santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] nod32 выдает Адрес заблокирован, вирус или вредный ПО

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.02.2013 12:08:54

по логу AdwCleaner.

нажмите на кнопку delete в программе.
найденные объекты будут удалены, и система автоматически перегрузится.

по мбам и ноду.

если вы установили только сканер и отказались от пробного периода (для монитора),
тогда можно оставить мбам,
в противном случае надо будет удалить мбам.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] nod32 выдает Адрес заблокирован, вирус или вредный ПО

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.02.2013 11:17:41

+
сделайте лог в программе AdwCleaner
http://forum.esetnod32.ru/forum9/topic7084/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] nod32 выдает Адрес заблокирован, вирус или вредный ПО

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.02.2013 11:16:44

на вебалту все рано уходит после очистки системы в малваребайт?

проверьте ярлыки запуска браузеров, там иногда прописывается стартовая вебалты.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] nod32 выдает Адрес заблокирован, вирус или вредный ПО

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.02.2013 10:42:48

логи мбам надо добавить в сообщение для полноты картины заражения.

если пользовались платежными кошельками то имеет смысл поменять пароли.

далее,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Перейти

порно баннер

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.02.2013 10:07:26

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.77.5 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE setdns Подключение по локальной сети 2\4\{B95DB552-FCFE-43D3-9284-2F14FEAFC02B}\ setdns Подключение по локальной сети\4\{FEB0F2D9-A472-404A-A0DA-FA01AE066499}\ delall %SystemDrive%\USERS\ВЛАД\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL delref HTTP://DASEARCH.RU deltmp delnfr EXEC cmd /c"ipconfig /flushdns" exec MSIEXEC.EXE /X{26A24AE4-039D-4CA4-87B4-2F83216022FF} exec MSIEXEC.EXE /X{0965F857-DAAD-4F93-8054-0E2EC3C8C5B0} exec MSIEXEC.EXE /X{5B58EF61-85F2-4977-97A5-84C19F926579} restart

Код


;uVS v3.77.5 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
setdns Подключение по локальной сети 2\4\{B95DB552-FCFE-43D3-9284-2F14FEAFC02B}\
setdns Подключение по локальной сети\4\{FEB0F2D9-A472-404A-A0DA-FA01AE066499}\
delall %SystemDrive%\USERS\ВЛАД\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL
delref HTTP://DASEARCH.RU
deltmp
delnfr
EXEC cmd /c"ipconfig /flushdns"
exec MSIEXEC.EXE /X{26A24AE4-039D-4CA4-87B4-2F83216022FF}
exec MSIEXEC.EXE /X{0965F857-DAAD-4F93-8054-0E2EC3C8C5B0}
exec MSIEXEC.EXE /X{5B58EF61-85F2-4977-97A5-84C19F926579}
restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] nod32 выдает Адрес заблокирован, вирус или вредный ПО

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.02.2013 09:47:41

Код
;uVS v3.77.5 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE addsgn A7679BC9DE37442480A1A2E6EFB50280D3FFF575B4BE6A2795C32E9AD328703826943D554B773CF551DF941A866240AD2B8C17A2D01AC4207A21F7C720F8DD8C 64 majachok.0207 zoo %Sys32%\FFLBTME.DLL delref %Sys32%\FFLBTME.DLL delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\UTYRK\AHEW.EXE delref HTTP://QIP.RU delref HTTP://SEARCH.QIP.RU delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL deltmp delnfr czoo restart

Код


;uVS v3.77.5 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
addsgn A7679BC9DE37442480A1A2E6EFB50280D3FFF575B4BE6A2795C32E9AD328703826943D554B773CF551DF941A866240AD2B8C17A2D01AC4207A21F7C720F8DD8C 64 majachok.0207
zoo %Sys32%\FFLBTME.DLL
delref %Sys32%\FFLBTME.DLL
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\UTYRK\AHEW.EXE
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL
deltmp
delnfr
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS, созданный после скрипта (например: ZOO_2011-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.02.2013 08:39:18

образ автозапуска системы с локером.
http://rghost.ru/43609720

win32.exe попал в подозрительные.
https://www.virustotal.com/file/3a263306f4a2faccf53370bba8418dcfad8e30d5174069351f220332f25ad2ee/analysis/1360212088/

Цитата
Полное имя C:\WINDOWS\WIN32.EXE Имя файла WIN32.EXE Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске Удовлетворяет критериям SHELL.EXPLORER (ССЫЛКА ~ \WINLOGON\SHELL)(1) AND (SHELL !~ EXPLORER.EXE)(1) Сохраненная информация на момент создания образа Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске Размер 457728 байт Создан 03.02.2013 в 01:15:30 Изменен 03.02.2013 в 01:15:30 Атрибуты СКРЫТЫЙ Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Отсутствует либо ее не удалось проверить Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Атрибут файла "Скрытый" или "Системный" [типично для вирусов] Автозапуск Неизвестный файл использует ключ реестра часто используемый вирусами Доп. информация на момент обновления списка SHA1 80DDCEA4BE7E84AEA19E3A74D91B7E2215D760A3 MD5 044A5DECD4CEDE3EFEBDF128163DD416 Ссылки на объект Ссылка HKLM\ddqsjfscs\Software\Microsoft\Windows\CurrentVersion\Run\win32.exe win32.exe C:\Windows\win32.exe Ссылка HKLM\uvs_software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell Shell C:\Windows\win32.exe

Цитата

Полное имя C:\WINDOWS\WIN32.EXE
Имя файла WIN32.EXE
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Удовлетворяет критериям
SHELL.EXPLORER (ССЫЛКА ~ \WINLOGON\SHELL)(1) AND (SHELL !~ EXPLORER.EXE)(1)

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер 457728 байт
Создан 03.02.2013 в 01:15:30
Изменен 03.02.2013 в 01:15:30
Атрибуты СКРЫТЫЙ
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Атрибут файла "Скрытый" или "Системный" [типично для вирусов]
Автозапуск Неизвестный файл использует ключ реестра часто используемый вирусами

Доп. информация на момент обновления списка
SHA1 80DDCEA4BE7E84AEA19E3A74D91B7E2215D760A3
MD5 044A5DECD4CEDE3EFEBDF128163DD416

Ссылки на объект
Ссылка HKLM\ddqsjfscs\Software\Microsoft\Windows\CurrentVersion\Run\win32.exe
win32.exe C:\Windows\win32.exe

Ссылка HKLM\uvs_software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
Shell C:\Windows\win32.exe

в вот второй объект надо смотреть в основном автозапуске.
https://www.virustotal.com/file/e3d378336cdbceed9ae7068cfa59e6919fd0a7c3e3af3e59726ff8f6298e32f9/analysis/1360212215/

Цитата
Полное имя C:\TEST\WLOCKOK\SKYPEE\SKYPE.EXE Имя файла SKYPE.EXE Тек. статус в автозапуске Сохраненная информация на момент создания образа Статус в автозапуске Размер 495609 байт Создан 07.02.2013 в 06:59:06 Изменен 03.02.2013 в 01:22:37 Тип файла 32-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Отсутствует либо ее не удалось проверить Версия файла 6.1.67.129 Описание Skype 6.1.67.129 Installation Copyright Skype Technologies Производитель Skype Technologies Комментарий Доп. информация на момент обновления списка SHA1 26FCF53FBE693D590EF68DDA29D7655EC1368E49 MD5 417A316B8DD7723D507F0BDA00462848 Ссылки на объект Ссылка C:\DOCUMENTS AND SETTINGS\SAFETY\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\SKYPE.LNK

Цитата

Полное имя C:\TEST\WLOCKOK\SKYPEE\SKYPE.EXE
Имя файла SKYPE.EXE
Тек. статус в автозапуске

Сохраненная информация на момент создания образа
Статус в автозапуске
Размер 495609 байт
Создан 07.02.2013 в 06:59:06
Изменен 03.02.2013 в 01:22:37
Тип файла 32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Версия файла 6.1.67.129
Описание Skype 6.1.67.129 Installation
Copyright Skype Technologies
Производитель Skype Technologies
Комментарий

Доп. информация на момент обновления списка
SHA1 26FCF53FBE693D590EF68DDA29D7655EC1368E49
MD5 417A316B8DD7723D507F0BDA00462848

Ссылки на объект
Ссылка C:\DOCUMENTS AND SETTINGS\SAFETY\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\SKYPE.LNK

Изменено: santy - 07.02.2013 08:44:37

[ Как создать образ автозапуска? ]

Перейти

Заблокирован доступ к рабочему столу Windows

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.02.2013 05:48:33

образ автозапуска сделан для текущей winpe системы

Цитата
X:\WINDOWS\EXPLORER.EXE

1. необходимо выбрать каталог системы с жесткого диска, затем уже выбирать - текущий пользователь.

2. используйте актуальный uVS 3.77
http://rghost.ru/42696551

вместо вашего сейчас 3.73

Цитата
uVS v3.73: Windows ™ Code Name "Longhorn" Preinstallation Environment x86 (NT v6.1) build 7601 Service Pack 1 [X:\WINDOWS]

или актуальный образ winpe&uVS (с uVS 3.77)
http://chklst.ru/forum/discussion/61/winpeuvs

[ Как создать образ автозапуска? ]

Перейти

Помогите и вирусом .Искала учебник ло алгебры, хотела скачать. Вот и доскачивалась. Попали ко мне вирусы, заблокирован контакт и майл.ру, бядааа!!!немогу зайти вконтакт.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 06.02.2013 21:51:40

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.77.5 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE delall %SystemDrive%\AUTORUN.INF delall %SystemDrive%\USERS\МАРИЯ\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE delref HTTP://YUWIK.RU/ deltmp delnfr exec "C:\PROGRAM FILES (X86)\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL regt 14 restart

Код

;uVS v3.77.5 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
delall %SystemDrive%\AUTORUN.INF
delall %SystemDrive%\USERS\МАРИЯ\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
delref HTTP://YUWIK.RU/
deltmp
delnfr
exec "C:\PROGRAM FILES (X86)\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL
regt 14
restart

[ Как создать образ автозапуска? ]

Перейти

Оперативная память = explorer.exe(284) - модифицированный Win32/Carberp.A троянская программа - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 06.02.2013 12:41:19

Код
;uVS v3.77.5 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\1141817.EXE delref HTTP://BROWSERHELP2.RU fixvbr C: 5 deltmp delnfr REGT 14 exec MSIEXEC.EXE /X{26A24AE4-039D-4CA4-87B4-2F83216016FF} restart

Код

;uVS v3.77.5 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\1141817.EXE
delref HTTP://BROWSERHELP2.RU
fixvbr C: 5
deltmp
delnfr
REGT 14
exec MSIEXEC.EXE /X{26A24AE4-039D-4CA4-87B4-2F83216016FF}
restart

[ Как создать образ автозапуска? ]

Перейти