santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] модифицированный Win32/Spy.SpyEye.CA троянская программа — очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 31.08.2012 05:39:12

1. добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

2. добавьте образ автозапуска, полученный из безопасного режима системы [safe mode]

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Обнаружил вирус win32/spy.shiz.nce

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 31.08.2012 05:35:50

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.76 BETA1 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 delall %SystemDrive%\USERS\KOT\APPDATA\LOCAL\TEMP\0.6739373934206679.EXE delref %SystemDrive%\USERS\KOT\APPDATA\LOCAL\TEMP\0.7268568191366808.EXE delall %SystemDrive%\USERS\KOT\APPDATA\LOCAL\TEMP\0.7268568191366808.EXE delall %SystemDrive%\USERS\KOT\APPDATA\LOCAL\TEMP\0.8653937224785858.EXE delall %SystemDrive%\USERS\KOT\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL delref HTTP://BROWSERHELP.RU delref HTTP://QIP.RU delref HTTP://SEARCH.QIP.RU REGT 12 deltmp delnfr restart

Код

;uVS v3.76 BETA1 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
delall %SystemDrive%\USERS\KOT\APPDATA\LOCAL\TEMP\0.6739373934206679.EXE
delref %SystemDrive%\USERS\KOT\APPDATA\LOCAL\TEMP\0.7268568191366808.EXE
delall %SystemDrive%\USERS\KOT\APPDATA\LOCAL\TEMP\0.7268568191366808.EXE
delall %SystemDrive%\USERS\KOT\APPDATA\LOCAL\TEMP\0.8653937224785858.EXE
delall %SystemDrive%\USERS\KOT\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL
delref HTTP://BROWSERHELP.RU
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
REGT 12
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

Изменено: santy - 31.08.2012 05:36:51

[ Как создать образ автозапуска? ]

Перейти

помогите устранить Оперативная память = explorer.exe(2012) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 30.08.2012 20:45:44

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.76 BETA1 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 addsgn 480A589A553FC79E8838B676213C20E420343BB371C9FE7D3B3CD0A82094712656E8D6574E179DCCEB8F0B8046164992FDDFE872AACFB45C6F772D6A33F9377F 8 Carberp.0830 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\VHD3KZ51PM8.EXE bl 8AADDC62566844B6804F373F30E7E1B4 188928 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\VHD3KZ51PM8.EXE chklst delvir delref COPY delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER3.DLL deltmp delnfr delhst 91.235.2.111 vk.com odnoklassniki.ru www.vk.com www.odnoklassniki.ru wap.odnoklassniki.ru m.vk.com m.odnoklassniki.ru delhst 127.0.0.1 ok-anonimaizer.ru netdostupa.com adminimus.ru vhodilka.ru delhst 127.0.0.1 spoolls.com jelya.ru antiblock.ru websplatt.ru dardan.ru cameleo.ru obhodilka.ru pinun.ru delhst 127.0.0.1 v.vhodilka.ru o.vhodilka.ru raskruty.ru diazoom.ru razblokirovatdostup.ru anonim.ttu.su delhst 127.0.0.1 anonimix.ru waitplay.ru nezayti.ru webmurk.ru vkanonim.ru dostupest.ru delhst 127.0.0.1 urlbl.ru anonymizer.ru timp.ru workandtalk.ru dostyp.ru neklassniki.ru nemir.ru delhst 127.0.0.1 localhost hellhead.ru anonimvk.ru anonim.do.am webvpn.org unboo.ru xy4-anonymizer.ru nekontakt2.ru czoo restart

Код

;uVS v3.76 BETA1 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
addsgn 480A589A553FC79E8838B676213C20E420343BB371C9FE7D3B3CD0A82094712656E8D6574E179DCCEB8F0B8046164992FDDFE872AACFB45C6F772D6A33F9377F 8 Carberp.0830
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\VHD3KZ51PM8.EXE
bl 8AADDC62566844B6804F373F30E7E1B4 188928
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\VHD3KZ51PM8.EXE
chklst
delvir
delref COPY
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER3.DLL
deltmp
delnfr
delhst 91.235.2.111 vk.com odnoklassniki.ru www.vk.com www.odnoklassniki.ru wap.odnoklassniki.ru m.vk.com m.odnoklassniki.ru
delhst 127.0.0.1 ok-anonimaizer.ru netdostupa.com adminimus.ru vhodilka.ru
delhst 127.0.0.1 spoolls.com jelya.ru antiblock.ru websplatt.ru dardan.ru cameleo.ru obhodilka.ru pinun.ru
delhst 127.0.0.1 v.vhodilka.ru o.vhodilka.ru raskruty.ru diazoom.ru razblokirovatdostup.ru anonim.ttu.su
delhst 127.0.0.1 anonimix.ru waitplay.ru nezayti.ru webmurk.ru vkanonim.ru dostupest.ru
delhst 127.0.0.1 urlbl.ru anonymizer.ru timp.ru workandtalk.ru dostyp.ru neklassniki.ru nemir.ru
delhst 127.0.0.1 localhost hellhead.ru anonimvk.ru anonim.do.am webvpn.org unboo.ru xy4-anonymizer.ru nekontakt2.ru
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Снова здорова, Оперативная память = explorer.exe(768) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 30.08.2012 14:11:20

+ логи выполнения скриптов.

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 30.08.2012 13:56:18

Melihov,
+
добавьте из папки uVS все логи выполнения скриптов.
это текстовые файлы, небольшие по размеру,
формат имени файла - дата_времяlog.txt

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 30.08.2012 13:35:46

рекомендации выполнили не полностью,java не обновлена до актуальной версии 6.34 или 7.06
-------

Код
Полное имя C:\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\W59SPQMUTN4.EXE Имя файла W59SPQMUTN4.EXE Тек. статус ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске Доп. информация на момент обновления списка SHA1 D6A2E8FA076444EFEF3AEA712A7337F6EB561196 MD5 92DBE02AA17D78E1FCB0AD850713ACA4

Код

Полное имя                  C:\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\W59SPQMUTN4.EXE
Имя файла                   W59SPQMUTN4.EXE
Тек. статус                 ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                                                  
Доп. информация             на момент обновления списка
SHA1                        D6A2E8FA076444EFEF3AEA712A7337F6EB561196
MD5                         92DBE02AA17D78E1FCB0AD850713ACA4

Код
Полное имя C:\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\W59SPQMUTN4.EXE Имя файла W59SPQMUTN4.EXE Тек. статус ВИРУС ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную] Доп. информация на момент обновления списка SHA1 4B94106E71F54156EB71FAFE885435C893B86BCA MD5 360C86621F5967CCD73422DFFDACFE89

Код

Полное имя                  C:\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\W59SPQMUTN4.EXE
Имя файла                   W59SPQMUTN4.EXE
Тек. статус                 ВИРУС ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
                                                    
Доп. информация             на момент обновления списка
SHA1                        4B94106E71F54156EB71FAFE885435C893B86BCA
MD5                         360C86621F5967CCD73422DFFDACFE89

Изменено: santy - 30.08.2012 13:41:03

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 30.08.2012 13:34:42

Код
;uVS v3.76 BETA1 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 addsgn 480A589A553FC79E8838B676213C20E420343BB371C9FE7D3B3CD0A82094712656E8D6574E179DCCEB8F0B8046164992FDDFE872AACFB45C6F772D6A33F9377F 8 Carberp.0830 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\W59SPQMUTN4.EXE bl 360C86621F5967CCD73422DFFDACFE89 188928 delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\W59SPQMUTN4.EXE chklst delvir delref COPY delref HTTP://XTEAM.IN/ deltmp delnfr regt 14 restart czoo

Код

;uVS v3.76 BETA1 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
addsgn 480A589A553FC79E8838B676213C20E420343BB371C9FE7D3B3CD0A82094712656E8D6574E179DCCEB8F0B8046164992FDDFE872AACFB45C6F772D6A33F9377F 8 Carberp.0830
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\W59SPQMUTN4.EXE
bl 360C86621F5967CCD73422DFFDACFE89 188928
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\W59SPQMUTN4.EXE
chklst
delvir
delref COPY
delref HTTP://XTEAM.IN/
deltmp
delnfr
regt 14
restart
czoo

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS, созданный после скрипта (например: ZOO_2011-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] нужна помощь, срочно!, обнаружена угроза оперативной памяти, очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 30.08.2012 13:30:14

да, все найденное в мбам надо удалить,
далее,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Win32/AutoRun.Agent.AGF

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 30.08.2012 13:07:12

раз все поудаляли, далее,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] нужна помощь, срочно!, обнаружена угроза оперативной памяти, очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 30.08.2012 12:41:28

Код
;uVS v3.76 BETA1 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %Sys32%\ZANZXLD.DLL delref %Sys32%\ZANZXLD.DLL addsgn 1AB5609A55835A8CF42BFB3A8849FE2D268AFC55B9255E780CCEE96311D6F8590BC88257B748B9966A800DAA66C908FAF4E2F4AD14DAD6A0383F7B6EC760AE7E 8 Voltar.0830 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\TASKHOST.EXE chklst delvir delref HTTP://BROWSERHELP2.RU deltmp delnfr czoo restart

Код

;uVS v3.76 BETA1 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
zoo %Sys32%\ZANZXLD.DLL
delref %Sys32%\ZANZXLD.DLL
addsgn 1AB5609A55835A8CF42BFB3A8849FE2D268AFC55B9255E780CCEE96311D6F8590BC88257B748B9966A800DAA66C908FAF4E2F4AD14DAD6A0383F7B6EC760AE7E 8 Voltar.0830
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\TASKHOST.EXE
chklst
delvir
delref HTTP://BROWSERHELP2.RU
deltmp
delnfr
czoo
restart

Изменено: santy - 30.08.2012 12:42:46

[ Как создать образ автозапуска? ]

Перейти