santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

Как удалить вирус в ОЗУ, Как удалить вирус в ОЗУ Spy.SpyEye.CA троянская программа

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.03.2012 12:49:16

Валентин,
файлик лучше проверить. прежде чем убить.

Цитата
Полное имя C:\USERS\ПАВЕЛ\APPDATA\LOCAL\TEMP\YYY425C.EXE Имя файла YYY425C.EXE Тек. статус АКТИВНЫЙ ПРОВЕРЕННЫЙ www.virustotal.com 2012-02-28 [2009-12-21 11:05:57 UTC ( 2 years, 2 months ago )] - Файл был чист на момент проверки. Сохраненная информация на момент создания образа Статус АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ Процесс 32-х битный Размер 3072 байт Создан 01.03.2012 в 15:07:35 Изменен 01.03.2012 в 15:07:35 Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Отсутствует либо ее не удалось проверить Оригинальное имя systray.exe Версия файла 5.2.3790.1830 (srv03_sp1_rtm.050324-1447) Описание Systray .exe stub Производитель Microsoft Corporation Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Путь до файла Типичен для вирусов и троянов Доп. информация на момент обновления списка pid = 5144 Павел-ПК\Павел CmdLine "C:\Users\7636~1\AppData\Local\Temp\YYY425C.exe" Процесс создан 15:07:35 [2012.03.01] С момента создания 00:05:17 parentid = 2672 SHA1 D929D3389642E52BAE5AD8512293C9C4D3E4FAB5 MD5 29090B6B4D6605A97AC760D06436AC2D

Цитата

Полное имя C:\USERS\ПАВЕЛ\APPDATA\LOCAL\TEMP\YYY425C.EXE
Имя файла YYY425C.EXE
Тек. статус АКТИВНЫЙ ПРОВЕРЕННЫЙ

www.virustotal.com 2012-02-28 [2009-12-21 11:05:57 UTC ( 2 years, 2 months ago )]
- Файл был чист на момент проверки.

Сохраненная информация на момент создания образа
Статус АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ
Процесс 32-х битный
Размер 3072 байт
Создан 01.03.2012 в 15:07:35
Изменен 01.03.2012 в 15:07:35
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Оригинальное имя systray.exe
Версия файла 5.2.3790.1830 (srv03_sp1_rtm.050324-1447)
Описание Systray .exe stub
Производитель Microsoft Corporation

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла Типичен для вирусов и троянов

Доп. информация на момент обновления списка
pid = 5144 Павел-ПК\Павел
CmdLine "C:\Users\7636~1\AppData\Local\Temp\YYY425C.exe"
Процесс создан 15:07:35 [2012.03.01]
С момента создания 00:05:17
parentid = 2672
SHA1 D929D3389642E52BAE5AD8512293C9C4D3E4FAB5
MD5 29090B6B4D6605A97AC760D06436AC2D

непонятно, легитимный или нет.

Изменено: santy - 01.03.2012 12:49:52

[ Как создать образ автозапуска? ]

Перейти

Как удалить вирус в ОЗУ, Как удалить вирус в ОЗУ Spy.SpyEye.CA троянская программа

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.03.2012 12:44:56

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 zoo %SystemDrive%\USERS\ПАВЕЛ\APPDATA\LOCAL\TEMP\0.3591225392450542G8J8.EXE addsgn 9252771A156AC1CC0B44514E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 kav_vir delall %SystemDrive%\USERS\ПАВЕЛ\APPDATA\LOCAL\TEMP\0.3591225392450542G8J8.EXE addsgn 988C1FAA342A4C9A61C4AEB1DB5C120525013B1E3FEA1F780CA62D37A45F4F1ADC02F3377E5516073B09897BD65649713BDB4B82C59AB0A77B7F2D3A33966273 8 SpyEye zoo %SystemDrive%\SYSTEMHOST\24FC2AE3FB2.EXE bl 2B2658091269EB98829126031CED18C5 329728 delall %SystemDrive%\SYSTEMHOST\24FC2AE3FB2.EXE chklst delvir deltmp delnfr restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
zoo %SystemDrive%\USERS\ПАВЕЛ\APPDATA\LOCAL\TEMP\0.3591225392450542G8J8.EXE
addsgn 9252771A156AC1CC0B44514E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 kav_vir
delall %SystemDrive%\USERS\ПАВЕЛ\APPDATA\LOCAL\TEMP\0.3591225392450542G8J8.EXE
addsgn 988C1FAA342A4C9A61C4AEB1DB5C120525013B1E3FEA1F780CA62D37A45F4F1ADC02F3377E5516073B09897BD65649713BDB4B82C59AB0A77B7F2D3A33966273 8 SpyEye
zoo %SystemDrive%\SYSTEMHOST\24FC2AE3FB2.EXE
bl 2B2658091269EB98829126031CED18C5 329728
delall %SystemDrive%\SYSTEMHOST\24FC2AE3FB2.EXE
chklst
delvir
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
архив (например: 2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту [email protected], [email protected]
(если архив не был создан автоматически, добавить папку ZOO (если она не пуста) в архив с паролем infected )
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт

[ Как создать образ автозапуска? ]

Перейти

Помогите Win32/TrojanDownloader.Carberp.AD + Win32/Qhost.PES

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.03.2012 11:43:50

удалите все найденное в МБАМ,
далее,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Перейти

Нужна помощь! Оперативная память » explorer.exe(292) модифицированный Win32/TrojanDownloader.Carberp.AH троянская программа очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.03.2012 11:02:04

Малваребайт установили только сканер или с монитором?

Изменено: santy - 01.03.2012 11:02:17

[ Как создать образ автозапуска? ]

Перейти

Помогите Win32/TrojanDownloader.Carberp.AD + Win32/Qhost.PES

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.03.2012 10:57:51

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\KESHICH\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\VOPZMQB4GWI.EXE addsgn 9252773A116AC1CC0BA4554E3341F788B9AE7C3776052EB8D5FA19C9AB90371F4B6420513E021E8A2FD3EC8E281449ACFE1CEC21051DB32F2D75A4BF5796B2E3 8 tr.Carberp bl F662067F2489A07E27F4C87C7D1A9901 169984 delall %SystemDrive%\DOCUMENTS AND SETTINGS\KESHICH\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\VOPZMQB4GWI.EXE delall L:\AUTORUN.INF delall %SystemDrive%\DOCUMENTS AND SETTINGS\KESHICH\LOCAL SETTINGS\TEMP\VXRMY.BAT delall %SystemDrive%\DOCUMENTS AND SETTINGS\KESHICH\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE delref HTTP://WWW.SMAXI.NET chklst delvir deltmp delnfr regt 14 restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]   
;Target OS: NTv5.1
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\KESHICH\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\VOPZMQB4GWI.EXE
addsgn 9252773A116AC1CC0BA4554E3341F788B9AE7C3776052EB8D5FA19C9AB90371F4B6420513E021E8A2FD3EC8E281449ACFE1CEC21051DB32F2D75A4BF5796B2E3 8 tr.Carberp
bl F662067F2489A07E27F4C87C7D1A9901 169984
delall %SystemDrive%\DOCUMENTS AND SETTINGS\KESHICH\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\VOPZMQB4GWI.EXE
delall L:\AUTORUN.INF
delall %SystemDrive%\DOCUMENTS AND SETTINGS\KESHICH\LOCAL SETTINGS\TEMP\VXRMY.BAT
delall %SystemDrive%\DOCUMENTS AND SETTINGS\KESHICH\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
delref HTTP://WWW.SMAXI.NET
chklst
delvir
deltmp
delnfr
regt 14
restart

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.03.2012 07:56:31

оба эти примера по ссылкам на Win 7,

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.03.2012 06:04:56

Отправил в почту образец и ссылки.

[ Как создать образ автозапуска? ]

Перейти

Вирус Win32/TrojanDownloader.Carberp.AD

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 29.02.2012 12:55:18

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 zoo %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\RJYZGERT1NU.EXE addsgn 3AE8779AD6AE48CB38D5AEB1E5240607258A44E489FA1F2AD29392EA03559D48AA3BE77EF65A18BE2B808420F5DA08FA3A88D9BBD4138099DD8825FEC74D2D73 8 tr.Carberp.AD bl 5C506CF67490F714561447FE7292F40F 176640 delall %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\RJYZGERT1NU.EXE chklst delvir deltmp delnfr restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

zoo %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\RJYZGERT1NU.EXE
addsgn 3AE8779AD6AE48CB38D5AEB1E5240607258A44E489FA1F2AD29392EA03559D48AA3BE77EF65A18BE2B808420F5DA08FA3A88D9BBD4138099DD8825FEC74D2D73 8 tr.Carberp.AD

bl 5C506CF67490F714561447FE7292F40F 176640
delall %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\RJYZGERT1NU.EXE
chklst
delvir
deltmp
delnfr
restart

[ Как создать образ автозапуска? ]

Перейти

Очередной Win32/TrojanDownloader.Carberp.AD + Win32/Qhost.PES

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 29.02.2012 12:52:50

Цитата
Однако появившаяся вместе с вирусами в корневом каталоге самовосстанавливающаяся папка DsgEBacjBc6fNSA и содержащийся в ней файл klpclst.dat остались. Её нужно снова попробовать удалять вручную?

да, эту папку можно удалить руками, она уже не восстановится в этот раз.

Цитата
Ещё есть один вопрос: вчера, пытаясь как-то справиться с вирусом, удалил из автозагрузки файл igfxtray.exe, а сегодня, просматривая диспетчер задач, заметил несколько процессов с похожими названиями: igfxsrvc.exe, igfxpers.exe.

это как раз нормальные файлы, под которые ранее маскировался Carberp.
------
далее,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Перейти

Очередной Win32/TrojanDownloader.Carberp.AD + Win32/Qhost.PES

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 29.02.2012 10:38:53

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 addsgn 988C1FBA272A4C9A45D0AEB1DB5C120525013B1E0F05E0870CA62D37A45F4F1ADC0247277E5516073B09899BFE5649713BDB4B62ED9AB0A77B7F2D3AD3BE6273 8 tr.Carberp zoo %SystemDrive%\DOCUMENTS AND SETTINGS\Y\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\8JEJE695UHO.EXE bl 92C7797883EF65ADBDE768708EFC5D39 325145 delall %SystemDrive%\DOCUMENTS AND SETTINGS\Y\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\8JEJE695UHO.EXE chklst delvir delall %SystemRoot%\TEMP\GQEXD.BAT deltmp delnfr regt 14 restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]   
;Target OS: NTv5.1

addsgn 988C1FBA272A4C9A45D0AEB1DB5C120525013B1E0F05E0870CA62D37A45F4F1ADC0247277E5516073B09899BFE5649713BDB4B62ED9AB0A77B7F2D3AD3BE6273 8 tr.Carberp

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\Y\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\8JEJE695UHO.EXE
bl 92C7797883EF65ADBDE768708EFC5D39 325145
delall %SystemDrive%\DOCUMENTS AND SETTINGS\Y\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\8JEJE695UHO.EXE
chklst
delvir
delall %SystemRoot%\TEMP\GQEXD.BAT
deltmp
delnfr
regt 14
restart

[ Как создать образ автозапуска? ]

Перейти