santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] Угроза: JS/Kryptik.I троянская программа

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.04.2014 15:39:38

удалите все найденное в мбам,

перегрузите систему,

далее, сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Угроза: JS/Kryptik.I троянская программа

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.04.2014 14:02:40

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.82.2 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\КОНСТАНТИН\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE addsgn 1AF67A9B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian delall %SystemDrive%\DOCUMENTS AND SETTINGS\КОНСТАНТИН\APPLICATION DATA\SWVUPDATER\UPDATER.EXE hide D:\GAMES\DIABLO II\UNINSHS.EXE ;------------------------autoscript--------------------------- chklst delvir deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.82.2 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\КОНСТАНТИН\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1AF67A9B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetorian

delall %SystemDrive%\DOCUMENTS AND SETTINGS\КОНСТАНТИН\APPLICATION DATA\SWVUPDATER\UPDATER.EXE
hide D:\GAMES\DIABLO II\UNINSHS.EXE
;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] JS/Kryptik.l, Троян

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 01.04.2014 13:57:54

tnod используем

Цитата
C:\PROGRAM FILES\TNOD USER & PASSWORD FINDER\UNINST-TNOD.EXE

обратитесь за помощью на другой форум.

тема закрыта.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Открыти домашней страници с непристойным содержанием.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 31.03.2014 11:58:13

Код
;uVS v3.82.2 [http://dsrt.dyndns.org] ;Target OS: NTv6.2 OFFSGNSAVE delall %SystemDrive%\PROGRAM FILES (X86)\MOBOGENIE\DAEMONPROCESS.EXE delall %SystemDrive%\USERS\DMITRY\APPDATA\ROAMING\YANDEX\YANDEXDISK\YANDEXDISKSTARTER.URL delall %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.URL ;------------------------autoscript--------------------------- chklst delvir deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.82.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.2

OFFSGNSAVE
delall %SystemDrive%\PROGRAM FILES (X86)\MOBOGENIE\DAEMONPROCESS.EXE
delall %SystemDrive%\USERS\DMITRY\APPDATA\ROAMING\YANDEX\YANDEXDISK\YANDEXDISKSTARTER.URL
delall %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.URL
;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
+
удалите ярлыки браузеров и Яндекс-диск) на рабочем столе и в быстром запуске, и заново создайте их.
+
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Не пускает на Яндекс

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 30.03.2014 11:20:37

универсальных советов, которые решат все проблемы нет. совет -ставить программы из доверенных источников.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Не пускает на Яндекс

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 30.03.2014 07:27:29

Код
;uVS v3.82.2 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE zoo %SystemDrive%\USERS\SASH\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetotian delall %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER.EXE ;------------------------autoscript--------------------------- chklst delvir delref %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER3.DLL ; Bonjour exec MsiExec.exe /X{6E3610B2-430D-4EB0-81E3-2B57E8B9DE8D} /quiet deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.82.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
zoo %SystemDrive%\USERS\SASH\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 praetotian

delall %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER3.DLL

; Bonjour
exec MsiExec.exe /X{6E3610B2-430D-4EB0-81E3-2B57E8B9DE8D} /quiet

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Приложение не является Win 32, Не запускается ни один .exe файл на ПК.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 30.03.2014 07:23:19

множественное файловое заражение neshta

Цитата
Win32/Neshta.A [глубина совпадения 64(64), необх. минимум 22, максимум 64]

пролечите полностью систему и съемные диски с по мощью загрузочного диска ESET rescue
http://forum.esetnod32.ru/forum9/topic1966/

затем добавьте новый образ автозапуска.

[ Как создать образ автозапуска? ]

Перейти

err.h18.ru/error404.shtml

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 28.03.2014 19:16:22

обновите ESET NOD32 до актуальной версии 4.2.76 вместо

Цитата
4.2.67.10

[ Как создать образ автозапуска? ]

Перейти

autochk.exe win32/CompuTraceB

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 27.03.2014 18:22:06

OSPP.VBS так может и зря был удален.
http://technet.microsoft.com/ru-ru/library/ee624350(v=office.15).aspx

файл на самом деле полезный, но вот с симптомами он подмены или замены

Цитата
Полное имя C:\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE15\OSPP.VBS Имя файла OSPP.VBS Тек. статус ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную] Сохраненная информация на момент создания образа Статус ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную] Размер 79360 байт Создан 02.03.2014 в 17:48:02 Изменен 02.03.2014 в 17:48:02 Цифр. подпись НАРУШЕНА, файл модифицирован или заражен Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Цифровая подпись Недействительна (файл поврежден/заражен) Доп. информация на момент обновления списка SHA1 98D178D56102AA857C68750A16E1BFDE22BE848D MD5 BF41086C3C6A7BE1E8D3AF0323A05C42

Цитата

Полное имя C:\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE15\OSPP.VBS
Имя файла OSPP.VBS
Тек. статус ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
Размер 79360 байт
Создан 02.03.2014 в 17:48:02
Изменен 02.03.2014 в 17:48:02
Цифр. подпись НАРУШЕНА, файл модифицирован или заражен

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Цифровая подпись Недействительна (файл поврежден/заражен)

Доп. информация на момент обновления списка
SHA1 98D178D56102AA857C68750A16E1BFDE22BE848D
MD5 BF41086C3C6A7BE1E8D3AF0323A05C42

второй файл на самом деле отсутствует, но тоже был подозрительно прописан в автозапуске

Цитата
Полное имя C:\PROGRAMDATA\SETWALLPAPER.CMD Имя файла SETWALLPAPER.CMD Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске Удовлетворяет критериям CURRENTVERSION.RUN (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) Сохраненная информация на момент создания образа Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске Инф. о файле Не удается найти указанный файл. Цифр. подпись проверка не производилась Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Путь до файла Типичен для вирусов и троянов Ссылки на объект Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Setwallpaper Setwallpaper c:\programdata\SetWallpaper.cmd

Цитата

Полное имя C:\PROGRAMDATA\SETWALLPAPER.CMD
Имя файла SETWALLPAPER.CMD
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Удовлетворяет критериям
CURRENTVERSION.RUN (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1) AND (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1)

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Инф. о файле Не удается найти указанный файл.
Цифр. подпись проверка не производилась

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла Типичен для вирусов и троянов

Ссылки на объект
Ссылка HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Setwallpaper
Setwallpaper c:\programdata\SetWallpaper.cmd

Изменено: santy - 27.03.2014 18:22:30

[ Как создать образ автозапуска? ]

Перейти

тормоз по интернету и всплывают рекламные окна открываются рекламные сайты, непонятные проблемы

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 27.03.2014 16:28:07

можно в списке расширений Хрома
в строке URL наберите адрес
chrome://extensions/
на этой странице можно отключить расширения.

[ Как создать образ автозапуска? ]

Перейти