Дмитрий Б (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] Вирус в оперативной памяти explorer.exe, Вирус в оперативной памяти explorer.exe

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 14.05.2012 15:44:41

Удалить только вот это
C:\Documents and Settings\Admin\Application Data\igfxtray.dat (Malware.Trace) -> Действие не было предпринято.

Далее выполните наши рекомендации пользователям
http://forum.esetnod32.ru/forum9/topic3998/

Перейти

[ Закрыто] Вирус в оперативной памяти explorer.exe, Вирус в оперативной памяти explorer.exe

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 14.05.2012 15:17:16

В папке с программой UVS будет файл script.cmd
Запустить файл, запустится окно программы для ввода скрипта,
скопировать скрипт написанный ниже и вставить в окно программы.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ ВСЕ БРАУЗЕРЫ!

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\WABOPPR.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\WABOPPR.EXE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\RGJK913OD9G.EXE bl DE64F8A0EEC1418D513E92E1EDFC6297 184320 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\RGJK913OD9G.EXE setdns Подключение по локальной сети 2\4\{5AFCFDCC-ABD3-4801-902A-35A9662676AD}\ setdns Подключение по локальной сети\4\{927CD0EE-E694-4B56-A861-067E7F20BE64}\ exec "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL regt 1 regt 2 regt 3 regt 7 regt 18 deltmp delnfr restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\WABOPPR.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\WABOPPR.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\RGJK913OD9G.EXE
bl DE64F8A0EEC1418D513E92E1EDFC6297 184320
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\RGJK913OD9G.EXE
setdns Подключение по локальной сети 2\4\{5AFCFDCC-ABD3-4801-902A-35A9662676AD}\
setdns Подключение по локальной сети\4\{927CD0EE-E694-4B56-A861-067E7F20BE64}\
exec "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL
regt 1
regt 2
regt 3
regt 7
regt 18
deltmp
delnfr
restart

И жмем кнопку Выполнить.
На запросы программы по удалению жмите ДА
ПК перезагрузится.

В папке с программой UVS будет папка zoo, ее поместить в архив, установить пароль virus и прислать сюда [email protected]

Далее(даже если проблема решена) выполнить лог программой MBAM
http://forum.esetnod32.ru/forum9/topic682/
Выбрать быстрое сканирование. Отчет предоставить для анализа

Перейти

Оперативная память = explorer.exe(552) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 14.05.2012 09:45:25

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АЛЕКСАНДЁР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\BCXDCZ1XDMU.EXE bl 73AD2098D160107549989A4475676E43 137216 delall %SystemDrive%\DOCUMENTS AND SETTINGS\АЛЕКСАНДЁР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\BCXDCZ1XDMU.EXE regt 1 regt 2 regt 3 regt 7 regt 18 deltmp delnfr restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АЛЕКСАНДЁР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\BCXDCZ1XDMU.EXE
bl 73AD2098D160107549989A4475676E43 137216
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АЛЕКСАНДЁР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\BCXDCZ1XDMU.EXE
regt 1
regt 2
regt 3
regt 7
regt 18
deltmp
delnfr
restart

Перейти

Оперативная память = explorer.exe(1672) вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа очистка невозможна, троян

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 14.05.2012 09:41:04

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\HWRRXHBY05C.EXE bl A025AD7895DE65B4871194530C2F296D 134656 delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\HWRRXHBY05C.EXE delref HTTP://QIP.RU delref HTTP://SEARCH.QIP.RU delref HTTP://WEBALTA.RU delref HTTP://WEBALTA.RU/POISK delref HTTP://WWW.SMAXI.NET exec MSIEXEC.EXE /X{86D4B82A-ABED-442A-BE86-96357B70F4FE} exec "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL exec "C:\PROGRAM FILES\WINAMP TOOLBAR\UNINSTALL.EXE" exec MSIEXEC.EXE /X{4B9C002D-F3C1-4F8A-B29A-7F9E9B473D4D} regt 1 regt 2 regt 3 regt 7 regt 18 deltmp delnfr restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\HWRRXHBY05C.EXE
bl A025AD7895DE65B4871194530C2F296D 134656
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\HWRRXHBY05C.EXE
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
delref HTTP://WEBALTA.RU
delref HTTP://WEBALTA.RU/POISK
delref HTTP://WWW.SMAXI.NET
exec MSIEXEC.EXE /X{86D4B82A-ABED-442A-BE86-96357B70F4FE}
exec "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL
exec "C:\PROGRAM FILES\WINAMP TOOLBAR\UNINSTALL.EXE"
exec MSIEXEC.EXE /X{4B9C002D-F3C1-4F8A-B29A-7F9E9B473D4D}
regt 1
regt 2
regt 3
regt 7
regt 18
deltmp
delnfr
restart

Перейти

Вопрос о лицензии

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 14.05.2012 08:41:32

Удалите антивирус, настройте правильную дату на ПК.
Заново установите антивирус!

Перейти

Оперативная память = C:\Documents and Settings\Admin\Application Data\netprotocol.exe - модифицированный Win32/SpyVoltar.A троянская программа - очистка невозможна

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 13.05.2012 22:10:32

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\NETPROTOCOL.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\NETPROTOCOL.EXE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\C42VOLNTPWW.EXE bl 301BCE35B0168E33557348C369B73130 210432 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\C42VOLNTPWW.EXE delall %Sys32%\HEWCHOB.DLL delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE exec "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL exec MSIEXEC.EXE /I{FBFBBDD0-EC37-4152-BB77-7D54322AF953} regt 1 regt 2 regt 3 regt 7 regt 18 deltmp delnfr restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\NETPROTOCOL.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\NETPROTOCOL.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\C42VOLNTPWW.EXE
bl 301BCE35B0168E33557348C369B73130 210432
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\C42VOLNTPWW.EXE
delall %Sys32%\HEWCHOB.DLL
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
exec "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL
exec MSIEXEC.EXE /I{FBFBBDD0-EC37-4152-BB77-7D54322AF953}
regt 1
regt 2
regt 3
regt 7
regt 18
deltmp
delnfr
restart

Перейти

[ Закрыто] Оперативная память = C:\Documents and Settings\Admin\Application Data\netprotocol.exe - модифицированный Win32/SpyVoltar.A троянская программа - очистка невозможна

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 13.05.2012 21:20:47

Что с пробемой?

Перейти

Оперативная память » explorer.exe(1840) - модифицированный Win32/Spy.Shiz.NCE троянская программа - очистка невозможна

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 13.05.2012 21:17:40

Вирус удален, что с пробелемой?

Перейти

[ Закрыто] модифицированный Win32/Spy.Shiz.NCE троянская программа очистка невозможна

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 13.05.2012 21:17:00

Далее выполните наши рекомендации пользователям
http://forum.esetnod32.ru/forum9/topic3998/

Перейти

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 13.05.2012 20:53:52

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\-\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ZUKJ9BUOWG0.EXE bl 8948352E5895ADB30DB3A4822BEC12EF 174080 delall %SystemDrive%\DOCUMENTS AND SETTINGS\-\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ZUKJ9BUOWG0.EXE regt 1 regt 2 regt 7 regt 18 deltmp delnfr restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\-\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ZUKJ9BUOWG0.EXE
bl 8948352E5895ADB30DB3A4822BEC12EF 174080
delall %SystemDrive%\DOCUMENTS AND SETTINGS\-\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ZUKJ9BUOWG0.EXE
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart

Перейти