santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] Проблема с вирусом

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 15.04.2012 19:43:17

удалить в МБАМ все найденное, кроме

Цитата
HKLM\SOFTWARE\Microsoft\Security Center\|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Security Center\|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Security Center\|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

Цитата

HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

после удаления выполнить повторный быстрый скан в мбам
если все будет чисто,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Троян в оперативной памяти, как удалить

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 15.04.2012 19:25:52

сорри, но тема будет закрыта по причине использование вами программы

Цитата
TNod User & Password Finder

обратитесь на другой форум за помощью.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Проблема с вирусом

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 15.04.2012 19:02:13

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 delall %Sys32%\4CC567E0.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\LICIGY\UNZAK.EXE delall %Sys32%\NX5CR8C.EXE addsgn A7679B19B932262C614BC6B1277A496F7A620ED989FA9CBC95902D5B7ED67124237E64405655B84AC8EA8EF74602C90D95B7DA725559743C7BCD6624C706A97E 8 tr.Carberp zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\D3VCLSDODHC.EXE bl FB78C0EA52C04AC8C62A47EF2C3B3920 176640 delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\D3VCLSDODHC.EXE chklst delvir delall %SystemDrive%\PROGRAM FILES\PCHD\PCHDPLAYER.EXE delref HTTP://WEBALTA.RU delref HTTP://XTREME.WS/ delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML deltmp delnfr regt 12 CZOO restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
delall %Sys32%\4CC567E0.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\LICIGY\UNZAK.EXE
delall %Sys32%\NX5CR8C.EXE
addsgn A7679B19B932262C614BC6B1277A496F7A620ED989FA9CBC95902D5B7ED67124237E64405655B84AC8EA8EF74602C90D95B7DA725559743C7BCD6624C706A97E 8 tr.Carberp
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\D3VCLSDODHC.EXE
bl FB78C0EA52C04AC8C62A47EF2C3B3920 176640
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\D3VCLSDODHC.EXE
chklst
delvir
delall %SystemDrive%\PROGRAM FILES\PCHD\PCHDPLAYER.EXE
delref HTTP://WEBALTA.RU
delref HTTP://XTREME.WS/
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
deltmp
delnfr
regt 12
CZOO
restart

перезагрузка,
архив из каталога uVS (по формату: 2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Троян в оперативной памяти, как удалить

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 15.04.2012 18:55:47

скриншот не нужен, нужен образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Перейти

Оперативная память explorer.exe(1892) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 15.04.2012 17:39:42

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\KHVFAVG3R1I.EXE addsgn A7679B1BB9F24C720BBCAEA1CA147A05CCA89C9E895081A4EF3C2DDA63D671CFE707903F3E5BBBF94380EE1D407CE1908BB7E8F48A6C58661E77A4AC03127419 8 tr.Carberp bl A45A46E9D1C1153A3817F87CA8FC98F9 299560 delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\KHVFAVG3R1I.EXE chklst delvir deltmp delnfr setdns Подключение по локальной сети 2\4\{49FB4F13-2D2A-4ED2-B2DA-7633BDD412FF}\8.8.8.8,8.8.4.4 setdns Подключение по локальной сети\4\{79DF8B2F-075E-442E-B06B-BE44DE049EE1}\8.8.8.8,8.8.4.4 EXEC cmd /c"ipconfig /flushdns" CZOO restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\KHVFAVG3R1I.EXE
addsgn A7679B1BB9F24C720BBCAEA1CA147A05CCA89C9E895081A4EF3C2DDA63D671CFE707903F3E5BBBF94380EE1D407CE1908BB7E8F48A6C58661E77A4AC03127419 8 tr.Carberp

bl A45A46E9D1C1153A3817F87CA8FC98F9 299560
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\KHVFAVG3R1I.EXE
chklst
delvir
deltmp
delnfr
setdns Подключение по локальной сети 2\4\{49FB4F13-2D2A-4ED2-B2DA-7633BDD412FF}\8.8.8.8,8.8.4.4
setdns Подключение по локальной сети\4\{79DF8B2F-075E-442E-B06B-BE44DE049EE1}\8.8.8.8,8.8.4.4
EXEC cmd /c"ipconfig /flushdns"
CZOO
restart

Изменено: santy - 15.04.2012 17:40:25

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Win32/TrojanDownloader.Carberp.AD троянская программа очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 15.04.2012 15:44:51

Цитата
tarasovKirill пишет: В общем переустановка драйвера ничего не дала, но прошло потом немного времени и ,о чудо, все заработало) правда в IE все по-прежнему , ну да ладно. в любом случае, спасибо вам

пробуйте очистить кэши всех браузеров.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Оперативная память = explorer.exe(2368) Вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 15.04.2012 05:56:28

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 addsgn 1AF6629A5583C58CF42B254E3143FE84C9A2FFF68959C704C6C34CB184AA324CAA02132B7D551454E7FCC79FCF2381863EDF614F91A6F32C4BFBB1DFBB452215 8 tr.Carberp zoo %SystemDrive%\USERS\МЭЛТ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\TP0HBMCG1EI.EXE bl 9875E30BE74FD46B9E3EB0CA8E58E640 165888 delall %SystemDrive%\USERS\МЭЛТ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\TP0HBMCG1EI.EXE chklst delvir deltmp delnfr restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
addsgn 1AF6629A5583C58CF42B254E3143FE84C9A2FFF68959C704C6C34CB184AA324CAA02132B7D551454E7FCC79FCF2381863EDF614F91A6F32C4BFBB1DFBB452215 8 tr.Carberp
zoo %SystemDrive%\USERS\МЭЛТ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\TP0HBMCG1EI.EXE
bl 9875E30BE74FD46B9E3EB0CA8E58E640 165888
delall %SystemDrive%\USERS\МЭЛТ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\TP0HBMCG1EI.EXE
chklst
delvir
deltmp
delnfr
restart

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Вирус в оперативной памяти,очистка невозможна,что делать?

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 14.04.2012 21:33:39

Цитата
14.04.2012 22:05:12 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = explorer.exe(1820) модифицированный Win32/Spy.Shiz.NCE троянская программа очистка невозможна

--------
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 addsgn A7679B19B95ECD77DB47EEB19FC512054F7503E3357A5F78B4C60C2E10D61B4C4917ABACAD159D21EE06A29F159B4CDEED9FE8223D35226C2D1D8CC71F1A2273 8 Spy.Shiz zoo %SystemRoot%\APPPATCH\TOOTDNI.EXE delall %SystemRoot%\APPPATCH\TOOTDNI.EXE chklst delvir deltmp delnfr regt 12 CZOO restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

addsgn A7679B19B95ECD77DB47EEB19FC512054F7503E3357A5F78B4C60C2E10D61B4C4917ABACAD159D21EE06A29F159B4CDEED9FE8223D35226C2D1D8CC71F1A2273 8 Spy.Shiz

zoo %SystemRoot%\APPPATCH\TOOTDNI.EXE
delall %SystemRoot%\APPPATCH\TOOTDNI.EXE
chklst
delvir
deltmp
delnfr
regt 12
CZOO
restart

[ Как создать образ автозапуска? ]

Перейти

Win32/TrojanDownloader.Carberp.AH

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 14.04.2012 21:30:30

опыт.

.
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Перейти

Win32/TrojanDownloader.Carberp.AH, Просьба посоветовать, как удалить троян

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 14.04.2012 20:33:47

если проблема с обновлением решится,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Перейти