santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] Оперативная память » dwm.exe(1640) - модифицированный Win32/Spy.Shiz.NCE троянская программа - очистка невозможна, Помогите

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 14.02.2012 06:35:08

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 addsgn 1A0E4C9A5583C58CF42B254E3143FE5476DC77C3515A5F78D23CF0B0BA9271B3F5E8F65FD4119DC2F309D963B9C0C20A462CE7F0D4DAB02CA6898FD44A4126F0 8 Spy.shiz zoo %SystemDrive%\USERS\N1KO24\APPDATA\LOCAL\TEMP\____991.EXE addsgn A7679B1BB9FE4C720BBE265943ED1205A64EF8A530077278854A882406BC2826297D383F3EA00C2D438066E544FE09C97DDF6BB641B04F46781FA48576B648DE 8 tr.carberp zoo %SystemDrive%\USERS\N1KO24\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\S06LNAVR4SM.EXE bl 3D4065116FF1506FF1CBF286C27B6335 321536 bl CF001A6F9DF91D3E7F68217B9E023E32 174080 delall %SystemDrive%\USERS\N1KO24\APPDATA\LOCAL\TEMP\____991.EXE delall %SystemDrive%\USERS\N1KO24\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\S06LNAVR4SM.EXE chklst delvir delall %SystemDrive%\USERS\N1KO24\APPDATA\LOCAL\TEMP\EULA.BAT delref HTTP://STARTRU.NET/?UTM_MEDIUM=IH&UTM_SOURCE=OP&UTM_CAMPAIGN=BP&UTM_CONTENT=11-11 delref HTTP://WWW.SMAXXI.BIZ deltmp delnfr delall %SystemDrive%\USERS\N1KO24\APPDATA\LOCAL\MEDIAGET2\MEDIAGET.EXE regt 14 restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

addsgn 1A0E4C9A5583C58CF42B254E3143FE5476DC77C3515A5F78D23CF0B0BA9271B3F5E8F65FD4119DC2F309D963B9C0C20A462CE7F0D4DAB02CA6898FD44A4126F0 8 Spy.shiz

zoo %SystemDrive%\USERS\N1KO24\APPDATA\LOCAL\TEMP\____991.EXE
addsgn A7679B1BB9FE4C720BBE265943ED1205A64EF8A530077278854A882406BC2826297D383F3EA00C2D438066E544FE09C97DDF6BB641B04F46781FA48576B648DE 8 tr.carberp

zoo %SystemDrive%\USERS\N1KO24\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\S06LNAVR4SM.EXE
bl 3D4065116FF1506FF1CBF286C27B6335 321536
bl CF001A6F9DF91D3E7F68217B9E023E32 174080
delall %SystemDrive%\USERS\N1KO24\APPDATA\LOCAL\TEMP\____991.EXE
delall %SystemDrive%\USERS\N1KO24\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\S06LNAVR4SM.EXE
chklst
delvir
delall %SystemDrive%\USERS\N1KO24\APPDATA\LOCAL\TEMP\EULA.BAT
delref HTTP://STARTRU.NET/?UTM_MEDIUM=IH&UTM_SOURCE=OP&UTM_CAMPAIGN=BP&UTM_CONTENT=11-11
delref HTTP://WWW.SMAXXI.BIZ
deltmp
delnfr
delall %SystemDrive%\USERS\N1KO24\APPDATA\LOCAL\MEDIAGET2\MEDIAGET.EXE
regt 14
restart

перезагрузка, пишем о старых и новых проблемах.
архив (например: 2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту [email protected], [email protected]
(если архив не был создан автоматически, добавить папку ZOO (если она не пуста) в архив с паролем infected )
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Оперативная память » explorer.exe(1348) - модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 14.02.2012 06:11:05

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 addsgn 9A406EDA5582BC8DF42BAEB164C81205158AFCF6B1FA1F7885C3C5BC4D74F1EC47D3AE1CA451C71E568FD481461649FA7DDFE97255DABA7842078412B167451F 8 a variant of Win32/Injector.NAC [NOD32] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE bl 5F4CA4A9E3A3E17818E92498733CD779 393216 delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE chklst delvir delref HTTP://SEARCH.BABYLON.COM/?BABSRC=HP_SS&AFFID=100489&MNTRID=61E0842700000000000000016CDA4226 delref HTTP://WWW.SMAXL.NET delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\APPLICATION DATA\MEDIAGET2\MEDIAGET.EXE delref HTTP://SEARCH.BABYLON.COM/?BABSRC=HP_SS&AFFID=100489&MNTRID=61E0842700000000000000016CDA4226 deltmp delnfr restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]   
;Target OS: NTv5.1
addsgn 9A406EDA5582BC8DF42BAEB164C81205158AFCF6B1FA1F7885C3C5BC4D74F1EC47D3AE1CA451C71E568FD481461649FA7DDFE97255DABA7842078412B167451F 8 a variant of Win32/Injector.NAC [NOD32]
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 5F4CA4A9E3A3E17818E92498733CD779 393216
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
chklst
delvir
delref HTTP://SEARCH.BABYLON.COM/?BABSRC=HP_SS&AFFID=100489&MNTRID=61E0842700000000000000016CDA4226
delref HTTP://WWW.SMAXL.NET
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\APPLICATION DATA\MEDIAGET2\MEDIAGET.EXE
delref HTTP://SEARCH.BABYLON.COM/?BABSRC=HP_SS&AFFID=100489&MNTRID=61E0842700000000000000016CDA4226
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Win32/Mebroot.K троянская программа

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.02.2012 22:15:53

+ отсканируйте только загрузчики по каждому диску в ESET NOD32. сразу будет ясно, чистые или нет MBR #0,1,2. Судя по образу автозапуска 0,1 - чистые.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Win32/Mebroot.K троянская программа

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.02.2012 21:50:46

AlexeyAlex,
если не поможет утилитка EMebRemover.exe,
проверьте это решение.
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 fixmbr MBR#2 [12,1GB] deltmp delnfr restart

перезагрузка, пишем о старых и новых проблемах.

Изменено: santy - 13.02.2012 21:51:27

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Win32/Mebroot.K троянская программа

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.02.2012 21:31:39

видимо, здесь Mebroot неактивный, поскольку MBR #0, MBR#1 входят в проверенные.
и можно очистить в uVS.

Цитата
Полное имя MBR#2 [12,1GB] Имя файла MBR#2 [12,1GB] Тек. статус ?ВИРУС? загрузчик www.virustotal.com Хэш НЕ найден на сервере. www.virustotal.com 2012-02-13 [2012-02-13 17:27:20 UTC ( 2 minutes ago )] Avast Win32:MBRoot-G [Rtk] Kaspersky Backdoor.Win32.Sinowal.kmy BitDefender Rootkit.MBR.Mebroot.A DrWeb BackDoor.MaosBoot AntiVir BOO/Sinowal.A Microsoft Trojan:DOS/Sinowal.H Сохраненная информация на момент создания образа Статус загрузчик Размер 440 байт Доп. информация на момент обновления списка SHA1 A67B076363D5A0CC3D03251420C6499D5340B243

Цитата

Полное имя MBR#2 [12,1GB]
Имя файла MBR#2 [12,1GB]
Тек. статус ?ВИРУС? загрузчик

www.virustotal.com Хэш НЕ найден на сервере.
www.virustotal.com 2012-02-13 [2012-02-13 17:27:20 UTC ( 2 minutes ago )]
Avast Win32:MBRoot-G [Rtk]
Kaspersky Backdoor.Win32.Sinowal.kmy
BitDefender Rootkit.MBR.Mebroot.A
DrWeb BackDoor.MaosBoot
AntiVir BOO/Sinowal.A
Microsoft Trojan:DOS/Sinowal.H

Сохраненная информация на момент создания образа
Статус загрузчик
Размер 440 байт

Доп. информация на момент обновления списка
SHA1 A67B076363D5A0CC3D03251420C6499D5340B243

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Вирус Оперативная память - модифицированный Win32/Dorkbot.B червь - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.02.2012 21:24:24

интересно было бы посмотреть лог выполнения скрипта. нашел он что-то еще по сигнатуре в добавленном каталоге или нет.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Вирус Оперативная память - модифицированный Win32/Dorkbot.B червь - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.02.2012 19:48:58

еще сканирование в малваребайт выполните
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

Оперативная память » explorer.exe(328) - модифицированный Win32/Spy.Shiz.NCE троянская программа - очистка невозможна, сразу лог

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.02.2012 19:15:59

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %SystemRoot%\APPPATCH\TRDMSY.EXE addsgn A7679B19B9021B24B18E67B164A01205258AA3A14EFF4500CFC3C5BC50D6FA59796F89576C92D8E92B80849FCD43E9A882CA942215DA3969E53029942D062273 8 spy.shiz bl C8DD064B2AA68E6CF521FE7FD90E54AC 278528 delall %SystemRoot%\APPPATCH\TRDMSY.EXE chklst delvir delall HTTP=;FTP=;HTTPS=; deltmp delnfr regt 12 restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %SystemRoot%\APPPATCH\TRDMSY.EXE
addsgn A7679B19B9021B24B18E67B164A01205258AA3A14EFF4500CFC3C5BC50D6FA59796F89576C92D8E92B80849FCD43E9A882CA942215DA3969E53029942D062273 8 spy.shiz

bl C8DD064B2AA68E6CF521FE7FD90E54AC 278528
delall %SystemRoot%\APPPATCH\TRDMSY.EXE
chklst
delvir
delall HTTP=;FTP=;HTTPS=;
deltmp
delnfr
regt 12
restart

[ Как создать образ автозапуска? ]

Перейти

Вирус Оперативная память - модифицированный Win32/Dorkbot.B червь - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.02.2012 19:13:04

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 addsgn A7679B1BB9E64C720B3C3B9F64C87A057810961E58DE1F780607C1EF3A7A194C3CC0C93F3EDC67A3C302A79F46958DF615DFFF988FB2B08283CFCC2FCAD79A9B 8 a variant of Win32/Kryptik.AANV [NOD32] zoo %SystemDrive%\USERS\АНДРЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\2ZPVHNBGRJC.EXE bl E9D5DB52676EEBD9305F7F80072D6A20 166400 delall %SystemDrive%\USERS\АНДРЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\2ZPVHNBGRJC.EXE chklst delvir delref HTTP://FIND.LOCALSTRIKE.NET/ delref HTTP://SEARCH.LOCALSTRIKE.COM.AR deltmp delnfr restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

addsgn A7679B1BB9E64C720B3C3B9F64C87A057810961E58DE1F780607C1EF3A7A194C3CC0C93F3EDC67A3C302A79F46958DF615DFFF988FB2B08283CFCC2FCAD79A9B 8 a variant of Win32/Kryptik.AANV [NOD32]

zoo %SystemDrive%\USERS\АНДРЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\2ZPVHNBGRJC.EXE
bl E9D5DB52676EEBD9305F7F80072D6A20 166400
delall %SystemDrive%\USERS\АНДРЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\2ZPVHNBGRJC.EXE
chklst
delvir
delref HTTP://FIND.LOCALSTRIKE.NET/
delref HTTP://SEARCH.LOCALSTRIKE.COM.AR
deltmp
delnfr
restart

[ Как создать образ автозапуска? ]

Перейти

Описание угрозы успешной работы трояна Win32/SPY.shiz.nce, Описание угрозы успешной работы трояна Win32/SPY.shiz.nce

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 13.02.2012 14:12:17

энциклопедия вирусов от ESET NOD32 только на оф. сайте разработчиков.

[ Как создать образ автозапуска? ]

Перейти