santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] Замаскировавшийся под malwarebytes вирус или конфликт программ?, после установки и запуска malwarebytes anti-malware завис компьютер

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 03.03.2013 14:17:10

пробуйте создать какой либо новый ярлык на запуск программы, и выполнить затем (по ярлыку) запуск данной программы.

пишем результат

Изменено: santy - 03.03.2013 14:17:36

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 03.03.2013 13:18:25

расшифруйте "ничего не открывается".
не запускаются программы по ярлыкам с рабочего стола или что-то другое?
--------
пробуйте создать какой либо новый ярлык на запуск программы, и выполнить затем запуск данной программы.

Изменено: santy - 03.03.2013 13:19:49

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 03.03.2013 12:27:46

выполняем в uVS скрипт из файла
файл скрипта скачайте отсюда
http://rghost.ru/private/44232493/fbdb99bc068a6583fe65c6e9352e85e4

перегрузиться в нормальный режим
пишем результат

Изменено: santy - 03.03.2013 12:29:28

[ Как создать образ автозапуска? ]

Перейти

Вирус в оперативной памяти, Оперативная память = svchost.exe(1336) - модифицированный Win32/Carberp.A троянская программа - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 03.03.2013 10:09:26

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.77.8 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE hide %Sys32%\CPLDAPU\BLUESCREENVIEW.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE hide %SystemDrive%\PROGRAM FILES\DRIVE SPACE INDICATOR\DRVSPACE.EXE deltmp delnfr fixvbr C: 5 exec MSIEXEC.EXE /quiet /X{26A24AE4-039D-4CA4-87B4-2F83216021FF} exec "C:\PROGRAM FILES\MCAFEE SECURITY SCAN\UNINSTALL.EXE" exec C:\PROGRAM FILES\MCAFEE\SITEADVISOR\UNINSTALL.EXE restart

Код

;uVS v3.77.8 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
hide %Sys32%\CPLDAPU\BLUESCREENVIEW.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
hide %SystemDrive%\PROGRAM FILES\DRIVE SPACE INDICATOR\DRVSPACE.EXE
deltmp
delnfr
fixvbr C: 5
exec MSIEXEC.EXE /quiet /X{26A24AE4-039D-4CA4-87B4-2F83216021FF}
exec "C:\PROGRAM FILES\MCAFEE SECURITY SCAN\UNINSTALL.EXE"
exec C:\PROGRAM FILES\MCAFEE\SITEADVISOR\UNINSTALL.EXE
restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Nod блокирует адрес mindmouse.ru + модифицированный Win32/SpyVoltar в оперативной памяти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 03.03.2013 10:03:06

Код
;uVS v3.77.8 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE delall %SystemDrive%\USERS\ДАША\4198592.EXE delref HTTP://WWW.APEHA.RU setdns Беспроводное сетевое соединение 2\4\{67CB35A1-38B1-4C35-AFD2-B13A926D1FA8}\ setdns Беспроводное сетевое соединение\4\{2265D649-3F6B-48AE-A4B1-A8E80D4565FA}\ setdns Подключение по локальной сети\4\{B56A0EB6-9B3E-4534-8FB4-3701C1E08429}\ setdns Сетевое подключение Bluetooth\4\{30DDF1CA-5CD2-47A6-9482-24D6CF2B5D5F}\ zoo %Sys32%\HOST.EXE delall %Sys32%\HOST.EXE delref HTTP://DUBSEARCH.RU deltmp delnfr regt 14 czoo EXEC cmd /c"ipconfig /flushdns" restart

Код

;uVS v3.77.8 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
delall %SystemDrive%\USERS\ДАША\4198592.EXE
delref HTTP://WWW.APEHA.RU
setdns Беспроводное сетевое соединение 2\4\{67CB35A1-38B1-4C35-AFD2-B13A926D1FA8}\
setdns Беспроводное сетевое соединение\4\{2265D649-3F6B-48AE-A4B1-A8E80D4565FA}\
setdns Подключение по локальной сети\4\{B56A0EB6-9B3E-4534-8FB4-3701C1E08429}\
setdns Сетевое подключение Bluetooth\4\{30DDF1CA-5CD2-47A6-9482-24D6CF2B5D5F}\
zoo %Sys32%\HOST.EXE
delall %Sys32%\HOST.EXE
delref HTTP://DUBSEARCH.RU
deltmp
delnfr
regt 14
czoo
EXEC cmd /c"ipconfig /flushdns"
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 02.03.2013 21:51:10

системная папка - это каталог Windows на жестком диске.
он может быть на диске C или D, может быть Windows.0, поэтому его надо выбрать в диалоге (выбор системы), чтобы программе uVS было понятно, какие данные обрабатывать с диска,
а затем уже нажать - текущий пользователь.

[ Как создать образ автозапуска? ]

Перейти

Поймал Qhost.osu

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 02.03.2013 21:44:05

добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 02.03.2013 16:29:47

http://dsrt.dyndns.org/files/uvsz_v3778.zip

Цитата
В планах добавить virscan.org Восстановлена работа с VT и JT Из подменю SystemExplorer убран поиск по хэшу за отсутствием оного. В планах добавить virscan.org

Цитата
Полное имя C:\PROGRAM FILES\COMMON FILES\SERVICES\BITV80A.API Имя файла BITV80A.API Тек. статус ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ сервисная_DLL в автозапуске [SAFE_MODE] [SVCHOST] www.virustotal.com 2013-02-22 [2013-01-31 16:57:07 UTC ( 4 weeks, 1 day ago )] Symantec WS.Reputation.1 Avast Win32:Malware-gen Kaspersky Trojan-Dropper.Win32.Metel.k BitDefender Trojan.Dropper.UVO AntiVir TR/Kazy.41754.3 ESET-NOD32 Win32/Corkow.I Удовлетворяет критериям CORKOW.LANMANSERVER (ССЫЛКА ~ LANMANSERVER)(1) AND (SERVICEDLL !~ SRVSVC.DLL)(1) Ссылки на объект Ссылка HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\ServiceDLL ServiceDLL %CommonProgramFiles%\Services\bitv80a.api

Цитата

Полное имя C:\PROGRAM FILES\COMMON FILES\SERVICES\BITV80A.API
Имя файла BITV80A.API
Тек. статус ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ сервисная_DLL в автозапуске [SAFE_MODE] [SVCHOST]

www.virustotal.com 2013-02-22 [2013-01-31 16:57:07 UTC ( 4 weeks, 1 day ago )]
Symantec WS.Reputation.1
Avast Win32:Malware-gen
Kaspersky Trojan-Dropper.Win32.Metel.k
BitDefender Trojan.Dropper.UVO
AntiVir TR/Kazy.41754.3
ESET-NOD32 Win32/Corkow.I

Удовлетворяет критериям
CORKOW.LANMANSERVER (ССЫЛКА ~ LANMANSERVER)(1) AND (SERVICEDLL !~ SRVSVC.DLL)(1)

Ссылки на объект
Ссылка HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\ServiceDLL
ServiceDLL %CommonProgramFiles%\Services\bitv80a.api

Изменено: santy - 02.03.2013 16:34:36

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Не устанавливается Nod32, не доступен сервис установки

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 02.03.2013 09:04:30

почему вы решили что есть заражение? какие варианты вирусов были обнаружены в системе?

-----
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.77.7 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE exec MSIEXEC.EXE /quiet /X{26A24AE4-039D-4CA4-87B4-2F86416016FF} exec MSIEXEC.EXE /quiet /X{26A24AE4-039D-4CA4-87B4-2F83216038FF} deltmp delnfr restart

Код

;uVS v3.77.7 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
exec MSIEXEC.EXE /quiet /X{26A24AE4-039D-4CA4-87B4-2F86416016FF}
exec MSIEXEC.EXE /quiet /X{26A24AE4-039D-4CA4-87B4-2F83216038FF}
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
------------

Изменено: santy - 02.03.2013 09:06:06

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] nod32 выдает Адрес заблокирован?

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 02.03.2013 08:57:54

Код
;uVS v3.77.7 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE setdns Беспроводное сетевое соединение 2\4\{9667F0A8-9972-454C-9C08-1452771487CF}\ setdns Беспроводное сетевое соединение\4\{AB5FF2B1-CFCB-4E1B-ABBB-1D37160AA715}\ setdns Подключение по локальной сети\4\{A486F46F-AF7D-4888-868D-6913B4DC975F}\ delref HTTP://DUBSEARCH.RU deltmp delnfr EXEC cmd /c"ipconfig /flushdns" restart

Код

;uVS v3.77.7 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
setdns Беспроводное сетевое соединение 2\4\{9667F0A8-9972-454C-9C08-1452771487CF}\
setdns Беспроводное сетевое соединение\4\{AB5FF2B1-CFCB-4E1B-ABBB-1D37160AA715}\
setdns Подключение по локальной сети\4\{A486F46F-AF7D-4888-868D-6913B4DC975F}\
delref HTTP://DUBSEARCH.RU
deltmp
delnfr
EXEC cmd /c"ipconfig /flushdns"
restart

[ Как создать образ автозапуска? ]

Перейти