santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

Подцепил вирус

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 05.10.2013 19:05:25

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.81.5 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE hide %SystemDrive%\PROGRAM FILES\MOUNT & BLADE WARBAND 1.153 + PROPHESY OF PENDOR 3.51\BINKPLAY.EXE ;------------------------autoscript--------------------------- ; SmilesExtensions version 2.1 exec C:\Program Files\smwdgt\unins000.exe ; Zaxar Games Browser 4 exec C:\Program Files\Zaxar\unins000.exe deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.81.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
hide %SystemDrive%\PROGRAM FILES\MOUNT & BLADE WARBAND 1.153 + PROPHESY OF PENDOR 3.51\BINKPLAY.EXE
;------------------------autoscript---------------------------

; SmilesExtensions version 2.1
exec C:\Program Files\smwdgt\unins000.exe

; Zaxar Games Browser 4
exec C:\Program Files\Zaxar\unins000.exe

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Оперативная память, модифицированный Win32/Dorkbot.B червь - очистка невозможна, ярлыки на флешке, лог прилагается

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 05.10.2013 18:37:09

Код
;uVS v3.81.5 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE addsgn 1A67589A5583C58CF42B254E3143FE84C9A2FFF68959FF78C4C34CB18CD6304CAA021B577F551454FF80C59FCF2399FA3CDF614F99DAF12C4BFBB1D7C7472215 8 Trojan.Inject1.27909 [DrWeb] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\SCREENSAVERPRO.SCR zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\MICROSOFT\JVCECN.EXE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\TEMP.BIN bl E32C7A10916A9D7AA124EA7AA9C28C51 177152 hide %Sys32%\CPLDAPU\BLUESCREENVIEW.EXE hide %SystemDrive%\PROGRAM FILES\TOTAL COMMANDER\UTILS\MYUNINSTALLER\MYUNINST.EXE hide %SystemDrive%\PROGRAM FILES\TOTAL COMMANDER\PLUGINS\EXE\DECRYPTC.EXE adddir %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA dirzooex %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA ;------------------------autoscript--------------------------- chklst delvir ; Java(TM) 6 Update 20 exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216020FF} /quiet deltmp delnfr ;------------------------------------------------------------- czoo restart

Код

;uVS v3.81.5 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
addsgn 1A67589A5583C58CF42B254E3143FE84C9A2FFF68959FF78C4C34CB18CD6304CAA021B577F551454FF80C59FCF2399FA3CDF614F99DAF12C4BFBB1D7C7472215 8 Trojan.Inject1.27909 [DrWeb]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\SCREENSAVERPRO.SCR
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\MICROSOFT\JVCECN.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\TEMP.BIN
bl E32C7A10916A9D7AA124EA7AA9C28C51 177152
hide %Sys32%\CPLDAPU\BLUESCREENVIEW.EXE
hide %SystemDrive%\PROGRAM FILES\TOTAL COMMANDER\UTILS\MYUNINSTALLER\MYUNINST.EXE
hide %SystemDrive%\PROGRAM FILES\TOTAL COMMANDER\PLUGINS\EXE\DECRYPTC.EXE
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA
dirzooex %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA
;------------------------autoscript---------------------------

chklst
delvir

; Java(TM) 6 Update 20
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216020FF} /quiet

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Вирус Win32:Kryptik-HRR

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.10.2013 05:36:52

проверить систему надо обязательно, потому что ramnit это не штатный троян, а файловый вирус.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Обращение 837681 Помогите с проблемой, На сколько я понял у меня на компьюторе троян или рут кит, переустановил систему симптомы прежние.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 03.10.2013 19:42:52

отсюда можно скачать ESS
http://www.eset.com/int/download/home/detail/family/5/?installer=offline#offline,116,RUS
если будете ставить 64разрядную систему

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 03.10.2013 19:05:03

если нужна защита от вторжений,
используйте либо брэндмауэр Windows или используйте другой продукт ESET
Eset Smart Security

[ Как создать образ автозапуска? ]

Перейти

Баннер то там то тут =)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 03.10.2013 18:59:57

Код
;uVS v3.81.3 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE zoo %SystemDrive%\USERS\ПРИМА\APPDATA\LOCAL\CONVERTAD\CONVERTAD.EXE addsgn 1A4D1C9A5583C58CF42B95BC9C86450550880F3560D2737885483AE9DB3A201F759CF63B9C079D1ED4B5EC431116B62C82EA8CAE02DA3BF4A42A58D0118DD248 8 Adware.Downware.1396 [DrWeb] zoo %SystemDrive%\USERS\ПРИМА\APPDATA\ROAMING\DSITE\UPDATEPROC\UPDATETASK.EXE addsgn A7679B19919AF48A3C95AE595CDBEDFA4F8A9466BFBB1F10B9F484BC38A6460D23AE576F7F55278113C18427A62E08FA9500948DAA32EE2DD288A42F38F9DD8C 9 Adware.InstallCore.131 [DrWeb] zoo %SystemDrive%\PROGRAM FILES\LYRMIX\LYMXUD.EXE addsgn 1A94019A5583C58CF42B254E3143FE86C9AA77B381AC48128D9A7B2C739471C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F879F23FE 8 Trojan.Lyrics.3 [DrWeb] ;------------------------autoscript--------------------------- chklst delvir delref HTTP://WWW2.DELTA-SEARCH.COM/?BABSRC=HP_SS&MNTRID=9E52002618F2867A&AFFID=120699&TT=160913_M2&TSP=5011 ; Bonanza Deals (remove only) exec C:\Program Files\BonanzaDeals\uninst.exe" /uninstall ; ConvertAd exec C:\Users\Прима\AppData\Local\ConvertAd\uninstall.exe ; Lyrmix exec C:\Program Files\Lyrmix\Uninstall.exe deltmp delnfr ;------------------------------------------------------------- czoo restart

Код

;uVS v3.81.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
zoo %SystemDrive%\USERS\ПРИМА\APPDATA\LOCAL\CONVERTAD\CONVERTAD.EXE
addsgn 1A4D1C9A5583C58CF42B95BC9C86450550880F3560D2737885483AE9DB3A201F759CF63B9C079D1ED4B5EC431116B62C82EA8CAE02DA3BF4A42A58D0118DD248 8 Adware.Downware.1396 [DrWeb]

zoo %SystemDrive%\USERS\ПРИМА\APPDATA\ROAMING\DSITE\UPDATEPROC\UPDATETASK.EXE
addsgn A7679B19919AF48A3C95AE595CDBEDFA4F8A9466BFBB1F10B9F484BC38A6460D23AE576F7F55278113C18427A62E08FA9500948DAA32EE2DD288A42F38F9DD8C 9 Adware.InstallCore.131 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES\LYRMIX\LYMXUD.EXE
addsgn 1A94019A5583C58CF42B254E3143FE86C9AA77B381AC48128D9A7B2C739471C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F879F23FE 8 Trojan.Lyrics.3 [DrWeb]

;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://WWW2.DELTA-SEARCH.COM/?BABSRC=HP_SS&MNTRID=9E52002618F2867A&AFFID=120699&TT=160913_M2&TSP=5011

; Bonanza Deals (remove only)
exec C:\Program Files\BonanzaDeals\uninst.exe" /uninstall

; ConvertAd
exec C:\Users\Прима\AppData\Local\ConvertAd\uninstall.exe

; Lyrmix
exec C:\Program Files\Lyrmix\Uninstall.exe

deltmp
delnfr
;-------------------------------------------------------------
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

+ вопрос:
это полезная ссылка? банковский ресурс?

Цитата
Статус в автозапуске Ссылки на объект Ссылка HKEY_USERS\S-1-5-21-864797645-2544105069-3211186009-1000\Software\Microsoft\Internet Explorer\Main\Start Page Start Page https://bsscl.psbst.ru:3443/v2/s/bsi.dll?T=RT_1Loader.Load

Изменено: santy - 03.10.2013 19:00:43

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 03.10.2013 18:33:24

оставьте один из продуктов: Оутпост или ESET Antivirus, пишем результат

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Вирус Win32:Kryptik-HRR

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 03.10.2013 08:59:47

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.81.3 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE zoo %SystemDrive%\USERS\1\CSDXAMBV\KYUKKMKM.EXE addsgn A7679B1BB91A4E720B87F8E635E3D28EE50B125E89FA1FC285C3C5BCE9D1724C239E8EBB845C9D492B0D20BB461649FAF8169F7AECD8B02C2DFEE9C34C43CEF0 13 Win32/Ramnit.A [NOD32] ;------------------------autoscript--------------------------- chklst delvir deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.81.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
zoo %SystemDrive%\USERS\1\CSDXAMBV\KYUKKMKM.EXE
addsgn A7679B1BB91A4E720B87F8E635E3D28EE50B125E89FA1FC285C3C5BCE9D1724C239E8EBB845C9D492B0D20BB461649FAF8169F7AECD8B02C2DFEE9C34C43CEF0 13 Win32/Ramnit.A [NOD32]
;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 02.10.2013 21:33:05

добавьте на форум образ автозапуска и лог ESET sysinspector

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] magent.exe, Процесс magent.exe грузит ЦП на 25 % и съедает гиг оперативы при работе

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 02.10.2013 13:22:39

удалите все найденное в адвклинере, за исключением записей с майл.ру

Цитата
Folder Found C:\Program Files (x86)\Mail.Ru Folder Found C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mail.Ru Folder Found C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mail.Ru Folder Found C:\Users\Владислав\AppData\Local\Mail.Ru Folder Found C:\Users\Владислав\AppData\LocalLow\Mail.Ru Folder Found C:\Users\Владислав\AppData\Roaming\Mail.Ru Folder Found C:\Users\Владислав\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mail.Ru

Цитата

Folder Found C:\Program Files (x86)\Mail.Ru
Folder Found C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mail.Ru
Folder Found C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mail.Ru
Folder Found C:\Users\Владислав\AppData\Local\Mail.Ru
Folder Found C:\Users\Владислав\AppData\LocalLow\Mail.Ru
Folder Found C:\Users\Владислав\AppData\Roaming\Mail.Ru
Folder Found C:\Users\Владислав\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mail.Ru

далее,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Перейти