santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] Win32/LockScreen.AGU троянская программа очистка не возможна, EAV обнаружил в памяти троян, но не может его удалить

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 02.02.2012 13:57:33

в малваребайт удалите эту запись

Цитата
Обнаруженные параметры в реестре: 1 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\|ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Параметры: 1 -> Действие не было предпринято.

далее, выполнить наши рекомендации применительно к вашей системе.
http://forum.esetnod32.ru/forum9/topic751/
на этом все.

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 02.02.2012 13:42:12

svchost.exe здесь переименованный radmin, но возможно установлен злоумышленниками.
--------

Цитата
Полное имя C:\WINDOWS\SVCHOST.EXE Имя файла SVCHOST.EXE Тек. статус АКТИВНЫЙ ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ сервис в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ] www.virustotal.com 2012-01-03 [2006-06-02 21:06:34 UTC ( 5 years, 8 months ago )] NOD32 Win32/RemoteAdmin.RAdmin.20 Avast Win32:PUP-gen [PUP] Kaspersky not-a-virus:RemoteAdmin.Win32.RAdmin.jh Microsoft RemoteAccess:Win32/GhostRadmin Сохраненная информация на момент создания образа Статус АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ сервис в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ] Размер 184320 байт Создан 27.01.2011 в 16:10:22 Изменен 03.11.2009 в 13:27:22 Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Отсутствует либо ее не удалось проверить Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Путь до файла Не_типичен для этого файла [имя этого файла есть в известных] Доп. информация на момент обновления списка pid = 2004 NT AUTHORITY\SYSTEM CmdLine "C:\WINDOWS\svchost.exe" /service Процесс создан 08:22:28 [2012.02.02] С момента создания 02:35:28 parentid = 728 C:\WINDOWS\SYSTEM32\SERVICES.EXE ESTABLISHED 10.76.2.46:4899 <-> 10.76.1.6:58656 LISTEN 0.0.0.0:4899 SHA1 45C08891E4F811C3EEE4D84474D7CA230B12F4EC MD5 4DA2155A683838F6D2FF544437FB76C8 Ссылки на объект Ссылка HKLM\System\CurrentControlSet\Services\r_server\ImagePath ImagePath "C:\WINDOWS\svchost.exe" /service r_server тип запуска: Авто (2) Образы EXE и DLL SVCHOST.EXE C:\WINDOWS Загруженные DLL НЕИЗВЕСТНЫЕ ADMDLL.DLL C:\WINDOWS

Цитата

Полное имя C:\WINDOWS\SVCHOST.EXE
Имя файла SVCHOST.EXE
Тек. статус АКТИВНЫЙ ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ сервис в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ]

www.virustotal.com 2012-01-03 [2006-06-02 21:06:34 UTC ( 5 years, 8 months ago )]
NOD32 Win32/RemoteAdmin.RAdmin.20
Avast Win32:PUP-gen [PUP]
Kaspersky not-a-virus:RemoteAdmin.Win32.RAdmin.jh
Microsoft RemoteAccess:Win32/GhostRadmin

Сохраненная информация на момент создания образа
Статус АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ сервис в автозапуске [СЕТЕВАЯ_АКТИВНОСТЬ]
Размер 184320 байт
Создан 27.01.2011 в 16:10:22
Изменен 03.11.2009 в 13:27:22
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла Не_типичен для этого файла [имя этого файла есть в известных]

Доп. информация на момент обновления списка
pid = 2004 NT AUTHORITY\SYSTEM
CmdLine "C:\WINDOWS\svchost.exe" /service
Процесс создан 08:22:28 [2012.02.02]
С момента создания 02:35:28
parentid = 728 C:\WINDOWS\SYSTEM32\SERVICES.EXE
ESTABLISHED 10.76.2.46:4899 <-> 10.76.1.6:58656
LISTEN 0.0.0.0:4899
SHA1 45C08891E4F811C3EEE4D84474D7CA230B12F4EC
MD5 4DA2155A683838F6D2FF544437FB76C8

Ссылки на объект
Ссылка HKLM\System\CurrentControlSet\Services\r_server\ImagePath
ImagePath "C:\WINDOWS\svchost.exe" /service
r_server тип запуска: Авто (2)

Образы EXE и DLL
SVCHOST.EXE C:\WINDOWS

Загруженные DLL НЕИЗВЕСТНЫЕ
ADMDLL.DLL C:\WINDOWS

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] win32 trojandownloader.carberp.af, помогите пожалуйста, в ESET32 обнаружился win32 trojandownloader.carberp.af - удаление невозможно, помогите пожалуйста

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 02.02.2012 11:18:19

архив с ZOO нужно отправить в указанную почту (не сюда),
здесь нужен второй лог - после сканирования в малваребайт

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 02.02.2012 10:27:40

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена
стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена
закрываем все браузеры перед выполнением скрипта

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 delall I:\AUTORUN.INF addsgn A7679B1BB96A4D720B5FBB21A08A126F6E623AED89FA9CBC8190FEF994A27F4FE37D543DE2BD2F522B80075B4E7C42909EB5BE1845B077C48D6CA42F44C23625 8 a variant of Win32/Kryptik.ZOD [NOD32] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ZOLOTUKHIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\RY1EQSMLXME.EXE bl D2F3BC79112AB8A24C5C8D6842974A0C 177152 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ZOLOTUKHIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\RY1EQSMLXME.EXE chklst delvir deltmp delnfr regt 5 restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]  
;Target OS: NTv5.1
 
delall I:\AUTORUN.INF
addsgn A7679B1BB96A4D720B5FBB21A08A126F6E623AED89FA9CBC8190FEF994A27F4FE37D543DE2BD2F522B80075B4E7C42909EB5BE1845B077C48D6CA42F44C23625 8 a variant of Win32/Kryptik.ZOD [NOD32]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ZOLOTUKHIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\RY1EQSMLXME.EXE
bl D2F3BC79112AB8A24C5C8D6842974A0C 177152
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ZOLOTUKHIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\RY1EQSMLXME.EXE
chklst
delvir
deltmp
delnfr
regt 5
restart

перезагрузка, пишем о старых и новых проблемах.
архив (например: 2010-10-04_13-30-55.rar/7z) из папки uVS отправить в почту [email protected], [email protected]
если архив не был создан автоматически,
самостоятельно добавить папку ZOO (с копиями вирусов для вирлаба) в архив с паролем infected
------------
далее,
сделайте дополнительно проверку системы в малваребайт

[ Как создать образ автозапуска? ]

Перейти

Оперативная память » explorer.exe(2036) - модифицированный Win32/Spy.Shiz.NCE троянская программа - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 02.02.2012 10:22:56

выполнить скрипт в uVS
скопировать содержимое кода в буфер обмена
uVS: start.exe, текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена
закрыть браузеры перед выполнением скрипта

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %SystemRoot%\APPPATCH\HMNIRPW.EXE addsgn A7679B19B92E1B2480C907E72CC8AA11CA90FCF31E9D3278D53CD0F8D09171C566CFABE13C559D11630144B74A16493BBDD84B030E92B0A128D9FD67C7564AAC 8 Spy.Shiz bl 674116573B52DE9621308EA7BE4E1AA7 266752 delall %SystemRoot%\APPPATCH\HMNIRPW.EXE chklst delvir delref HTTP://QIP.RU delref HTTP://SEARCH.QIP.RU deltmp delnfr regt 12 restart

Код


;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %SystemRoot%\APPPATCH\HMNIRPW.EXE
addsgn A7679B19B92E1B2480C907E72CC8AA11CA90FCF31E9D3278D53CD0F8D09171C566CFABE13C559D11630144B74A16493BBDD84B030E92B0A128D9FD67C7564AAC 8 Spy.Shiz

bl 674116573B52DE9621308EA7BE4E1AA7 266752
delall %SystemRoot%\APPPATCH\HMNIRPW.EXE
chklst
delvir
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
deltmp
delnfr
regt 12
restart

перезагрузка, пишем о старых и новых проблемах.

архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z)
отправить в почту [email protected], [email protected]
если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected
---------
далее,
сделайте дополнительно проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

Изменено: santy - 02.02.2012 10:23:22

[ Как создать образ автозапуска? ]

Перейти

Universal Virus Sniffer (uVS)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.02.2012 19:06:19

---------------------------------------------------------
3.74
---------------------------------------------------------

Цитата
o Поддержка поиска файлов на www.runscanner.net (см. контекстное меню файла) o В список для проверки добавлен 1 ключ реестра. o Восстановлена проверка хэшей на VirusTotal.com o Исправлена ошибка в функции удаления ссылок. o Исправлена критическая ошибка в функции разбора имен файлов. o Исправлена критическая ошибка в функции определения родителя процесса.

Цитата

o Поддержка поиска файлов на www.runscanner.net
(см. контекстное меню файла)

o В список для проверки добавлен 1 ключ реестра.

o Восстановлена проверка хэшей на VirusTotal.com

o Исправлена ошибка в функции удаления ссылок.

o Исправлена критическая ошибка в функции разбора имен файлов.

o Исправлена критическая ошибка в функции определения родителя процесса.

Изменено: santy - 01.02.2012 19:06:37

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] MBR - сектор физического диска 1, Win32/Agent.SDG.Gen троянская программа

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.02.2012 14:23:38

хорошо,
я так понял, диск 1 у вас в настоящее время не основной, система рабочая на другом диске.
(иначе бы не так просто было пролечить.)

[ Как создать образ автозапуска? ]

Перейти

Trojan Downloader, Оперативная память » explorer.exe(2252) модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.02.2012 14:16:38

Код
;uVS v3.73.2 script [http://dsrt.dyndns.org] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\M2WDRHKRTBK.EXE addsgn A7679B19B92E2654E31A81B1644BD60176893CC552901712BCA9CBD6AA3E0567231740932E3F25A184AF849FC5D24D907BB51018C932E7052D7727EBCB2DFA19 8 TrojanDownloader.Carberp.AD [NOD32] bl AA56DD97C895B7FA8CAA2D8A2376EC32 178688 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\M2WDRHKRTBK.EXE deltmp delnfr delref HTTP://NIGHTWAREZ.RU/ delref HTTP://WEBALTA.RU delref HTTP://WWW.SMAXXI.BIZ czoo restart

Код


;uVS v3.73.2 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\M2WDRHKRTBK.EXE
addsgn A7679B19B92E2654E31A81B1644BD60176893CC552901712BCA9CBD6AA3E0567231740932E3F25A184AF849FC5D24D907BB51018C932E7052D7727EBCB2DFA19 8 TrojanDownloader.Carberp.AD [NOD32]

bl AA56DD97C895B7FA8CAA2D8A2376EC32 178688
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\M2WDRHKRTBK.EXE
deltmp
delnfr
delref HTTP://NIGHTWAREZ.RU/
delref HTTP://WEBALTA.RU
delref HTTP://WWW.SMAXXI.BIZ
czoo
restart

[ Как создать образ автозапуска? ]

Перейти

explorer.exe(288)модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.02.2012 14:06:45

сделайте дополнительно проверку системы в малваребайт

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] MBR - сектор физического диска 1, Win32/Agent.SDG.Gen троянская программа

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.02.2012 13:59:15

ждем выполнения скрипта в UVS

[ Как создать образ автозапуска? ]

Перейти