Арвид (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

Не могу удалить вирус из оперативной памяти.

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 04.04.2013 15:42:45

Здравствуйте!

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);

Код
;;uVS v3.77.8 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 delref HTTP://WEBALTA.RU/SEARCH zoo %SystemDrive%\PROGRAMDATA\MOZILLA\TRMQENG.EXE bl FB8D2E411D122C11957AFB5077A89767 261640 delall %SystemDrive%\PROGRAMDATA\MOZILLA\TRMQENG.EXE deltmp delnfr czoo restart

Код

;;uVS v3.77.8 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

delref HTTP://WEBALTA.RU/SEARCH
zoo %SystemDrive%\PROGRAMDATA\MOZILLA\TRMQENG.EXE
bl FB8D2E411D122C11957AFB5077A89767 261640
delall %SystemDrive%\PROGRAMDATA\MOZILLA\TRMQENG.EXE
deltmp
delnfr
czoo
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.

Изменено: Арвид - 04.04.2013 15:58:19

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Процесс egui.exe грузит процессор более 50%, Процесс egui.exe постоянно грузит процессор более 50%

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 03.04.2013 23:02:48

вы сейчас какую-то чушь написали
в скрипте нет никаких команд которые хоть как-то могут на систему повлиять
если у вас с жестким диском проблемы, то обратитесь на другой форум. тема закрыта.

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Процесс egui.exe грузит процессор более 50%, Процесс egui.exe постоянно грузит процессор более 50%

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 03.04.2013 20:03:33

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);

Код
;;uVS v3.77.8 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 delref HTTP://WWW.MAIL.RU/CNT/7823 delref HTTP://KMS-SYSTEM.COM/ delref %SystemRoot%\TIMEBACKANTIWINLOCK.DLL delall %Sys32%\RESTOREC.VBS deltmp delnfr regt 12 regt 14 exec MSIEXEC.EXE /X{86D4B82A-ABED-442A-BE86-96357B70F4FE} restart

Код

;;uVS v3.77.8 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

delref HTTP://WWW.MAIL.RU/CNT/7823
delref HTTP://KMS-SYSTEM.COM/
delref %SystemRoot%\TIMEBACKANTIWINLOCK.DLL
delall %Sys32%\RESTOREC.VBS
deltmp
delnfr
regt 12
regt 14
exec MSIEXEC.EXE /X{86D4B82A-ABED-442A-BE86-96357B70F4FE}
restart

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Процесс egui.exe грузит процессор более 50%, Процесс egui.exe постоянно грузит процессор более 50%

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 03.04.2013 19:45:45

эти файлы вам знакомы?
windows\TIMEBACKANTIWINLOCK.DLL
windows\system32\RESTOREC.VBS

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] не могу зайти в вк

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 03.04.2013 14:26:13

http://forum.esetnod32.ru/forum9/topic682/

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] не могу зайти в вк

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 03.04.2013 14:02:00

Код
;;uVS v3.77.8 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %Sys32%\JVEUJPF.DLL bl 6567B58F7B2A75554D100121818F006F 44032 bl 4B488E21B2E63E348C865541238A3C08 417904 addsgn A7679B23436A4C7261D4C4B12DBDEB5476DCAB4E153D5B786D206247AFE5B1194BB5C1123E3162794F09A4AC9443219D7C9AE816AAE8D4A50FB1A11B46432273 8 QIPGuard bl 7522CB9A0A6C9F46ECB80DF58749460E 434176 addsgn A7679B19B192CD9E9BD5AEB1379D44524F85CF09D73C1AE4D383C5BDD9E3791B63174A6A5E0CDD49A2BD88C506162D5B4DDFE872DE9ABCA76D7B2977E7862173 8 a variant of Win32/SpamTool.Tedroo.AG zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\VWIWFRSUPKADIRHN.EXE bl AD9F3158AEB335785DEE8A83554B904B 105472 bl 20BD38241EDD66D8FDC9E3496A1762A3 578264 addsgn 9252774A016AC1CC0B94454EA34FF66C3D8A2F0699CE48FB483C2EB2C046E1DCA91185DF39129C925E870F81C5F8B5EBA6AD05CA54DAB02C2CACD1284C18A19D 8 Pandora zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\ATGAGA.EXE bl B685788AE76A9933A0F30F7E7FDA84BE 156672 addsgn 19FC11F86F296759439BE1FAF4218AA5658A5D7D29BA1FB965C16633F096711E49172BB0BE559DC2FB68AE8A46161312BDD7E872BDF9A52C2D1DA4C7E7212273 16 Virus9087 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\FWFYXKVCPZZWDIIE.EXE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\YUPD ATE-EXECUTOR.EXE bl 9CC5C24E0BCB282202C633F16402E3E1 795960 addsgn 1A06819A5583358CF42B627DA804DEC9E946303A4536D3F3D1E7C1371CF279BBE114C3573E20A1C229BA85EA681C898E5BE5897320FFBAC8596A65C7D73C6371 8 YandexUP delref %Sys32%\JVEUJPF.DLL adddir %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\TABS.LNK delref HTTP://QIP.RU delref HTTP://SEARCH.QIP.RU delref HTTP://XTREME.WS/ exec C:\PROGRAM FILES\KMPMEDIATOOLBAR\UNINSTALL.EXE exec "C:\PROGRAM FILES\PANDORA.TV\PANSERVICE\UNINS000.EXE" chklst delvir deltmp delnfr czoo restart

Код

;;uVS v3.77.8 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %Sys32%\JVEUJPF.DLL
bl 6567B58F7B2A75554D100121818F006F 44032
bl 4B488E21B2E63E348C865541238A3C08 417904
addsgn A7679B23436A4C7261D4C4B12DBDEB5476DCAB4E153D5B786D206247AFE5B1194BB5C1123E3162794F09A4AC9443219D7C9AE816AAE8D4A50FB1A11B46432273 8 QIPGuard
bl 7522CB9A0A6C9F46ECB80DF58749460E 434176
addsgn A7679B19B192CD9E9BD5AEB1379D44524F85CF09D73C1AE4D383C5BDD9E3791B63174A6A5E0CDD49A2BD88C506162D5B4DDFE872DE9ABCA76D7B2977E7862173 8 a variant of Win32/SpamTool.Tedroo.AG
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\VWIWFRSUPKADIRHN.EXE
bl AD9F3158AEB335785DEE8A83554B904B 105472
bl 20BD38241EDD66D8FDC9E3496A1762A3 578264
addsgn 9252774A016AC1CC0B94454EA34FF66C3D8A2F0699CE48FB483C2EB2C046E1DCA91185DF39129C925E870F81C5F8B5EBA6AD05CA54DAB02C2CACD1284C18A19D 8 Pandora
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\ATGAGA.EXE
bl B685788AE76A9933A0F30F7E7FDA84BE 156672
addsgn 19FC11F86F296759439BE1FAF4218AA5658A5D7D29BA1FB965C16633F096711E49172BB0BE559DC2FB68AE8A46161312BDD7E872BDF9A52C2D1DA4C7E7212273 16 Virus9087
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\FWFYXKVCPZZWDIIE.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\YUPD ATE-EXECUTOR.EXE
bl 9CC5C24E0BCB282202C633F16402E3E1 795960
addsgn 1A06819A5583358CF42B627DA804DEC9E946303A4536D3F3D1E7C1371CF279BBE114C3573E20A1C229BA85EA681C898E5BE5897320FFBAC8596A65C7D73C6371 8 YandexUP
delref %Sys32%\JVEUJPF.DLL
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\TABS.LNK
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
delref HTTP://XTREME.WS/
exec C:\PROGRAM FILES\KMPMEDIATOOLBAR\UNINSTALL.EXE
exec "C:\PROGRAM FILES\PANDORA.TV\PANSERVICE\UNINS000.EXE"
chklst
delvir
deltmp
delnfr
czoo
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
- в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например 2012-03-09_09-29-00.7z - это архив с вирусами, его нужно прислать на электронный адрес [email protected].
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Обнаружена уязвимость скрытого канала в icmp-пакете 202.39.224.7

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 02.04.2013 14:42:00

Если не хотите удалять утилиту, то отключите в ней Network iControl

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Обнаружена уязвимость скрытого канала в icmp-пакете 202.39.224.7

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 02.04.2013 14:40:45

Код
;;uVS v3.77.8 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 deltmp delnfr delref HTTP://WWW.MAIL.RU/CNT/9516 exec C:\PROGRAMDATA\ASUS\AI SUITE II\SETUP.EXE delref %SystemDrive%\PROGRAM FILES (X86)\ASUS\AI SUITE II\AI SUITE II.EXE restart

Код

;;uVS v3.77.8 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

deltmp
delnfr
delref HTTP://WWW.MAIL.RU/CNT/9516
exec C:\PROGRAMDATA\ASUS\AI SUITE II\SETUP.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ASUS\AI SUITE II\AI SUITE II.EXE
restart

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Файл поврежден, Произошла ошибка обновления баз сигнатур

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 01.04.2013 16:05:17

Кэш обновлений очищать пробовали? Выбор сервера обновлений выбран автоматический?

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] модифицированный Win32/Dorkbot.A червь - очистка невозможна

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 29.03.2013 21:17:53

Выложите журнал обнаруженных угроз
http://forum.esetnod32.ru/forum9/topic1408/
А также сделайте новый образ автозапуска в Безопасном режиме

Правильно заданный вопрос - это уже половина ответа

Перейти