santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] Похоже вирус

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 25.04.2012 10:52:25

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.75 BETA1 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA deltmp delnfr restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

ошибка обновления баз сигнатур

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 25.04.2012 10:47:52

сделайте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Перейти

Оперативная память » explorer.exe(792) - модифицированный Win32/TrojanDownloader.Carberp.AH троянская программа - очистка невозможна, Помогите решить проблему, explorer.exe(792) бывает выдаёт другие (954 и тд),находиться почемуто только после принудительной перезагрузке, если включать с нуля вешает комп намертво.Загрузка ЦП 100%

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 25.04.2012 10:46:02

удалите все найденное в мбам, кроме

Цитата
Объекты реестра обнаружены: 1 HKLM\SOFTWARE\Microsoft\Security Center\|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

далее,
перегрузить систему и повторить быстрый скан в малваребайт
--------------
если все будет чисто
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Перейти

Оперативная память explorer.exe - удаление не возможно., Помогите удалить Оперативная память » explorer.exe (здесь различные значения) - модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 25.04.2012 08:50:24

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\TQFRZHIG0EY.EXE addsgn C125F653B00F4C725E5F423288C493285FDCBCF6FFDA1F787AF6D57F14D6F0516B978757AC219D49D49530AC0616CC3ABADAB4F211DAF87A2D77ABABD6062273 8 tr.Carberp delall %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\TQFRZHIG0EY.EXE chklst delvir deltmp delnfr setdns Подключение по локальной сети\4\{28F40107-4B46-48E2-9415-B1E2B1C194BD}\ setdns Сетевое подключение Bluetooth\4\{7D80752B-6D73-423C-9B95-15F39032559E}\ EXEC cmd /c"ipconfig /flushdns" CZOO restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
zoo %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\TQFRZHIG0EY.EXE
addsgn C125F653B00F4C725E5F423288C493285FDCBCF6FFDA1F787AF6D57F14D6F0516B978757AC219D49D49530AC0616CC3ABADAB4F211DAF87A2D77ABABD6062273 8 tr.Carberp
delall %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\TQFRZHIG0EY.EXE
chklst
delvir
deltmp
delnfr
setdns Подключение по локальной сети\4\{28F40107-4B46-48E2-9415-B1E2B1C194BD}\
setdns Сетевое подключение Bluetooth\4\{7D80752B-6D73-423C-9B95-15F39032559E}\
EXEC cmd /c"ipconfig /flushdns"
CZOO
restart

перезагрузка, пишем о старых и новых проблемах.
архив, из каталога uVS, созданный после скрипта (например: 2011-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

Изменено: santy - 25.04.2012 10:05:44

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Оперативная память = explorer.exe(908) вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программ очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 25.04.2012 08:38:06

лог малваребайт сделайте после выполнения скрипта
если все будет чисто,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 25.04.2012 05:46:14

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 addsgn FF1B629A553FC79E8838A24E51D8D1412575E90ABBBA1FF9A0C345F8500A644C239203903B4D1D0D2B9CBD9F4619CDE17DDFE8F3405E846C2DABF26FC735E2B4 8 tr.Carberp zoo %SystemDrive%\USERS\EXCEL\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\08OPNGJESHA.EXE delall %SystemDrive%\USERS\EXCEL\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\08OPNGJESHA.EXE chklst delvir deltmp delnfr setdns Подключение по локальной сети 3\4\{11B06160-F12E-46D2-B16D-2E40CBDAE78B}\ EXEC cmd /c"ipconfig /flushdns" restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
addsgn FF1B629A553FC79E8838A24E51D8D1412575E90ABBBA1FF9A0C345F8500A644C239203903B4D1D0D2B9CBD9F4619CDE17DDFE8F3405E846C2DABF26FC735E2B4 8 tr.Carberp
zoo %SystemDrive%\USERS\EXCEL\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\08OPNGJESHA.EXE
delall %SystemDrive%\USERS\EXCEL\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\08OPNGJESHA.EXE
chklst
delvir
deltmp
delnfr
setdns Подключение по локальной сети 3\4\{11B06160-F12E-46D2-B16D-2E40CBDAE78B}\
EXEC cmd /c"ipconfig /flushdns"
restart

Изменено: santy - 25.04.2012 05:47:26

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] win32 trojandownloader.carberp.ah троянская программа очистка невозможна., Помогите пожалуйста!

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 24.04.2012 13:41:05

здесь

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Win32/Spy.Zbot.ZR троянская программа очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 24.04.2012 12:14:55

чисто, выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/
тему закрываю.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Оперативная память » explorer.exe(1620) - модифицированный Win32/TrojanDownloader.Carberp.AH троянская программа - очистка невозможна, Помогите решить проблему

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 24.04.2012 12:13:08

скрипт выполнен или нет последний? пишите конкретнее.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Оперативная память » explorer.exe(1072) модифицированный Win32/TrojanDownloader.Carberp.AD, EAV обнаружил в памяти троян, но не может его удалить

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 24.04.2012 12:12:04

Цитата
amd2011 пишет: Вот этот журнал comp_2012-04-24_11-29-01.7z после лечения Больше никакого зла нет?

а что от нас хотите тогда, раз сами можете пролечить?
мы работаем только с образами, которые сделаны на текущий момент. тему закрываю.

[ Как создать образ автозапуска? ]

Перейти