santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] Заблокирован доступ к рабочему столу Windows

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 31.08.2012 15:22:54

а точнее можете написать: система загружена в безопасном режиме [safe mode] или с помощью Live.CD?

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Угроза win32/qhost, Троянская программа

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 31.08.2012 15:21:13

создайте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Обнаружил вирус win32/spy.shiz.nce

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 31.08.2012 15:19:16

удалите найденное в мбам,
перегрузите систему,
и еще раз выполните быстрый скан в малваребайт

[ Как создать образ автозапуска? ]

Перейти

Оперативная память - вероятно модифицированный Win32/TrojanClicker.Agent.NII троянская программа - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 31.08.2012 13:19:23

отсюда загрузите
http://rghost.ru/users/santy/releases/utilitiesLiveCd/files/39172341

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] компьютер подвисает

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 31.08.2012 13:04:17

возможно, Касперский притормаживает

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.76 BETA1 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 deltmp delnfr restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Оперативная память = explorer.exe(1532)/explorer.exe(1564)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 31.08.2012 10:26:27

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.76 BETA1 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %SystemRoot%\APPPATCH\VEWLTG.EXE addsgn 0DE94EE0156A8B77667DEEB175ED1205DA878B45C9FAF73C713C3A7B5550DB0C2317C3573E92985283C0849F4616493D78BE6A3255DAB02C2DB0A180B4462273 8 Shiz.0831 delall %SystemRoot%\APPPATCH\VEWLTG.EXE chklst delvir deltmp delnfr czoo regt 12 restart

Код

;uVS v3.76 BETA1 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
zoo %SystemRoot%\APPPATCH\VEWLTG.EXE
addsgn 0DE94EE0156A8B77667DEEB175ED1205DA878B45C9FAF73C713C3A7B5550DB0C2317C3573E92985283C0849F4616493D78BE6A3255DAB02C2DB0A180B4462273 8 Shiz.0831
delall %SystemRoot%\APPPATCH\VEWLTG.EXE
chklst
delvir
deltmp
delnfr
czoo
regt 12
restart

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Вирус Win32/Spy.Shiz.NCF в оперативной памяти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 31.08.2012 09:55:00

удалите в мбам все найденное кроме

Цитата
Объекты реестра обнаружены: 3 HKLM\SOFTWARE\Microsoft\Security Center\|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Security Center\|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Security Center\|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

Цитата

Объекты реестра обнаружены: 3
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

далее,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Вирус Win32/Spy.Shiz.NCF в оперативной памяти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 31.08.2012 08:39:10

Код
;uVS v3.76 BETA1 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\0.05946775704801477.EXE addsgn 0DE94EE0156A8B77667DEEB175ED1205DA878B45C9FAF73C713C3A7B5550DB0C2317C3573E92985283C0849F4616493D78BE6A3255DAB02C2DB0A180B4462273 8 Shiz.0831 zoo %SystemRoot%\APPPATCH\UEOANQ.EXE delall %SystemRoot%\APPPATCH\UEOANQ.EXE chklst delvir deltmp delnfr regt 12 czoo restart

Код

;uVS v3.76 BETA1 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\0.05946775704801477.EXE
addsgn 0DE94EE0156A8B77667DEEB175ED1205DA878B45C9FAF73C713C3A7B5550DB0C2317C3573E92985283C0849F4616493D78BE6A3255DAB02C2DB0A180B4462273 8 Shiz.0831
zoo %SystemRoot%\APPPATCH\UEOANQ.EXE
delall %SystemRoot%\APPPATCH\UEOANQ.EXE
chklst
delvir
deltmp
delnfr
regt 12
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS, созданный после скрипта (например: ZOO_2011-12-31_23-59-59.rar/7z) отправить в почту sendvirus2011@gmail.com, support@esetnod32.ru
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

----------
три источника, три составные части документации по uVS
1. папка DOC внутри каталога uVS
2. форум поддержки uVS
http://www.anti-malware.ru/forum/index.php?showforum=63
3. как начать практически использовать uVS
http://chklst.ru/forum/discussion/38/kak-nachat-prakticheski-ispolzovat-universal-virus-sniffer

еще вопрос:
прокси сами прописывали?

Цитата
Полное имя 192.168.45.254:3128 Имя файла 192.168.45.254:3128 Тек. статус в автозапуске Сохраненная информация на момент создания образа Статус в автозапуске Ссылки на объект Ссылка HKLM\enxqymjst\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer ProxyServer 192.168.45.254:3128 Ссылка HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer ProxyServer 192.168.45.254:3128 Ссылка HKEY_USERS\S-1-5-21-440558279-2628186848-4181720909-1106\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer ProxyServer 192.168.45.254:3128 Ссылка HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer ProxyServer 192.168.45.254:3128

Цитата

Полное имя 192.168.45.254:3128
Имя файла 192.168.45.254:3128
Тек. статус в автозапуске

Сохраненная информация на момент создания образа
Статус в автозапуске

Ссылки на объект
Ссылка HKLM\enxqymjst\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer
ProxyServer 192.168.45.254:3128

Ссылка HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer
ProxyServer 192.168.45.254:3128

Ссылка HKEY_USERS\S-1-5-21-440558279-2628186848-4181720909-1106\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer
ProxyServer 192.168.45.254:3128

Ссылка HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer
ProxyServer 192.168.45.254:3128

[ Как создать образ автозапуска? ]

Перейти

Оперативная память = svchost.exe(2624) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 31.08.2012 07:22:26

выполните рекомендуемое сканирование в малваребайт

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 31.08.2012 06:29:32

Код
;uVS v3.76 BETA1 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 addsgn 4970259A553FC79E8838B676213C26E420343BB371C9FE7D3B3CD0A8D094712656E8D65BBE179DCCEB8F0B8046164992FDDFE872AACFB4AC6F772D6A33F93773 8 Carberp.0831 zoo %SystemDrive%\USERS\PUNK\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\N1V9CZ5QXJM.EXE bl 5023FDC0C59E18413DF8B545EDC7065E 189440 delall %SystemDrive%\USERS\PUNK\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\N1V9CZ5QXJM.EXE chklst delvir delref COPY delref HTTP://BROWSERHELP.RU deltmp delnfr regt 14 czoo restart

Код

;uVS v3.76 BETA1 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
addsgn 4970259A553FC79E8838B676213C26E420343BB371C9FE7D3B3CD0A8D094712656E8D65BBE179DCCEB8F0B8046164992FDDFE872AACFB4AC6F772D6A33F93773 8 Carberp.0831
zoo %SystemDrive%\USERS\PUNK\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\N1V9CZ5QXJM.EXE
bl 5023FDC0C59E18413DF8B545EDC7065E 189440
delall %SystemDrive%\USERS\PUNK\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\N1V9CZ5QXJM.EXE
chklst
delvir
delref COPY
delref HTTP://BROWSERHELP.RU
deltmp
delnfr
regt 14
czoo
restart

[ Как создать образ автозапуска? ]

Перейти