santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

ошибка при обмене данными с ядром, Help!

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.02.2015 16:59:50

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.3 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v385c OFFSGNSAVE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\1\LOCAL SETTINGS\APPLICATION DATA\WINCHECK\WINCHECK.EXE addsgn 1AA52F9A5583C58CF42B16DA9B8A12A67576BFF64EFF4B84C6C3A44A12D6B6497BEB80572BA3DF49EC85D8630516070C3FDF2F773526F32C9A82E62F6462DE30 8 ConvertAd zoo %SystemDrive%\DOCUMENTS AND SETTINGS\1\LOCAL SETTINGS\TEMP\LQNPOMZXM5Z1.EXE addsgn 1A51119A5583C58CF42B627DA804DEC9E909C13EC4B61F788A478ADB50D6F2A02B186D0B1A51160D0F84A11F391649C7FDC0E87220D5691009112F2BE360A193 8 LoadMoney.413 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\1\LOCAL SETTINGS\TEMP\FXMLS34ONT1V.EXE addsgn 1ACBE59A5583C58CF42B254E3143FE8E609EAA73498E5EFBF8CBC5C9433E23B0DCE8A94160DCADA1CDEE849FCDD0A2D0FEA2F872213D89692104AAC7F3FADD8C 8 LoadMoney.422 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\1\LOCAL SETTINGS\TEMP\7JD64EAF0NCE.EXE addsgn 1AFD039A5583C58CF42B627DA804DEC9E946303A45369C450D0591BC50D9F5D25717C3D4D25D92E777A4801402324DDFFDA0E872685AAF2C2D02ABF6FB2244F8 8 LoadMoney.422 delall %SystemDrive%\PROGRAM FILES\ANYPROTECTEX\ANYPROTECT.EXE addsgn 7300F39B556A1F275DE775E6ED94361DE2CED8E6B96B5F780C9FE19C9692555803E8D6634E159D212A00849FB903FD8A3DDFBB8D4056C26C2D1DAD8C7F316073 8 Win32/Glupteba.AF zoo %SystemDrive%\PROGRAM FILES\GORN\GORN\CRYPT.EXE del %SystemDrive%\DOCUMENTS AND SETTINGS\1\APPLICATION DATA\BROWSERS\EXE.AREPO.BAT del %SystemDrive%\DOCUMENTS AND SETTINGS\1\APPLICATION DATA\BROWSERS\EXE.EMORHC.BAT del %SystemDrive%\DOCUMENTS AND SETTINGS\1\APPLICATION DATA\BROWSERS\EXE.EROLPXEI.BAT del %SystemDrive%\DOCUMENTS AND SETTINGS\1\APPLICATION DATA\BROWSERS\EXE.EROLPXEI.BAT del %SystemDrive%\DOCUMENTS AND SETTINGS\1\APPLICATION DATA\BROWSERS\EXE.REHCNUALTOW.BAT del %SystemDrive%\DOCUMENTS AND SETTINGS\1\APPLICATION DATA\BROWSERS\EXE.REHCNUALTS.BAT del %SystemDrive%\DOCUMENTS AND SETTINGS\1\APPLICATION DATA\BROWSERS\EXE.XOFERIF.BAT addsgn 1A28B79A5583C58CF42B254E3143FE8E6082AA7D783C5974854605C9333E1EC123174A1136DED525A28E0FD72E9F07FEF6D1D37FBDD2902959652F2267000276 8 Win32/RuKometa.B zoo %SystemDrive%\DOCUMENTS AND SETTINGS\1\LOCAL SETTINGS\TEMP\NETD9EA.TMP.EXE addsgn 1A519D9A5583338CF42BFB3A88434711AEC7F4A00C286A75000AB0B1699B7D39022403BC10D0543D320BC193C3D63DE8F80D9D76DDCB5BC5A602B4AA317335B5 8 Win32/ELEX.BH zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\WINDOWSMANGERPROTECT\PROTECTWINDOWSMANAGER.EXE addsgn 1A24D99A55834C720BD4C4A50C008646256273A089FAF7ACABC3C5B3E7261B4ECB4C6D573E0C2504718084F97F1349FA3DDF9C7666015B1F8C4BA46FC7879A73 8 Trojan.DownLoader zoo %SystemDrive%\DOCUMENTS AND SETTINGS\1\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\VKMUSICDOWNLOADER.EXE ;------------------------autoscript--------------------------- chklst delvir setdns Подключение по локальной сети\4\{A13FABE6-D7CB-4978-9B53-8974CEC217EC}\8.8.8.8,8.8.4.4 delref {74F475FA-6C75-43BD-AAB9-ECDA6184F600}\[CLSID] REGT 28 REGT 29 delref HTTP://FORETUNED.COM/ delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&TEXT={SEARCHTERMS} ; DefaultTab exec C:\Documents and Settings\1\Application Data\defaulttab\defaulttab\uninstalldt.exe ; OpenAL exec C:\Program Files\OpenAL\OpenAL.exe" /U deldir %SystemDrive%\PROGRAM FILES\REGCLEAN PRO dnsreset deltmp delnfr ;------------------------------------------------------------- czoo restart

Код

;uVS v3.85.3 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\1\LOCAL SETTINGS\APPLICATION DATA\WINCHECK\WINCHECK.EXE
addsgn 1AA52F9A5583C58CF42B16DA9B8A12A67576BFF64EFF4B84C6C3A44A12D6B6497BEB80572BA3DF49EC85D8630516070C3FDF2F773526F32C9A82E62F6462DE30 8 ConvertAd

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\1\LOCAL SETTINGS\TEMP\LQNPOMZXM5Z1.EXE
addsgn 1A51119A5583C58CF42B627DA804DEC9E909C13EC4B61F788A478ADB50D6F2A02B186D0B1A51160D0F84A11F391649C7FDC0E87220D5691009112F2BE360A193 8 LoadMoney.413

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\1\LOCAL SETTINGS\TEMP\FXMLS34ONT1V.EXE
addsgn 1ACBE59A5583C58CF42B254E3143FE8E609EAA73498E5EFBF8CBC5C9433E23B0DCE8A94160DCADA1CDEE849FCDD0A2D0FEA2F872213D89692104AAC7F3FADD8C 8 LoadMoney.422

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\1\LOCAL SETTINGS\TEMP\7JD64EAF0NCE.EXE
addsgn 1AFD039A5583C58CF42B627DA804DEC9E946303A45369C450D0591BC50D9F5D25717C3D4D25D92E777A4801402324DDFFDA0E872685AAF2C2D02ABF6FB2244F8 8 LoadMoney.422

delall %SystemDrive%\PROGRAM FILES\ANYPROTECTEX\ANYPROTECT.EXE
addsgn 7300F39B556A1F275DE775E6ED94361DE2CED8E6B96B5F780C9FE19C9692555803E8D6634E159D212A00849FB903FD8A3DDFBB8D4056C26C2D1DAD8C7F316073 8 Win32/Glupteba.AF

zoo %SystemDrive%\PROGRAM FILES\GORN\GORN\CRYPT.EXE
del %SystemDrive%\DOCUMENTS AND SETTINGS\1\APPLICATION DATA\BROWSERS\EXE.AREPO.BAT
del %SystemDrive%\DOCUMENTS AND SETTINGS\1\APPLICATION DATA\BROWSERS\EXE.EMORHC.BAT
del %SystemDrive%\DOCUMENTS AND SETTINGS\1\APPLICATION DATA\BROWSERS\EXE.EROLPXEI.BAT
del %SystemDrive%\DOCUMENTS AND SETTINGS\1\APPLICATION DATA\BROWSERS\EXE.EROLPXEI.BAT
del %SystemDrive%\DOCUMENTS AND SETTINGS\1\APPLICATION DATA\BROWSERS\EXE.REHCNUALTOW.BAT
del %SystemDrive%\DOCUMENTS AND SETTINGS\1\APPLICATION DATA\BROWSERS\EXE.REHCNUALTS.BAT
del %SystemDrive%\DOCUMENTS AND SETTINGS\1\APPLICATION DATA\BROWSERS\EXE.XOFERIF.BAT
addsgn 1A28B79A5583C58CF42B254E3143FE8E6082AA7D783C5974854605C9333E1EC123174A1136DED525A28E0FD72E9F07FEF6D1D37FBDD2902959652F2267000276 8 Win32/RuKometa.B

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\1\LOCAL SETTINGS\TEMP\NETD9EA.TMP.EXE
addsgn 1A519D9A5583338CF42BFB3A88434711AEC7F4A00C286A75000AB0B1699B7D39022403BC10D0543D320BC193C3D63DE8F80D9D76DDCB5BC5A602B4AA317335B5 8 Win32/ELEX.BH

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\WINDOWSMANGERPROTECT\PROTECTWINDOWSMANAGER.EXE
addsgn 1A24D99A55834C720BD4C4A50C008646256273A089FAF7ACABC3C5B3E7261B4ECB4C6D573E0C2504718084F97F1349FA3DDF9C7666015B1F8C4BA46FC7879A73 8 Trojan.DownLoader

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\1\LOCAL SETTINGS\APPLICATION DATA\MICROSOFT\WINDOWS\VKMUSICDOWNLOADER.EXE
;------------------------autoscript---------------------------

chklst
delvir

setdns Подключение по локальной сети\4\{A13FABE6-D7CB-4978-9B53-8974CEC217EC}\8.8.8.8,8.8.4.4
delref {74F475FA-6C75-43BD-AAB9-ECDA6184F600}\[CLSID]

REGT 28
REGT 29

delref HTTP://FORETUNED.COM/

delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&TEXT={SEARCHTERMS}

; DefaultTab
exec C:\Documents and Settings\1\Application Data\defaulttab\defaulttab\uninstalldt.exe
; OpenAL
exec C:\Program Files\OpenAL\OpenAL.exe" /U

deldir %SystemDrive%\PROGRAM FILES\REGCLEAN PRO

dnsreset

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

Изменено: santy - 04.02.2015 17:00:53

[ Как создать образ автозапуска? ]

Перейти

ошибка при обмене данными с ядром, Help!

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.02.2015 16:51:34

добавьте дополнительно лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

[ Как создать образ автозапуска? ]

Перейти

зашифровано с расширением *id-*[email protected], Filecoder.DG

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.02.2015 16:41:15

по очистке системы выполните скрипт в uVS

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

;uVS v3.85.3 [http://dsrt.dyndns.org]

Код
;Target OS: NTv5.1 v385c OFFSGNSAVE delall %SystemDrive%\DOCUME~1\9335~1\LOCALS~1\TEMP\208036.EXE delref HBFUVWIC.BZ delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=C6BCF45B13BAFB4DD740727C5ED3F177&TEXT={SEAR... ;------------------------autoscript--------------------------- chklst delvir ; Java(TM) 6 Update 31 exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216031FF} /quiet REGT 28 REGT 29 ;------------------------------------------------------------- restart

Код

;Target OS: NTv5.1
v385c
OFFSGNSAVE
delall %SystemDrive%\DOCUME~1\9335~1\LOCALS~1\TEMP\208036.EXE
delref HBFUVWIC.BZ
delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=C6BCF45B13BAFB4DD740727C5ED3F177&TEXT={SEAR...
;------------------------autoscript---------------------------

chklst
delvir

; Java(TM) 6 Update 31
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216031FF} /quiet
REGT 28
REGT 29
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

[ Как создать образ автозапуска? ]

Перейти

зашифровано с расширением *id-*[email protected], Filecoder.DG / Encoder.741

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.02.2015 16:36:05

по *[email protected] обращайтесь непосредственно в техподдержку вирлабов.
возможно расшифруют при наличие лицензии на антивирус компании, в которую вы обратитесь

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] вирусные dns

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.02.2015 12:13:34

Код
;uVS v3.85.3 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\USERS\NATASHA\APPDATA\ROAMING\ETRANSLATOR\ETRANSLATOR.EXE addsgn A7679B1991867FB28291420928E17105CD11152A76C9DF2DED1C25DF50B28E7C479EE3BF463C41B6AE40F1AFAE49C500825B28077557E5C01EB74CEEAEDADDF8 13 Trojan.Zadved.17 [DrWeb] delall F:\ПУСТАЯ ПАПКА\@РАБОЧ. ПАПКА @\-).EXE hide %SystemDrive%\HOMEBANK\HBUPGRADES\IKEYDRVR.EXE ;------------------------autoscript--------------------------- chklst delvir delref HTTP://SIMSIMOTKROYSIA.RU/ ; etranslator exec C:\Users\Natasha\AppData\Roaming\eTranslator\eTranslator.exe" /uninstall ; Java(TM) 6 Update 24 exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216017FF} /quiet deltmp delnfr ;------------------------------------------------------------- restart

Код

;uVS v3.85.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\NATASHA\APPDATA\ROAMING\ETRANSLATOR\ETRANSLATOR.EXE
addsgn A7679B1991867FB28291420928E17105CD11152A76C9DF2DED1C25DF50B28E7C479EE3BF463C41B6AE40F1AFAE49C500825B28077557E5C01EB74CEEAEDADDF8 13 Trojan.Zadved.17 [DrWeb]

delall F:\ПУСТАЯ ПАПКА\@РАБОЧ. ПАПКА @\-).EXE
hide %SystemDrive%\HOMEBANK\HBUPGRADES\IKEYDRVR.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://SIMSIMOTKROYSIA.RU/

; etranslator
exec C:\Users\Natasha\AppData\Roaming\eTranslator\eTranslator.exe" /uninstall
; Java(TM) 6 Update 24
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216017FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Подменв dns , открываются порно-сайты

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.02.2015 12:10:45

DNS ваш?
https://www.nic.ru/whois/?query=82.209.240.241

Цитата
descr: Republic of Belarus country: BY

[ Как создать образ автозапуска? ]

Перейти

зашифровано с расширением *id-*[email protected], Filecoder.DG / Encoder.741

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.02.2015 09:44:40

ok, отправил в [email protected]

[ Как создать образ автозапуска? ]

Перейти

зашифровано с расширением *id-*[email protected], Filecoder.DG / Encoder.741

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.02.2015 08:57:25

вы все cделали так, теперь просьба выслать это же вирусное тело в почту [email protected]

Изменено: santy - 19.06.2017 09:39:58

[ Как создать образ автозапуска? ]

Перейти

зашифровано с расширением *id-*[email protected], Filecoder.DG / Encoder.741

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.02.2015 08:46:08

Михаил Кретов, вышлите тело вируса в почту [email protected] в а архиве с паролем infected

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.02.2015 08:19:32

g0dl1ke, напиши про ShadowExplorer в полезные программы.

[ Как создать образ автозапуска? ]

Перейти