santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

Вирус на компе, но найти не могу

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.11.2011 21:21:01

в образе все чисто,
----------
закрыть браузеры перед выполнением скрипта
выполнить скрипт в uVS
меню - скрипты - выполнить скрипт из буфера обмена

Код
;uVS v3.72 BETA 4 script [http://dsrt.dyndns.org] regt 5 regt 18 deltmp delnfr restart

перезагрузка,
--------
сделайте лог малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Оперативная память » winlogon.exe(816) - модифицированный Win32/Spy.Shiz.NCE троянская программа - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.11.2011 20:58:17

лог чистый,
выполните наши рекомендации по безопасной работе в сети
http://forum.esetnod32.ru/forum9/topic751/
тему закрываю.

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.11.2011 20:06:48

закрыть браузеры перед выполнением скрипта
выполнить скрипт в uVS
меню - скрипты - выполнить скрипт из буфера обмена

Код
;uVS v3.72 BETA 4 script [http://dsrt.dyndns.org] addsgn A7679B19B92E1B2480C907E72CC8AA11CA90FCF31E9D3278D53CD0F8D09171C566CFABE13C559D11630144B74A16493BBDD84B030E92B0A128D9FD67C7564AAC 8 Spy.Shiz zoo %SystemRoot%\APPPATCH\HSDRMD.EXE delall %SystemRoot%\APPPATCH\HSDRMD.EXE delref HTTP://WWW.SMAXL.NET deltmp delnfr regt 5 regt 18 czoo restart

Код

;uVS v3.72 BETA 4 script [http://dsrt.dyndns.org]

addsgn A7679B19B92E1B2480C907E72CC8AA11CA90FCF31E9D3278D53CD0F8D09171C566CFABE13C559D11630144B74A16493BBDD84B030E92B0A128D9FD67C7564AAC 8 Spy.Shiz

zoo %SystemRoot%\APPPATCH\HSDRMD.EXE
delall %SystemRoot%\APPPATCH\HSDRMD.EXE
delref HTTP://WWW.SMAXL.NET
deltmp
delnfr
regt 5
regt 18
czoo
restart

перезагрузка, пишем о старых и новых проблемах.

архив из папки uVS с копиями вирусов для вирлаба с таким именем, например: 2010-10-04_13-30-55.rar/7z)
отправить в почту [email protected]
если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected
---------
+
скачайте программу malwarebytes (free version)
http://www.malwarebytes.org/mbam.php

установить (только сканер!(при установке отказываемся от пробного периода)),
обновить базы, выполнить быстрое сканирование,
после завершения сканирования,
текстовый лог (сохранить как файл) добавить в ваше сообщение на форум.

[ Как создать образ автозапуска? ]

Перейти

Оперативная память » explorer.exe(276) - модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.11.2011 19:59:01

хорошо,
сделайте лог малваребайт для очистки системы
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.11.2011 19:16:19

Код
;uVS v3.72 BETA 4 script [http://dsrt.dyndns.org] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ВАНЬКА\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE addsgn 79132211B9EBA02A0AD4AE3AE9D4EDFADA8935CD04E6E0877AB6C335DD628FB3DC4448CA22AA62B6A87B4FEA729FC4AE822017418751B54CDD37A4141E720084 8 Trojan.Carberp.10 [DrWeb] bl 318F37996B4B7AE07D674048A0D53F16 163840 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ВАНЬКА\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE delref HTTP://WWW.APEHA.RU chklst delvir deltmp delnfr regt 5 regt 18 czoo restart

Код

;uVS v3.72 BETA 4 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ВАНЬКА\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
addsgn 79132211B9EBA02A0AD4AE3AE9D4EDFADA8935CD04E6E0877AB6C335DD628FB3DC4448CA22AA62B6A87B4FEA729FC4AE822017418751B54CDD37A4141E720084 8 Trojan.Carberp.10 [DrWeb]

bl 318F37996B4B7AE07D674048A0D53F16 163840
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ВАНЬКА\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delref HTTP://WWW.APEHA.RU
chklst
delvir
deltmp
delnfr
regt 5
regt 18
czoo
restart

Изменено: santy - 20.11.2011 19:17:46

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] TrojanDownloader.Carber.AF

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.11.2011 18:44:44

так и должно быть.
сделайте лог малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

оперативная память win32.trojandownloader.carberp.af

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.11.2011 10:55:18

сделайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Оперативная память » explorer.exe(1924) - модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна, Оперативная память » explorer.exe(1924) - модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 19.11.2011 23:51:17

проверьте папку ZOO в каталоге с uVS. если пуста, значит смотрите в папке uVS архив rar или zip.
имя от текущей даты в формате гггг-мм-дд_чч_мм_сс.
вот его надо отправит в указанную почту,
-----
далее,
выполните сканирование в Малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 19.11.2011 22:13:37

откройте отдельную тему в разделе обнаружение вредоносного кода,
там будут все инструкции и рекомендации
--------------
сделайте образ автозапуска системы в uVS
http://dsrt.dyndns.org/files/uvs_v371.zip

Распаковать архив, запустить файл Start.exe
Появится окно программы - нажать "запустить под текущим пользователем".
Далее - Меню Файл - Сохранить Полный образ автозапуска.
Сохраненный файл копируем на файловый обмен (желательно чтобы был в архиве)
и ссылку добавляем на форум.
---------

Изменено: santy - 19.11.2011 22:16:42

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 19.11.2011 21:33:51

Код
;uVS v3.72 BETA 4 script [http://dsrt.dyndns.org] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ДИМА\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE addsgn 79132211B9EBA02A0AD4AE3AE9D4EDFADA8935CD04E6E0877AB6C335DD628FB3DC4448CA22AA62B6A87B4FEA729FC4AE822017418751B54CDD37A4141E720084 8 Trojan.Carberp.10 [DrWeb] bl 318F37996B4B7AE07D674048A0D53F16 163840 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ДИМА\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE chklst delvir delref HTTP://QIP.RU delref HTTP://SEARCH.QIP.RU deltmp delnfr regt 5 regt 18 czoo restart

Код

;uVS v3.72 BETA 4 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ДИМА\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
addsgn 79132211B9EBA02A0AD4AE3AE9D4EDFADA8935CD04E6E0877AB6C335DD628FB3DC4448CA22AA62B6A87B4FEA729FC4AE822017418751B54CDD37A4141E720084 8 Trojan.Carberp.10 [DrWeb]

bl 318F37996B4B7AE07D674048A0D53F16 163840
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ДИМА\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
chklst
delvir
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
deltmp
delnfr
regt 5
regt 18
czoo
restart

[ Как создать образ автозапуска? ]

Перейти