santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] Оперативная память » Ytd94DF.exe(2292) - модифицированный Win32/Spy.SpyEye.CA троянская программа - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 22.03.2012 18:32:05

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 delall %SystemDrive%\SYSTEMHOST\24FC2AE3BAD.EXE delall %SystemDrive%\USERS\9875~1\APPDATA\LOCAL\TEMP\HCBHBZ.DLL delall %SystemDrive%\USERS\9875~1\APPDATA\LOCAL\TEMP\KTWOSE.DLL addsgn 925277AA146AC1CC0B34504E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 SpyEye zoo %SystemDrive%\G4FWEQ23.BI\40842F38BAD.EXE bl D0FDCD8EAC1166FF235C3088E4D2059A 161280 delall %SystemDrive%\G4FWEQ23.BI\40842F38BAD.EXE chklst delvir deltmp delnfr regt 14 restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

delall %SystemDrive%\SYSTEMHOST\24FC2AE3BAD.EXE
delall %SystemDrive%\USERS\9875~1\APPDATA\LOCAL\TEMP\HCBHBZ.DLL
delall %SystemDrive%\USERS\9875~1\APPDATA\LOCAL\TEMP\KTWOSE.DLL
addsgn 925277AA146AC1CC0B34504E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 SpyEye
zoo %SystemDrive%\G4FWEQ23.BI\40842F38BAD.EXE
bl D0FDCD8EAC1166FF235C3088E4D2059A 161280
delall %SystemDrive%\G4FWEQ23.BI\40842F38BAD.EXE
chklst
delvir
deltmp
delnfr
regt 14
restart

перезагрузка, пишем о старых и новых проблемах.
архив (например: 2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту [email protected], [email protected]
(если архив не был создан автоматически, добавить папку ZOO (если она не пуста) в архив с паролем virus )
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Оперативная память explorer.exe(2888)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 22.03.2012 18:29:37

судя по логу сканирования Carberp-а нет в системе
(его нет и в образе автозапуска)
----------

Цитата
Журнал проверки Версия базы данных сигнатур вирусов: 6989 (20120322) Дaтa: 22.03.2012 Время: 18:19:37 Просканированные диски, папки и файлы: Оперативная память Количество просканированных объектов: 781 Количество обнаруженных угроз: 0 Время выполнения: 18:19:39 Общее время проверки: 2 сек. (00:00:02)

Цитата

Журнал проверки
Версия базы данных сигнатур вирусов: 6989 (20120322)
Дaтa: 22.03.2012 Время: 18:19:37
Просканированные диски, папки и файлы: Оперативная память
Количество просканированных объектов: 781
Количество обнаруженных угроз: 0
Время выполнения: 18:19:39 Общее время проверки: 2 сек. (00:00:02)

------
выполните полное сканирование системы в ESET NOD32. (с очисткой)
лог сканирования добавьте на форум

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Win32/Spy.SpyEye.CA, Проник вирус в оперативную память!

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 22.03.2012 16:19:38

сделайте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Оперативная память > explorer.exe(1944) probably a variant of Win32/TrojanDownloader.Carberp.AD trojan, не убивается антивирусом

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 22.03.2012 15:39:20

чисто,
если проблема решена,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Оперативная память > explorer.exe(1944) probably a variant of Win32/TrojanDownloader.Carberp.AD trojan, не убивается антивирусом

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 22.03.2012 14:21:59

удалите в мбам все найденное, кроме

Цитата
HKLM\SOFTWARE\Microsoft\Security Center\|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Security Center\|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято. HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\|DisableConfig (Windows.Tool.Disabled) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

Цитата

HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore|DisableConfig (Windows.Tool.Disabled) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

перегрузите систему,
и еще выпонлите быстрый скан в малваребайт

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Оперативная память » explorer.exe(2024) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 22.03.2012 14:20:48

сделайте все таки быструю проверку в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

если все будет чисто
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Оперативная память > explorer.exe(1944) probably a variant of Win32/TrojanDownloader.Carberp.AD trojan, не убивается антивирусом

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 22.03.2012 14:09:12

продолжите лечение со слов, далее

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 22.03.2012 14:04:37

а зачем второй одинаковый образ?
если выполнили скрипт уже, тогда продолжите лечение со слов
далее

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 22.03.2012 13:55:20

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 zoo %SystemDrive%\USERS\АЯЛ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\AMBL6KIT3C4.EXE addsgn A7679B1BB9D64D720B87F8E6C5C8024525DA147F7705E0FB41C766387B9771C72E93E8163E04759CD57F7B1C8212EA2E569EE8F940DAA06C2D78122DFAA72273 8 lsass_vir bl 294F3EA722C141CEBC02D3EF5CFBB2CD 395288 delall %SystemDrive%\USERS\АЯЛ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\AMBL6KIT3C4.EXE addsgn 4ACD539A553FC79E8838BE3071B42B452540D0F6895BD7CBC5C344B9586A314C6BAC8357C16041FE6B8005925EAA09FAC379A872C75BB5968B37A4916146228C 64 tr.winsock zoo %SystemDrive%\PROGRAMDATA\CXL.DLL delref %SystemDrive%\PROGRAMDATA\CXL.DLL deltmp delnfr regt 14 EXEC cmd /c"netsh winsock reset catalog" restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
zoo %SystemDrive%\USERS\АЯЛ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\AMBL6KIT3C4.EXE
addsgn A7679B1BB9D64D720B87F8E6C5C8024525DA147F7705E0FB41C766387B9771C72E93E8163E04759CD57F7B1C8212EA2E569EE8F940DAA06C2D78122DFAA72273 8 lsass_vir
bl 294F3EA722C141CEBC02D3EF5CFBB2CD 395288
delall %SystemDrive%\USERS\АЯЛ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\AMBL6KIT3C4.EXE
addsgn 4ACD539A553FC79E8838BE3071B42B452540D0F6895BD7CBC5C344B9586A314C6BAC8357C16041FE6B8005925EAA09FAC379A872C75BB5968B37A4916146228C 64 tr.winsock
zoo %SystemDrive%\PROGRAMDATA\CXL.DLL
delref %SystemDrive%\PROGRAMDATA\CXL.DLL
deltmp
delnfr
regt 14
EXEC cmd /c"netsh winsock reset catalog"
restart

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Оперативная память > explorer.exe(1944) probably a variant of Win32/TrojanDownloader.Carberp.AD trojan, не убивается антивирусом

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 22.03.2012 13:50:10

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER.GBYTE\START MENU\PROGRAMS\STARTUP\X9LGDNL7UQC.EXE addsgn A7679B1BB9D64D720B132B199A37ED05258AFC310C16E1877AC3C5BC5011F434DDE83C333E559D8EAE687A60B91749FA7D18AD8A55DAB02CEAF208D138F92273 8 tr.Carberp bl 2B29FFF0815AE8161E8F2197E8A33E07 313880 delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER.GBYTE\START MENU\PROGRAMS\STARTUP\X9LGDNL7UQC.EXE delall F:\AUTORUN.INF delall %Sys32%\JDVBVYZ.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER.GBYTE\FSWAGZ.EXE delall %SystemDrive%\DOCUME~1\USER~1.GBY\LOCALS~1\TEMP\DYYVAC.DLL delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS.WINDOWS\APPLICATION DATA\UDPSUQO.DLL deltmp delnfr regt 14 regt 12 EXEC cmd /c"netsh winsock reset catalog" restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER.GBYTE\START MENU\PROGRAMS\STARTUP\X9LGDNL7UQC.EXE
addsgn A7679B1BB9D64D720B132B199A37ED05258AFC310C16E1877AC3C5BC5011F434DDE83C333E559D8EAE687A60B91749FA7D18AD8A55DAB02CEAF208D138F92273 8 tr.Carberp
bl 2B29FFF0815AE8161E8F2197E8A33E07 313880
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER.GBYTE\START MENU\PROGRAMS\STARTUP\X9LGDNL7UQC.EXE
delall F:\AUTORUN.INF
delall %Sys32%\JDVBVYZ.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER.GBYTE\FSWAGZ.EXE
delall %SystemDrive%\DOCUME~1\USER~1.GBY\LOCALS~1\TEMP\DYYVAC.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS.WINDOWS\APPLICATION DATA\UDPSUQO.DLL
deltmp
delnfr
regt 14
regt 12
EXEC cmd /c"netsh winsock reset catalog"
restart

перезагрузка, пишем о старых и новых проблемах.
архив (например: 2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту [email protected]
если архив не был создан автоматически, добавить папку ZOO (с копиями вирусов для вирлаба) в архив с паролем virus
----------
далее,
сделайте дополнительно быструю проверку системы в малваребайт

[ Как создать образ автозапуска? ]

Перейти