Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 847 848 849 850 851 852 853 854 855 856 857 ... 1784 След.
Помогите удалить троян Win32.Patched.IB
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 30.07.2013 06:18:11
только после выполнения действия 1

выполните скрипт

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код
;uVS v3.80.13 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
zoo %Sys32%\HALE.EXE
addsgn 925262BA056AC1CCE03B414E3341F788B9AE7C3776052EB8D5FA19C9AB90371F4B7AFA4F3E021E8A2FD3EC7C751E49ACFE1CEC21051DB32F2D75A4BF5796B2E3 8 malware
delall %SystemDrive%\USERS\ACER\3375842.EXE
delall %SystemDrive%\USERS\ACER\APPDATA\ROAMING\ADOBE FLASH PLAYER\ADOBE.EXE
delall %SystemDrive%\USERS\ACER\DESKTOP\DX9.EXE
delall %SystemDrive%\USERS\ACER\APPDATA\ROAMING\HIDAZO\MEYGI.EXE
delall E:\SETUP.EXE
zoo %Sys32%\RPCSS.DLL
EXEC cmd /c "rename %sys32%\rpcss.dll rpcss.dll.old"
EXEC cmd /c "rename %sys32%\dllcache\rpcss.dll rpcss.dll.old"
EXEC cmd /c "copy rpcss.dll %sys32%\rpcss.dll"
EXEC cmd /c "copy rpcss.dll %sys32%\dllcache\rpcss.dll" 
;------------------------autoscript---------------------------

chklst
delvir

setdns Подключение по локальной сети\4\{3925E9D0-A04C-4DD9-96D1-7EB2F4174360}\8.8.8.8,8.8.4.4
; Java(TM) 6 Update 29
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216026FF} /quiet

; Bonjour
exec MsiExec.exe /X{79155F2B-9895-49D7-8612-D92580E0DE5B} /quiet

deltmp
delnfr
;-------------------------------------------------------------
dnsreset
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив, из каталога uVS, созданный после выполнения скрипта (например: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected]
----------
далее,
выполните быстрое сканирование в Malwarebytes
Изменено: santy - 30.07.2013 06:18:31
[ Как создать образ автозапуска? ]
Перейти
Помогите удалить троян Win32.Patched.IB
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 30.07.2013 06:13:43
1. скачайте отсюда чистый файл rpcss.dll и скопируйте его в папку откуда будете запускать uVS
http://rghost.ru/44940107
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] Зависание компьютера
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 29.07.2013 19:27:49
может это решение поможет?

Код
;uVS v3.80.13 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
exec "C:\PROGRAM FILES\TNOD USER & PASSWORD FINDER\UNINST-TNOD.EXE"
restart


тема закрыта.
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] 3zz.info при запуске системы
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 29.07.2013 13:23:10
удалите найденное в АдвКлинере по кнопке delete
автоперезагрузка,

далее,
выполните рекомендации
http://forum.esetnod32.ru/forum9/topic3998/
[ Как создать образ автозапуска? ]
Перейти
Вирус
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 29.07.2013 06:10:45
добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/
[ Как создать образ автозапуска? ]
Перейти
При включении компьютера высвечивается надпись "Обнаружена уязвимость скрытого канала в ICMP-пакете, удаленный ip-адрес, При включении компьютера высвечивается надпись "Обнаружена уязвимость скрытого канала в ICMP-пакете, удаленный ip-адрес
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 29.07.2013 06:02:07
погуглите на эту тему

вот например, тема
http://habrahabr.ru/qa/609/
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] TrojanDownloader.Carberp.AW помогите обезвредить, NOD32 обнаружил TrojanDownloader.Carberp.AW и не может его обезвредить
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.07.2013 20:29:18
так есть, активный Carberp не позволил перезаписать загрузчик из активной системы

Цитата
OFFSGNSAVE
--------------------------------------------------------
--------------------------------------------------------
fixvbr C: 6
--------------------------------------------------------
Запись загрузчика в VBR:
C:
Ошибка записи [Запрос не был выполнен из-за ошибки ввода/вывода на устройстве. ]

выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

на этом тему закрываем.
Изменено: santy - 28.07.2013 20:31:27
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] TrojanDownloader.Carberp.AW помогите обезвредить, NOD32 обнаружил TrojanDownloader.Carberp.AW и не может его обезвредить
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.07.2013 20:15:44
и кстати, добавьте лог выполнения скрипта, который вы делали из активной системы.
дата_времяlog.txt из папки uVS
глянем, на реакцию активного Carberp.
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] TrojanDownloader.Carberp.AW помогите обезвредить, NOD32 обнаружил TrojanDownloader.Carberp.AW и не может его обезвредить
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.07.2013 20:13:29
хорошо, :). добили мы все таки бутовый Carberp. похоже, и tdsskiller теперь не спасает, одна надежда - на Winpe&uVS.
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] TrojanDownloader.Carberp.AW помогите обезвредить, NOD32 обнаружил TrojanDownloader.Carberp.AW и не может его обезвредить
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.07.2013 20:02:00
Цитата
Сергей Ананьев пишет:
возможно скрит нужно запускать через Winpe&uVS?
конечно через Winpe&uVS.

ведь в нормальном режиме троян активен, и показывает совсем другой код загрузчика, значит и при перезаписи, он либо не позволит выполнить перезапись загрузчика, либо перенаправит запись на другой блок.
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 847 848 849 850 851 852 853 854 855 856 857 ... 1784 След.