santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] Вирус в оперативной памяти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.06.2012 11:31:22

удалите найденное в мбам,
перегрузите систему,
и еще раз выполните быстрое сканирование в мбам,
--------
если все будет чисто,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Вирус в оперативной памяти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.06.2012 11:04:55

ок, ждем лог малваребайт

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Вирус в оперативной памяти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.06.2012 10:15:09

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.75 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 addsgn A7679BC903E1117A80A1A2E6EFB50280D3FFF575B4A6DA68E9C32E9AD328703826943D554B773C95E190E81A866240AD2B8C17A2D01AC4207A21F7C720F8DD8C 64 majachok.0604 zoo %Sys32%\CQZJYHE.DLL addsgn 1AB7619A55835A8CF42B25F540CC9905A4B29F85E41A6A5206BBD5BF25F2FA0C372AE352AD4CE95C16A1810C5F6247C75FDA7B6B21DD8D2C6DEEA55AC2EE9065 8 taskhost zoo %SystemDrive%\USERS\DIMA\APPDATA\ROAMING\TASKHOST.EXE delall %SystemDrive%\USERS\DIMA\APPDATA\LOCAL\{DA6994BC-F559-C034-4895-1D04AA5DE6D5}\.EXE delall %SystemDrive%\USERS\DIMA\APPDATA\ROAMING\TASKHOST.EXE delref %Sys32%\CQZJYHE.DLL delref HTTP://WWW.SMAXI.BIZ delall %SystemDrive%\USERS\DIMA\APPDATA\LOCAL\MEDIAGET2\MEDIAGET.EXE deltmp delnfr czoo restart

Код

;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

addsgn A7679BC903E1117A80A1A2E6EFB50280D3FFF575B4A6DA68E9C32E9AD328703826943D554B773C95E190E81A866240AD2B8C17A2D01AC4207A21F7C720F8DD8C 64 majachok.0604
zoo %Sys32%\CQZJYHE.DLL
addsgn 1AB7619A55835A8CF42B25F540CC9905A4B29F85E41A6A5206BBD5BF25F2FA0C372AE352AD4CE95C16A1810C5F6247C75FDA7B6B21DD8D2C6DEEA55AC2EE9065 8 taskhost
zoo %SystemDrive%\USERS\DIMA\APPDATA\ROAMING\TASKHOST.EXE
delall %SystemDrive%\USERS\DIMA\APPDATA\LOCAL\{DA6994BC-F559-C034-4895-1D04AA5DE6D5}\.EXE
delall %SystemDrive%\USERS\DIMA\APPDATA\ROAMING\TASKHOST.EXE
delref %Sys32%\CQZJYHE.DLL
delref HTTP://WWW.SMAXI.BIZ
delall %SystemDrive%\USERS\DIMA\APPDATA\LOCAL\MEDIAGET2\MEDIAGET.EXE
deltmp
delnfr
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS, созданный после скрипта (например: 2011-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

Изменено: santy - 04.06.2012 10:15:38

[ Как создать образ автозапуска? ]

Перейти

Оперативная память = explorer.exe(1960) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.06.2012 07:36:47

а что у вас с месяцем? уже июль наступил?
------
по логам.
Скачайте, распакуйте и запустите TDSSKiller:
http://support.kaspersky.ru/faq/?qid=208636926
Если программа найдет файл WINDOWS\system32\Drivers\sptd.sys, то не удаляйте его.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.06.2012 06:41:21

Код
;uVS v3.75 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 fixvbr C: 5 deltmp delnfr restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
+
Скачайте, распакуйте и запустите TDSSKiller:
http://support.kaspersky.ru/faq/?qid=208636926
Если программа найдет файл WINDOWS\system32\Drivers\sptd.sys, то не удаляйте его.
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.

[ Как создать образ автозапуска? ]

Перейти

Вирусы в оперативной памяти + ошибка обновления.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.06.2012 05:50:44

Код
;uVS v3.75 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\PZYCKGO4WIG.EXE addsgn FF1B629A553FC79E8838A24E51D8D1412575E90ABBBA1FF9A0C345F8500A644C239203903B4D1D0D2B9CBD9F4619CDE17DDFE8F3405E846C2DABF26FC735E2B4 8 tr.Carberp bl E43C0ECBCD06C13A842F25EEC0D01835 175616 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\PZYCKGO4WIG.EXE addsgn A7679B19B9127FA0080627E4C09B3B5081DC77E39DE35D780E19EE667305F819874048129AEBBE502B802DFA4616498E4A54A5D67E1433D5AA0389A492A20B3E 8 a variant of Win32/Kryptik.AFYE [NOD32] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\Q2E05ZL8VEK.EXE bl 719354B4B7B182B30E1DE8CE7B417D2F 132096 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\Q2E05ZL8VEK.EXE addsgn 1ABE609A55835A8CF42BFB3A884BFE01ACF7007DF4F2943589022CBB36D99E8CC81F4EF31A559D492B10E29039112FF50298F8145AA5F70C4B78DB68F7602D0C 8 Spy.Voltar.0604 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\NETPROTOCOL.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\NETPROTOCOL.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE delref HTTP://QIP.RU delref HTTP://SEARCH.QIP.RU deltmp delnfr zoo %SystemRoot%\WEINO.SYS czoo sreg delref %SystemRoot%\WEINO.SYS areg

Код

;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\PZYCKGO4WIG.EXE
addsgn FF1B629A553FC79E8838A24E51D8D1412575E90ABBBA1FF9A0C345F8500A644C239203903B4D1D0D2B9CBD9F4619CDE17DDFE8F3405E846C2DABF26FC735E2B4 8 tr.Carberp
bl E43C0ECBCD06C13A842F25EEC0D01835 175616
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\PZYCKGO4WIG.EXE
addsgn A7679B19B9127FA0080627E4C09B3B5081DC77E39DE35D780E19EE667305F819874048129AEBBE502B802DFA4616498E4A54A5D67E1433D5AA0389A492A20B3E 8 a variant of Win32/Kryptik.AFYE [NOD32]
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\Q2E05ZL8VEK.EXE
bl 719354B4B7B182B30E1DE8CE7B417D2F 132096
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\Q2E05ZL8VEK.EXE
addsgn 1ABE609A55835A8CF42BFB3A884BFE01ACF7007DF4F2943589022CBB36D99E8CC81F4EF31A559D492B10E29039112FF50298F8145AA5F70C4B78DB68F7602D0C 8 Spy.Voltar.0604
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\NETPROTOCOL.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\NETPROTOCOL.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
deltmp
delnfr
zoo %SystemRoot%\WEINO.SYS
czoo
sreg
delref %SystemRoot%\WEINO.SYS
areg

Изменено: santy - 04.06.2012 10:16:15

[ Как создать образ автозапуска? ]

Перейти

Вирус Шпион., защитник Windows нашел Трояна в компьютере и поместил его в карантин, но удалить не может!

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 02.06.2012 08:23:38

Код
;uVS v3.75 script [http://dsrt.dyndns.org] ;Target OS: NTv6.0 zoo %SystemDrive%\USERS\1\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\VGKHUVY1BWQ.EXE addsgn 731D39C7556A19F9E75742A1C55061452575C9F6F1BA1FF988E0B9FC50E90D0C2385427A1929DD4905A1849FB9C4CA027D18EDF6219AB0F91A77A42043072273 8 tr.carberp zoo %SystemDrive%\USERS\1\APPDATA\ROAMING\NETPROTOCOL.EXE addsgn 1A42609A55835B8CF42BFB3A8849FE2D268AFC5551575F780CCE111110D6F859F3BA8357B74851E46B800DAA8EBB09FAF4E22CDF15DAD6A03887096FC760AE7E 8 Spy.Voltar delall %SystemDrive%\USERS\1\APPDATA\ROAMING\NETPROTOCOL.EXE bl AAE10BA991F959ED886766F15F6451BF 174080 delall %SystemDrive%\USERS\1\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\VGKHUVY1BWQ.EXE delall %SystemDrive%\USERS\1\APPDATA\LOCAL\MEDIAGET2\MEDIAGET.EXE delall %SystemDrive%\USERS\1\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE chklst delvir delref HTTP://WEBALTA.RU delref HTTP://WEBALTA.RU/POISK deltmp delnfr czoo restart

Код

;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv6.0
zoo %SystemDrive%\USERS\1\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\VGKHUVY1BWQ.EXE
addsgn 731D39C7556A19F9E75742A1C55061452575C9F6F1BA1FF988E0B9FC50E90D0C2385427A1929DD4905A1849FB9C4CA027D18EDF6219AB0F91A77A42043072273 8 tr.carberp
zoo %SystemDrive%\USERS\1\APPDATA\ROAMING\NETPROTOCOL.EXE
addsgn 1A42609A55835B8CF42BFB3A8849FE2D268AFC5551575F780CCE111110D6F859F3BA8357B74851E46B800DAA8EBB09FAF4E22CDF15DAD6A03887096FC760AE7E 8 Spy.Voltar
delall %SystemDrive%\USERS\1\APPDATA\ROAMING\NETPROTOCOL.EXE
bl AAE10BA991F959ED886766F15F6451BF 174080
delall %SystemDrive%\USERS\1\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\VGKHUVY1BWQ.EXE
delall %SystemDrive%\USERS\1\APPDATA\LOCAL\MEDIAGET2\MEDIAGET.EXE
delall %SystemDrive%\USERS\1\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
chklst
delvir
delref HTTP://WEBALTA.RU
delref HTTP://WEBALTA.RU/POISK
deltmp
delnfr
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: 2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

Оперативная память = WINLOGON.EXE(624) - модифицированный Win32/Dorkbot.B червь - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.06.2012 17:02:27

Код
;uVS v3.75 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 addsgn A7679B19B90E8B37F3D4AEB1640F57D9248AFCF6E1FA0F38852B4741AF29F28827B4C3277E55F749D495C8FF061670FF7DAFA87220A37769F543A42FC7C1679B 8 Dorkbot zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\5.EXE addsgn A7679BF0AA0294224BD4C64946881261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C07D0C49F75C4C32EF4CAC41415DA3BE4AC965B2FC706AB7E 8 Dorkbot zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\ZABERG.EXE bl A07C9ACD0D1F256F7152AFB295E5A23B 40960 delall %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\ZABERG.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\5.EXE adddir %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA chklst delvir deltmp delnfr regt 5 regt 12 restart

Код

;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
addsgn A7679B19B90E8B37F3D4AEB1640F57D9248AFCF6E1FA0F38852B4741AF29F28827B4C3277E55F749D495C8FF061670FF7DAFA87220A37769F543A42FC7C1679B 8 Dorkbot
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\5.EXE
addsgn A7679BF0AA0294224BD4C64946881261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C07D0C49F75C4C32EF4CAC41415DA3BE4AC965B2FC706AB7E 8 Dorkbot
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\ZABERG.EXE
bl A07C9ACD0D1F256F7152AFB295E5A23B 40960
delall %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\ZABERG.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\5.EXE
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA
chklst
delvir
deltmp
delnfr
regt 5
regt 12
restart

Изменено: santy - 01.06.2012 17:04:59

[ Как создать образ автозапуска? ]

Перейти

Оперативная память = WINLOGON.EXE(624) - модифицированный Win32/Dorkbot.B червь - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.06.2012 14:30:45

Код
;uVS v3.75 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\ZABERG.EXE addsgn A7679BF0AA0224324BD4C6F55F881261848AFCF689AA7BF1A0C3C5BC50559D34704194DE5BBDAE92A2DD78F544E95CE26D9FE82BD6D7A86C6D775BACCA066233 8 tr.Carberp addsgn A7679BF0AA0224324BD4C6A14C881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CB23D9FE82BD6D7C4486D775BACCA7E4633 8 Dorkbot addsgn A7679BF0AA0294124BD4C64956881261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C07E0C49F75C4C32EF4CAF4F415DA3BE4AC965B2FC706AB7E 8 BackDoor.IRC.NgrBot.42 [DrWeb] zoo %SystemDrive%\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\AVMSC.EXE delall %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\ZABERG.EXE delall %SystemDrive%\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\AVMSC.EXE adddir %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\CLTETG.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\HMTETL.EXE chklst delvir deltmp delnfr regt 5 czoo restart

Код

;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\ZABERG.EXE
addsgn A7679BF0AA0224324BD4C6F55F881261848AFCF689AA7BF1A0C3C5BC50559D34704194DE5BBDAE92A2DD78F544E95CE26D9FE82BD6D7A86C6D775BACCA066233 8 tr.Carberp
addsgn A7679BF0AA0224324BD4C6A14C881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CB23D9FE82BD6D7C4486D775BACCA7E4633 8 Dorkbot
addsgn A7679BF0AA0294124BD4C64956881261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C07E0C49F75C4C32EF4CAF4F415DA3BE4AC965B2FC706AB7E 8 BackDoor.IRC.NgrBot.42 [DrWeb]
zoo %SystemDrive%\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\AVMSC.EXE
delall %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\ZABERG.EXE
delall %SystemDrive%\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\AVMSC.EXE
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\CLTETG.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\HMTETL.EXE
chklst
delvir
deltmp
delnfr
regt 5
czoo
restart

Изменено: santy - 01.06.2012 14:31:23

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Заблокирован доступ к рабочему столу Windows

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.06.2012 13:57:45

далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти