santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

Нужна помощь, вирус в памяти!, Угроза в пмяти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.02.2012 05:35:40

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\MICROSOFT CORPORATION\CERIOSRV.LL3 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\_UNINST_54890423.BAT delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\_UNINST_88334394.BAT deltmp delnfr restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\MICROSOFT CORPORATION\CERIOSRV.LL3
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\_UNINST_54890423.BAT
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\_UNINST_88334394.BAT
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Win32/Spy.Shiz.NCE

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.02.2012 19:50:28

сорри, но тему с установленной программой

Цитата
TNod User & Password Finder

на официальном техническом форуме мы не пролечиваем,
тема будет закрыта.
возможно вам помогут на дрцгом форуме.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] explorer.exe(2548) - модифицированный Win32/Spy.Shiz.NCE

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.02.2012 18:53:35

хорошо,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/
тема закрыта.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] ESET находит Spy.SpyEye.CA Помогите, пожалуйста

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.02.2012 18:52:45

из архива значит запускаете uVS, надо распаковывать в отдельную папку и из нее запускать start.exe.
----------
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/
тему закрываю.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] explorer.exe(2548) - модифицированный Win32/Spy.Shiz.NCE

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.02.2012 18:31:42

удалите найденное в МБАМ кроме

Цитата
HKLM\SOFTWARE\Microsoft\Security Center\|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

перегрузите систему,
и повторите сканирование в мбам.

[ Как создать образ автозапуска? ]

Перейти

как удалить вирус Spy.Sniz.NCF, как удалить вирус Spy.Sniz.NCF

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.02.2012 18:30:03

этот объект удалите

Цитата
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\|StartMenuLogoff (PUM.Hijack.StartMenu) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

далее,
если проблема решена,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] ESET находит Spy.SpyEye.CA Помогите, пожалуйста

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.02.2012 18:28:19

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 addsgn 988C1FAA342A4C9AA928514EDB5C120525013B1E4FEA1F780CA62D37A45F4F1ADC02E7377E5516073B0989CFD25649713BDB4B2EC19AB0A77B7F2D3AA7926273 8 spyEye zoo %SystemDrive%\SYSTEMHOST\24FC2AE3833.EXE bl D8B7ACD0CFBAA393341ECDEC329360FF 330240 delall %SystemDrive%\SYSTEMHOST\24FC2AE3833.EXE chklst delvir deltmp delnfr restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

addsgn 988C1FAA342A4C9AA928514EDB5C120525013B1E4FEA1F780CA62D37A45F4F1ADC02E7377E5516073B0989CFD25649713BDB4B2EC19AB0A77B7F2D3AA7926273 8 spyEye

zoo %SystemDrive%\SYSTEMHOST\24FC2AE3833.EXE
bl D8B7ACD0CFBAA393341ECDEC329360FF 330240
delall %SystemDrive%\SYSTEMHOST\24FC2AE3833.EXE
chklst
delvir
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
архив (например: 2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту [email protected], [email protected]
(если архив не был создан автоматически, добавить папку ZOO (если она не пуста) в архив с паролем infected )
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт

[ Как создать образ автозапуска? ]

Перейти

помогите пожалуйста вирус - 20.02.2012 0:20:07 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » explorer.exe(1452) вероятно модифицированный Win32/Genetik троянская программа очистка невозможна MICROSOF-31C1DB\Admin

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.02.2012 18:25:40

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %SystemRoot%\APPPATCH\WAEBPU.EXE addsgn A7679B19B952CD5F3674FFB11FCB1205A4A77057D8FA437285C392EA3857D21D237DC3A82B21BD0C2B23333D17162175D88EE81A447FE12C454C007EC76E2ED2 8 spy.shiz delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\NETPROTOCOL.EXE bl 49ABA365E732593E69E2445A8E79B774 275968 delall %SystemRoot%\APPPATCH\WAEBPU.EXE chklst delvir deltmp delnfr regt 12 restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %SystemRoot%\APPPATCH\WAEBPU.EXE
addsgn A7679B19B952CD5F3674FFB11FCB1205A4A77057D8FA437285C392EA3857D21D237DC3A82B21BD0C2B23333D17162175D88EE81A447FE12C454C007EC76E2ED2 8 spy.shiz

delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\NETPROTOCOL.EXE
bl 49ABA365E732593E69E2445A8E79B774 275968
delall %SystemRoot%\APPPATCH\WAEBPU.EXE
chklst
delvir
deltmp
delnfr
regt 12
restart

[ Как создать образ автозапуска? ]

Перейти

сигнатуры не обновляются

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.02.2012 12:04:34

сделайте новый образ автозапуска в uVS

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Вирус в оперативной памяти,очистка невозможна,что делать?

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.02.2012 11:54:41

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 zoo %SystemDrive%\USERS\ДИМАН\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\UMTZZDUOHVY.EXE addsgn 9252776A116AC1CC0BF4554E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 13 Carberp delall %SystemDrive%\USERS\ДИМАН\APPDATA\LOCAL\TEMP\BDNKY.BAT delall %SystemDrive%\USERS\ДИМАН\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE bl 4FC15510136BFBA289C7D0BD9FC1B187 173568 delall %SystemDrive%\USERS\ДИМАН\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\UMTZZDUOHVY.EXE chklst delvir deltmp delnfr regt 14 restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]   
;Target OS: NTv6.1

zoo %SystemDrive%\USERS\ДИМАН\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\UMTZZDUOHVY.EXE
addsgn 9252776A116AC1CC0BF4554E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 13 Carberp

delall %SystemDrive%\USERS\ДИМАН\APPDATA\LOCAL\TEMP\BDNKY.BAT
delall %SystemDrive%\USERS\ДИМАН\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
bl 4FC15510136BFBA289C7D0BD9FC1B187 173568
delall %SystemDrive%\USERS\ДИМАН\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\UMTZZDUOHVY.EXE
chklst
delvir
deltmp
delnfr
regt 14
restart

[ Как создать образ автозапуска? ]

Перейти