EXE
Тек. статус АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ сервис в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ] [SAFE_MODE]

Сохраненная информация на момент создания образа
Статус АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ сервис в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ] [SAFE_MODE]
Размер 261448 байт
Создан 16.04.2012 в 12:07:33
Изменен 16.04.2012 в 12:07:31
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись НАРУШЕНА, файл модифицирован или заражен

Оригинальное имя BeTwinService.exe
Версия файла 2.00 built by: WinDDK
Описание BeTwin Terminal Services
Производитель ThinSoft Pte Ltd.

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Цифровая подпись Недействительна (файл поврежден/заражен)

Доп. информация на момент обновления списка
pid = 1516 NT AUTHORITY\SYSTEM
CmdLine System32\BeTwinServiceXP.exe
Процесс создан 08:11:07 [2012.11.13]
С момента создания 01:38:22
parentid = 780 C:\WINDOWS\SYSTEM32\SERVICES.EXE
LISTEN 0.0.0.0:3389
SHA1 EE1395D69AE3F87D9772A5A02A33DC44562026DA
MD5 6FD6AD11E81543D3B114B4EE7CC3C2E5

[ Как создать образ автозапуска? ]

Перейти