santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

Помогите избавится от баннера

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 25.03.2013 17:50:24

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.77.8 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE setdns Подключение по локальной сети\4\{3784EAC1-AFCE-42CC-A9AB-71342B1104B2}\ deltmp delnfr EXEC cmd /c"ipconfig /flushdns" restart

Код

;uVS v3.77.8 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
setdns Подключение по локальной сети\4\{3784EAC1-AFCE-42CC-A9AB-71342B1104B2}\
deltmp
delnfr
EXEC cmd /c"ipconfig /flushdns"
restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

Модифицированный Win32/Agent.UPF троянская программа - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 25.03.2013 15:43:51

Код
;uVS v3.77.8 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE addsgn A7679BCB00AD098E6ACFAFB1A38DEE643E8BFC31CC067E6384C302F9ACB76A4D23D086AB5F4E9C49ECC578FE5D17493D3823896954DA7769D116BF2EC7C1678F 8 majachok.exe zoo %SystemDrive%\PROGRAMDATA\MOZILLA\SBBKTGI.EXE zoo %SystemDrive%\PROGRAMDATA\MOZILLA\SYCSAUN.DLL delref %SystemDrive%\PROGRAMDATA\MOZILLA\SYCSAUN.DLL delall %SystemDrive%\PROGRAMDATA\MOZILLA\SBBKTGI.EXE delref /C deltmp delnfr czoo regt 14 exec MSIEXEC.EXE /quiet /X{26A24AE4-039D-4CA4-87B4-2F83216020FF} restart

Код

;uVS v3.77.8 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
addsgn A7679BCB00AD098E6ACFAFB1A38DEE643E8BFC31CC067E6384C302F9ACB76A4D23D086AB5F4E9C49ECC578FE5D17493D3823896954DA7769D116BF2EC7C1678F 8 majachok.exe
zoo %SystemDrive%\PROGRAMDATA\MOZILLA\SBBKTGI.EXE
zoo %SystemDrive%\PROGRAMDATA\MOZILLA\SYCSAUN.DLL
delref %SystemDrive%\PROGRAMDATA\MOZILLA\SYCSAUN.DLL
delall %SystemDrive%\PROGRAMDATA\MOZILLA\SBBKTGI.EXE
delref /C
deltmp
delnfr
czoo
regt 14
exec MSIEXEC.EXE /quiet /X{26A24AE4-039D-4CA4-87B4-2F83216020FF}
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

помогите удалить вирус

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 25.03.2013 05:47:11

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.77.8 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE delref HTTPS://LASDATA.COM/USEJODEGO/RUYEAH.PAC deltmp delnfr exec C:\PROGRAM FILES (X86)\ASKTOOLBAR4\UNINSTALL.EXE exec /quiet MSIEXEC.EXE /X{26A24AE4-039D-4CA4-87B4-2F83216021FF} exec /quiet MSIEXEC.EXE /X{26A24AE4-039D-4CA4-87B4-2F86416021FF} EXEC cmd /c"ipconfig /flushdns" restart

Код


;uVS v3.77.8 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
delref HTTPS://LASDATA.COM/USEJODEGO/RUYEAH.PAC
deltmp
delnfr
exec C:\PROGRAM FILES (X86)\ASKTOOLBAR4\UNINSTALL.EXE
exec /quiet MSIEXEC.EXE /X{26A24AE4-039D-4CA4-87B4-2F83216021FF}
exec /quiet MSIEXEC.EXE /X{26A24AE4-039D-4CA4-87B4-2F86416021FF}
EXEC cmd /c"ipconfig /flushdns"
restart

[ Как создать образ автозапуска? ]

Перейти

Не могу пользоваться поисковиками

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 25.03.2013 05:36:31

выполните скрипт в безопасном режиме
-------------
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.77.8 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE zoo %Sys32%\DRIVERS\TLAHTMQ.SYS addsgn A7679BCB00E549628397AE4E51D89A4625E287ECC9FAF64D7E3C3A37B58BB280769C2FD4D2595A0CDF80B49F46D10C063DDFE872929F482C2D77A48ECB566173 8 majachok.exe zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MOZILLA\YRSKIZJ.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MOZILLA\YRSKIZJ.EXE addsgn A7679BCB00E54942B8D4BE4E51F8A10535E2E79F89EAF64D7E3C3A37B58BB280769C2FD4D2595A0CDF80B49F46D10C063DDFE872929F482C2D77A48EF7762263 64 majachok.dll zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MOZILLA\NCGFZUM.DLL delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MOZILLA\NCGFZUM.DLL czoo sreg delref %Sys32%\DRIVERS\TLAHTMQ.SYS areg

Код

;uVS v3.77.8 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
zoo %Sys32%\DRIVERS\TLAHTMQ.SYS
addsgn A7679BCB00E549628397AE4E51D89A4625E287ECC9FAF64D7E3C3A37B58BB280769C2FD4D2595A0CDF80B49F46D10C063DDFE872929F482C2D77A48ECB566173 8 majachok.exe
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MOZILLA\YRSKIZJ.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MOZILLA\YRSKIZJ.EXE
addsgn A7679BCB00E54942B8D4BE4E51F8A10535E2E79F89EAF64D7E3C3A37B58BB280769C2FD4D2595A0CDF80B49F46D10C063DDFE872929F482C2D77A48EF7762263 64 majachok.dll
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MOZILLA\NCGFZUM.DLL
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MOZILLA\NCGFZUM.DLL
czoo
sreg
delref %Sys32%\DRIVERS\TLAHTMQ.SYS
areg

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS, созданный после скрипта (например: ZOO_2011-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Вирус

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 24.03.2013 18:46:28

чисто,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Вирус

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 24.03.2013 18:22:32

Код
;uVS v3.77.8 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE delref START delref HTTPS://ISEARCH.AVG.COM/?CID={C0049D9D-9CFD-4229-9279-571E8EE30B47}&MID=B9FF3169B23347D09A36D1191024E9FB-AED2D5A80BF9195B8C9BC9FF7DD71EE6FA8F1D9F&LANG=RU&DS=GM011&PR=SA&D=2012-04-01 deltmp delnfr regt 14 restart

Код

;uVS v3.77.8 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
delref START
delref HTTPS://ISEARCH.AVG.COM/?CID={C0049D9D-9CFD-4229-9279-571E8EE30B47}&MID=B9FF3169B23347D09A36D1191024E9FB-AED2D5A80BF9195B8C9BC9FF7DD71EE6FA8F1D9F&LANG=RU&DS=GM011&PR=SA&D=2012-04-01
deltmp
delnfr
regt 14
restart

[ Как создать образ автозапуска? ]

Перейти

Обнаружена атака путем подделки записей кэша DNS

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.03.2013 22:09:59

здесь
http://www.eset.com/download/home/detail/family/5/operatingsystem/116/language/RUS/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] не заходит в vk.com и mail.ru из-за вируса, просит отослать смс с подтверждением возраста на номер 5537

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.03.2013 16:29:14

Код
;uVS v3.77.8 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE CEXEC cmd /c"ping vk.com" CEXEC cmd /c"ping mail.ru" CEXEC cmd /c"tracert vk.com" CEXEC cmd /c"tracert mail.ru" crimg

без перезагрузки, добавьте образ, который будет сделан автоматически
------------

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] не заходит в vk.com и mail.ru из-за вируса, просит отослать смс с подтверждением возраста на номер 5537

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.03.2013 15:28:50

пробуйте очистить кэш DNS на проблемной машине
cmd
ipconfig /flushdns

[ Как создать образ автозапуска? ]

Перейти

Обнаружена атака путем подделки записей кэша DNS

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.03.2013 13:13:20

а что за дистр ESET вы используете?

Цитата
Полное имя C:\PROGRAM FILES\ESET\ESET SMART SECURITY\EGUI.EXE Имя файла EGUI.EXE Тек. статус АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске Сохраненная информация на момент создания образа Статус АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске Процесс 64-х битный Размер 4081008 байт Создан 07.03.2012 в 15:40:30 Изменен 08.02.2013 в 16:59:58 Тип файла 64-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись НАРУШЕНА, файл модифицирован или заражен Оригинальное имя egui.exe Версия файла 5.2.7.0 Версия продукта 5.2.7.0 Описание ESET GUI Продукт ESET Smart Security Copyright Copyright © ESET, spol. s r.o. 1992-2012. All rights reserved. Производитель ESET Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Цифровая подпись Недействительна (файл поврежден/заражен)

Цитата

Полное имя C:\PROGRAM FILES\ESET\ESET SMART SECURITY\EGUI.EXE
Имя файла EGUI.EXE
Тек. статус АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Сохраненная информация на момент создания образа
Статус АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Процесс 64-х битный
Размер 4081008 байт
Создан 07.03.2012 в 15:40:30
Изменен 08.02.2013 в 16:59:58
Тип файла 64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись НАРУШЕНА, файл модифицирован или заражен

Оригинальное имя egui.exe
Версия файла 5.2.7.0
Версия продукта 5.2.7.0
Описание ESET GUI
Продукт ESET Smart Security
Copyright Copyright © ESET, spol. s r.o. 1992-2012. All rights reserved.
Производитель ESET

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Цифровая подпись Недействительна (файл поврежден/заражен)

[ Как создать образ автозапуска? ]

Перейти