santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] Win32/Spy.Shiz.NCE троянская программа, taskhost.exe - модифицированный Win32/SpyVoltar, Два вируса в оперативной памяти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 15.09.2012 19:23:10

ок, выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/
тема закрыта.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Win32/LockScreen.Agu, чистка после удаления баннера

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 15.09.2012 18:36:00

этот файл проверьте на http://virustotal.com

Цитата
Полное имя C:\PROGRAM FILES\\REALPLAY.EXE Имя файла REALPLAY.EXE Тек. статус ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную] Сохраненная информация на момент создания образа Статус ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную] Инф. о файле Синтаксическая ошибка в имени файла, имени папки или метке тома. Цифр. подпись проверка не производилась Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Доступ Отсутствует доступ к предположительно исполняемому файлу

Цитата

Полное имя C:\PROGRAM FILES\\REALPLAY.EXE
Имя файла REALPLAY.EXE
Тек. статус ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
Инф. о файле Синтаксическая ошибка в имени файла, имени папки или метке тома.
Цифр. подпись проверка не производилась

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Доступ Отсутствует доступ к предположительно исполняемому файлу

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Win32/Spy.Shiz.NCE троянская программа, taskhost.exe - модифицированный Win32/SpyVoltar, Два вируса в оперативной памяти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 15.09.2012 18:32:36

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.76 BETA6 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 ;OFFSGNSAVE addsgn 1A515F9A55835B8CF42BFB3A8849FE2D268AFC55291A5E780CCE595C11D6F859BBF78257B74809A96A800DAAD6F608FAF4E2649214DAD6A038CF446EC760AE7E 8 Voltar.0915 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ВИКТОРИЯ\APPLICATION DATA\TASKHOST.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ВИКТОРИЯ\APPLICATION DATA\TASKHOST.EXE addsgn 1A738365AAEB49416794AE5F3ED6128420B984B6892EE8648540C09CC3967177A01253CC7E558E8E2EDBFEDF461649FA7D18EDF3D79AB02C2D77A41C2ABC1B21 8 Shiz.0915 zoo %SystemRoot%\APPPATCH\LFPBWD.EXE delall %SystemRoot%\APPPATCH\LFPBWD.EXE delall D:\AUTORUN.INF chklst delvir delref HTTP://BROWSERHELP2.RU delref HTTP://QIP.RU delref HTTP://SEARCH.QIP.RU deltmp delnfr czoo regt 5 restart

Код

;uVS v3.76 BETA6 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
;OFFSGNSAVE
addsgn 1A515F9A55835B8CF42BFB3A8849FE2D268AFC55291A5E780CCE595C11D6F859BBF78257B74809A96A800DAAD6F608FAF4E2649214DAD6A038CF446EC760AE7E 8 Voltar.0915
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ВИКТОРИЯ\APPLICATION DATA\TASKHOST.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ВИКТОРИЯ\APPLICATION DATA\TASKHOST.EXE
addsgn 1A738365AAEB49416794AE5F3ED6128420B984B6892EE8648540C09CC3967177A01253CC7E558E8E2EDBFEDF461649FA7D18EDF3D79AB02C2D77A41C2ABC1B21 8 Shiz.0915
zoo %SystemRoot%\APPPATCH\LFPBWD.EXE
delall %SystemRoot%\APPPATCH\LFPBWD.EXE
delall D:\AUTORUN.INF
chklst
delvir
delref HTTP://BROWSERHELP2.RU
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
deltmp
delnfr
czoo
regt 5
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] При загрузке Windows появляется черное окно С:Windows32/какие-то непонятные буквы.exe с командной строкой., Если правильно понимаю, то это Троян. Помогите очистить компьютер!

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 15.09.2012 17:56:38

удалитн найденное в мбам,
далее,
выполните наши рекомендаци
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 15.09.2012 17:53:45

а что здесь смотреть?

вот условие Corkow

вот результат проверки образа с заражением Corkow

при том, что первое условие выполняется, а второе нет.
значит в целом сложное условие не выполнено.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Win32/LockScreen.Agu, чистка после удаления баннера

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 15.09.2012 17:27:51

Код
;uVS v3.76 BETA6 script [http://dsrt.dyndns.org] ;Target OS: NTv6.0 ;OFFSGNSAVE delall %SystemDrive%\USERS\АМЕЛИЯ\0.5614015493815535.EXE deltmp delnfr restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 15.09.2012 17:14:09

Код
;uVS v3.76 BETA6 script [http://dsrt.dyndns.org] ;Target OS: NTv6.0 ;OFFSGNSAVE delref HTTP://QIP.RU delref HTTP://SEARCH.QIP.RU delref HTTP://STARTRU.NET/?UTM_MEDIUM=IH&UTM_SOURCE=SK&UTM_CAMPAIGN=BP&UTM_CONTENT=11-06 delall %SystemDrive%\USERS\Z\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE deltmp delnfr delref HTTP://STARTRU.NET/?UTM_MEDIUM=FH&UTM_SOURCE=SK&UTM_CAMPAIGN=BP&UTM_CONTENT=11-06 exec MSIEXEC.EXE /X{86D4B82A-ABED-442A-BE86-96357B70F4FE} exec "C:\PROGRAM FILES\VKSAVER\UNINSTALL.EXE" restart

Код

;uVS v3.76 BETA6 script [http://dsrt.dyndns.org]
;Target OS: NTv6.0
;OFFSGNSAVE
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
delref HTTP://STARTRU.NET/?UTM_MEDIUM=IH&UTM_SOURCE=SK&UTM_CAMPAIGN=BP&UTM_CONTENT=11-06
delall %SystemDrive%\USERS\Z\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
deltmp
delnfr
delref HTTP://STARTRU.NET/?UTM_MEDIUM=FH&UTM_SOURCE=SK&UTM_CAMPAIGN=BP&UTM_CONTENT=11-06
exec MSIEXEC.EXE /X{86D4B82A-ABED-442A-BE86-96357B70F4FE}
exec "C:\PROGRAM FILES\VKSAVER\UNINSTALL.EXE"
restart

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 15.09.2012 16:54:18

Цитата
RP55 RP55 пишет: Ответил.

не знаю, кому ты ответил.
на мой вопрос из сообщения 142 ты не ответил.

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 15.09.2012 16:50:00

1. сделайте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

2. сделайте образ автозапуска из безопасного режима системы [safe mode]

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 15.09.2012 16:43:20

проверь еще раз мысль. с учетом комментария.

[ Как создать образ автозапуска? ]

Перейти