santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] проблема

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.11.2011 20:59:46

выполните скрипт в uVS из буфера обмена

[QUOTE];uVS v3.72 BETA script [http://dsrt.dyndns.org]

delall %SystemDrive%\USERS\1\APPDATA\LOCAL\MICROS~1\WINDOWS\TEMPOR~1\CONTENT.IE5\MIQYJY73\6042D3~1.EXE
delall %SystemDrive%\USERS\1\APPDATA\ROAMING\MVSCSO.EXE
delall %SystemDrive%\USERS\1\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QSTATSRV.DLL
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
deltmp
delnfr
regt 5
regt 18
regt 12
restart[/QUOTE]

перезагрузка,
пишем результат

Перейти

[ Закрыто] Не открываются страницы браузера

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.11.2011 17:38:27

ну, значит в следующий раз не забывайте, что мы помогаем вам в лечении, вы помогаете нам с карантином новых вирусов. поскольку вы с номером EAV пришли на форум для поддержки.

Перейти

[ Закрыто] Не открываются страницы браузера

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.11.2011 17:19:25

т.е. прежде чем выполнить этот скрипт,
[QUOTE];uVS v3.72 BETA script [http://dsrt.dyndns.org]

adddir %Sys32%
crimg[/QUOTE]
вы выполнили скрипт AVZ. (потому в образ автозапуска ничего не попало. ЖАль. Карантин с этими файлами не помешал бы для вирлаба.)

так тоже можно,
а скрипт АВЗ где вам выписали? :).

Перейти

Win32/TrojanDownloader.VB.OXW троянская программа очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.11.2011 16:46:42

[QUOTE]makcim.1981 пишет:
Что такое:выполнить скрипт из файла?[/QUOTE]
читаем внимательно сообщение 5
вторая строка "инструкция здесь",
пройти по ссылке, и внимательно читать тему как выполнить скрипт в uVS
выполнять надо [B]из буфера обмена[/B]
выполнить из файла - пропускаем,
потому что это два варианта выполнения скрипта% из буфера обмена ИЛИ из файла,
вам надо выполнить [B]из буфера обмена[/B].
--------
рисунки все есть в теме.

Перейти

Win32/TrojanDownloader.VB.OXW троянская программа очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.11.2011 16:40:52

[QUOTE]makcim.1981 пишет:
к стати спасибо за ссылку нужной страницы[/QUOTE]
угу, долго вы к ней шли, хотя она совсем рядом,
но теперь дело опять за вами.
1. выполнить скрипт из сообщения 5
если не поможет,
2. целая программа в сообщении 4.

Перейти

[ Закрыто] Не открываются страницы браузера

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.11.2011 16:31:58

или такой скрипт

[CODE];uVS v3.72 BETA script [http://dsrt.dyndns.org]

adddir %Sys32%
crimg[/CODE]
будет автоматически запущено создание нового образа автозапуска,
вам только нужно будет его добавить на форум.

Перейти

[ Закрыто] Не открываются страницы браузера

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.11.2011 16:16:45

угу, по рисунку вижеу эти экзешники: [B]двухзначное число. exe[/B],
это копии вирусняка однозначно.
соберем их в образ uVS скриптом, раз МБАМ их не опознал.
--------------------
откройте uVS,
выполните скрипт из буфера обмена
[CODE];uVS v3.72 BETA script [http://dsrt.dyndns.org]

adddir %Sys32%[/CODE]

после этого (не закрывая uVS), необходимо будет создать новый полный образ автозапуска,
и добавить на форум.

Изменено: santy - 07.11.2011 16:17:17

Перейти

[ Закрыто] Не открываются страницы браузера

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.11.2011 16:12:15

все что найдено в МБАМ - удалите, кроме
[QUOTE]Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
[/QUOTE]
перезагрузка,
новый лог МБАМ

Перейти

Win32/TrojanDownloader.VB.OXW троянская программа очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.11.2011 16:07:45

для начала, конечно, попробуйте выполнить такой скрипт в uVS из буфера обмена.
[URL=http://forum.esetnod32.ru/forum9/topic2478/]инструкция здесь[/URL]

[CODE];uVS v3.72 BETA script [http://dsrt.dyndns.org]

fixmbr MBR#0 [74,5GB]
restart[/CODE]

будет автоматическая перезагрузка,
после,
во-первых,
проверьте выдает сообщение или нет антивирус,
во вторых,
сделайте новый образ автозапуска.
----------
если не поможет, тогда придется лечиться из под Live.CD, как написано этажом выше.

Изменено: santy - 07.11.2011 16:10:09

Перейти

Win32/TrojanDownloader.VB.OXW троянская программа очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.11.2011 16:03:03

похоже на троян в MBR
http://www.virustotal.com/file-scan/report.html?id=347838010246d4d26317381e0ee8a97150f55ff3104c54027b328761c55261bf-1320666408
сможете загрузиться с Live.CD и создать образ автозапуска?
вот как здесь написано.
http://forum.esetnod32.ru/forum6/topic2102/
только загрузочный образ скачивать по второй ссылке
http://rutracker.org/forum/viewtopic.php?t=3650177
с торрента.

Перейти