santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

Win32/Spy.SpyEye.CA помогите удалить

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.08.2012 13:34:31

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.76 BETA1 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 zoo %SystemDrive%\SYSTEMHOST\24FC2AE32E8.EXE addsgn 1A5E559A5583E88CF42B254E3143FE53DABFB44FC9FA944DA55385BCAF00F48C5736621387159DCAD37FF08816E97CB2C49FE88D832560A9ED03ACA447FE2373 8 SpyEye.0820 delall %SystemDrive%\SYSTEMHOST\24FC2AE32E8.EXE chklst delvir delall %SystemDrive%\PROGRAMDATA\ICQ\ICQNEWTAB\NEWTAB.HTML deltmp delnfr czoo restart

Код

;uVS v3.76 BETA1 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
zoo %SystemDrive%\SYSTEMHOST\24FC2AE32E8.EXE
addsgn 1A5E559A5583E88CF42B254E3143FE53DABFB44FC9FA944DA55385BCAF00F48C5736621387159DCAD37FF08816E97CB2C49FE88D832560A9ED03ACA447FE2373 8 SpyEye.0820
delall %SystemDrive%\SYSTEMHOST\24FC2AE32E8.EXE
chklst
delvir
delall %SystemDrive%\PROGRAMDATA\ICQ\ICQNEWTAB\NEWTAB.HTML
deltmp
delnfr
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS, созданный после скрипта (например: ZOO_2011-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

Win32/Spy.SpyEye.CA помогите удалить

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.08.2012 12:00:53

1. выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.76 BETA1 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 delall %SystemDrive%\USERS\GLEG\0.1403257942738435.EXE delall %SystemDrive%\USERS\GLEG\0.2747023769734551.EXE deltmp delnfr regt 12 restart

Код

;uVS v3.76 BETA1 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
delall %SystemDrive%\USERS\GLEG\0.1403257942738435.EXE
delall %SystemDrive%\USERS\GLEG\0.2747023769734551.EXE
deltmp
delnfr
regt 12
restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
--------
2. сделайте образ в безопасном режиме

3. сделайте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

[ Как создать образ автозапуска? ]

Перейти

Universal Virus Sniffer (uVS)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.08.2012 10:21:51

тестируем 3.76b1
http://www.anti-malware.ru/forum/index.php?showtopic=19126&view=findpost&p=159732

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] траянская программа в taskhost.exe, Eset Nod32 Antivirus 4 обнаружил SpyVoltar на компьютере, а удалить не может

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.08.2012 14:22:16

малваребайт скачайте отсюда
http://rghost.ru/users/santy/releases/utilitiesLiveCd

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] атака win32/Qhost - лог программой MBAM для анализа

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.08.2012 06:24:06

сделайте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] траянская программа в taskhost.exe, Eset Nod32 Antivirus 4 обнаружил SpyVoltar на компьютере, а удалить не может

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.08.2012 06:22:36

Код
;uVS v3.75 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 addsgn A7679BCC06E1397E8089A6E6EFB50280D3FFF575B49ECA78E9C32E9AD328733826943D564B773C95F180E81A866240AD2B8C17A2D01AC4207A21F7C720F8DD8C 64 majachok.0820 zoo %Sys32%\KNOHZJF.DLL delref %Sys32%\KNOHZJF.DLL delall %SystemDrive%\PROGRAMDATA\ICQ\ICQNEWTAB\NEWTAB.HTML deltmp delnfr delall %SystemDrive%\PROGRAM FILES\ANTIRUN\ANTIRUN.EXE delhst 217.73.57.92 stg.odnoklassniki.ru delhst 217.73.57.92 st9.userapi.com delhst 217.73.57.92 st8.userapi.com delhst 217.73.57.92 st7.userapi.com delhst 217.73.57.92 st6.userapi.com delhst 217.73.57.92 st5.userapi.com delhst 217.73.57.92 st4.userapi.com delhst 217.73.57.92 st3.userapi.com delhst 217.73.57.92 st2.userapi.com delhst 217.73.57.92 st1.userapi.com delhst 217.73.57.92 st0.userapi.com delhst 217.73.57.92 userapi.com exec "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL exec C:\PROGRAM FILES\MAIL.RU\SPUTNIK\MAILRUSPUTNIK.EXE UNINSTALL exec "C:\PROGRAM FILES\MCAFEE SECURITY SCAN\UNINSTALL.EXE" czoo restart

Код

;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
addsgn A7679BCC06E1397E8089A6E6EFB50280D3FFF575B49ECA78E9C32E9AD328733826943D564B773C95F180E81A866240AD2B8C17A2D01AC4207A21F7C720F8DD8C 64 majachok.0820
zoo %Sys32%\KNOHZJF.DLL
delref %Sys32%\KNOHZJF.DLL
delall %SystemDrive%\PROGRAMDATA\ICQ\ICQNEWTAB\NEWTAB.HTML
deltmp
delnfr
delall %SystemDrive%\PROGRAM FILES\ANTIRUN\ANTIRUN.EXE
delhst 217.73.57.92 stg.odnoklassniki.ru
delhst 217.73.57.92 st9.userapi.com
delhst 217.73.57.92 st8.userapi.com
delhst 217.73.57.92 st7.userapi.com
delhst 217.73.57.92 st6.userapi.com
delhst 217.73.57.92 st5.userapi.com
delhst 217.73.57.92 st4.userapi.com
delhst 217.73.57.92 st3.userapi.com
delhst 217.73.57.92 st2.userapi.com
delhst 217.73.57.92 st1.userapi.com
delhst 217.73.57.92 st0.userapi.com
delhst 217.73.57.92 userapi.com
exec "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL
exec C:\PROGRAM FILES\MAIL.RU\SPUTNIK\MAILRUSPUTNIK.EXE UNINSTALL
exec "C:\PROGRAM FILES\MCAFEE SECURITY SCAN\UNINSTALL.EXE"
czoo
restart

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Не открываются браузеры

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 18.08.2012 17:21:48

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.75 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %Sys32%\ERWKAEE.DLL addsgn A7679BCC063DC72F035FDBBDEFB50280D3FFF575B49EDA78E9C32E9AD328733826943D564B773C95E180E81A866240AD2B8C17A2D01AC4207A21F7C720F8DD8C 64 majachok.0806 delall %SystemDrive%\DOCUMENTS AND SETTINGS\1\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER3.DLL delref %Sys32%\ERWKAEE.DLL delref HTTP://WEBALTA.RU/SEARCH deltmp delnfr delref HTTP://HOME.WEBALTA.RU czoo restart

Код

;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
zoo %Sys32%\ERWKAEE.DLL
addsgn A7679BCC063DC72F035FDBBDEFB50280D3FFF575B49EDA78E9C32E9AD328733826943D564B773C95E180E81A866240AD2B8C17A2D01AC4207A21F7C720F8DD8C 64 majachok.0806
delall %SystemDrive%\DOCUMENTS AND SETTINGS\1\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER3.DLL
delref %Sys32%\ERWKAEE.DLL
delref HTTP://WEBALTA.RU/SEARCH
deltmp
delnfr
delref HTTP://HOME.WEBALTA.RU
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

Заблокирован доступ к рабочему столу Windows, WinLock

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 17.08.2012 12:21:41

Цитата
drerek пишет: К сожелению я не могу к нему подьехать и все сделать так как он живет в другом городе и это обычный юзер который пользуется инетом и вордом!

дайте ему ссылку на наш форум, пусть общается напрямую, так быстрее будет вылечить.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Очередная выходка Карберпа

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 17.08.2012 11:16:57

что значит очередная?
образ из предыдущей темы, в котрой вам было предложено выполнить рекомендации
http://forum.esetnod32.ru/forum6/topic6652/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Win32/Qhost троянская программа.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 16.08.2012 15:45:41

выполните рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Перейти