santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

как удалить вирус из оперативной памяти explorer.exe

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 19.06.2013 19:40:04

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
uVS v3.80.6 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE deltmp delnfr regt 5 regt 14 restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

как удалить вирус из оперативной памяти explorer.exe

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 19.06.2013 19:35:39

судя по оперативке, все чисто.

Цитата
15.06.2013 23:29:03 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = explorer.exe(532 8) модифицированный Win32/Dorkbot.A червь очистка невозможна

последняя актуальная угроза была день назад

Цитата
18.06.2013 0:07:29 Защита в режиме реального времени файл H:\ФОТО С КАМЕРЫ ЗА ДВА ГОДА.lnk Win32/Dorkbot.D червь очищен удалением - изолирован admin-ПК\admin Событие произошло при попытке доступа к файлу следующим приложением: C:\Windows\explorer.exe. 18.06.2013 0:07:29 Защита в режиме реального времени файл H:\ФОТО ПЕЧАТАТЬ.lnk Win32/Dorkbot.D червь очищен удалением - изолирован admin-ПК\admin Событие произошло при попытке доступа к файлу следующим приложением: C:\Windows\explorer.exe. 18.06.2013 0:07:28 Защита в режиме реального времени файл H:\ТИАНДЕ КАТАЛОГ.lnk Win32/Dorkbot.D червь очищен удалением - изолирован admin-ПК\admin Событие произошло при попытке доступа к файлу следующим приложением: C:\Windows\explorer.exe.

Цитата

18.06.2013 0:07:29 Защита в режиме реального времени файл H:\ФОТО С КАМЕРЫ ЗА ДВА ГОДА.lnk Win32/Dorkbot.D червь очищен удалением - изолирован admin-ПК\admin Событие произошло при попытке доступа к файлу следующим приложением: C:\Windows\explorer.exe.
18.06.2013 0:07:29 Защита в режиме реального времени файл H:\ФОТО ПЕЧАТАТЬ.lnk Win32/Dorkbot.D червь очищен удалением - изолирован admin-ПК\admin Событие произошло при попытке доступа к файлу следующим приложением: C:\Windows\explorer.exe.
18.06.2013 0:07:28 Защита в режиме реального времени файл H:\ТИАНДЕ КАТАЛОГ.lnk Win32/Dorkbot.D червь очищен удалением - изолирован admin-ПК\admin Событие произошло при попытке доступа к файлу следующим приложением: C:\Windows\explorer.exe.

образ сейчас посмотрю.

Изменено: santy - 19.06.2013 19:37:25

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] ОWin32/Dorkbot.B червь - очистка невозможна, Оперативная память = winlogon.exe(908) - модифицированный Win32/Dorkbot.B червь - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 19.06.2013 10:56:17

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.80.5 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ETC\APPLICATION DATA\B.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ETC\APPLICATION DATA\C.EXE

Код


;uVS v3.80.5 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ETC\APPLICATION DATA\B.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ETC\APPLICATION DATA\C.EXE

перезагрузитесь в безопасный режим, и сделайте образ автозапуска из безопасного режима

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 19.06.2013 09:49:37

1. добавьте новый лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

2. добавьте логи выполнения скриптов из папки uVS
файлы с именем дата_времяlog.txt

3. выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.80.5 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE REGT 5 adddir %SystemDrive%\DOCUMENTS AND SETTINGS\ETC\APPLICATION DATA\ delall %SystemDrive%\DOCUMENTS AND SETTINGS\ETC\APPLICATION DATA\MICROSOFT\ZXTWTV.EXE crimg

Код

;uVS v3.80.5 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
REGT 5
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\ETC\APPLICATION DATA\
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ETC\APPLICATION DATA\MICROSOFT\ZXTWTV.EXE
crimg

без перезагрузки, добавьте образ, котоый будет создан автоматически
------------

Изменено: santy - 19.06.2013 09:52:26

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] не заходит в соц.сети

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 18.06.2013 20:51:09

удалите найденное в AdwCleaner по кнопке delete
автоперезагрузка,

пишем результат

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] не заходит в соц.сети

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 18.06.2013 19:51:07

удалите найденное в мбам, кроме

Цитата
Объекты реестра обнаружены: 3 HKLM\SOFTWARE\Microsoft\Security Center\|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Security Center\|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято. HKLM\SOFTWARE\Microsoft\Security Center\|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

Цитата

Объекты реестра обнаружены: 3
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

перегрузите систему,

далее,

выполните првоерку в AdwCleaner
http://forum.esetnod32.ru/forum9/topic7084/

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 18.06.2013 19:49:16

добавьте новый образ автозапуска.

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 18.06.2013 13:16:21

Код
;uVS v3.80.5 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-15555590\CAFEF9.EXE addsgn 9252772A156AC1CC0BB4514E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5FC202ADA4D985CC8F 8 svhost_vir bl 9F22D076C25F3C9FFD546131C49EC030 49152 delall %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-15555590\CAFEF9.EXE addsgn A7679B1991DAC527FB5FBB91DE8912063086B9B489F90A348981C5BF45B2990D239CDE5B7B179D4A36F05CDE463D54B6719DE871487E446D2DFCA1FB25472270 8 Backdoor.Win32.Androm.xrv [Kaspersky] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ETC\APPLICATION DATA\SCREENSAVERPRO.SCR bl 9D48051D9C3E9423BCB2D19822AF9137 147968 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ETC\APPLICATION DATA\SCREENSAVERPRO.SCR hide %SystemDrive%\PROGRAM FILES\HDMS\WINPCAP_4_1_1.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ETC\APPLICATION DATA\MICROSOFT\DXTWTZ.EXE adddir %SystemDrive%\DOCUMENTS AND SETTINGS\ETC\APPLICATION DATA\ delall %SystemDrive%\DOCUMENTS AND SETTINGS\ETC\APPLICATION DATA\MICROSOFT\YXTWTU.EXE chklst delvir delall TFNCKY.EXE deltmp delnfr czoo regt 5 restart

Код

;uVS v3.80.5 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-15555590\CAFEF9.EXE
addsgn 9252772A156AC1CC0BB4514E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5FC202ADA4D985CC8F 8 svhost_vir
bl 9F22D076C25F3C9FFD546131C49EC030 49152
delall %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-15555590\CAFEF9.EXE
addsgn A7679B1991DAC527FB5FBB91DE8912063086B9B489F90A348981C5BF45B2990D239CDE5B7B179D4A36F05CDE463D54B6719DE871487E446D2DFCA1FB25472270 8 Backdoor.Win32.Androm.xrv [Kaspersky]
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ETC\APPLICATION DATA\SCREENSAVERPRO.SCR
bl 9D48051D9C3E9423BCB2D19822AF9137 147968
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ETC\APPLICATION DATA\SCREENSAVERPRO.SCR
hide %SystemDrive%\PROGRAM FILES\HDMS\WINPCAP_4_1_1.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ETC\APPLICATION DATA\MICROSOFT\DXTWTZ.EXE
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\ETC\APPLICATION DATA\
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ETC\APPLICATION DATA\MICROSOFT\YXTWTU.EXE
chklst
delvir
delall TFNCKY.EXE
deltmp
delnfr
czoo
regt 5
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS, созданный после скрипта (например: ZOO_2011-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

Изменено: santy - 18.06.2013 13:28:33

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Оперативная память = winlogon.exe(828) - модифицированный Win32/Dorkbot.B червь - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 18.06.2013 07:51:33

Код
;uVS v3.80.5 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\МОИ ДОКУМЕНТЫ\DOWNLOADS\EI 2.58.EXE addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6E96B5F78B63503F874C251B33627B3173E3D9CC92B807B8AF66609FA2E20FD0E279AB04625D4BCC38506CA82 59 Win32/Dorkbot.B delref HTTP://WEBALTA.RU/SEARCH addsgn A7679B1991D64F4F1712EFB14DF51A93648AD7CBF5FB5D7884FEB9BD12D6F819E334DE5FA8149D6836083FDE461544DAB79EE873589A0E6D2D5CB90F0D472252 8 BackDoor.IRC.NgrBot.146 [DrWeb] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\MICROSOFT\NQHYHL.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\SCREENSAVERPRO.SCR adddir %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\ delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\MICROSOFT\NQHYHL.EXE chklst delvir delref HTTP://WEBALTA.RU/SEARCH deltmp delnfr ; Java(TM) 6 Update 37 exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216037FF} /quiet czoo restart

Код

;uVS v3.80.5 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\МОИ ДОКУМЕНТЫ\DOWNLOADS\EI 2.58.EXE
addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6E96B5F78B63503F874C251B33627B3173E3D9CC92B807B8AF66609FA2E20FD0E279AB04625D4BCC38506CA82 59 Win32/Dorkbot.B
delref HTTP://WEBALTA.RU/SEARCH
addsgn A7679B1991D64F4F1712EFB14DF51A93648AD7CBF5FB5D7884FEB9BD12D6F819E334DE5FA8149D6836083FDE461544DAB79EE873589A0E6D2D5CB90F0D472252 8 BackDoor.IRC.NgrBot.146 [DrWeb]
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\MICROSOFT\NQHYHL.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\SCREENSAVERPRO.SCR
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\MICROSOFT\NQHYHL.EXE
chklst
delvir
delref HTTP://WEBALTA.RU/SEARCH
deltmp
delnfr
; Java(TM) 6 Update 37
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216037FF} /quiet
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив, из каталога uVS, созданный после выполнения скрипта (например: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected]
----------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Обнаружена уязвимость скрытого канала в icmp-пакете, Ciavax, Webalta.ru, Получаю уведомления о уязвимости в icmp-пакете, постоянное открывается Webalta.ru, вирус Ciavax

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 18.06.2013 05:43:33

по логу AdwCleaner чисто
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Перейти