santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] Оперативная память = explorer.exe(1404) вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа очистка невозможна X-TEAM\User

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 10.11.2012 08:59:11

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE delall %SystemRoot%\APPPATCH\OIVTHBF.EXE addsgn A7679B19B192CF9E2787F8E6A38C361DE76E51AE4EBE3B58402768E438B6F90F23E8D65FCE159DC46FA4A01602325D7728DB004AA8254F8F69FFE72F6642AA30 8 Carberp.1110 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ELJIPMPRXH4.EXE bl B26A861EB99F3C4B95E2320341B2B0CB 195584 delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ELJIPMPRXH4.EXE chklst delvir delref COPY delref HTTP://EROSHAL.UCOZ.RU deltmp delnfr regt 14 regt 12 CZOO restart

Код

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
delall %SystemRoot%\APPPATCH\OIVTHBF.EXE
addsgn A7679B19B192CF9E2787F8E6A38C361DE76E51AE4EBE3B58402768E438B6F90F23E8D65FCE159DC46FA4A01602325D7728DB004AA8254F8F69FFE72F6642AA30 8 Carberp.1110
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ELJIPMPRXH4.EXE
bl B26A861EB99F3C4B95E2320341B2B0CB 195584
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ELJIPMPRXH4.EXE
chklst
delvir
delref COPY
delref HTTP://EROSHAL.UCOZ.RU
deltmp
delnfr
regt 14
regt 12
CZOO
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] вирус, Оперативная память = GuardMailRu.exe(2452) - модифицированный Win32/Spy.Shiz.NCE троянская программа - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.11.2012 19:43:28

Код
;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE zoo %SystemDrive%\USERS\НАСТЯ\APPDATA\LOCAL\TEMP\0.7594940535764958.EXE addsgn 0DE1D7ED156AB3774A45EEB18CB0E7FADA09F93910BA1F1A086B6DBC50D6C9016236C35EFB5CB0B050C0841C43B8C9BA7DD66977F9A4F02C5953A32F4403ACF4 8 Shiz.1109 zoo %SystemDrive%\USERS\НАСТЯ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\KWIDU5SULLC.EXE addsgn A7679BF0AA02E48A49D4C63145881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95C5A4D9FE82BD6D7105669775BACCAA25837 8 Carberp.1109 bl C2AB1BBED09AFC4CBD7F8DA84BBBDF0C 191488 delall %SystemDrive%\USERS\НАСТЯ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\KWIDU5SULLC.EXE chklst delvir deltmp delnfr czoo regt 12 regt 14 restart

Код

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %SystemDrive%\USERS\НАСТЯ\APPDATA\LOCAL\TEMP\0.7594940535764958.EXE
addsgn 0DE1D7ED156AB3774A45EEB18CB0E7FADA09F93910BA1F1A086B6DBC50D6C9016236C35EFB5CB0B050C0841C43B8C9BA7DD66977F9A4F02C5953A32F4403ACF4 8 Shiz.1109
zoo %SystemDrive%\USERS\НАСТЯ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\KWIDU5SULLC.EXE
addsgn A7679BF0AA02E48A49D4C63145881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95C5A4D9FE82BD6D7105669775BACCAA25837 8 Carberp.1109
bl C2AB1BBED09AFC4CBD7F8DA84BBBDF0C 191488
delall %SystemDrive%\USERS\НАСТЯ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\KWIDU5SULLC.EXE
chklst
delvir
deltmp
delnfr
czoo
regt 12
regt 14
restart

[ Как создать образ автозапуска? ]

Перейти

Ошибка "Не являются приложением Win32"

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.11.2012 19:02:05

Код
;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE zoo %SystemRoot%\SVCHOST.COM delall %SystemRoot%\SVCHOST.COM EXEC cmd /c"reg add HKCR\exefile\shell\open\command /ve /d "\"%1\" %*" /f" deltmp delnfr regt 1 regt 2 regt 5 regt 23 regt 18 CZOO restart

Код

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
zoo %SystemRoot%\SVCHOST.COM
delall %SystemRoot%\SVCHOST.COM
EXEC cmd /c"reg add HKCR\exefile\shell\open\command /ve /d "\"%1\" %*" /f"
deltmp
delnfr
regt 1
regt 2
regt 5
regt 23
regt 18
CZOO
restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

Ошибка "Не являются приложением Win32"

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.11.2012 18:59:34

neshta у вас вроде как активен, но не опасен, поскольку размер файла 0байт

Цитата
Полное имя C:\WINDOWS\SVCHOST.COM Имя файла SVCHOST.COM Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске www.virustotal.com 2012-11-09 [2006-09-18 07:26:15 UTC ( 6 years, 1 month ago )] - Файл был чист на момент проверки. Удовлетворяет критериям _NESHTA ( ~ SVCHOST.COM "%1" %)(1) Сохраненная информация на момент создания образа Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске Размер 0 байт Создан 15.09.2012 в 21:39:27 Изменен 05.11.2012 в 14:14:02 Цифр. подпись Отсутствует либо ее не удалось проверить Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Автозапуск Неизвестный файл использует ключ реестра часто используемый вирусами Доп. информация на момент обновления списка SHA1 DA39A3EE5E6B4B0D3255BFEF95601890AFD80709 MD5 D41D8CD98F00B204E9800998ECF8427E Ссылки на объект Ссылка HKLM\Software\Classes\exefile\shell\open\command\ NULL C:\WINDOWS\svchost.com "%1" %

Цитата

Полное имя C:\WINDOWS\SVCHOST.COM
Имя файла SVCHOST.COM
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске

www.virustotal.com 2012-11-09 [2006-09-18 07:26:15 UTC ( 6 years, 1 month ago )]
- Файл был чист на момент проверки.

Удовлетворяет критериям
_NESHTA ( ~ SVCHOST.COM "%1" %*)(1)

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер 0 байт
Создан 15.09.2012 в 21:39:27
Изменен 05.11.2012 в 14:14:02
Цифр. подпись Отсутствует либо ее не удалось проверить

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Автозапуск Неизвестный файл использует ключ реестра часто используемый вирусами

Доп. информация на момент обновления списка
SHA1 DA39A3EE5E6B4B0D3255BFEF95601890AFD80709
MD5 D41D8CD98F00B204E9800998ECF8427E

Ссылки на объект
Ссылка HKLM\Software\Classes\exefile\shell\open\command\
NULL C:\WINDOWS\svchost.com "%1" %*

скрипт лечения проблемы будет ниже.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Ошибка подключения к серверу, Локальное зеркало

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.11.2012 18:56:05

ага, значит ERA все таки установлен.

Цитата
era.exe 1948 TCP shprot-serv 2222 shprot-serv 0 LISTENING era.exe 1948 TCP shprot-serv 2223 shprot-serv 0 LISTENING era.exe 1948 TCP shprot-serv 2224 shprot-serv 0 LISTENING

как зеркало раздается? через локальную папку или через встроенный http-сервер?

Цитата
TCP 2221 ( ERAS listening) Default port used by the Mirror feature integrated in ERAS ( HTTP version)

Изменено: santy - 09.11.2012 18:56:26

[ Как создать образ автозапуска? ]

Перейти

Ошибка "Не являются приложением Win32"

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.11.2012 18:43:37

пробуйте сделать образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

если start.exe не запустится, переименуйте в start.pif или start.cmd

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Ошибка создания временного файла!

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.11.2012 12:38:17

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE addsgn 79132211B982F18DF42BF358AA32EDFAE946687089FA1F7885C3C5BC50D6BFCB2317CBD33E5511CF2B80849F461649FA7DDF18F555DAB0A82D77A42FC7062273 8 newdriver.1109 zoo %SystemRoot%\NNNUT.SYS delref HTTP://QIP.RU delref HTTP://SEARCH.QIP.RU deltmp delnfr czoo sreg delref %SystemRoot%\NNNUT.SYS areg

Код

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
addsgn 79132211B982F18DF42BF358AA32EDFAE946687089FA1F7885C3C5BC50D6BFCB2317CBD33E5511CF2B80849F461649FA7DDF18F555DAB0A82D77A42FC7062273 8 newdriver.1109
zoo %SystemRoot%\NNNUT.SYS
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
deltmp
delnfr
czoo
sreg
delref %SystemRoot%\NNNUT.SYS
areg

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS, созданный после скрипта (например: ZOO_2011-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] GuardMailRu.exe(2608) - модифицированный Win32/Spy.Shiz.NCE троянская программа (помогите решить проблему)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.11.2012 10:05:57

выполните рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Перейти

Не открываются файлы! Не являются приложением Win32

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.11.2012 10:03:49

файловое заражение neshta в системе,
--------
пролечите систему с помощью ESET rescue
http://forum.esetnod32.ru/forum9/topic1966/
затем сделайте новый образ автозапуска

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Ошибка подключения к серверу, Локальное зеркало

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.11.2012 20:26:03

лог tcpview сделайте и добавьте сюда.

[ Как создать образ автозапуска? ]

Перейти