santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

троян js/spy.banker.be

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.04.2015 09:01:41

да, судя про логу выполнения скрипта у вас нормально прошла очистка.

Цитата
-------------------------------------------------------- delref 0хттп://COMPACTPACS.COM/SW4LXI/Y9S.URO -------------------------------------------------------- Удаление ссылок на файл: 0HTTP://COMPACTPACS.COM/SW4LXI/Y9S.URO Изменено/удалено объектов автозапуска 1 из 1 \| Удалено файлов: 0 из 0 -------------------------------------------------------- delref [nхттп://COMPACTPACS.COM/SW4LXI/Y9S.URO -------------------------------------------------------- Удаление ссылок на файл: хттп://COMPACTPACS.COM/SW4LXI/Y9S.URO Изменено/удалено объектов автозапуска 2 из 2 \| Удалено файлов: 0 из 0

Цитата

--------------------------------------------------------
delref 0хттп://COMPACTPACS.COM/SW4LXI/Y9S.URO
--------------------------------------------------------
Удаление ссылок на файл: 0HTTP://COMPACTPACS.COM/SW4LXI/Y9S.URO
Изменено/удалено объектов автозапуска 1 из 1 | Удалено файлов: 0 из 0
--------------------------------------------------------
delref [nхттп://COMPACTPACS.COM/SW4LXI/Y9S.URO
--------------------------------------------------------
Удаление ссылок на файл: хттп://COMPACTPACS.COM/SW4LXI/Y9S.URO
Изменено/удалено объектов автозапуска 2 из 2 | Удалено файлов: 0 из 0

сделайте еще проверку в frst
http://www.cyberforum.ru/viruses-faq/thread1362245.html

Изменено: santy - 09.04.2015 09:02:23

[ Как создать образ автозапуска? ]

Перейти

Как удалить самоустановившуюся китайскую программу Baidu

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.04.2015 08:57:48

дак вы являетесь админом на этой машине или нет?? поскольку здесь все скрипты должны были быть выполнены под учетной записью с правами администратора.

Изменено: santy - 09.04.2015 08:58:36

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] постоянно пытается соединиться, постоянно пытается соединиться по этому адресу. как это прекратить

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.04.2015 20:21:23

сделайте проверку в Комбофикс
http://forum.esetnod32.ru/forum9/topic735/

если не поможет, можно выполнить первый скрипт для uVS только из безопасного режима.
------больше идей на сегодня (у меня) нет.

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.04.2015 19:53:26

да, эта ссылка остается

Цитата
HKLM\System\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies\

пробуйте вручную убрать настройки прокси в Firefox

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.04.2015 19:16:30

6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Код
FF NetworkProxy: "autoconfig_url", "http://configspacs.com/MMfnA7/nj4n.uru" FF NetworkProxy: "type", 2 Reboot:

--------
пишем результат

[ Как создать образ автозапуска? ]

Перейти

Как удалить самоустановившуюся китайскую программу Baidu

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.04.2015 19:14:22

сделайте проверку в Комбофикс
http://forum.esetnod32.ru/forum9/topic735/

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.04.2015 18:43:07

если проблема сохранилась, сделайте еще раз проверку в frst

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.04.2015 18:41:25

хм, одна из ссылок осталась.

Цитата
Полное имя 0HTTP://CONFIGSPACS.COM/MMFNA7/NJ4N.URU Имя файла 0HTTP://CONFIGSPACS.COM/MMFNA7/NJ4N.URU Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске Удовлетворяет критериям PROXYSERVER (ССЫЛКА ~ \INTERNET\MANUALPROXIES\)(1) Сохраненная информация на момент создания образа Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Ссылки на объект Ссылка HKLM\System\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies\ 0http://configspacs.com/MMfnA7/nj4n.uru

Цитата

Полное имя 0HTTP://CONFIGSPACS.COM/MMFNA7/NJ4N.URU
Имя файла 0HTTP://CONFIGSPACS.COM/MMFNA7/NJ4N.URU
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Удовлетворяет критериям
PROXYSERVER (ССЫЛКА ~ \INTERNET\MANUALPROXIES\)(1)

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ

Ссылки на объект
Ссылка HKLM\System\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies\
0http://configspacs.com/MMfnA7/nj4n.uru

что с проблемой?

[ Как создать образ автозапуска? ]

Перейти

Как удалить самоустановившуюся китайскую программу Baidu

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.04.2015 18:16:07

ясно.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Код
AV: 金山毒霸铠甲防御 (Disabled - Up to date) {B3DDB456-E18B-4D81-9EB0-E23ABB4D2B12} AV: 百度杀毒 (Disabled - Up to date) {0E1F41F2-EA45-46c0-8860-B93C2A890530} CHR Extension: (AdBlock) - C:\Documents and Settings\Aleksandr.Kostyukov\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2015-03-03] CHR Extension: (AccelerateTab) - C:\Documents and Settings\Aleksandr.Kostyukov\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\jgjafhkemfjfgdmjcmhofijphjmaanak [2014-11-28] CHR Extension: (AD Block) - C:\Documents and Settings\Aleksandr.Kostyukov\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\lfgjbmhakaffflkjecineeaadpidgikb [2014-11-28] CHR HKLM\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - http://clients2.google.com/service/update2/crx 2015-04-07 15:14 - 2015-04-07 15:34 - 00168392 _____ (Baidu) C:\WINDOWS\system32\Drivers\bd0002.sys 2015-04-07 15:14 - 2015-02-10 21:38 - 00118472 _____ (Baidu) C:\WINDOWS\system32\Drivers\BDMNetMon.sys 2015-04-07 15:14 - 2015-02-10 21:38 - 00086344 _____ (Baidu) C:\WINDOWS\system32\Drivers\bd0001.sys 2015-04-07 15:14 - 2015-02-10 21:38 - 00048328 _____ (Baidu) C:\WINDOWS\system32\Drivers\BDEnhanceBoost.sys 2015-04-07 15:13 - 2015-04-07 15:13 - 00183112 _____ (Baidu) C:\WINDOWS\system32\Drivers\bd0004.sys 2015-04-07 15:13 - 2015-04-07 15:13 - 00062664 _____ (Baidu) C:\WINDOWS\system32\Drivers\BDSafeBrowser.sys 2015-04-07 15:04 - 2015-02-10 21:38 - 00239432 _____ (Baidu) C:\WINDOWS\system32\Drivers\BDMWrench.sys 2015-04-07 15:04 - 2015-02-10 21:38 - 00145224 _____ (Baidu Technology) C:\WINDOWS\system32\Drivers\BDArKit.sys 2015-04-07 15:04 - 2015-02-10 21:38 - 00123720 _____ (Baidu) C:\WINDOWS\system32\Drivers\BDDefense.sys 2015-04-07 15:04 - 2014-11-06 10:38 - 00139784 _____ (Baidu) C:\WINDOWS\system32\Drivers\BdSandBox.sys 2015-04-07 15:04 - 2014-11-06 10:38 - 00056904 _____ (Baidu) C:\WINDOWS\system32\Drivers\bd0003.sys 2015-04-07 15:04 - 2014-11-06 10:38 - 00026824 _____ (Baidu) C:\WINDOWS\system32\Drivers\BDFileDefend.sys EmptyTemp: Reboot:

Код

AV: &#37329;&#23665;&#27602;&#38712;&#38112;&#30002;&#38450;&#24481; (Disabled - Up to date) {B3DDB456-E18B-4D81-9EB0-E23ABB4D2B12}
AV: &#30334;&#24230;&#26432;&#27602; (Disabled - Up to date) {0E1F41F2-EA45-46c0-8860-B93C2A890530}
CHR Extension: (AdBlock) - C:\Documents and Settings\Aleksandr.Kostyukov\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2015-03-03]
CHR Extension: (AccelerateTab) - C:\Documents and Settings\Aleksandr.Kostyukov\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\jgjafhkemfjfgdmjcmhofijphjmaanak [2014-11-28]
CHR Extension: (AD Block) - C:\Documents and Settings\Aleksandr.Kostyukov\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\lfgjbmhakaffflkjecineeaadpidgikb [2014-11-28]
CHR HKLM\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - http://clients2.google.com/service/update2/crx
2015-04-07 15:14 - 2015-04-07 15:34 - 00168392 _____ (Baidu) C:\WINDOWS\system32\Drivers\bd0002.sys
2015-04-07 15:14 - 2015-02-10 21:38 - 00118472 _____ (Baidu) C:\WINDOWS\system32\Drivers\BDMNetMon.sys
2015-04-07 15:14 - 2015-02-10 21:38 - 00086344 _____ (Baidu) C:\WINDOWS\system32\Drivers\bd0001.sys
2015-04-07 15:14 - 2015-02-10 21:38 - 00048328 _____ (Baidu) C:\WINDOWS\system32\Drivers\BDEnhanceBoost.sys
2015-04-07 15:13 - 2015-04-07 15:13 - 00183112 _____ (Baidu) C:\WINDOWS\system32\Drivers\bd0004.sys
2015-04-07 15:13 - 2015-04-07 15:13 - 00062664 _____ (Baidu) C:\WINDOWS\system32\Drivers\BDSafeBrowser.sys
2015-04-07 15:04 - 2015-02-10 21:38 - 00239432 _____ (Baidu) C:\WINDOWS\system32\Drivers\BDMWrench.sys
2015-04-07 15:04 - 2015-02-10 21:38 - 00145224 _____ (Baidu Technology) C:\WINDOWS\system32\Drivers\BDArKit.sys
2015-04-07 15:04 - 2015-02-10 21:38 - 00123720 _____ (Baidu) C:\WINDOWS\system32\Drivers\BDDefense.sys
2015-04-07 15:04 - 2014-11-06 10:38 - 00139784 _____ (Baidu) C:\WINDOWS\system32\Drivers\BdSandBox.sys
2015-04-07 15:04 - 2014-11-06 10:38 - 00056904 _____ (Baidu) C:\WINDOWS\system32\Drivers\bd0003.sys
2015-04-07 15:04 - 2014-11-06 10:38 - 00026824 _____ (Baidu) C:\WINDOWS\system32\Drivers\BDFileDefend.sys
EmptyTemp:
Reboot:

Изменено: santy - 08.04.2015 18:16:49

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.04.2015 17:39:09

исправил скрипт, как то некорректно отобразился в окне

[ Как создать образ автозапуска? ]

Перейти