santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] Win32/MBRlock.C троянская программа

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.07.2012 13:57:54

выполните сканирование в мбам

[ Как создать образ автозапуска? ]

[ Закрыто] Оперативная память = D:\Documents and Settings\Moi\Application Data\taskhost.exe - модифицированный Win32/SpyVoltar.A троянская программа - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.07.2012 13:55:50

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.75 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %Sys32%\SCDCOVL.DLL addsgn A7679BC9033DC72F035FDBBDEFB50280D3FFF575B49EDA6BE9C32E9AD328733826943D564B773C95E193E81A866240AD2B8C17A2D01AC4207A21F7C720F8DD8C 64 majachok.0723 delref %Sys32%\SCDCOVL.DLL czoo deltmp delnfr restart

Код

;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %Sys32%\SCDCOVL.DLL
addsgn A7679BC9033DC72F035FDBBDEFB50280D3FFF575B49EDA6BE9C32E9AD328733826943D564B773C95E193E81A866240AD2B8C17A2D01AC4207A21F7C720F8DD8C 64 majachok.0723
delref %Sys32%\SCDCOVL.DLL
czoo
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS, созданный после скрипта (например: ZOO_2011-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

оперативная память = exploer.exe (1276) вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа очистка невозможна, оперативная память = exploer.exe (1276)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.07.2012 13:41:30

вот терпеливый пользователь

Цитата
17.05.2012 8:56:58 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = explorer.exe(1116) вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа очистка невозможна DELOPROIZVODITE\User

более двух месяцев уже антивирус сигналит, что заражение есть в системе Carberp.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Win32/MBRlock.C троянская программа

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.07.2012 13:25:59

Код
;uVS v3.75 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo D:\FOREX SIGNAL LIVE WORLD MARKET TIMES\WORLD_MARKET_TIMES.EXE addsgn 9252776A106AC1CC0BF4544E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 13 a variant of Win32/Injector.LVS [NOD32] delall D:\FOREX SIGNAL LIVE WORLD MARKET TIMES\WORLD_MARKET_TIMES.EXE fixmbr MBR#0 [9,5GB] delall H:\AUTORUN.INF deltmp delnfr CZOO restart

Код

;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo D:\FOREX SIGNAL LIVE WORLD MARKET TIMES\WORLD_MARKET_TIMES.EXE
addsgn 9252776A106AC1CC0BF4544E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 13 a variant of Win32/Injector.LVS [NOD32]

delall D:\FOREX SIGNAL LIVE WORLD MARKET TIMES\WORLD_MARKET_TIMES.EXE
fixmbr MBR#0 [9,5GB]
delall H:\AUTORUN.INF
deltmp
delnfr
CZOO
restart

Изменено: santy - 23.07.2012 13:27:04

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Win32/MBRlock.C троянская программа

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.07.2012 12:55:00

сделайте образ авотзапуска в uvs
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Перейти

Много процессов iexplore.exe

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.07.2012 12:52:02

Код
;uVS v3.75 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 addsgn A7679B1BB97E4F720B85F832A0349B1901DDAAA50A161BF1A9E7464052D9F4B12317C3EFC1DAD9496BD0B556C7DF694F8D2069A35591BF2C7CFA115F39F9DDCB 8 Dorkbot.0723 zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\ZABERG.EXE zoo %SystemDrive%\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\GLOCK.EXE zoo %SystemRoot%\WRDRIVE32.EXE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\WINLOGON.SCR zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\RECYCLER\LOGON.EXE bl D11DE351D25A03A943CC49096BC5AACD 45056 delall %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\ZABERG.EXE delall %SystemRoot%\WRDRIVE32.EXE addsgn A7679B19B192CD9E47D6AEB1379E456D268BFCF6BA0592FCA196C4BC5081218AA7339F563E559DA10B82849FC5D2459279DEE872D85E94782C77A47F908F5E57 8 Dorkbot.0723 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\IHUQUY.SCR adddir %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA chklst delvir deltmp delnfr czoo regt 5 restart

Код

;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
addsgn A7679B1BB97E4F720B85F832A0349B1901DDAAA50A161BF1A9E7464052D9F4B12317C3EFC1DAD9496BD0B556C7DF694F8D2069A35591BF2C7CFA115F39F9DDCB 8 Dorkbot.0723
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\ZABERG.EXE
zoo %SystemDrive%\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\GLOCK.EXE
zoo %SystemRoot%\WRDRIVE32.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\WINLOGON.SCR
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\RECYCLER\LOGON.EXE
bl D11DE351D25A03A943CC49096BC5AACD 45056
delall %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\ZABERG.EXE
delall %SystemRoot%\WRDRIVE32.EXE
addsgn A7679B19B192CD9E47D6AEB1379E456D268BFCF6BA0592FCA196C4BC5081218AA7339F563E559DA10B82849FC5D2459279DEE872D85E94782C77A47F908F5E57 8 Dorkbot.0723
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\IHUQUY.SCR
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA
chklst
delvir
deltmp
delnfr
czoo
regt 5
restart

Изменено: santy - 23.07.2012 12:52:26

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Оперативная память explorer.exe, Вирус Win32/TrojanDownloader.Carberp.AF

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.07.2012 11:03:47

выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] win32/SpyVoltar.A. (user/user/AppData/Roaming/taskhost.exe), троянская программа - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.07.2012 06:05:38

Код
;uVS v3.75 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 zoo %Sys32%\JVAITXK.DLL addsgn A7679BC903E1117A80A1A2E6EFB50280D3FFF575B49EDA7CE9C32E9AD328733826943D564B773C95E184E81A866240AD2B8C17A2D01AC4207A21F7C720F8DD8C 64 majachok.0719 delref %Sys32%\JVAITXK.DLL deltmp delnfr delhst 217.73.63.204 stg.odnoklassniki.ru delhst 217.73.63.204 st9.userapi.com delhst 217.73.63.204 st8.userapi.com delhst 217.73.63.204 st7.userapi.com delhst 217.73.63.204 st6.userapi.com delhst 217.73.63.204 st5.userapi.com delhst 217.73.63.204 st4.userapi.com delhst 217.73.63.204 st3.userapi.com delhst 217.73.63.204 st2.userapi.com delhst 217.73.63.204 st1.userapi.com delhst 217.73.63.204 st0.userapi.com delhst 217.73.63.204 userapi.com delhst 217.73.56.45 www.smaxi.biz delhst 217.73.56.45 www.smaxi.net delhst 217.73.56.45 smaxi.biz delhst 217.73.56.45 smaxi.net delhst 217.73.56.45 www.webalta.ru delhst 217.73.56.45 start.webalta.ru delhst 217.73.56.45 home.webalta.ru delhst 217.73.56.45 webalta.ru czoo restart

Код

;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
zoo %Sys32%\JVAITXK.DLL
addsgn A7679BC903E1117A80A1A2E6EFB50280D3FFF575B49EDA7CE9C32E9AD328733826943D564B773C95E184E81A866240AD2B8C17A2D01AC4207A21F7C720F8DD8C 64 majachok.0719
delref %Sys32%\JVAITXK.DLL
deltmp
delnfr
delhst 217.73.63.204 stg.odnoklassniki.ru
delhst 217.73.63.204 st9.userapi.com
delhst 217.73.63.204 st8.userapi.com
delhst 217.73.63.204 st7.userapi.com
delhst 217.73.63.204 st6.userapi.com
delhst 217.73.63.204 st5.userapi.com
delhst 217.73.63.204 st4.userapi.com
delhst 217.73.63.204 st3.userapi.com
delhst 217.73.63.204 st2.userapi.com
delhst 217.73.63.204 st1.userapi.com
delhst 217.73.63.204 st0.userapi.com
delhst 217.73.63.204 userapi.com
delhst 217.73.56.45 www.smaxi.biz
delhst 217.73.56.45 www.smaxi.net
delhst 217.73.56.45 smaxi.biz
delhst 217.73.56.45 smaxi.net
delhst 217.73.56.45 www.webalta.ru
delhst 217.73.56.45 start.webalta.ru
delhst 217.73.56.45 home.webalta.ru
delhst 217.73.56.45 webalta.ru
czoo
restart

[ Как создать образ автозапуска? ]

Перейти

Что то грузит систему..

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.07.2012 05:41:56

выполните рекомендации из сообщения 5
как войти в безопасный режим
http://forum.esetnod32.ru/forum9/topic5917/

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.07.2012 05:39:20

Код
;uVS v3.75 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\MOI\APPLICATION DATA\TASKHOST.EXE addsgn 1A9D549A55835A8CF42B25F540CC21CC1E8E31AE46BB1F0C978246457DA480C16BFA40AE2F22912326D8471442DB15353CDF2B7711254FD34779FD140F1DE250 8 SpyVoltar.0704 delall %SystemDrive%\DOCUMENTS AND SETTINGS\MOI\APPLICATION DATA\TASKHOST.EXE chklst delvir deltmp delnfr czoo restart

Код

;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\MOI\APPLICATION DATA\TASKHOST.EXE
addsgn 1A9D549A55835A8CF42B25F540CC21CC1E8E31AE46BB1F0C978246457DA480C16BFA40AE2F22912326D8471442DB15353CDF2B7711254FD34779FD140F1DE250 8 SpyVoltar.0704
delall %SystemDrive%\DOCUMENTS AND SETTINGS\MOI\APPLICATION DATA\TASKHOST.EXE
chklst
delvir
deltmp
delnfr
czoo
restart

[ Как создать образ автозапуска? ]

Перейти