santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] Троянская программа в оперативной памяти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.10.2012 19:05:15

обновите uVS до версии 3.76

Цитата
uVS v3.75: Microsoft Windows XP x86 (NT v5.1) build 2600 Service Pack 3 [C:\WINDOWS]

можно по моей ссылке "полезные инструменты"

и еще раз выполните скрипт из сообщения 2
-----------
если заглючит rghost.ru, тогда можно отсюда скачать
http://dsrt.dyndns.org/files/uvs_v376.zip

Изменено: santy - 07.10.2012 19:08:27

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Троянская программа в оперативной памяти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.10.2012 18:39:43

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE addsgn 1A156B9A5583348CF42B254E3143FE84C9A2FFF68959B7D5C5C34CB1F47B314CAA0263FA7E551454B72DC49FCF23D1573DDF614FC177F02C4BFBB1EF6A462215 8 Voltar.1007 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ВИКТОРИЯ\APPLICATION DATA\MICROSOFT\TASKHOST.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ВИКТОРИЯ\APPLICATION DATA\MICROSOFT\TASKHOST.EXE chklst delvir deltmp delnfr REGT 14 czoo restart

Код

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
addsgn 1A156B9A5583348CF42B254E3143FE84C9A2FFF68959B7D5C5C34CB1F47B314CAA0263FA7E551454B72DC49FCF23D1573DDF614FC177F02C4BFBB1EF6A462215 8 Voltar.1007
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ВИКТОРИЯ\APPLICATION DATA\MICROSOFT\TASKHOST.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ВИКТОРИЯ\APPLICATION DATA\MICROSOFT\TASKHOST.EXE
chklst
delvir
deltmp
delnfr
REGT 14
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

Изменено: santy - 07.10.2012 19:06:12

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Помогите удалить - модифицированный Win32/Spy.Shiz.NCE

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.10.2012 18:27:17

удалите найденное в мбам, кроме

Цитата
Объекты реестра обнаружены: 3 HKLM\SOFTWARE\Microsoft\Security Center\|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Security Center\|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Security Center\|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

Цитата

Объекты реестра обнаружены: 3
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

далее,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Перейти

червь

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.10.2012 18:25:50

по "той темке" ничего не дано делать,
1. выполните скрипт.
2. все что попадет в архив - отправьте в обе почты,
3. выполните рекомендуемое сканирование в малваребайт.

[ Как создать образ автозапуска? ]

Перейти

червь

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.10.2012 17:58:57

Код
;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE zoo %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\9994.EXE addsgn 19FC11F86F296759439BE1FAF4210E94658A5DF918BA1FB965C166AFC196711E49172B0648559DC2FB68AA8E46161312B9DBE872BDFDA12C2D1DA4C7431B2273 16 Carberp.0905 adddir %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING delall %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\KCZOZY.EXE chklst delvir deltmp delnfr czoo regt 5 restart

Код

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\9994.EXE
addsgn 19FC11F86F296759439BE1FAF4210E94658A5DF918BA1FB965C166AFC196711E49172B0648559DC2FB68AA8E46161312B9DBE872BDFDA12C2D1DA4C7431B2273 16 Carberp.0905
adddir %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING
delall %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\KCZOZY.EXE
chklst
delvir
deltmp
delnfr
czoo
regt 5
restart

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Самопроизвольно создаются папки

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.10.2012 16:55:13

хорошо, выполните рекомендации
http://forum.esetnod32.ru/forum9/topic3998/
тему закрываю.

[ Как создать образ автозапуска? ]

Перейти

помогите избавиться от win32/dorkbot.B

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.10.2012 16:53:09

выполните рекомендуемое сканирование в малваребайт

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Самопроизвольно создаются папки

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.10.2012 16:50:22

сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

модифицированный win32/dorkbot.B, модифицированный win32/dorkbot.B

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.10.2012 16:26:18

Код
;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE adddir %SystemDrive%\USERS\ДМИТРИЙ\APPDATA\ROAMING delall %SystemDrive%\USERS\ДМИТРИЙ\APPDATA\ROAMING\YZDSDQ.EXE crimg

Код

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
adddir %SystemDrive%\USERS\ДМИТРИЙ\APPDATA\ROAMING
delall %SystemDrive%\USERS\ДМИТРИЙ\APPDATA\ROAMING\YZDSDQ.EXE
crimg

без перезагрузки, добавьте новый образ автозапуска, который будет создан автоматически
------------

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Самопроизвольно создаются папки

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.10.2012 16:19:58

1.
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE exec C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE /UNINSTALL exec C:\PROGRAM FILES\MAIL.RU\SPUTNIK\MAILRUSPUTNIK.EXE UNINSTALL deltmp delnfr restart

Код

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
exec C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE /UNINSTALL
exec C:\PROGRAM FILES\MAIL.RU\SPUTNIK\MAILRUSPUTNIK.EXE UNINSTALL
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
Скачайте, распакуйте и запустите TDSSKiller:
http://support.kaspersky.ru/faq/?qid=208636926
Если программа найдет файл WINDOWS\system32\Drivers\sptd.sys, то не удаляйте его.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.

Изменено: santy - 07.10.2012 16:20:24

[ Как создать образ автозапуска? ]

Перейти