santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] вымогатель блокирует загрузку системы

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.05.2012 16:52:33

хорошо, пробуйте пролечить MBRlock
выполнить в uVS скрипт из файла.
файл скрипта скачать отсюда
http://rghost.ru/38042807
после выполнения скрипта перегрузите систему в нормальный режим,
пишем результат.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] вымогатель блокирует загрузку системы

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.05.2012 16:00:39

если система Win7, то раздел с системой скорее всего на D,
------------
проверьте есть ли диалог на содержимое диска D

Изменено: santy - 12.05.2012 16:06:31

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] вымогатель блокирует загрузку системы

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.05.2012 14:14:37

вот в такой последовательности надо делать образ автозапуска из под WinPE

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] вымогатель блокирует загрузку системы

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.05.2012 13:20:11

образ правильный нужен, поскольку кроме MBRLock может быть еще что-то ест ьв автозагрузке системы.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] вымогатель блокирует загрузку системы

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.05.2012 13:15:10

образ сделан неверно, не выбрана система с жесткого с диска.
------
необходимо вначале выбрать каталог системы с жесткого диска, затем текущий пользователь.
-------
да, судя даже по этому образу, понятно, что Live.CD DrWeb здесь не поможет.
MBRLock
https://www.virustotal.com/file/6acba50e5c32a1db3ecc40fbab485ce1a3ebac71e37c5c1e6098853039725c52/analysis/1336814137/

Цитата
Полное имя MBR#0 [149,0GB] Имя файла MBR#0 [149,0GB] Тек. статус ?ВИРУС? загрузчик www.virustotal.com Хэш НЕ найден на сервере. www.virustotal.com 2012-05-12 [2012-05-12 09:15:37 UTC ( 3 minutes ago )] BitDefender Rootkit.MBR.Locker.D DrWeb Trojan.MBRlock.6 Сохраненная информация на момент создания образа Статус загрузчик Размер 440 байт Доп. информация на момент обновления списка SHA1 AA91A7C7A8B42C4CC9D93E6ED64680F6FC10372E

Цитата

Полное имя MBR#0 [149,0GB]
Имя файла MBR#0 [149,0GB]
Тек. статус ?ВИРУС? загрузчик

www.virustotal.com Хэш НЕ найден на сервере.
www.virustotal.com 2012-05-12 [2012-05-12 09:15:37 UTC ( 3 minutes ago )]
BitDefender Rootkit.MBR.Locker.D
DrWeb Trojan.MBRlock.6

Сохраненная информация на момент создания образа
Статус загрузчик
Размер 440 байт

Доп. информация на момент обновления списка
SHA1 AA91A7C7A8B42C4CC9D93E6ED64680F6FC10372E

Изменено: santy - 12.05.2012 13:19:26

[ Как создать образ автозапуска? ]

Перейти

Оперативная память = taskhost.exe(2004) - модифицированный Win32/Spy.Shiz.NCE троянская программа - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.05.2012 12:08:26

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.75 BETA1 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 addsgn A7679B19B956CD5FAD66EFB19AC91205DA9F2046CAFA3E7D407184BCDD55F24C2317AA976AC68349916825B846258B7B50ED503355332E352D04A8A4CA0B9032 8 Spy.Shiz zoo %SystemRoot%\APPPATCH\KNJOWAH.EXE delall %SystemRoot%\APPPATCH\KNJOWAH.EXE chklst delvir deltmp delnfr regt 12 CZOO restart

Код

;uVS v3.75 BETA1 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

addsgn A7679B19B956CD5FAD66EFB19AC91205DA9F2046CAFA3E7D407184BCDD55F24C2317AA976AC68349916825B846258B7B50ED503355332E352D04A8A4CA0B9032 8 Spy.Shiz

zoo %SystemRoot%\APPPATCH\KNJOWAH.EXE
delall %SystemRoot%\APPPATCH\KNJOWAH.EXE
chklst
delvir
deltmp
delnfr
regt 12
CZOO
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS, созданный после скрипта (например: 2011-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] вымогатель блокирует загрузку системы

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.05.2012 10:55:06

образ Winpe&uVS в данной момент доступен только на rutracker (необходима регистрация). на dropbox аккаунт временно ограничен,
можно еще отсюда скачать образ
https://www.wuala.com/al_1963/Документы/avirus/WinPe&uVS/?key=1KQ40usPpDQU

[ Как создать образ автозапуска? ]

Перейти

уже три дня не могу убить карбриб

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 12.05.2012 10:50:31

скрипт лучше выполнить в такой редакции
------------------
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.75 BETA1 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\WYQV1FTCQ1A.EXE addsgn A7679B1BB9EE4C720B3C4B9164C8418E38F61CB789921F14542CADBCCEDA5024237F65CC6EBD416A2B80075B567C4A927D3C17553FBDDAC847804C06D90622F0 8 Carberp.0504 bl 7C5149B6AB88F88D3C385E714BA76632 136704 delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\WYQV1FTCQ1A.EXE addsgn 7BC9DF8B156AF3127597AE80A471727B668AD50F7509B5E35E20952789EA55D7A31BE768E779B911950096DF46A9C1E83DDFD18523DC4C81D2A74FD9AD07CAB2 8 smallHTTP zoo %SystemRoot%\TEMP\RPGBTJC.EXE delall %SystemRoot%\TEMP\RPGBTJC.EXE delref %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER3.DLL delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\W2GPLBEW\WMPPLUGIN[1].EXE chklst delvir delref HTTP://QIP.RU delref HTTP://SEARCH.QIP.RU delall %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER.EXE deltmp delnfr EXEC cmd /c"netsh winsock reset catalog" CZOO restart

Код

;uVS v3.75 BETA1 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\WYQV1FTCQ1A.EXE
addsgn A7679B1BB9EE4C720B3C4B9164C8418E38F61CB789921F14542CADBCCEDA5024237F65CC6EBD416A2B80075B567C4A927D3C17553FBDDAC847804C06D90622F0 8 Carberp.0504

bl 7C5149B6AB88F88D3C385E714BA76632 136704
delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\WYQV1FTCQ1A.EXE
addsgn 7BC9DF8B156AF3127597AE80A471727B668AD50F7509B5E35E20952789EA55D7A31BE768E779B911950096DF46A9C1E83DDFD18523DC4C81D2A74FD9AD07CAB2 8 smallHTTP

zoo %SystemRoot%\TEMP\RPGBTJC.EXE
delall %SystemRoot%\TEMP\RPGBTJC.EXE
delref %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER3.DLL
delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.IE5\W2GPLBEW\WMPPLUGIN[1].EXE
chklst
delvir
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
delall %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER.EXE
deltmp
delnfr
EXEC cmd /c"netsh winsock reset catalog"
CZOO
restart

Изменено: santy - 12.05.2012 10:51:14

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Trojan.Downloader.Carberp.AD помогите удалить

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 11.05.2012 17:28:20

Код
;uVS v3.75 BETA1 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 addsgn A7679BF0AA0244234BD4C6772A881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95C2E2D9FE82BD6D7B0AC69775BACCA02A237 8 Carberp.AD.0511 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\RVS\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\Q61UKI2OPHI.EXE bl BF4B686DE4DF68F3C9408C954991A285 199168 delall %SystemDrive%\DOCUMENTS AND SETTINGS\RVS\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\Q61UKI2OPHI.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML chklst delvir deltmp delnfr CZOO restart

Код

;uVS v3.75 BETA1 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

addsgn A7679BF0AA0244234BD4C6772A881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95C2E2D9FE82BD6D7B0AC69775BACCA02A237 8 Carberp.AD.0511

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\RVS\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\Q61UKI2OPHI.EXE
bl BF4B686DE4DF68F3C9408C954991A285 199168
delall %SystemDrive%\DOCUMENTS AND SETTINGS\RVS\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\Q61UKI2OPHI.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
chklst
delvir
deltmp
delnfr
CZOO
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: 2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Spy.Shiz.NCE

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 10.05.2012 10:57:40

выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Перейти