santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] модифицированный Win32/Spy.SpyEye.CA троянская программа=очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 29.01.2013 09:09:29

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.77.5 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE addsgn 1ACF359A5583C58CF42B254E329F21F39A324FB78979238DA95C84BC51A36CC127E2EBC87F55147143208B9F46E97979BAC717676DCAF02CA8B7D0238185DC57 8 SpyEye.0129 zoo %SystemDrive%\SYSTEMHOST\24FC2AE34B1.EXE delall %SystemDrive%\SYSTEMHOST\24FC2AE34B1.EXE chklst delvir deltmp delnfr czoo restart

Код

;uVS v3.77.5 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
addsgn 1ACF359A5583C58CF42B254E329F21F39A324FB78979238DA95C84BC51A36CC127E2EBC87F55147143208B9F46E97979BAC717676DCAF02CA8B7D0238185DC57 8 SpyEye.0129
zoo %SystemDrive%\SYSTEMHOST\24FC2AE34B1.EXE
delall %SystemDrive%\SYSTEMHOST\24FC2AE34B1.EXE
chklst
delvir
deltmp
delnfr
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS, созданный после скрипта (например: ZOO_2011-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

» модифицированный Win32/Spy.SpyEye.CA, Оперативная память » winlogon.exe(724) - модифицированный Win32/Spy.SpyEye.CA троянская программа - очистка невозможна

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 29.01.2013 09:06:48

Код
;uVS v3.77.5 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE addsgn 1A90739A55837A8FF42B254E3143FE84C9A2FFF689599718C4C34CB1D4B6304CAA0243377F55145457E0C59FCF23319A3CDF614F21BAF12C4BFBB18FA7472215 8 Voltar.0129 zoo %SystemDrive%\USERS\SERGEY\APPDATA\LOCAL\TEMP\A4QWVOE4.EXE addsgn 1AF6169A5583C58CF42B254E3143FE86C986AFF93EA25D2E0E32CA0B1892F801DF92352236D655B6C258839F46952C027D886137A157F6287D1D957C4A43D619 8 SpyEye.0129 zoo %SystemDrive%\RECYCLE.BIN\B6232F3AC34.EXE delall %SystemDrive%\USERS\SERGEY\APPDATA\LOCAL\TEMP\V5CMJ09K.EXE delall %SystemDrive%\USERS\SERGEY\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE delref COPY delref HTTP://DOSEARCH.RU delref HTTP://WEBALTA.RU delall %SystemDrive%\RECYCLE.BIN\B6232F3AC34.EXE delall %SystemDrive%\USERS\SERGEY\APPDATA\LOCAL\TEMP\A4QWVOE4.EXE delall %SystemDrive%\USERS\SERGEY\APPDATA\ROAMING\SVCHOST.EXE chklst delvir deltmp delnfr regt 14 exec MSIEXEC.EXE /X{26A24AE4-039D-4CA4-87B4-2F86416015FF} exec MSIEXEC.EXE /X{26A24AE4-039D-4CA4-87B4-2F83216026FF} czoo restart

Код

;uVS v3.77.5 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
addsgn 1A90739A55837A8FF42B254E3143FE84C9A2FFF689599718C4C34CB1D4B6304CAA0243377F55145457E0C59FCF23319A3CDF614F21BAF12C4BFBB18FA7472215 8 Voltar.0129
zoo %SystemDrive%\USERS\SERGEY\APPDATA\LOCAL\TEMP\A4QWVOE4.EXE
addsgn 1AF6169A5583C58CF42B254E3143FE86C986AFF93EA25D2E0E32CA0B1892F801DF92352236D655B6C258839F46952C027D886137A157F6287D1D957C4A43D619 8 SpyEye.0129
zoo %SystemDrive%\RECYCLE.BIN\B6232F3AC34.EXE
delall %SystemDrive%\USERS\SERGEY\APPDATA\LOCAL\TEMP\V5CMJ09K.EXE
delall %SystemDrive%\USERS\SERGEY\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
delref COPY
delref HTTP://DOSEARCH.RU
delref HTTP://WEBALTA.RU
delall %SystemDrive%\RECYCLE.BIN\B6232F3AC34.EXE
delall %SystemDrive%\USERS\SERGEY\APPDATA\LOCAL\TEMP\A4QWVOE4.EXE
delall %SystemDrive%\USERS\SERGEY\APPDATA\ROAMING\SVCHOST.EXE
chklst
delvir
deltmp
delnfr
regt 14
exec MSIEXEC.EXE /X{26A24AE4-039D-4CA4-87B4-2F86416015FF}
exec MSIEXEC.EXE /X{26A24AE4-039D-4CA4-87B4-2F83216026FF}
czoo
restart

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] модифицированный Win32/Corkow.F троянская программа

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 29.01.2013 08:26:21

мбам чистый,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Перейти

Предложения по функционалу продуктов ESET

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 29.01.2013 08:13:57

Цитата
Loner пишет: Второе, правила HIPS должны быть включены по умолчанию. На основные ветки реестра и основные файлы изначально.

В автоматическом режиме с правилами добавлено базовое правило
Разрешить доступ к реестру и загрузку драйверов, необходимые для успешной загрузки

Данную политику можно дополнить пользовательскими правилами "запросить", "заблокировать".

Другое дело что в Eset Endpoint 5 некорректно работают правила "запросить". (корректно выполняются правила "заблокировать".) в 6 Home версии по моим наблюдениям это исправлено. Что касается Comodo, то по части реализации HIPS, firewall - он безусловный лидер, и разработчикам данного функционала в ESET есть с кем сравниться и к чему стремиться. Подобный уровень сервиса, по всей вероятности не создается по мановению руки.

Изменено: santy - 29.01.2013 08:14:59

[ Как создать образ автозапуска? ]

Перейти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 29.01.2013 07:53:56

добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Перейти

Проблема при загрузке Windows XP

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 29.01.2013 07:52:11

это решение примените
http://pchelpforum.ru/f26/t24207/2/#post701057

[ Как создать образ автозапуска? ]

Перейти

Вирус Win32 spy voltar.a

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 28.01.2013 21:49:53

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.77.5 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 OFFSGNSAVE delref HTTP://DOSEARCH.RU setdns Подключение по локальной сети\4\{26AF7971-7F39-4BBA-B6A8-2096F3C84EEF}\ deltmp delnfr exec "C:\PROGRAM FILES\VKMUSIC 4\UNINS000.EXE" exec MSIEXEC.EXE /X{26A24AE4-039D-4CA4-87B4-2F83216031FF} EXEC cmd /c"ipconfig /flushdns" restart

Код

;uVS v3.77.5 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
delref HTTP://DOSEARCH.RU
setdns Подключение по локальной сети\4\{26AF7971-7F39-4BBA-B6A8-2096F3C84EEF}\
deltmp
delnfr
exec "C:\PROGRAM FILES\VKMUSIC 4\UNINS000.EXE"
exec MSIEXEC.EXE /X{26A24AE4-039D-4CA4-87B4-2F83216031FF}
EXEC cmd /c"ipconfig /flushdns"
restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Антивирус Аваст блокирует сайты.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 28.01.2013 21:07:29

время покажет.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Антивирус Аваст блокирует сайты.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 28.01.2013 20:52:40

теперь проверьте доступ к одноклассникам. должен быть

Цитата
Трассировка маршрута к ODNOKLASSNIKI.RU [217.20.147.94] с максимальным числом прыжков 30: 1 2 ms 1 ms 1 ms 178.155.1.67 2 1 ms 1 ms 1 ms g0-vlgd-novodvinskaja56a.aaanet.ru [178.155.2.52] 3 3 ms 3 ms 3 ms Multiregion.vlg.stream-internet.net [212.188.22.125] 4 22 ms 13 ms 14 ms ler-cr01-xe1-0-34.rostov.stream-internet.net [212.188.29.17] 5 37 ms 36 ms 35 ms m9-crs-1-be8-61.msk.stream-internet.net [212.188.29.5] 6 35 ms 36 ms 36 ms ss-crs-1-be9.msk.stream-internet.net [195.34.59.249] 7 34 ms 34 ms 35 ms 195.34.53.234 8 34 ms 34 ms 34 ms odnoklassniki.msk.stream-internet.net [212.188.16.74] 9 100 ms 40 ms 36 ms ip82.147.odnoklassniki.ru [217.20.147.82] 10 34 ms 34 ms 34 ms ip94.147.odnoklassniki.ru [217.20.147.94]

Цитата

Трассировка маршрута к ODNOKLASSNIKI.RU [217.20.147.94]
с максимальным числом прыжков 30:

1 2 ms 1 ms 1 ms 178.155.1.67
2 1 ms 1 ms 1 ms g0-vlgd-novodvinskaja56a.aaanet.ru [178.155.2.52]
3 3 ms 3 ms 3 ms Multiregion.vlg.stream-internet.net [212.188.22.125]
4 22 ms 13 ms 14 ms ler-cr01-xe1-0-34.rostov.stream-internet.net [212.188.29.17]
5 37 ms 36 ms 35 ms m9-crs-1-be8-61.msk.stream-internet.net [212.188.29.5]
6 35 ms 36 ms 36 ms ss-crs-1-be9.msk.stream-internet.net [195.34.59.249]
7 34 ms 34 ms 35 ms 195.34.53.234
8 34 ms 34 ms 34 ms odnoklassniki.msk.stream-internet.net [212.188.16.74]
9 100 ms 40 ms 36 ms ip82.147.odnoklassniki.ru [217.20.147.82]
10 34 ms 34 ms 34 ms ip94.147.odnoklassniki.ru [217.20.147.94]

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Антивирус Аваст блокирует сайты.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 28.01.2013 20:20:50

возможно проблемы у провайдера.

Цитата
Трассировка маршрута к odnoklassniki.ru [91.208.16.6] с максимальным числом прыжков 30: 1 1 ms 1 ms 1 ms 178.155.1.67 2 1 ms 1 ms 1 ms g0-vlgd-novodvinskaja56a.aaanet.ru [178.155.2.52] 3 1 ms 1 ms 1 ms n081022000153.blacklist.sprintnet.ru [81.22.0.153] 4 2 ms 1 ms 2 ms 62.141.100.125 5 56 ms 56 ms 56 ms 195.239.216.234 6 * * * Превышен интервал ожидания для запроса. 7 56 ms 56 ms 57 ms telenet-foreign.in.altnet.lv [87.99.79.106] 8 * * * Превышен интервал ожидания для запроса. 9 * * * Превышен интервал ожидания для запроса.

Цитата

Трассировка маршрута к odnoklassniki.ru [91.208.16.6]
с максимальным числом прыжков 30:

1 1 ms 1 ms 1 ms 178.155.1.67
2 1 ms 1 ms 1 ms g0-vlgd-novodvinskaja56a.aaanet.ru [178.155.2.52]
3 1 ms 1 ms 1 ms n081022000153.blacklist.sprintnet.ru [81.22.0.153]
4 2 ms 1 ms 2 ms 62.141.100.125
5 56 ms 56 ms 56 ms 195.239.216.234
6 * * * Превышен интервал ожидания для запроса.
7 56 ms 56 ms 57 ms telenet-foreign.in.altnet.lv [87.99.79.106]
8 * * * Превышен интервал ожидания для запроса.
9 * * * Превышен интервал ожидания для запроса.

------------
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v3.77.5 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 OFFSGNSAVE setdns Подключение по локальной сети 2\4\{64E4C8C1-DDA9-43B3-B13B-2F1C6595017E}\8.8.8.8,8.8.4.4 setdns Подключение по локальной сети 3\4\{6BB03E92-9D9C-4127-B3A8-A81537D0FCAF}\8.8.8.8,8.8.4.4 setdns Подключение по локальной сети\4\{6481F787-CCEF-46D3-A5E5-DC15CF2F0F97}\8.8.8.8,8.8.4.4 CEXEC cmd /c"ping odnoklssniki.ru" CEXEC cmd /c"tracert odnoklassniki.ru" crimg

Код

;uVS v3.77.5 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
setdns Подключение по локальной сети 2\4\{64E4C8C1-DDA9-43B3-B13B-2F1C6595017E}\8.8.8.8,8.8.4.4
setdns Подключение по локальной сети 3\4\{6BB03E92-9D9C-4127-B3A8-A81537D0FCAF}\8.8.8.8,8.8.4.4
setdns Подключение по локальной сети\4\{6481F787-CCEF-46D3-A5E5-DC15CF2F0F97}\8.8.8.8,8.8.4.4
CEXEC cmd /c"ping odnoklssniki.ru"
CEXEC cmd /c"tracert odnoklassniki.ru"
crimg

без перезагрузки, добавьте образ автозапуска, который будет создан автоматически

[ Как создать образ автозапуска? ]

Перейти