santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] Win32/Spy.Shiz.NCE троянская программа

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.04.2012 19:14:17

удалите найденное в мбам за исключением

Цитата
HKLM\SOFTWARE\Microsoft\Security Center\|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

далее,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Win32/Spy.Shiz.NCE троянская программа

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.04.2012 18:39:43

продолжите выполнение рекомендаций по очистке системы со слов
далее

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Оперативная память = dwm.exe(3192) - модифицированный Win32/Spy.Shiz.NCE троянская программа - очистка невозможна, Помогите удалить вирус

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.04.2012 18:38:14

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 zoo %SystemRoot%\APPPATCH\EUDHKPQ.EXE addsgn A7679B19B91ECD77EC17EEB108D612054DFE3EB689050A041583C5B55510B30C23E8D617AE159D482E5147DF46956CB3BF9FE833D8DFD0E96D77F47C383394B0 8 Spy.Shiz delall %SystemRoot%\APPPATCH\EUDHKPQ.EXE addsgn A7679B19B906B3776214EEB10EC878054F8A03E3F56A5F78ACC6797D10D6FCC8D36471413EEEAE491B80AF5CB11369393DDFF6DB48DAC33E455D8E28C789276C 8 tr zoo %SystemDrive%\USERS\BRUTAL\APPDATA\LOCAL\TEMP\0.9926834424445751.EXE delall %SystemDrive%\USERS\BRUTAL\APPDATA\LOCAL\TEMP\0.9926834424445751.EXE addsgn A7679B19B9327FBB63D41C500EA0123B593A967D61322578854001B03AB11BA44B17807BBE3D9D52F09A6CBB78164979B9CFBBC9FC8BB02C84BCF82FC7734519 8 Carberp zoo %SystemDrive%\USERS\BRUTAL\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\GBVLVZVE58Q.EXE delall %SystemDrive%\USERS\BRUTAL\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\GBVLVZVE58Q.EXE chklst delvir delref HTTP://WEBALTA.RU delref HTTP://WWW.BIGSEEKPRO.COM/FLYONDESKTOP/{E16A3983-66A1-4E4A-830F-42EB4187420E} deltmp delnfr regt 12 czoo restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
zoo %SystemRoot%\APPPATCH\EUDHKPQ.EXE
addsgn A7679B19B91ECD77EC17EEB108D612054DFE3EB689050A041583C5B55510B30C23E8D617AE159D482E5147DF46956CB3BF9FE833D8DFD0E96D77F47C383394B0 8 Spy.Shiz
delall %SystemRoot%\APPPATCH\EUDHKPQ.EXE
addsgn A7679B19B906B3776214EEB10EC878054F8A03E3F56A5F78ACC6797D10D6FCC8D36471413EEEAE491B80AF5CB11369393DDFF6DB48DAC33E455D8E28C789276C 8 tr
zoo %SystemDrive%\USERS\BRUTAL\APPDATA\LOCAL\TEMP\0.9926834424445751.EXE
delall %SystemDrive%\USERS\BRUTAL\APPDATA\LOCAL\TEMP\0.9926834424445751.EXE
addsgn A7679B19B9327FBB63D41C500EA0123B593A967D61322578854001B03AB11BA44B17807BBE3D9D52F09A6CBB78164979B9CFBBC9FC8BB02C84BCF82FC7734519 8 Carberp
zoo %SystemDrive%\USERS\BRUTAL\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\GBVLVZVE58Q.EXE
delall %SystemDrive%\USERS\BRUTAL\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\GBVLVZVE58Q.EXE
chklst
delvir
delref HTTP://WEBALTA.RU
delref HTTP://WWW.BIGSEEKPRO.COM/FLYONDESKTOP/{E16A3983-66A1-4E4A-830F-42EB4187420E}
deltmp
delnfr
regt 12
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив (например: 2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту [email protected], [email protected]
(если архив не был создан автоматически, добавить папку ZOO (если она не пуста) в архив с паролем virus )
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Win32/Spy.Shiz.NCE троянская программа

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.04.2012 17:59:32

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 addsgn A7679B19B95E7FA0828152E20CC8AA3C3BE2FC16C3E4F714A2C3C53F94DE27C76EEBAB576EB50B23ECE8842576D021FAFAB2049A1AFDB02CAEB3B4C780212273 8 tr.Carberp zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ТЕРЕЗА\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\FJZL9KTH5YS.EXE bl 065E3E6908E39AD834C607B4037A2295 158720 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ТЕРЕЗА\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\FJZL9KTH5YS.EXE addsgn A7679B19B91ECD77EC17EEB108D612054DFE3EB689050A041583C5B55510B30C23E8D617AE159D482E5147DF46956CB3BF9FE833D8DFD0E96D77F47C383394B0 8 Spy.Shiz zoo %SystemRoot%\APPPATCH\GRFYEEP.EXE delall %SystemRoot%\APPPATCH\GRFYEEP.EXE chklst delvir deltmp delnfr regt 12 czoo restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
addsgn A7679B19B95E7FA0828152E20CC8AA3C3BE2FC16C3E4F714A2C3C53F94DE27C76EEBAB576EB50B23ECE8842576D021FAFAB2049A1AFDB02CAEB3B4C780212273 8 tr.Carberp
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ТЕРЕЗА\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\FJZL9KTH5YS.EXE
bl 065E3E6908E39AD834C607B4037A2295 158720
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ТЕРЕЗА\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\FJZL9KTH5YS.EXE
addsgn A7679B19B91ECD77EC17EEB108D612054DFE3EB689050A041583C5B55510B30C23E8D617AE159D482E5147DF46956CB3BF9FE833D8DFD0E96D77F47C383394B0 8 Spy.Shiz
zoo %SystemRoot%\APPPATCH\GRFYEEP.EXE
delall %SystemRoot%\APPPATCH\GRFYEEP.EXE
chklst
delvir
deltmp
delnfr
regt 12
czoo
restart

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Win32/Qhost троянская программа

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.04.2012 14:31:28

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 delall %SystemDrive%\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\APPLICATION DATA\MAIL.RU\MAILRUUPDATER.EXE deltmp delnfr regt 14 restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

delall %SystemDrive%\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\APPLICATION DATA\MAIL.RU\MAILRUUPDATER.EXE
deltmp
delnfr
regt 14
restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Оперативная память » explorer.exe(608) - модифицированный Win32/TrojanDownloader.Carberp.AH троянская программа - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.04.2012 14:26:33

это удалите в мбам,

Цитата
C:\Documents and Settings\Admin\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято. C:\WINDOWS\system32\ieunitdrf.inf (Malware.Trace) -> Действие не было предпринято.

далее,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Вирус в оперативной памяти,очистка невозможна,что делать?

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.04.2012 13:36:46

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 deltmp delnfr restart

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.04.2012 13:34:17

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ZMVTG62ZLQC.EXE addsgn A7679B1BB9A24D720B87F8E6A34D8EFBDA75FCF689FAD8FD613D3A4350D6714CE492AFA9C1AAF9492B80431AA6E8B60569DFE872929F482C2D77A4E842A6DC8C 8 tr.carberp bl FCF13C470F1D85E8772E4AA12E82B5FC 405544 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ZMVTG62ZLQC.EXE addsgn A7679B19B90AC7677BF4ECB10ECD7A053753919E8917C4CDEDC37D95333E8C7B231740932E06253E2B8084F5407C2B927DBB1ADBBD36882C2DF46023916C379B 8 a variant of Win32/Kryptik.ADHJ [NOD32] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\NX0LUZI1PM8.EXE bl 418D12BD3461436959AF0341AE3799B0 177152 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\NX0LUZI1PM8.EXE delall %SystemDrive%\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE chklst delvir deltmp delnfr czoo restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ZMVTG62ZLQC.EXE
addsgn A7679B1BB9A24D720B87F8E6A34D8EFBDA75FCF689FAD8FD613D3A4350D6714CE492AFA9C1AAF9492B80431AA6E8B60569DFE872929F482C2D77A4E842A6DC8C 8 tr.carberp
bl FCF13C470F1D85E8772E4AA12E82B5FC 405544
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ZMVTG62ZLQC.EXE
addsgn A7679B19B90AC7677BF4ECB10ECD7A053753919E8917C4CDEDC37D95333E8C7B231740932E06253E2B8084F5407C2B927DBB1ADBBD36882C2DF46023916C379B 8 a variant of Win32/Kryptik.ADHJ [NOD32]
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\NX0LUZI1PM8.EXE
bl 418D12BD3461436959AF0341AE3799B0 177152
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\NX0LUZI1PM8.EXE
delall %SystemDrive%\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE
chklst
delvir
deltmp
delnfr
czoo
restart

[ Как создать образ автозапуска? ]

Перейти

вероятно модифицированный

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.04.2012 13:31:34

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 addsgn A7679B19B952247256F71B5952FB1205A64EF89E89F908D5EDC3E1A53D3EB86123174093360626B92B80849C9E7C0D9082B58E1A55859001C58A942FC785E663 8 Carberp.AF zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\CLGUVMCVOKI.EXE bl 5AE89BC6B0D056D41413BB47C84CFF8F 159232 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\CLGUVMCVOKI.EXE chklst delvir deltmp delnfr czoo restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

addsgn A7679B19B952247256F71B5952FB1205A64EF89E89F908D5EDC3E1A53D3EB86123174093360626B92B80849C9E7C0D9082B58E1A55859001C58A942FC785E663 8 Carberp.AF
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\CLGUVMCVOKI.EXE
bl 5AE89BC6B0D056D41413BB47C84CFF8F 159232
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\CLGUVMCVOKI.EXE
chklst
delvir
deltmp
delnfr
czoo
restart

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Вирус в оперативной памяти,очистка невозможна,что делать?

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.04.2012 11:50:50

поясняю.
безопасный режим с поддержкой сети Safe mode вызывается при начальной загрузке системы нажатием F8,
образ автозапуска нужно создать с помощью uVS по той же инструкции
http://forum.esetnod32.ru/forum9/topic2687/
разве что повторно уже не надо скачивать uVS - он у вас уже есть.

[ Как создать образ автозапуска? ]

Перейти