Дмитрий Б (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] win32 / TrojanDownloader Carberp.AF

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 19.07.2012 09:48:34

Удалить все записи, ПК перезагрузить.
Выполнить сканирование еще раз.
Сообщить о результате.

Перейти

Модифицированный Win32/Spy.SpyEye.CA, не удаляется, Nod32 говорит, что winlogon заражен, очистка невозможна

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 18.07.2012 19:46:41

В папке с программой UVS будет файл script.cmd
Запустить файл, запустится окно программы для ввода скрипта,
скопировать скрипт написанный ниже и вставить в окно программы.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ ВСЕ БРАУЗЕРЫ!

Код
;uVS v3.75 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\TASKHOST.EXE zoo %SystemDrive%\RECYCLE.BIN\B6232F3A477.EXE bl 813A410233F1C554C2C83BC702328902 198144 delall %SystemDrive%\RECYCLE.BIN\B6232F3A477.EXE delref HTTP://WWW.MAIL.RU delref HTTP://WWW.RAMBLER.RU/ regt 1 regt 2 regt 3 regt 7 regt 12 regt 14 regt 18 deltmp delnfr restart

Код

;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\TASKHOST.EXE
zoo %SystemDrive%\RECYCLE.BIN\B6232F3A477.EXE
bl 813A410233F1C554C2C83BC702328902 198144
delall %SystemDrive%\RECYCLE.BIN\B6232F3A477.EXE
delref HTTP://WWW.MAIL.RU
delref HTTP://WWW.RAMBLER.RU/
regt 1
regt 2
regt 3
regt 7
regt 12
regt 14
regt 18
deltmp
delnfr
restart

И жмем кнопку Выполнить.
На запросы программы по удалению жмите ДА
ПК перезагрузится.

В папке с программой UVS будет папка zoo, ее поместить в архив, установить пароль virus и прислать сюда [email protected]

Далее(даже если проблема решена) выполнить лог программой MBAM
http://forum.esetnod32.ru/forum9/topic682/
Выбрать быстрое сканирование. Отчет предоставить для анализа

Перейти

[ Закрыто] Spy.Zbot.ZR

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 18.07.2012 15:44:54

Удалите его, он уже не нужен!

Далее выполните наши рекомендации пользователям
http://forum.esetnod32.ru/forum9/topic3998/

Перейти

[ Закрыто] Модифицированный Win32/SpyVoltar.A

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 18.07.2012 15:26:36

Код
;uVS v3.75 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\MPANTELEEVA\APPLICATION DATA\TASKHOST.EXE bl 15D224EA2CA2CA2FC4FC1AE72DCFBB3A 126976 delall %SystemDrive%\DOCUMENTS AND SETTINGS\MPANTELEEVA\APPLICATION DATA\TASKHOST.EXE delhst 217.73.56.45 www.smaxi.biz delhst 217.73.56.45 www.smaxi.net delhst 217.73.56.45 smaxi.biz delhst 217.73.56.45 smaxi.net delhst 217.73.56.45 www.webalta.ru delhst 217.73.56.45 start.webalta.ru delhst 217.73.56.45 home.webalta.ru delhst 217.73.56.45 webalta.ru delhst 217.73.56.45 start.qip.ru delhst 217.73.56.45 bing.com delhst 217.73.56.45 nova.rambler.ru delhst 217.73.56.45 go.mail.ru delhst 217.73.56.45 yahoo.com delref HTTP://SPEEDBAR.RU delall %SystemRoot%\TEMP\NOD3C.TMP regt 1 regt 2 regt 3 regt 7 regt 18 deltmp delnfr restart

Код

;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\MPANTELEEVA\APPLICATION DATA\TASKHOST.EXE
bl 15D224EA2CA2CA2FC4FC1AE72DCFBB3A 126976
delall %SystemDrive%\DOCUMENTS AND SETTINGS\MPANTELEEVA\APPLICATION DATA\TASKHOST.EXE
delhst 217.73.56.45 www.smaxi.biz
delhst 217.73.56.45 www.smaxi.net
delhst 217.73.56.45 smaxi.biz
delhst 217.73.56.45 smaxi.net
delhst 217.73.56.45 www.webalta.ru
delhst 217.73.56.45 start.webalta.ru
delhst 217.73.56.45 home.webalta.ru
delhst 217.73.56.45 webalta.ru
delhst 217.73.56.45 start.qip.ru
delhst 217.73.56.45 bing.com
delhst 217.73.56.45 nova.rambler.ru
delhst 217.73.56.45 go.mail.ru
delhst 217.73.56.45 yahoo.com
delref HTTP://SPEEDBAR.RU
delall %SystemRoot%\TEMP\NOD3C.TMP
regt 1
regt 2
regt 3
regt 7
regt 18
deltmp
delnfr
restart

Перейти

[ Закрыто] Spy.Zbot.ZR

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 18.07.2012 15:24:04

Удалить только вот это

Обнаруженные параметры в реестре: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|{E4778107-D464-3DE5-2559-113C5F09A63A} (Trojan.ZbotR.Gen) -> Параметры: C:\Users\User\AppData\Roaming\Geat\ovew.exe -> Действие не было предпринято.

Объекты реестра обнаружены: 0
(Вредоносных программ не обнаружено)

Обнаруженные папки: 1
C:\Program Files\ololo (Trojan.VKHosts) -> Действие не было предпринято.

Обнаруженные файлы: 3
C:\Program Files\ololo\ku4uqt155.jpg (Trojan.VKHosts) -> Действие не было предпринято.
C:\Program Files\ololo\p.txt (Trojan.VKHosts) -> Действие не было предпринято.

ПК перезагрузить.

Что с проблемой?

Перейти

[ Закрыто] Spy.Zbot.ZR

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 18.07.2012 14:44:18

Код
;uVS v3.75 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\GEAT\OVEW.EXE delref HTTP://WWW.ASK.COM/?L=DIS&O=101916 delref HTTP://WWW.MAIL.RU/CNT/5087 delref HTTP://WWW.MAIL.RU/CNT/7828 exec "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL regt 1 regt 2 regt 3 regt 7 regt 18 deltmp delnfr restart

Код

;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\GEAT\OVEW.EXE
delref HTTP://WWW.ASK.COM/?L=DIS&O=101916
delref HTTP://WWW.MAIL.RU/CNT/5087
delref HTTP://WWW.MAIL.RU/CNT/7828
exec "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL
regt 1
regt 2
regt 3
regt 7
regt 18
deltmp
delnfr
restart

И жмем кнопку Выполнить.
На запросы программы по удалению жмите ДА
ПК перезагрузится.

Далее(даже если проблема решена) выполнить лог программой MBAM
http://forum.esetnod32.ru/forum9/topic682/
Выбрать быстрое сканирование. Отчет предоставить для анализа

Перейти

[ Закрыто] Бета версии 6-го поколения продуктов ESET

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 18.07.2012 13:36:32

Поддержка будет заявлена после выхода финала 8. И заметьте что мы не говорим, а точнее не пишем, что нод не работает на 8, он работает и при том уже давно, вы можете сами в этом убедится установив последний актуальный билд как 5 версии так и 6.

Изменено: zloyDi - 18.07.2012 13:36:53

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 18.07.2012 12:41:31

Цитата
santy пишет: утилитка развивается

Весьма неплохо.

Перейти

[ Закрыто] Доркбот.Б, хочу выгнать безобразника

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 18.07.2012 00:30:22

Код
;uVS v3.75 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 bl A155D53982057B80485A6888C42AF385 60928 delref %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER3.DLL delall %SystemDrive%\USERS\NUTS YA\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE delall %SystemDrive%\USERS\NUTS YA\APPDATA\ROAMING\SDOGOY.SCR zoo %SystemDrive%\USERS\NUTS YA\APPDATA\ROAMING\RECYCLER\LOGON.EXE bl F266817D9704E52CA909772A1B7DA27C 52224 delall %SystemDrive%\USERS\NUTS YA\APPDATA\ROAMING\RECYCLER\LOGON.EXE delref HTTP://QIP.RU delref HTTP://SEARCH.QIP.RU delall E:\RECYCLER\6DC09D8D.EXE regt 1 regt 2 regt 3 regt 7 regt 18 deltmp delnfr restart

Код

;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

bl A155D53982057B80485A6888C42AF385 60928
delref %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER3.DLL
delall %SystemDrive%\USERS\NUTS YA\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
delall %SystemDrive%\USERS\NUTS YA\APPDATA\ROAMING\SDOGOY.SCR
zoo %SystemDrive%\USERS\NUTS YA\APPDATA\ROAMING\RECYCLER\LOGON.EXE
bl F266817D9704E52CA909772A1B7DA27C 52224
delall %SystemDrive%\USERS\NUTS YA\APPDATA\ROAMING\RECYCLER\LOGON.EXE
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
delall E:\RECYCLER\6DC09D8D.EXE
regt 1
regt 2
regt 3
regt 7
regt 18
deltmp
delnfr
restart

Перейти

[ Закрыто] Прошу разбанить домен brilliant-travel.com.ua

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 17.07.2012 23:45:49

http://forum.esetnod32.ru/forum33/topic3584/

Перейти