santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] Атака Win32/TrojanDownloader.Carberp.AF, троянская программа - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 22.07.2012 19:23:29

Цитата
combat_father пишет: Возникало то же сообщение, что и при запуске других приложений. Содержание точно не помню, но примерно следующее: "Процесс <<имя какого-то левого процесса>> был завершен. И вежливо предлагалось "закрыть программу" или "поиск решения в интернете" (прим. причем имя этого левого процесса было каждый раз новым). Сообщение возникало после нажатия в uVS на кнопку "запустить под текущим пользователем". После нескольких попыток все-таки появилось рабочее окно программы.

Цитата

combat_father пишет:
Возникало то же сообщение, что и при запуске других приложений. Содержание точно не помню, но примерно следующее: "Процесс <<имя какого-то левого процесса>> был завершен. И вежливо предлагалось "закрыть программу" или "поиск решения в интернете" (прим. причем имя этого левого процесса было каждый раз новым). Сообщение возникало после нажатия в uVS на кнопку "запустить под текущим пользователем". После нескольких попыток все-таки появилось рабочее окно программы.

если только не антивирус мешал запуску uVS, можно пробовать еще startf.exe использовать, или в безопасном режиме с поддержкой сети (чтобы скрипт достать с форума).

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] SpyVoltar.A

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 22.07.2012 18:59:58

чисто,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] SpyVoltar.A

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 22.07.2012 18:43:18

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.75 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 addsgn 1A5D619A55835B8CF42BFB3A8899435673B90A7BCC06594B5E934CC9A85F2CB0CBDBC5573ED6E0B52ED9FA9BCDD0A2B82A8C1767655AF02CA607982C37601B2D 8 Voltar.0722 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\TASKHOST.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\TASKHOST.EXE zoo %Sys32%\IKFTMRJ.DLL delref %Sys32%\IKFTMRJ.DLL chklst delvir delref HTTP://SPEEDBAR.RU deltmp delnfr czoo restart

Код

;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
addsgn 1A5D619A55835B8CF42BFB3A8899435673B90A7BCC06594B5E934CC9A85F2CB0CBDBC5573ED6E0B52ED9FA9BCDD0A2B82A8C1767655AF02CA607982C37601B2D 8 Voltar.0722
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\TASKHOST.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\TASKHOST.EXE
zoo %Sys32%\IKFTMRJ.DLL
delref %Sys32%\IKFTMRJ.DLL
chklst
delvir
delref HTTP://SPEEDBAR.RU
deltmp
delnfr
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Атака Win32/TrojanDownloader.Carberp.AF, троянская программа - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 22.07.2012 17:55:37

а в чем была проблема с запуском uVS?

по логу мбам удалите все найденное,
далее,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Заблокирован доступ к рабочему столу Windows, просят скинуть деньги на вебмани

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 22.07.2012 16:42:55

далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Атака Win32/TrojanDownloader.Carberp.AF, троянская программа - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 22.07.2012 16:41:17

Код
;uVS v3.75 script [http://dsrt.dyndns.org] ;Target OS: NTv6.0 zoo %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\DCCED0.EXE addsgn 9252770A146AC1CC0B54504E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 14 lsass_vir delall %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\DCCED0.EXE zoo %SystemRoot%\APPPATCH\DFUGLGP.DAT delall %SystemRoot%\APPPATCH\DFUGLGP.DAT addsgn 49973B9A553FC79E8838A2304974A54525E64BB6893D5A8071657A8C979389B985A8F3D62B212A092B7C32DF467E35493DDF1777ED6DF02CD262BC4F8306830F 8 Carberp.0722 zoo %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\MAOLADLHPGS.EXE bl 89C9272F98756580BADFE1CA55C90D85 181760 delall %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\MAOLADLHPGS.EXE delall %SystemDrive%\PROGRAM FILES\INTERNET EXPLORER\SETUPAPI.DLL zoo %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\СОДЕРЖАНИЕ ONENOTE.ONETOC2 delall %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\СОДЕРЖАНИЕ ONENOTE.ONETOC2 adddir %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING chklst delvir delref HTTP://SEARCH.QIP.RU deltmp delnfr delhst 220.194.54.124 www.narod.ru delhst 220.194.54.124 google.ru regt 12 regt 13 czoo restart

Код

;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv6.0
zoo %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\DCCED0.EXE
addsgn 9252770A146AC1CC0B54504E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 14 lsass_vir
delall %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\DCCED0.EXE
zoo %SystemRoot%\APPPATCH\DFUGLGP.DAT
delall %SystemRoot%\APPPATCH\DFUGLGP.DAT
addsgn 49973B9A553FC79E8838A2304974A54525E64BB6893D5A8071657A8C979389B985A8F3D62B212A092B7C32DF467E35493DDF1777ED6DF02CD262BC4F8306830F 8 Carberp.0722
zoo %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\MAOLADLHPGS.EXE
bl 89C9272F98756580BADFE1CA55C90D85 181760
delall %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\MAOLADLHPGS.EXE
delall %SystemDrive%\PROGRAM FILES\INTERNET EXPLORER\SETUPAPI.DLL
zoo %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\СОДЕРЖАНИЕ ONENOTE.ONETOC2
delall %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\СОДЕРЖАНИЕ ONENOTE.ONETOC2
adddir %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING
chklst
delvir
delref HTTP://SEARCH.QIP.RU
deltmp
delnfr
delhst 220.194.54.124 www.narod.ru 
delhst 220.194.54.124 google.ru 
regt 12
regt 13
czoo
restart

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] модифицированный Win32/Spy.SpyEye.CA, Оперативная память » winlogon.exe(724) - модифицированный Win32/Spy.SpyEye.CA троянская программа - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.07.2012 17:55:31

+
добавить лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/
+
сделайте образ автозапуска в безопасном режиме

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.07.2012 17:52:48

Код
;uVS v3.75 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %SystemDrive%\PROGRAM FILES\FACEMOODS.COM\FACEMOODS\1.4.17.5\FACEMOODSTLBR.DLL addsgn 98E01FDA8F6B5C9A68D7AEB15708528C606E778385C9E04372B6C9856D1A484E331847E43E559DC0567CBF6F3213CA047FAAD9D3EDBEB23C16B0D02338733225 64 facemood.dll zoo %SystemDrive%\PROGRAM FILES\FACEMOODS.COM\FACEMOODS\1.4.17.5\BH\FACEMOODS.DLL addsgn 98E01F0229685C9A0BD7AEB15708528C606E778385C9E04372B6C9856D7A814E331847E43E559DC0567CBF6F3213CA047FAAD9D3CDC1B33C16B0D02338733225 64 facemood.dll.bho zoo %SystemDrive%\PROGRAM FILES\FACEMOODS.COM\FACEMOODS\1.4.17.5\FACEMOODSSRV.EXE addsgn 988C1F523E294C9A82DFAEB1DB5C120525013B1EB403E0870CA62D37A45F4F1ADC02C3157D5516073B0989E75F5249713BDB4BF64C9EB0A77B7F2D3A4F1F6673 8 facemood delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\Y1VEVBQAC.DLL delall %SystemRoot%\APPPATCH\YVIKDS.EXE delref HTTP://WWW.SMAXL.NET delref HTTP://SEARCH.AUTOCOMPLETEPRO.COM/?SI=10197&BI=400 exec "C:\PROGRAM FILES\FACEMOODS.COM\FACEMOODS\1.4.17.5\UNINSTALL.EXE" exec MSIEXEC.EXE /I{A98CE4AC-2D72-4C08-AF8A-625AC646B708} chklst delvir deltmp delnfr EXEC cmd /c"netsh winsock reset catalog" restart

Код

;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
zoo %SystemDrive%\PROGRAM FILES\FACEMOODS.COM\FACEMOODS\1.4.17.5\FACEMOODSTLBR.DLL
addsgn 98E01FDA8F6B5C9A68D7AEB15708528C606E778385C9E04372B6C9856D1A484E331847E43E559DC0567CBF6F3213CA047FAAD9D3EDBEB23C16B0D02338733225 64 facemood.dll
zoo %SystemDrive%\PROGRAM FILES\FACEMOODS.COM\FACEMOODS\1.4.17.5\BH\FACEMOODS.DLL
addsgn 98E01F0229685C9A0BD7AEB15708528C606E778385C9E04372B6C9856D7A814E331847E43E559DC0567CBF6F3213CA047FAAD9D3CDC1B33C16B0D02338733225 64 facemood.dll.bho
zoo %SystemDrive%\PROGRAM FILES\FACEMOODS.COM\FACEMOODS\1.4.17.5\FACEMOODSSRV.EXE
addsgn 988C1F523E294C9A82DFAEB1DB5C120525013B1EB403E0870CA62D37A45F4F1ADC02C3157D5516073B0989E75F5249713BDB4BF64C9EB0A77B7F2D3A4F1F6673 8 facemood
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\Y1VEVBQAC.DLL
delall %SystemRoot%\APPPATCH\YVIKDS.EXE
delref HTTP://WWW.SMAXL.NET
delref HTTP://SEARCH.AUTOCOMPLETEPRO.COM/?SI=10197&BI=400
exec "C:\PROGRAM FILES\FACEMOODS.COM\FACEMOODS\1.4.17.5\UNINSTALL.EXE"
exec MSIEXEC.EXE /I{A98CE4AC-2D72-4C08-AF8A-625AC646B708}
chklst
delvir
deltmp
delnfr
EXEC cmd /c"netsh winsock reset catalog"
restart

Изменено: santy - 21.07.2012 17:53:30

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] почему заблокировали мой сайт одноклассники?

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.07.2012 16:22:58

Тема будет закрыта по причине использования вами программы
TNOD&Password Finder
http://forum.esetnod32.ru/forum6/topic5713/

обратитесь за помощью на другой форум

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Win32/MBRlock.C (троянская программа)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.07.2012 20:46:01

сделайте новый образ автозапуска

[ Как создать образ автозапуска? ]

Перейти