santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] Нуждаюсь в помощи! Заражены taskhost.exe и explorer.exe

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 19.06.2012 06:03:10

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.75 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 addsgn A7679BC903E1117A5C5FDBBDE13E997835FFF575B402DC78E9C32E9AD328733826943D564B773C49E280E81A866240AD2B8C17A2D01AC4207A21F7C7CFF9DD8C 64 majachok.0619 zoo %Sys32%\JWSMFGE.DLL delref %Sys32%\JWSMFGE.DLL addsgn 1A58619A55835B8CF42B25F540CC9905A4B29F85E41A6A5206BBD5BF25F2FA0C372AE352AD4CE95C16A1810C5F6247C75FDA7B6B21DD8D2C6DEEA55AC2EE2964 8 SpyVoltar.0619 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\TASKHOST.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\TASKHOST.EXE deltmp delnfr czoo restart

Код

;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
addsgn A7679BC903E1117A5C5FDBBDE13E997835FFF575B402DC78E9C32E9AD328733826943D564B773C49E280E81A866240AD2B8C17A2D01AC4207A21F7C7CFF9DD8C 64 majachok.0619
zoo %Sys32%\JWSMFGE.DLL
delref %Sys32%\JWSMFGE.DLL
addsgn 1A58619A55835B8CF42B25F540CC9905A4B29F85E41A6A5206BBD5BF25F2FA0C372AE352AD4CE95C16A1810C5F6247C75FDA7B6B21DD8D2C6DEEA55AC2EE2964 8 SpyVoltar.0619
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\TASKHOST.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\TASKHOST.EXE
deltmp
delnfr
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS, созданный после скрипта (например: 2011-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Win32/TrojanDownloader.Carberp.AF

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 18.06.2012 10:53:41

Код
;uVS v3.75 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 zoo %SystemDrive%\USERS\В\APPDATA\LOCAL\TEMP\KEBUJLR.EXE addsgn 7BC9DF8B156AF3127597AE80A471727B668AD50F7509B5E35E20952789EA55D7A31BE768E779B911950096DF46A9C1E83DDFD18523DC4C81D2A74FD9AD07CAB2 8 smallHTTP addsgn 4ABA1C9A553FC79E8838A23061C0E340251A0DB389A93E6D515487BCDBCB693C6317AB17AD179DC8261C75DA463C79FA7D18AD8A4C354221AC42C0DE8206F683 8 Carberp.0618 zoo %SystemDrive%\USERS\В\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\VDEEHZX7Y7E.EXE bl D7D765EEC04143305EBF1A92F31A7CED 168960 delall %SystemDrive%\USERS\В\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\VDEEHZX7Y7E.EXE delall %SystemDrive%\USERS\В\APPDATA\LOCAL\TEMP\KEBUJLR.EXE setdns Подключение по локальной сети\4\{B0EB371B-8D87-40E5-A1D4-700BA26A8353}\ deltmp delnfr czoo EXEC cmd /c"netsh winsock reset catalog" restart

Код

;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
zoo %SystemDrive%\USERS\В\APPDATA\LOCAL\TEMP\KEBUJLR.EXE
addsgn 7BC9DF8B156AF3127597AE80A471727B668AD50F7509B5E35E20952789EA55D7A31BE768E779B911950096DF46A9C1E83DDFD18523DC4C81D2A74FD9AD07CAB2 8 smallHTTP
addsgn 4ABA1C9A553FC79E8838A23061C0E340251A0DB389A93E6D515487BCDBCB693C6317AB17AD179DC8261C75DA463C79FA7D18AD8A4C354221AC42C0DE8206F683 8 Carberp.0618
zoo %SystemDrive%\USERS\В\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\VDEEHZX7Y7E.EXE
bl D7D765EEC04143305EBF1A92F31A7CED 168960
delall %SystemDrive%\USERS\В\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\VDEEHZX7Y7E.EXE
delall %SystemDrive%\USERS\В\APPDATA\LOCAL\TEMP\KEBUJLR.EXE
setdns Подключение по локальной сети\4\{B0EB371B-8D87-40E5-A1D4-700BA26A8353}\
deltmp
delnfr
czoo
EXEC cmd /c"netsh winsock reset catalog"
restart

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Win32/MBRlock.C троянская программа

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 18.06.2012 10:32:09

ZloyDi, закрываю тему. этот человек не за помощью при шел, а потролить. Пусть напишет в электронную почту председателя колхоза, что де антивирусы нынче не те, видимо урожая не будет.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Win32/MBRlock.C троянская программа

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 18.06.2012 10:00:07

Цитата
Nick-61 пишет: Я уж следовал Вашим "инструкциям": скачивал лечилки, нихрена не лечущие!

Я не знаю, что вы скачивали и чему следовали. из ваших сентенций пока информации ноль. Я вам дал ссылку на образ загрузочного диска Winpe&uVS с помощью которого необходимо создать образ автозапуска.
Если для вас это сложно, напишите - будем общаться в режиме вопрос - ответ. В противном случае я тему закрою, и вы будет общаться с технической поддержкой с предъявлением лицензии на антивирус.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Win32/MBRlock.C троянская программа

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 18.06.2012 09:42:01

Цитата
Nick-61 пишет: На плуг нужно заработать. а я свои деньги вложил в Ваше ПО! Дыке с какого хрена Вы меня учите, чем мне землю обрабатывать, если я Вам деньги плачу! а не Вы мне!

Ясно с вами. трактора и плуги распродали и благополучно забыли, остались топоры и лопаты. лес рубим топорами на черенки, лопатами копаем траншеи и сеем мак с коноплей.

Цитата
Nick-61 пишет: Короче, нах мне Ваши учения, винчестер у меня Western Digital RE4 500GB 7200rpm 64MB WD5003ABYX 3.5 SATA II, стоит он не мало, Вы его сможите привести в рабочее состояние?!

Сможем, то только с вашей помощью, если вы будете следовать в работе не эмоциям, а нашим инструкциям.

Изменено: santy - 18.06.2012 09:42:48

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Win32/MBRlock.C троянская программа

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 18.06.2012 09:04:46

Цитата
Nick-61 пишет: Я сделал загрузочную флешку с лайвСиДи. Кстати, на компьютере, где вирус то появился, ваша програмка пишет, что нет на винчестере операционки, на другом компе, с зараженным винчестером, вродь чёт и сделала сия "лечилка", но итог тот же!

Цитата

Nick-61 пишет:
Я сделал загрузочную флешку с лайвСиДи. Кстати, на компьютере, где вирус то появился, ваша програмка пишет, что нет на винчестере операционки, на другом компе, с зараженным винчестером, вродь чёт и сделала сия "лечилка", но итог тот же!

какой Live.CD сделали? WinPe&uVS? или другой?

Цитата
Nick-61 пишет: Ну а почему у меня двойка по програмированию, дык я землю пашу, лопатой я на все сто справляюсь, а вот у Вас почему проблемы с лечениями вирусов, а я то денюжку Вам плачу! Мож идите ко мне в бригаду, лопатой то легче махать, и тож за мои же деньги!

Цитата

Nick-61 пишет:
Ну а почему у меня двойка по програмированию, дык я землю пашу, лопатой я на все сто справляюсь, а вот у Вас почему проблемы с лечениями вирусов, а я то денюжку Вам плачу! Мож идите ко мне в бригаду, лопатой то легче махать, и тож за мои же деньги!

вообще-то землю пашут плугом, а копают лопатой, так что не пойду я к вам в бригаду - у вас с определениями туго получается.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Win32/MBRlock.C троянская программа

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 18.06.2012 08:34:22

Nick-61, если вам необходима помощь в лечении заражения,
сделайте образ автозапуска по данной инструкции
http://forum.esetnod32.ru/forum27/topic2102/

если вам нужны ответы на вопросы, тогда попробуйте сами ответить на такие вопросы:

- почему совершается преступления (кражи, взломы, ограбления), если у нас целая армия работает в МВД?
или
монолог двоешника_троешника:
почему у меня за экзамен вышла двойка_тройка, если я 11 лет ходил в школу?
и т.д.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Здравствуйте пожалсто помогите!, Оперативная память = taskhost.exe(1800) - модифицированный Win32/Spy.Shiz.NCE троянская программа - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 17.06.2012 21:54:41

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.75 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 addsgn 71E1FC3E1D6A3EF1061B0EF964ED7AF8AB9EFCA9E2057E59B8B86CF4505F4CED8A5FC3DA49089C7CC124CC9F0895B7810BCD634F7F73F82C044A8E868F06DD76 8 Shiz.0617 zoo %SystemRoot%\APPPATCH\WVSAXM.EXE delall %SystemRoot%\APPPATCH\WVSAXM.EXE chklst delvir deltmp delnfr regt 12 czoo restart

Код

;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
addsgn 71E1FC3E1D6A3EF1061B0EF964ED7AF8AB9EFCA9E2057E59B8B86CF4505F4CED8A5FC3DA49089C7CC124CC9F0895B7810BCD634F7F73F82C044A8E868F06DD76 8 Shiz.0617
zoo %SystemRoot%\APPPATCH\WVSAXM.EXE
delall %SystemRoot%\APPPATCH\WVSAXM.EXE
chklst
delvir
deltmp
delnfr
regt 12
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

не работает гугл хром, заблокированы соц. сети

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 17.06.2012 21:38:33

Код
;uVS v3.75 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 addsgn A7679BC903E1117A5C5FDBBDE13E997835FFF575B402DC7EE9C32E9AD328733826943D564B773C49E286E81A866240AD2B8C17A2D01AC4207A21F7C7CFF9DD8C 64 majachok.0617 zoo %Sys32%\JOIOAKN.DLL delref %Sys32%\JOIOAKN.DLL deltmp delnfr czoo restart

Код

;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
addsgn A7679BC903E1117A5C5FDBBDE13E997835FFF575B402DC7EE9C32E9AD328733826943D564B773C49E286E81A866240AD2B8C17A2D01AC4207A21F7C7CFF9DD8C 64 majachok.0617
zoo %Sys32%\JOIOAKN.DLL
delref %Sys32%\JOIOAKN.DLL
deltmp
delnfr
czoo
restart

[ Как создать образ автозапуска? ]

Перейти

Модифицированный Win32/TrojanDownloader.Carberp.AH троянская программа - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 17.06.2012 21:22:10

Цитата
17.06.2012 18:27:00 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = explorer.exe(1908) модифицированный Win32/TrojanDownloader.Carberp.AH троянская программа очистка невозможна User-KEY\User

хорошо, теперь сделайте образ автозапуска в безопасном режиме.

[ Как создать образ автозапуска? ]

Перейти