santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] Win32/Spy.Zbot.ZR троянская программа очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.04.2012 17:39:26

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE delall %Sys32%\MSUPDT.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\ZEATYM\USLYS.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\CHEFF\APPLICATION DATA\BATUY\NOMY.EXE deltmp delnfr regt 12 CZOO restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %Sys32%\MSUPDT.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\ZEATYM\USLYS.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\CHEFF\APPLICATION DATA\BATUY\NOMY.EXE
deltmp
delnfr
regt 12
CZOO
restart

перезагрузка,
архив из каталога uVS (по формату: 2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] снова Carverp.AB

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.04.2012 15:07:59

да, то что в ZOO - отправить в почту в архиве с паролем virus
-------
так же выполните скан в малваребайт,

если все будет чисто

выполните наши рекомендации

http://forum.esetnod32.ru/forum9/topic3998/

сертификаты, думаю не надо менять, насчет пароля, проконсультируйтесь с поддержкой, кто выдал вам сертификат, или с поддержкой банка.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] снова Carverp.AB

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.04.2012 12:10:00

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 addsgn A7679B19B94E2CFB2620BDF264370711C5C8FC7FCC0A943D75CC73F452558810571B4802CE5A2B0B28037CC33313A107802017FF1822E144092CA42FAFDB1C73 8 tr.Carberp zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ZINOVEVA_LN.CIRV\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\VF08FV8BAE.EXE bl 515C782A839B2D09CC276932EF49772C 203360 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ZINOVEVA_LN.CIRV\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\VF08FV8BAE.EXE chklst delvir deltmp delnfr CZOO restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

addsgn A7679B19B94E2CFB2620BDF264370711C5C8FC7FCC0A943D75CC73F452558810571B4802CE5A2B0B28037CC33313A107802017FF1822E144092CA42FAFDB1C73 8 tr.Carberp

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ZINOVEVA_LN.CIRV\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\VF08FV8BAE.EXE
bl 515C782A839B2D09CC276932EF49772C 203360
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ZINOVEVA_LN.CIRV\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\VF08FV8BAE.EXE
chklst
delvir
deltmp
delnfr
CZOO
restart

перезагрузка, пишем о старых и новых проблемах.
архив, из каталога uVS, созданный после скрипта (например: 2011-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] конфликт Медиа Гет с Нодом, Как устранить конфликт с антивирусом и торрентом

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.04.2012 11:26:09

вот уж действительно дети ЕГЭ, все им до последней буквы почитай и объясни, еще и точку поставь своей ручкой.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] конфликт Медиа Гет с Нодом, Как устранить конфликт с антивирусом и торрентом

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.04.2012 10:32:10

Цитата
0 февраля 2012 года Компания «Доктор Веб» разъясняет ситуацию с включением торрент-клиента MediaGet в список потенциально опасных приложений, которое произошло в сентябре 2011 года. На данный момент антивирусные продукты Dr.Web блокируют посещение сайта разработчиков программы и ряда других ресурсов, размещающих ссылки на ее скачивание, — все они добавлены в базы Dr.Web с резолюцией «Нерекомендуемый сайт».

Цитата

0 февраля 2012 года

Компания «Доктор Веб» разъясняет ситуацию с включением торрент-клиента MediaGet в список потенциально опасных приложений, которое произошло в сентябре 2011 года. На данный момент антивирусные продукты Dr.Web блокируют посещение сайта разработчиков программы и ряда других ресурсов, размещающих ссылки на ее скачивание, — все они добавлены в базы Dr.Web с резолюцией «Нерекомендуемый сайт».

-------
http://news.drweb.com/?i=2205&c=5&lng=ru

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] модифицированный Win32/Spy.SpyEye.CA

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.04.2012 08:46:35

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 addsgn 1AAB689A5583C58CF42B627DA804DEC9E946307BCB0544BB0867E1BC50D671C14733C364FEDFD96D23D30F4787F6417129FBE08597D9B02C2D03B1A5CD85E072 8 spyEye zoo %SystemDrive%\SYSTEMHOST\24FC2AE3727.EXE delall %SystemDrive%\SYSTEMHOST\24FC2AE3727.EXE addsgn A767B1B196234FB380151A876709522EE4013747DABA92748D4AE998DD9741F95443489A7608DC09A0436C4D46164971B096657E059258BD2977A4A40A8DF2F0 8 tr.Carberp zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ПРОГРАММИСТ\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\THIDCTKSGBG.EXE bl F1A48C6E8940B69233A8A07E4BD924FF 132096 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ПРОГРАММИСТ\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\THIDCTKSGBG.EXE addsgn A759503B30900D722016E70475782788211A5DB971BB1F380E0E75A97B1BFC0D759EEF7331E25DFC63D430CC45DC14F5CA15EBBADE1158E52D77A4A4092DEDFE 8 tr.Carberp zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ПРОГРАММИСТ\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\WBTQSKCRDE4.EXE bl BEC107ADBF0C2456BA02C0230C02C10B 132096 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ПРОГРАММИСТ\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\WBTQSKCRDE4.EXE chklst delvir deltmp delnfr CZOO restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
addsgn 1AAB689A5583C58CF42B627DA804DEC9E946307BCB0544BB0867E1BC50D671C14733C364FEDFD96D23D30F4787F6417129FBE08597D9B02C2D03B1A5CD85E072 8 spyEye
zoo %SystemDrive%\SYSTEMHOST\24FC2AE3727.EXE
delall %SystemDrive%\SYSTEMHOST\24FC2AE3727.EXE
addsgn A767B1B196234FB380151A876709522EE4013747DABA92748D4AE998DD9741F95443489A7608DC09A0436C4D46164971B096657E059258BD2977A4A40A8DF2F0 8 tr.Carberp
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ПРОГРАММИСТ\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\THIDCTKSGBG.EXE
bl F1A48C6E8940B69233A8A07E4BD924FF 132096
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ПРОГРАММИСТ\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\THIDCTKSGBG.EXE
addsgn A759503B30900D722016E70475782788211A5DB971BB1F380E0E75A97B1BFC0D759EEF7331E25DFC63D430CC45DC14F5CA15EBBADE1158E52D77A4A4092DEDFE 8 tr.Carberp
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ПРОГРАММИСТ\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\WBTQSKCRDE4.EXE
bl BEC107ADBF0C2456BA02C0230C02C10B 132096
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ПРОГРАММИСТ\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\WBTQSKCRDE4.EXE
chklst
delvir
deltmp
delnfr
CZOO
restart

Изменено: santy - 20.04.2012 08:46:48

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Оперативная память = explorer.exe(1920) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.04.2012 07:58:17

сори, тема закрыта по причине нарушения вами лицензионного соглашения.

Цитата
TNod User & Password Finder

обратитесь на другой форум за помощью в лечении.

[ Как создать образ автозапуска? ]

Перейти

Оперативная память = explorer.exe(2100) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.04.2012 07:39:17

Цитата
zloyDi пишет: Второй лог был точно в безопасном режиме?

Цитата
См. в логе строчку, где версия и система: Boot: Fail-safe или Boot: Normal иначе.

судя по логу второго образа, действительно так.

Цитата
uVS v3.74: Windows 7 Ultimate x86 (NT v6.1) build 7600 [C:\WINDOWS] Свободно физической памяти 1527Mb из 2046Mb Свободно на системном диске: 791,2MB Boot: Fail-safe

Изменено: santy - 20.04.2012 07:42:19

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Оперативная память » explorer.exe(1960) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.04.2012 06:14:14

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 zoo %SystemDrive%\USERS\АЯЛ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\ZDQTYF5JBAI.EXE addsgn A7679B1BB9FA4C720BBE625981EE1205A64EF81E53CA1F78D6A94BD698BCD02642FF0F673E551E8D3BEAF8F50BFECFC97DDF6BB65D8CDAD9C589892FC785E677 10 Gen:Variant.Kazy.56037 bl F2306A82440080F0E23808029E78AB41 141312 delall %SystemDrive%\USERS\АЯЛ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\ZDQTYF5JBAI.EXE chklst delvir deltmp delnfr CZOO restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
zoo %SystemDrive%\USERS\АЯЛ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\ZDQTYF5JBAI.EXE
addsgn A7679B1BB9FA4C720BBE625981EE1205A64EF81E53CA1F78D6A94BD698BCD02642FF0F673E551E8D3BEAF8F50BFECFC97DDF6BB65D8CDAD9C589892FC785E677 10 Gen:Variant.Kazy.56037
bl F2306A82440080F0E23808029E78AB41 141312
delall %SystemDrive%\USERS\АЯЛ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\ZDQTYF5JBAI.EXE
chklst
delvir
deltmp
delnfr
CZOO
restart

[ Как создать образ автозапуска? ]

Перейти

Оперативная память = explorer.exe(2100) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.04.2012 06:11:00

Цитата
19.04.2012 17:07:30 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = explorer.exe(488) вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа очистка невозможна Марина-ПК\Марина

если проблема не решена,
еще раз сделайте все вместе:
1. лог сканирования в ESET NOD32 только оперативной памяти

2. лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

3. образ автозапуска в безопасном режиме

Изменено: santy - 20.04.2012 06:11:27

[ Как создать образ автозапуска? ]

Перейти