Арвид (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

Не открывается рабоий стол.

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 13.04.2013 13:28:31

Здравствуйте!

Похоже у вас файловое заражение, так как все системные файлы не имеют цифровой подписи. Надо будет провериться с LiveCD.

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);

Код
;;uVS v3.77.9 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 bl 594CB699E78B4ADF1052CFA89489315E 790528 delref /C delref HTTP://QIP.RU/ delall %SystemDrive%\DOCUMENTS AND SETTINGS\НИКИТА\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\YUPDATE-EXECUTOR.EXE regt 12 regt 14 deltmp delnfr restart

Код

;;uVS v3.77.9 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

bl 594CB699E78B4ADF1052CFA89489315E 790528
delref /C
delref HTTP://QIP.RU/
delall %SystemDrive%\DOCUMENTS AND SETTINGS\НИКИТА\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\YUPDATE-EXECUTOR.EXE
regt 12
regt 14
deltmp
delnfr
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Подцепил трояна Win32/Qhost, Win32/Qhost троянская программа

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 13.04.2013 13:24:57

Здравствуйте!

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);

Код
;;uVS v3.77.9 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 delref /C deltmp delnfr regt 14 exec MSIEXEC.EXE /X{26A24AE4-039D-4CA4-87B4-2F83216020FF} restart

Правильно заданный вопрос - это уже половина ответа

Перейти

Ошибка создания временного файла

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 13.04.2013 13:23:53

выполняйте что дальше написано

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Помогите вирус!!!! Win32/Dorkbot.B

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 12.04.2013 22:37:06

Выполните рекомендации

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Помогите вирус!!!! Win32/Dorkbot.B

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 12.04.2013 22:25:31

удалить найденное, перезагрузиться, проверить что с проблемой

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Вирус в оперативной памяти

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 12.04.2013 22:12:37

Выполните рекомендации

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Вирус в оперативной памяти

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 12.04.2013 21:45:00

Удалить это:

Цитата
Обнаруженные параметры в реестре: 1 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\|ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Параметры: 1 -> Действие не было предпринято.

Перезагрузиться. Проверить что с проблемой.

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Помогите вирус!!!! Win32/Dorkbot.B

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 12.04.2013 21:26:41

выполняйте пока что нужно

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Помогите вирус!!!! Win32/Dorkbot.B

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 12.04.2013 21:21:32

Код
;;uVS v3.77.9 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 bl 3017A7AF50B0E72CC2A022592993FF79 2276384 addsgn 1AA8D29A5583C58CF42B254E3143FE58CCACF7F68971E02942C201CE0CD6998D8617C30EFDDE621CA06CD214B7FEAA0582201E375DDBC42B7B9F68D038F97BF8 8 GuardMail bl F8546857FA2D2E6C9D377D0A840BB1B2 543744 addsgn 925262BA056AC1CCE03B414E3341F788B9AE7C3776052EB8D5FA19C9AB90371F4B7AFA4F3E021E8A2FD3EC7C751E49ACFE1CEC21051DB32F2D75A4BF5796B2E3 32 Trojan.Win32.Generic zoo %SystemDrive%\USERS\АДМИН\APPDATA\ROAMING\MICROSOFT\JDKYKH.EXE bl 7464FE27417B81293FAEF30CDB5A16DE 123392 addsgn 9252773A2A6AC1CC0BA46E4E3341F788B9AE7C3776052EB8D5FA19C9AB90371F4BDA8B163E021E8A2FD3ECD88F1749ACFE1CEC21051DB32F2D75A4BF5796B2E3 8 a variant of Win32/Kryptik.AYGI [ESET-N zoo %SystemDrive%\USERS\АДМИН\APPDATA\ROAMING\SCREENSAVERPRO.SCR adddir %SystemDrive%\USERS\АДМИН\APPDATA\ROAMING chklst delvir deltmp delnfr delref /C delref HTTP://MAIL.RU/CNT/7993/ delref HTTP://WWW.MAIL.RU/CNT/9516 delref START restart

Код

;;uVS v3.77.9 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

bl 3017A7AF50B0E72CC2A022592993FF79 2276384
addsgn 1AA8D29A5583C58CF42B254E3143FE58CCACF7F68971E02942C201CE0CD6998D8617C30EFDDE621CA06CD214B7FEAA0582201E375DDBC42B7B9F68D038F97BF8 8 GuardMail
bl F8546857FA2D2E6C9D377D0A840BB1B2 543744
addsgn 925262BA056AC1CCE03B414E3341F788B9AE7C3776052EB8D5FA19C9AB90371F4B7AFA4F3E021E8A2FD3EC7C751E49ACFE1CEC21051DB32F2D75A4BF5796B2E3 32 Trojan.Win32.Generic
zoo %SystemDrive%\USERS\АДМИН\APPDATA\ROAMING\MICROSOFT\JDKYKH.EXE
bl 7464FE27417B81293FAEF30CDB5A16DE 123392
addsgn 9252773A2A6AC1CC0BA46E4E3341F788B9AE7C3776052EB8D5FA19C9AB90371F4BDA8B163E021E8A2FD3ECD88F1749ACFE1CEC21051DB32F2D75A4BF5796B2E3 8 a variant of Win32/Kryptik.AYGI [ESET-N
zoo %SystemDrive%\USERS\АДМИН\APPDATA\ROAMING\SCREENSAVERPRO.SCR
adddir %SystemDrive%\USERS\АДМИН\APPDATA\ROAMING
chklst
delvir
deltmp
delnfr
delref /C
delref HTTP://MAIL.RU/CNT/7993/
delref HTTP://WWW.MAIL.RU/CNT/9516
delref START
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
- в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например 2012-03-09_09-29-00.7z - это архив с вирусами, его нужно прислать на электронный адрес [email protected].
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.

Правильно заданный вопрос - это уже половина ответа

Перейти

подтвердите активацию аккаунта ответьте на смс указав свой возраст 7781, подтвердите активацию аккаунта ответьте на смс указав свой возраст 7781

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 12.04.2013 20:14:35

Здравствуйте!

скачайте дистрибутив с uVS отсюда - http://rghost.ru/44955544 и выполните следующий скрипт:

- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);

Код
;;uVS v3.77.9 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 bl 31B522014FC560C122CDFA72D47CA940 1391272 addsgn 1A5DAE9A5583358CF42B62E4EF244553AEFFF07DC4EA94058D48043781D5B777DD61CB6CC65A1FED2A80841EBF1648FA7DADF7F168DA24612D77D0399050A194 8 AskBar bl 751C3F58A618CF7DE40042D44AD06590 2295328 addsgn 1A18D29A5583C58CF42B254E3143FE58CCACF7F68971E02942C2B9100CD6993D8517C30EFDDE621CA06CD214B7FEAA0582201E375DDBC42B7B9F68D038F97BF8 8 GuardMail zoo %Sys32%\RPCSS.DLL exec MSIEXEC.EXE /X{86D4B82A-ABED-442A-BE86-96357B70F4FE} exec "C:\PROGRAM FILES (X86)\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL chklst delvir delref HTTP://DUBSEARCH.RU deltmp delnfr regt 12 regt 14 EXEC cmd /c ren %windir%\system32\dllcache\rpcss.dll rpcss.dll.old EXEC cmd /c ren %windir%\system32\rpcss.dll rpcss.dll.old EXEC cmd /c copy store\nt61x64\rpcss.dll %windir%\system32\rpcss.dll EXEC cmd /c copy store\nt61x64\rpcss.dll %windir%\system32\dllcache\rpcss.dll czoo restart

Код

;;uVS v3.77.9 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

bl 31B522014FC560C122CDFA72D47CA940 1391272
addsgn 1A5DAE9A5583358CF42B62E4EF244553AEFFF07DC4EA94058D48043781D5B777DD61CB6CC65A1FED2A80841EBF1648FA7DADF7F168DA24612D77D0399050A194 8 AskBar
bl 751C3F58A618CF7DE40042D44AD06590 2295328
addsgn 1A18D29A5583C58CF42B254E3143FE58CCACF7F68971E02942C2B9100CD6993D8517C30EFDDE621CA06CD214B7FEAA0582201E375DDBC42B7B9F68D038F97BF8 8 GuardMail
zoo %Sys32%\RPCSS.DLL
exec MSIEXEC.EXE /X{86D4B82A-ABED-442A-BE86-96357B70F4FE}
exec "C:\PROGRAM FILES (X86)\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL
chklst
delvir
delref HTTP://DUBSEARCH.RU
deltmp
delnfr
regt 12
regt 14
EXEC cmd /c ren %windir%\system32\dllcache\rpcss.dll rpcss.dll.old
EXEC cmd /c ren %windir%\system32\rpcss.dll rpcss.dll.old
EXEC cmd /c copy store\nt61x64\rpcss.dll %windir%\system32\rpcss.dll
EXEC cmd /c copy store\nt61x64\rpcss.dll %windir%\system32\dllcache\rpcss.dll
czoo
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
- в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например 2012-03-09_09-29-00.7z - это архив с вирусами, его нужно прислать на электронный адрес [email protected].
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.

Правильно заданный вопрос - это уже половина ответа

Перейти