santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] Не знаю что за вирус

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 25.10.2012 21:18:51

тогда папку ZOO (если не пустая) заархивируйте с паролем infected и вышлите в почту

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Не знаю что за вирус

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 25.10.2012 21:17:51

если лог мбам будет чистый,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Не знаю что за вирус

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 25.10.2012 21:08:23

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE addsgn A7679B19B9728B37E74A484A0C0F57F1B86C079E76EF1FF8C5C348F9B85F34BCAE42C7BFA1BB62B688B837DF46B771493DDF633251799C9F6D770517744622F8 8 dork.1027 zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\1C40.EXE zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\49B8.EXE zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\5002.EXE zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\6410.EXE zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\6843.EXE zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\7020.EXE zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\7628.EXE zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\7E25.EXE zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\8804.EXE zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\8C77.EXE zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\99FE.EXE zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\B8F7.EXE zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\C5B6.EXE zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\CB1D.EXE zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\CE46.EXE zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\E4A4.EXE zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\E6A6.EXE zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\F1B2.EXE zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\F49B.EXE zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\FC59.EXE adddir %SystemDrive%\USERS\USER\APPDATA\ROAMING chklst delvir deltmp delnfr CZOO restart

Код

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
addsgn A7679B19B9728B37E74A484A0C0F57F1B86C079E76EF1FF8C5C348F9B85F34BCAE42C7BFA1BB62B688B837DF46B771493DDF633251799C9F6D770517744622F8 8 dork.1027

zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\1C40.EXE
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\49B8.EXE
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\5002.EXE
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\6410.EXE
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\6843.EXE
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\7020.EXE
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\7628.EXE
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\7E25.EXE
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\8804.EXE
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\8C77.EXE
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\99FE.EXE
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\B8F7.EXE
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\C5B6.EXE
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\CB1D.EXE
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\CE46.EXE
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\E4A4.EXE
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\E6A6.EXE
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\F1B2.EXE
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\F49B.EXE
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\FC59.EXE
adddir %SystemDrive%\USERS\USER\APPDATA\ROAMING
chklst
delvir
deltmp
delnfr
CZOO
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

Изменено: santy - 25.10.2012 21:09:13

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Dorkbot.B помогите избавиться

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 25.10.2012 21:02:28

выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Не знаю что за вирус

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 25.10.2012 21:01:07

выполните в uVS скрипт из сообщения 26. все будет понятно походу. там образ автоматически создастся и запишется в папку с uVS

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Не знаю что за вирус

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 25.10.2012 20:44:42

Цитата
Psi21 пишет: microsoft антивирус сказал всё норм, а MBAW ругается

Цитата
Полное имя C:\PROGRAMDATA\WXDFAST\BHOCLASS.DLL Имя файла BHOCLASS.DLL Тек. статус ?ВИРУС? в автозапуске www.virustotal.com 2012-10-21 [2012-04-05 19:06:28 UTC ( 6 months, 3 weeks ago )] Avast Win32:MultiPlug-K [PUP] DrWeb Adware.Bho.3850 Сохраненная информация на момент создания образа Статус в автозапуске Размер 140800 байт Создан 19.07.2012 в 16:09:49 Изменен 19.07.2012 в 16:09:07 Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Отсутствует либо ее не удалось проверить

Цитата

Полное имя C:\PROGRAMDATA\WXDFAST\BHOCLASS.DLL
Имя файла BHOCLASS.DLL
Тек. статус ?ВИРУС? в автозапуске

www.virustotal.com 2012-10-21 [2012-04-05 19:06:28 UTC ( 6 months, 3 weeks ago )]
Avast Win32:MultiPlug-K [PUP]
DrWeb Adware.Bho.3850

Сохраненная информация на момент создания образа
Статус в автозапуске
Размер 140800 байт
Создан 19.07.2012 в 16:09:49
Изменен 19.07.2012 в 16:09:07
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

выполните сейчас данный выше скрипт для контроля.

Изменено: santy - 25.10.2012 20:45:50

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Не знаю что за вирус

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 25.10.2012 20:39:27

после скрипта Арвида, выполните еще такое:
----------
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE delall %SystemDrive%\PROGRAMDATA\WXDFAST\BHOCLASS.DLL adddir %SystemDrive%\USERS\USER\APPDATA\ROAMING crimg

без перезагрузки, добавьте образ автозапуска, который будет создан автоматически
------------

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Не знаю что за вирус

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 25.10.2012 20:32:53

этот файл еще проверьте, хотя к Dorkbot вряд ли имеет отношение. Adware.

Цитата
C:\PROGRAMDATA\WXDFAST\BHOCLASS.DLL

Изменено: santy - 25.10.2012 20:33:15

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Win32/MBRlock.C троянская программа

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 25.10.2012 20:02:59

Код
;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE delref HTTP://QIP.RU delref HTTP://WEBALTA.RU/SEARCH delref HTTP://WWW.SMAXI.NET deltmp delnfr restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Обнаружена уязвимость скрытого канала в ICMP-пакете, антивирус постоянно выдает сообщение

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 25.10.2012 19:52:41

сделайте новый образ автзапуска,

[ Как создать образ автозапуска? ]

Перейти