santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

spy.spyeye.ca

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 16.08.2012 15:44:23

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.75 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 addsgn A7679BF0AA028C224BD4C6C57A881261848AFCF689AA7BF1A0C3C5BC50559D5C704194DE5BBD625C03D0C49F75C4C32EF4CAB00315DA3BE4AC965B2FC706AB7E 8 SpyEye.0816 zoo %SystemDrive%\SYSTEMHOST\24FC2AE37D8.EXE delall %SystemDrive%\SYSTEMHOST\24FC2AE37D8.EXE chklst delvir deltmp delnfr deltmp delnfr restart czoo

Код

;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
addsgn A7679BF0AA028C224BD4C6C57A881261848AFCF689AA7BF1A0C3C5BC50559D5C704194DE5BBD625C03D0C49F75C4C32EF4CAB00315DA3BE4AC965B2FC706AB7E 8 SpyEye.0816
zoo %SystemDrive%\SYSTEMHOST\24FC2AE37D8.EXE
delall %SystemDrive%\SYSTEMHOST\24FC2AE37D8.EXE
chklst
delvir
deltmp
delnfr
deltmp
delnfr
restart
czoo

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

Изменено: santy - 16.08.2012 15:45:00

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Помогите снова вирус Spy.SpyEye

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 16.08.2012 15:02:12

файл загрузился в память, но на диске был обнаружен стартап-сканером и был удален, вы сканируете память (в 9-33) и обнаруживаете его в памяти,
-------
поэтому мы и попросили вас перегрузить систему, и еще выполнить скан памяти. если файл был очищен с диска, (что видно было по журналу угроз), то стартовать в память ему уже неоткуда.
------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

Изменено: santy - 16.08.2012 15:03:42

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Win32/Qhost троянская программа.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 16.08.2012 14:19:26

Код
;uVS v3.75 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE delref HTTP://SPEEDBAR.RU regt 14 deltmp delnfr exec MSIEXEC.EXE /X{86D4B82A-ABED-442A-BE86-96357B70F4FE} exec "C:\PROGRAM FILES (X86)\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL restart

Код

;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
delref HTTP://SPEEDBAR.RU
regt 14
deltmp
delnfr
exec MSIEXEC.EXE /X{86D4B82A-ABED-442A-BE86-96357B70F4FE}
exec "C:\PROGRAM FILES (X86)\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL
restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Помогите снова вирус Spy.SpyEye

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 16.08.2012 14:11:35

Serenity, логи нам нужны в том порядке, ы котором мы их запрашиваем.

Цитата
Serenity пишет: Я изначально в первом посте и прикрепил лог оперативки - там вирус есть ( в 9-33 по времени)

да, для ясности и контроля.
то было в 9 -33, а сейчас (уже другое время) необходимо еще раз выполнить сканирование в ESET NOD32 только оперативной памяти.

Изменено: santy - 16.08.2012 14:12:04

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Помогите снова вирус Spy.SpyEye

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 16.08.2012 12:42:36

скорее всего файл уже очищен антивирусом, и оставался только в памяти.

Цитата
16.08.2012 8:26:57 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = taskhost.exe(2696) модифицированный Win32/Spy.SpyEye.CA троянская программа очистка невозможна NWIPBANK\mvv 16.08.2012 8:26:56 Модуль сканирования файлов, исполняемых при запуске системы файл C:\systemhost\24FC2AE373C.exe модифицированный Win32/Injector.VEM троянская программа очищен удалением - изолирован NWIPBANK\mvv

Цитата

16.08.2012 8:26:57 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = taskhost.exe(2696) модифицированный Win32/Spy.SpyEye.CA троянская программа очистка невозможна NWIPBANK\mvv
16.08.2012 8:26:56 Модуль сканирования файлов, исполняемых при запуске системы файл C:\systemhost\24FC2AE373C.exe модифицированный Win32/Injector.VEM троянская программа очищен удалением - изолирован NWIPBANK\mvv

перегрузите компьютер,
и выполните сканирование в ESET NOD32 только оперативной памяти.
лог сканирования добавить на форум

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Помогите снова вирус Spy.SpyEye

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 16.08.2012 12:27:21

ок,
добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Помогите снова вирус Spy.SpyEye

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 16.08.2012 12:05:58

в безопасном режиме сделайте образ автозапуска

[ Как создать образ автозапуска? ]

Перейти

svchost.exe(2944) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF. Логи прилагаются.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 16.08.2012 04:55:59

Код
;uVS v3.75 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 addsgn 1BA9619A5583F0760BD4476E67C812EC888CFCF6600A0978852ACBB150D698E62717C3BE98509D49C2BA929F46FF0BE87DDF01385DDAB0C5D77BA42F2E5B2873 8 Carberp.pki [Kaspersky] zoo %SystemDrive%\USERS\NOBODY\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\1TG24RZIUBW.EXE bl BBE8B7CC5387268815891A7A7C2A5FB8 356352 delall %SystemDrive%\USERS\NOBODY\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\1TG24RZIUBW.EXE chklst delvir delref HTTP://BROWSERHELP.RU delall %SystemDrive%\PROGRAM FILES\TICNO\TABS\TICNO TABS.EXE delref %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER3.DLL deltmp delnfr delref HTTP://START.TICNO.COM czoo restart

Код

;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
addsgn 1BA9619A5583F0760BD4476E67C812EC888CFCF6600A0978852ACBB150D698E62717C3BE98509D49C2BA929F46FF0BE87DDF01385DDAB0C5D77BA42F2E5B2873 8 Carberp.pki [Kaspersky]
zoo %SystemDrive%\USERS\NOBODY\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\1TG24RZIUBW.EXE
bl BBE8B7CC5387268815891A7A7C2A5FB8 356352
delall %SystemDrive%\USERS\NOBODY\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\1TG24RZIUBW.EXE
chklst
delvir
delref HTTP://BROWSERHELP.RU
delall %SystemDrive%\PROGRAM FILES\TICNO\TABS\TICNO TABS.EXE
delref %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER3.DLL
deltmp
delnfr
delref HTTP://START.TICNO.COM
czoo
restart

[ Как создать образ автозапуска? ]

Перейти

Заблокирован доступ к рабочему столу Windows

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 14.08.2012 21:52:19

Цитата
Yulechka пишет: Еще надо что-то делать? Вирус удален?

+ не забываем очистить hosts
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.75 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 deltmp delnfr regt 14 restart

перезагрузка, пишем о старых и новых проблемах.
------------

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Веселые картинки =), предлагаю тут выкладывать приколы на которые Вы наткнулись на просторах Интернета, но только связанные с софтом)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.08.2012 08:30:02

Цитата
RP55 RP55 пишет: Встреча позиций.

откуда дровишки? не из Лондона случайно?

[ Как создать образ автозапуска? ]

Перейти