Арвид (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

Win32/Agent.UPF троянская программа

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 25.04.2013 12:38:25

Здравствуйте!

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);

Код
;;uVS v3.77.10 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 zoo %SystemDrive%\PROGRAMDATA\MOZILLA\IAFYQDF.DLL bl CF5957E045F40443AEE378AE6E84D443 25600 bl D1E04869DBCE8AEFB1D3501A862E79EF 2276896 addsgn 1AA8D29A5583C58CF42B254E3143FE58CCACF7F68971E02942C201CE0CD6998D8617C30EFDDE621CA06CD214B7FEAA0582201E375DDBC42B7B9F68D038F97BF8 8 GuardMail bl A4AB86F07E4053A4FCC7AFC4CA3C14F2 27680 addsgn 0DF9BFCA156A43C5036E8CB164C8743EF4FFEEF93EB21DFB45C1FE76248617C9EA6233BC013318805FA80904461649FAC7FFE87255BC8BFD596F1E26C7062215 8 Html5 zoo %SystemDrive%\PROGRAMDATA\MOZILLA\MAYZNXK.EXE bl C35B3DFBF1A1BB55A5B94F691B6FA7B3 144408 addsgn A765921BB9BA4C720B839F4EEDB5FAC3607AFCCFB4E5233A85CC415F50D6714C24972BCAC5AA6210AE40F0A7B9634171B537608EAA253BDCA881D00F4CC8CA59 8 Mayachok bl 7AAAA2B53F077D9097AD8DF82BE9A9C7 29696 addsgn A413624A052A4C7DBCDCC4933AA2105F43B10D83AFF9DD7732CB464572A2482AA6DEB6A6D54FF76975E6BF6E320423F323B9D38321D0B3EE22C0AC4942CF5795 8 HTml5Up bl 7B4D3971579E51B6074B3DFC460ACB98 10847976 addsgn 1A65719A55839B8EF42B5194401C9005DAAF40230BFAE05DDD1647BCAFF32599A11748A86BDE71B65E886C0EB3E9B6A3201C638D00515C71C46AA42FC7CADD56 8 Mediaget bl 6D6FBE6465D1F496257C3C422DD1F4B7 1352048 addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6B96B5F78B63503F874C251B33627B3173E3D9CC92B807B8AF26609FA2E20FD0E279AB04625D4FCC38506CA7A 21 Zbot bl 68AF1C01341DA23A1D01FC487FEA8B6B 1582976 addsgn 1AA78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 Praetor delref %SystemDrive%\PROGRAMDATA\MOZILLA\IAFYQDF.DLL addsgn 925277DA1C6AC1CC0B04584E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 8 SkyMonk bl 02AEFFBF0B9FBBC850A2D6BB796C03B5 520848 exec C:\PROGRAM FILES (X86)\STARTNOW TOOLBAR\STARTNOWTOOLBARUNINSTALL.EXE exec C:\PROGRAM FILES (X86)\TICNO\TABS\UNINSTALL.EXE exec "C:\PROGRAM FILES (X86)\WINAMP TOOLBAR\UNINSTALL.EXE" chklst delvir deltmp delnfr delref HTTP://LENOVO.MSN.COM delref HTTP://MAIL.RU/ delref HTTP://QIP.RU delref HTTP://SEARCH.QIP.RU delref HTTP://START.TICNO.COM delref HTTP://WWW.CLN.NET/ czoo restart

Код

;;uVS v3.77.10 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

zoo %SystemDrive%\PROGRAMDATA\MOZILLA\IAFYQDF.DLL
bl CF5957E045F40443AEE378AE6E84D443 25600
bl D1E04869DBCE8AEFB1D3501A862E79EF 2276896
addsgn 1AA8D29A5583C58CF42B254E3143FE58CCACF7F68971E02942C201CE0CD6998D8617C30EFDDE621CA06CD214B7FEAA0582201E375DDBC42B7B9F68D038F97BF8 8 GuardMail
bl A4AB86F07E4053A4FCC7AFC4CA3C14F2 27680
addsgn 0DF9BFCA156A43C5036E8CB164C8743EF4FFEEF93EB21DFB45C1FE76248617C9EA6233BC013318805FA80904461649FAC7FFE87255BC8BFD596F1E26C7062215 8 Html5
zoo %SystemDrive%\PROGRAMDATA\MOZILLA\MAYZNXK.EXE
bl C35B3DFBF1A1BB55A5B94F691B6FA7B3 144408
addsgn A765921BB9BA4C720B839F4EEDB5FAC3607AFCCFB4E5233A85CC415F50D6714C24972BCAC5AA6210AE40F0A7B9634171B537608EAA253BDCA881D00F4CC8CA59 8 Mayachok
bl 7AAAA2B53F077D9097AD8DF82BE9A9C7 29696
addsgn A413624A052A4C7DBCDCC4933AA2105F43B10D83AFF9DD7732CB464572A2482AA6DEB6A6D54FF76975E6BF6E320423F323B9D38321D0B3EE22C0AC4942CF5795 8 HTml5Up
bl 7B4D3971579E51B6074B3DFC460ACB98 10847976
addsgn 1A65719A55839B8EF42B5194401C9005DAAF40230BFAE05DDD1647BCAFF32599A11748A86BDE71B65E886C0EB3E9B6A3201C638D00515C71C46AA42FC7CADD56 8 Mediaget
bl 6D6FBE6465D1F496257C3C422DD1F4B7 1352048
addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6B96B5F78B63503F874C251B33627B3173E3D9CC92B807B8AF26609FA2E20FD0E279AB04625D4FCC38506CA7A 21 Zbot
bl 68AF1C01341DA23A1D01FC487FEA8B6B 1582976
addsgn 1AA78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 Praetor
delref %SystemDrive%\PROGRAMDATA\MOZILLA\IAFYQDF.DLL
addsgn 925277DA1C6AC1CC0B04584E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 8 SkyMonk
bl 02AEFFBF0B9FBBC850A2D6BB796C03B5 520848
exec C:\PROGRAM FILES (X86)\STARTNOW TOOLBAR\STARTNOWTOOLBARUNINSTALL.EXE
exec C:\PROGRAM FILES (X86)\TICNO\TABS\UNINSTALL.EXE
exec "C:\PROGRAM FILES (X86)\WINAMP TOOLBAR\UNINSTALL.EXE"
chklst
delvir
deltmp
delnfr
delref HTTP://LENOVO.MSN.COM
delref HTTP://MAIL.RU/
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
delref HTTP://START.TICNO.COM
delref HTTP://WWW.CLN.NET/
czoo
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
- в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например 2012-03-09_09-29-00.7z - это архив с вирусами, его нужно прислать на электронный адрес [email protected].
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Не могу удалить из ОП модифицированный Win32/Injector.AFFI троянская программа

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 25.04.2013 11:35:07

Код
;;uVS v3.77.10 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 delall %SystemDrive%\USERS\STUDENT\APPDATA\ROAMING\SCREENSAVERPRO.SCR delall %SystemDrive%\USERS\STUDENT\APPDATA\ROAMING\MICROSOFT\ZLTQTP.EXE deltmp delnfr regt 12 regt 14 delref HTTP://SEARCH.QIP.RU delref HTTP://QIP.RU/ delref HTTP://QIP.RU restart

Код

;;uVS v3.77.10 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

delall %SystemDrive%\USERS\STUDENT\APPDATA\ROAMING\SCREENSAVERPRO.SCR
delall %SystemDrive%\USERS\STUDENT\APPDATA\ROAMING\MICROSOFT\ZLTQTP.EXE
deltmp
delnfr
regt 12
regt 14
delref HTTP://SEARCH.QIP.RU
delref HTTP://QIP.RU/
delref HTTP://QIP.RU
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную).

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] ошибка создания временного файла

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 25.04.2013 10:04:04

если там помимо txt файла есть еще что-то, то заархивируйте папку и пришлите на почту что выше
напоследок Выполните рекомендации

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] ошибка создания временного файла

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 24.04.2013 22:53:25

192.168.0.1:80 - ваш прокси сервер?

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] ошибка создания временного файла

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 24.04.2013 22:43:00

Код
;;uVS v3.77.10 script [http://dsrt.dyndns.org] ;Target OS: NTv5.2 bl 751C3F58A618CF7DE40042D44AD06590 2295328 addsgn 1A18D29A5583C58CF42B254E3143FE58CCACF7F68971E02942C2B9100CD6993D8517C30EFDDE621CA06CD214B7FEAA0582201E375DDBC42B7B9F68D038F97BF8 8 GuardMail bl 19BAD7ED0324C48A0DEE5243CB5D587F 851768 addsgn 1A03839A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 16 Praetorian bl EA0418C25DBCE2A16DF45B3CF4DA2EA8 150768 addsgn 71905392541F499AA780AEB19BBC3601AEC6D8E602AE3B746D2E3B43AF8FB34023DB0F3FFEBC9D594F7FB19F4616497139FBF8FB39FEA0A14153B40427557424 64 QIPbar zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\WINDOWS\XORED.SYS bl 26873C5AF4C564A885A4554E76BAB41A 20608 addsgn A7679B19B93E1A25CC9166B264C8120B7D091CF500BFD72E3B0B3A43AFD79FC71590F773B551B9C44FA4801603D2CA87B9DFE7F7E7DBB02CA03268A682C6A116 32 Rootkit89 delref %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\WINDOWS\XORED.SYS chklst delvir deltmp delnfr delref HTTP://SEARCH.QIP.RU delref HTTP://STARTRU.NET/?UTM_MEDIUM=FH&UTM_SOURCE=OP&UTM_CAMPAIGN=BP&UTM_CONTENT=11-06 delref HTTP://STARTRU.NET/?UTM_MEDIUM=IH&UTM_SOURCE=OP&UTM_CAMPAIGN=BP&UTM_CONTENT=11-06 regt 14 czoo restart

Код

;;uVS v3.77.10 script [http://dsrt.dyndns.org]
;Target OS: NTv5.2

bl 751C3F58A618CF7DE40042D44AD06590 2295328
addsgn 1A18D29A5583C58CF42B254E3143FE58CCACF7F68971E02942C2B9100CD6993D8517C30EFDDE621CA06CD214B7FEAA0582201E375DDBC42B7B9F68D038F97BF8 8 GuardMail
bl 19BAD7ED0324C48A0DEE5243CB5D587F 851768
addsgn 1A03839A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 16 Praetorian
bl EA0418C25DBCE2A16DF45B3CF4DA2EA8 150768
addsgn 71905392541F499AA780AEB19BBC3601AEC6D8E602AE3B746D2E3B43AF8FB34023DB0F3FFEBC9D594F7FB19F4616497139FBF8FB39FEA0A14153B40427557424 64 QIPbar
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\WINDOWS\XORED.SYS
bl 26873C5AF4C564A885A4554E76BAB41A 20608
addsgn A7679B19B93E1A25CC9166B264C8120B7D091CF500BFD72E3B0B3A43AFD79FC71590F773B551B9C44FA4801603D2CA87B9DFE7F7E7DBB02CA03268A682C6A116 32 Rootkit89
delref %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\WINDOWS\XORED.SYS
chklst
delvir
deltmp
delnfr
delref HTTP://SEARCH.QIP.RU
delref HTTP://STARTRU.NET/?UTM_MEDIUM=FH&UTM_SOURCE=OP&UTM_CAMPAIGN=BP&UTM_CONTENT=11-06
delref HTTP://STARTRU.NET/?UTM_MEDIUM=IH&UTM_SOURCE=OP&UTM_CAMPAIGN=BP&UTM_CONTENT=11-06
regt 14
czoo
restart

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Ошибка обновления - ошибка создания временного файла

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 24.04.2013 14:14:01

Где-то вирус подцепили.
В Мбам удалите только это:

Цитата
Обнаруженные параметры в реестре: 1 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\|ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Параметры: 1 -> Действие не было предпринято.

И напоследок Выполните рекомендации

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Ошибка обновления - ошибка создания временного файла

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 24.04.2013 13:43:30

Код
;;uVS v3.77.10 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 bl 5AFDDBB1EBDD5618FE9B4F98595D6759 1540440 addsgn 1AD78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 16 Praetorian bl 9CC5C24E0BCB282202C633F16402E3E1 795960 addsgn 1A06819A5583358CF42B627DA804DEC9E946303A4536D3F3D1E7C1371CF279BBE114C3573E20A1C229BA85EA681C898E5BE5897320FFBAC8596A65C7D73C6371 8 YandexUP zoo %SystemRoot%\GIGALAN.TXT bl 73A917EDD2769AA154608ACDD531BDA6 43456 delref %SystemRoot%\GIGALAN.TXT chklst delvir deltmp delnfr delref HTTP://WWW.MAIL.RU/CNT/7227 czoo restart

Код

;;uVS v3.77.10 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

bl 5AFDDBB1EBDD5618FE9B4F98595D6759 1540440
addsgn 1AD78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 16 Praetorian
bl 9CC5C24E0BCB282202C633F16402E3E1 795960
addsgn 1A06819A5583358CF42B627DA804DEC9E946303A4536D3F3D1E7C1371CF279BBE114C3573E20A1C229BA85EA681C898E5BE5897320FFBAC8596A65C7D73C6371 8 YandexUP
zoo %SystemRoot%\GIGALAN.TXT
bl 73A917EDD2769AA154608ACDD531BDA6 43456
delref %SystemRoot%\GIGALAN.TXT
chklst
delvir
deltmp
delnfr
delref HTTP://WWW.MAIL.RU/CNT/7227
czoo
restart

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Модуль сканирования файлов, исполняемых при запуске системы файл C:\PROGRA~2\Mozilla\gbiyjeg.dll модифицированный Win32/Kryptik.AZHM троянская программа очищен удалением (после следующего перезапуска) - изолирован Mozgolom-PC\Mozgolom, Помогите избавиться от вируса при включении Nod пишет, что нужно перезагрузить компьютер

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 23.04.2013 12:05:02

Если проблем больше нет - Выполните рекомендации

Изменено: Арвид - 23.04.2013 12:06:03

Правильно заданный вопрос - это уже половина ответа

Перейти

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 23.04.2013 12:01:01

вряд ли

Правильно заданный вопрос - это уже половина ответа

Перейти

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 23.04.2013 11:46:41

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);

Код
;;uVS v3.77.10 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 zoo %SystemRoot%\TEMP\NODD9F9.TMP bl AB0997508B8B1CBAFB4D5A1691486F29 25600 zoo %SystemDrive%\PROGRAMDATA\MOZILLA\GJVDLYD.EXE bl B84D8A782444875604449DD89A3E8BEC 143368 addsgn 964D779A556A19FBEEBE51D978E853054D10ECB689AA7BF1A0C3C5BC50559D5C704194DE5BBDCD9017A4E21E4A3249F9A4F3CCF191DEDA2C4777CC07E747221B 8 tr.Agent bl C9C3DCA5C7AFDC14217F8635BB80BAAD 29256 addsgn A413624A052A4C7DBCDCC4933AA2105F43B10D83AFF9DD7732CB464572A2482AA6DEB6A6D54FF76975E6BF6E320423F323B9D38321D0B3EE22C0AC4942CF5795 8 HTml5Up bl 7AAAA2B53F077D9097AD8DF82BE9A9C7 29696 delref %SystemRoot%\TEMP\NODD9F9.TMP chklst delvir deltmp delnfr exec MSIEXEC.EXE /X{26A24AE4-039D-4CA4-87B4-2F83216032FF} czoo restart

Код

;;uVS v3.77.10 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

zoo %SystemRoot%\TEMP\NODD9F9.TMP
bl AB0997508B8B1CBAFB4D5A1691486F29 25600
zoo %SystemDrive%\PROGRAMDATA\MOZILLA\GJVDLYD.EXE
bl B84D8A782444875604449DD89A3E8BEC 143368
addsgn 964D779A556A19FBEEBE51D978E853054D10ECB689AA7BF1A0C3C5BC50559D5C704194DE5BBDCD9017A4E21E4A3249F9A4F3CCF191DEDA2C4777CC07E747221B 8 tr.Agent
bl C9C3DCA5C7AFDC14217F8635BB80BAAD 29256
addsgn A413624A052A4C7DBCDCC4933AA2105F43B10D83AFF9DD7732CB464572A2482AA6DEB6A6D54FF76975E6BF6E320423F323B9D38321D0B3EE22C0AC4942CF5795 8 HTml5Up
bl 7AAAA2B53F077D9097AD8DF82BE9A9C7 29696
delref %SystemRoot%\TEMP\NODD9F9.TMP
chklst
delvir
deltmp
delnfr
exec MSIEXEC.EXE /X{26A24AE4-039D-4CA4-87B4-2F83216032FF}
czoo
restart

Правильно заданный вопрос - это уже половина ответа

Перейти