santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] Модифицированный Win32/Dorkbot.B червь - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 26.02.2013 23:05:41

наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Модифицированный Win32/Dorkbot.B червь - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 26.02.2013 21:47:19

завершите лечение по первому компьютеру: предоставьте лог сканирования мбам, выполните наши рекомендации,

затем разбираем проблему на следующем вашем компе.

в отдельном сообщении.

[ Как создать образ автозапуска? ]

Перейти

Как избавиться от вируса FUN.EXE

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 26.02.2013 21:45:12

посмотреть свойства файла. или выполнить поиск по Гугу: как определить владельца файла.

[ Как создать образ автозапуска? ]

Перейти

Как избавиться от вируса FUN.EXE

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 26.02.2013 09:54:46

если этот файлик падает в расшаренную папку, то надо определить, кто является владельцем этого файла.

[ Как создать образ автозапуска? ]

Перейти

блокирована клавиатура - похоже на вирус, комп не видит клавиатуру

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 26.02.2013 06:00:46

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.77.7 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE setdns Подключение по локальной сети 2\4\{029248CE-A790-4659-8FA7-D24DC3DE6E72}\ setdns Подключение по локальной сети 3\4\{B7308BC1-8F41-4BF1-866B-E9EE45A1D4C6}\ setdns Подключение по локальной сети 4\4\{183A0201-A793-4479-B202-D19963F85447}\ setdns Подключение по локальной сети 5\4\{46A531B0-84CD-4BA0-8E58-0EE10F0E4BAB}\ delall %SystemDrive%\DOCUMENTS AND SETTINGS\ЛЕЛИК\LOCAL SETTINGS\TEMP\AFCAE2A8F2.SYS delall %SystemDrive%\DOCUMENTS AND SETTINGS\ЛЕЛИК\LOCAL SETTINGS\TEMP\BE1FFB72A1.SYS delall E:\SETUPX.EXE deltmp delnfr fixvbr C: 5 zoo %Sys32%\DRIVERS\DOKAN.SYS czoo restart

Код

;uVS v3.77.7 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
setdns Подключение по локальной сети 2\4\{029248CE-A790-4659-8FA7-D24DC3DE6E72}\
setdns Подключение по локальной сети 3\4\{B7308BC1-8F41-4BF1-866B-E9EE45A1D4C6}\
setdns Подключение по локальной сети 4\4\{183A0201-A793-4479-B202-D19963F85447}\
setdns Подключение по локальной сети 5\4\{46A531B0-84CD-4BA0-8E58-0EE10F0E4BAB}\
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ЛЕЛИК\LOCAL SETTINGS\TEMP\AFCAE2A8F2.SYS
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ЛЕЛИК\LOCAL SETTINGS\TEMP\BE1FFB72A1.SYS
delall E:\SETUPX.EXE
deltmp
delnfr
fixvbr C: 5
zoo %Sys32%\DRIVERS\DOKAN.SYS
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS, созданный после скрипта (например: ZOO_2011-12-31_23-59-59.rar/7z) отправить в почту safety.alt@gmail.com
------------

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Win32/Spy.Zbot.ZR троянская программа, Оперативная память = explorer.exe - модифицированный Win32/Spy.Zbot.ZR троянская программа - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 25.02.2013 19:46:32

это удалите в мбам

Цитата
Обнаруженные параметры в реестре: 1 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\|{E844A7AD-2ADF-361E-F6E4-FE3DD72691CB} (Trojan.ZbotR.Gen) -> Параметры: "C:\Documents and Settings\Buh\Application Data\Enalhe\wakew.exe" -> Действие не было предпринято. C:\Documents and Settings\Buh\Application Data\Enalhe\wakew.exe (Trojan.ZbotR.Gen) -> Действие не было предпринято.

Цитата

Обнаруженные параметры в реестре: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|{E844A7AD-2ADF-361E-F6E4-FE3DD72691CB} (Trojan.ZbotR.Gen) -> Параметры: "C:\Documents and Settings\Buh\Application Data\Enalhe\wakew.exe" -> Действие не было предпринято.
C:\Documents and Settings\Buh\Application Data\Enalhe\wakew.exe (Trojan.ZbotR.Gen) -> Действие не было предпринято.

перегрузите систему,
если проблема не решится,
сделайте новый образ автозапуска из безопасного режима системы.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Помогите справиться с вирусом.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 25.02.2013 19:44:14

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.77.7 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE addsgn 4AECC7DA55004C1A8740EEB100372705258AFC9200DF1F7885C3A3203086FA942017AB6314559D232B7FD483CF554171BEDCE81A2566B02C47775B7FDB8DEEFE 8 Remtasu.0225 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\КАТЯ\APPLICATION DATA\PROGRAMS\SVMSC.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\КАТЯ\APPLICATION DATA\PROGRAMS\SVMSC.EXE delref HTTP://WEBALTA.RU zoo %SystemRoot%\HFFEXT\HFFSRV.EXE deltmp delnfr czoo restart

Код

;uVS v3.77.7 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
addsgn 4AECC7DA55004C1A8740EEB100372705258AFC9200DF1F7885C3A3203086FA942017AB6314559D232B7FD483CF554171BEDCE81A2566B02C47775B7FDB8DEEFE 8 Remtasu.0225
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\КАТЯ\APPLICATION DATA\PROGRAMS\SVMSC.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\КАТЯ\APPLICATION DATA\PROGRAMS\SVMSC.EXE
delref HTTP://WEBALTA.RU
zoo %SystemRoot%\HFFEXT\HFFSRV.EXE
deltmp
delnfr
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту sendvirus2011@gmail.com, support@esetnod32.ru
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

Как избавиться от вируса FUN.EXE

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 25.02.2013 16:09:48

комп в сети?

есть расшаренные ресурсы_папки ?

добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

Изменено: santy - 25.02.2013 16:10:10

[ Как создать образ автозапуска? ]

Перейти

Предложение по улучшению форума

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 25.02.2013 16:07:55

режим редактирования сообщения никуда не годится.

нужен шрифт поменьше, чтобы длинные строки не заворачивались,
к тому же после редактирования код скрипта становится нечитабельным.

Изменено: santy - 28.02.2013 07:32:27

[ Как создать образ автозапуска? ]

Перейти

Оперативная память = taskhost.exe(2556) - модифицированный Win32/Spy.Shiz.NCE троянская программа - очистка невозможна, помогите

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 25.02.2013 16:05:53

Код
;uVS v3.77.7 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE delref HTTP://ISEARCH.AVG.COM/?CID={A1062FE4-7693-4DB5-8BA6-98A447C1B287}&MID=7F22E2D8BAEE47D0A203D15AC9268403-AD1491BE2CE6C122F6B66FAA90E70C2DECF7D34C&LANG=EN&DS=PP011&PR=SA&D=2012-07-07 deltmp delnfr delref HTTP://ISEARCH.AVG.COM/?CID={A1062FE4-7693-4DB5-8BA6-98A447C1B287}&MID=7F22E2D8BAEE47D0A203D15AC9268403-AD1491BE2CE6C122F6B66FAA90E70C2DECF7D34C&LANG=EN&DS=PP011&PR=SA&D=2012-07-07 20:14:30&V=14.2.0.1&PID=AVG&SG=&SAP=HP restart

Код

;uVS v3.77.7 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
delref HTTP://ISEARCH.AVG.COM/?CID={A1062FE4-7693-4DB5-8BA6-98A447C1B287}&MID=7F22E2D8BAEE47D0A203D15AC9268403-AD1491BE2CE6C122F6B66FAA90E70C2DECF7D34C&LANG=EN&DS=PP011&PR=SA&D=2012-07-07
deltmp
delnfr
delref HTTP://ISEARCH.AVG.COM/?CID={A1062FE4-7693-4DB5-8BA6-98A447C1B287}&MID=7F22E2D8BAEE47D0A203D15AC9268403-AD1491BE2CE6C122F6B66FAA90E70C2DECF7D34C&LANG=EN&DS=PP011&PR=SA&D=2012-07-07 20:14:30&V=14.2.0.1&PID=AVG&SG=&SAP=HP
restart

перезагрузка, пишем о старых и новых проблемах.
+
добавить лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти