Арвид (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] Помогите удалить вирус

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 10.02.2013 22:52:12

Здравствуйте!

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);

Код
;;uVS v3.77.5 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 zoo %SystemDrive%\USERS\ALEXSTAFY\APPDATA\LOCAL\TEMP\K45TO9BE.EXE bl 4FFD1EBCA2D41E8FC7748A8EE44527D5 118784 delall %SystemDrive%\USERS\ALEXSTAFY\APPDATA\LOCAL\TEMP\K45TO9BE.EXE deltmp delnfr delref HTTP://DASEARCH.RU setdns Подключение по локальной сети\4\{8C183C7C-A614-4F8D-AA99-0A90379D4E75}\ czoo exec MSIEXEC.EXE /X{26A24AE4-039D-4CA4-87B4-2F83216021FF} exec MSIEXEC.EXE /X{26A24AE4-039D-4CA4-87B4-2F86416021FF} restart

Код

;;uVS v3.77.5 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

zoo %SystemDrive%\USERS\ALEXSTAFY\APPDATA\LOCAL\TEMP\K45TO9BE.EXE
bl 4FFD1EBCA2D41E8FC7748A8EE44527D5 118784
delall %SystemDrive%\USERS\ALEXSTAFY\APPDATA\LOCAL\TEMP\K45TO9BE.EXE
deltmp
delnfr
delref HTTP://DASEARCH.RU
setdns Подключение по локальной сети\4\{8C183C7C-A614-4F8D-AA99-0A90379D4E75}\
czoo
exec MSIEXEC.EXE /X{26A24AE4-039D-4CA4-87B4-2F83216021FF}
exec MSIEXEC.EXE /X{26A24AE4-039D-4CA4-87B4-2F86416021FF}
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
- в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например 2012-03-09_09-29-00.7z - это архив с вирусами, его нужно прислать на электронный адрес [email protected].
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.

Правильно заданный вопрос - это уже половина ответа

Перейти

Компьютер подвисает.

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 10.02.2013 20:26:17

Нужен журнал обнаруженных угроз - http://forum.esetnod32.ru/forum9/topic1408/

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] ekrn.exe

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 10.02.2013 12:39:35

какое окно? скриншот можно?

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] winlogon.exe(944) - модифицированный Win32/Spy.SpyEye.CA - очистка невозможна, помогите

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 10.02.2013 01:34:46

Код
;;uVS v3.77.5 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 bl 355F0F3B1C7CBED577D89A6FE437C6C6 187776 addsgn 9252776A116AC1CC0BF4554EA34F8E05238AB7C55BDE48FB483C2EB2C046E1DCA91185DF39129C925E870F81C5F8B5EBA6AD05CA54DAB02C2CACD1284C18A19D 8 QipGuard addsgn 9AC05BDA5582BC8DF42BAEB164C81205158AFCF6B1FA1F7885C3C5BC8068A921623F3E138A403D3C75D224DC461649FA7DDFE97255DAB02C2D77A42F81674C18 8 Spy.Eye zoo %SystemDrive%\MEDIAUP.BIN\E10B2833C71.EXE bl 1E202A59EBF5BCBD3BD8AF2832BEAC55 155648 delall %SystemDrive%\MEDIAUP.BIN\E10B2833C71.EXE deltmp delnfr chklst delvir delref HTTP://QIP.RU delref HTTP://SEARCH.QIP.RU czoo restart

Код

;;uVS v3.77.5 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

bl 355F0F3B1C7CBED577D89A6FE437C6C6 187776
addsgn 9252776A116AC1CC0BF4554EA34F8E05238AB7C55BDE48FB483C2EB2C046E1DCA91185DF39129C925E870F81C5F8B5EBA6AD05CA54DAB02C2CACD1284C18A19D 8 QipGuard
addsgn 9AC05BDA5582BC8DF42BAEB164C81205158AFCF6B1FA1F7885C3C5BC8068A921623F3E138A403D3C75D224DC461649FA7DDFE97255DAB02C2D77A42F81674C18 8 Spy.Eye
zoo %SystemDrive%\MEDIAUP.BIN\E10B2833C71.EXE
bl 1E202A59EBF5BCBD3BD8AF2832BEAC55 155648
delall %SystemDrive%\MEDIAUP.BIN\E10B2833C71.EXE
deltmp
delnfr
chklst
delvir
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
czoo
restart

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] антивирус не обновляется, ошибка создания временного файла

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 09.02.2013 23:02:42

Выполните рекомендации

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] антивирус не обновляется, ошибка создания временного файла

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 09.02.2013 22:26:40

Код
;;uVS v3.77.5 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 bl 2A474C9DBB9FBAC669D86149F7CE5FF3 134824 addsgn 1AA4389A5583348CF42BC4BD0C08B744256239E889FA9C1D61C34EC958ED44682655C3201C3F99A19393849F1F952C067D8900CD4EDAB075A43240E882FADC8C 8 Ask.Com bl 96A768DD52FF0115FFF85142056B3AF0 2261024 addsgn 1A38D79A5583C58CF42B254E3143FE58CCC4E8F68971E02942C2ED0F0BD6991D8217C30EFDDE621CA06CD214B7FEAA0582201E375DDBC42B7B9F68D038F97BF8 8 Guards3 bl C9C3DCA5C7AFDC14217F8635BB80BAAD 29256 addsgn A413624A052A4C7DBCDCC4933AA2105F43B10D83AFF9DD7732CB464572A2482AA6DEB6A6D54FF76975E6BF6E320423F323B9D38321D0B3EE22C0AC4942CF5795 8 HTml5Up zoo %SystemRoot%\GIGALAN.TXT bl 954CB7104040AE645C7E574B2A173E4A 43424 bl 7AAAA2B53F077D9097AD8DF82BE9A9C7 29696 delref %SystemRoot%\GIGALAN.TXT exec C:\PROGRAM FILES\TICNO\MULTIBAR\UNINSTALL.EXE exec "C:\PROGRAM FILES\SPYBOT - SEARCH & DESTROY\UNINS000.EXE" exec MSIEXEC.EXE /X{86D4B82A-ABED-442A-BE86-96357B70F4FE} exec MSIEXEC.EXE /X{1AE46C09-2AB8-4EE5-88FB-08CD0FF7F2DF} exec "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL chklst delvir delref HTTP://WWW.MAIL.RU/CNT/7821 deltmp delnfr czoo restart

Код

;;uVS v3.77.5 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

bl 2A474C9DBB9FBAC669D86149F7CE5FF3 134824
addsgn 1AA4389A5583348CF42BC4BD0C08B744256239E889FA9C1D61C34EC958ED44682655C3201C3F99A19393849F1F952C067D8900CD4EDAB075A43240E882FADC8C 8 Ask.Com
bl 96A768DD52FF0115FFF85142056B3AF0 2261024
addsgn 1A38D79A5583C58CF42B254E3143FE58CCC4E8F68971E02942C2ED0F0BD6991D8217C30EFDDE621CA06CD214B7FEAA0582201E375DDBC42B7B9F68D038F97BF8 8 Guards3
bl C9C3DCA5C7AFDC14217F8635BB80BAAD 29256
addsgn A413624A052A4C7DBCDCC4933AA2105F43B10D83AFF9DD7732CB464572A2482AA6DEB6A6D54FF76975E6BF6E320423F323B9D38321D0B3EE22C0AC4942CF5795 8 HTml5Up
zoo %SystemRoot%\GIGALAN.TXT
bl 954CB7104040AE645C7E574B2A173E4A 43424
bl 7AAAA2B53F077D9097AD8DF82BE9A9C7 29696
delref %SystemRoot%\GIGALAN.TXT
exec C:\PROGRAM FILES\TICNO\MULTIBAR\UNINSTALL.EXE
exec "C:\PROGRAM FILES\SPYBOT - SEARCH & DESTROY\UNINS000.EXE"
exec MSIEXEC.EXE /X{86D4B82A-ABED-442A-BE86-96357B70F4FE}
exec MSIEXEC.EXE /X{1AE46C09-2AB8-4EE5-88FB-08CD0FF7F2DF}
exec "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL
chklst
delvir
delref HTTP://WWW.MAIL.RU/CNT/7821
deltmp
delnfr
czoo
restart

Правильно заданный вопрос - это уже половина ответа

Перейти

Предложение по улучшению форума

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 09.02.2013 21:31:16

смотрю на форуме какие-то изменения происходят. хотелось бы попросить чтоб поправили баг, когда сервер не верный MIME тип файла отдает - иногда вместе txt качается mp3, вместо zip вообще torrent файл.
и шрифт в бб панель помельче сделать нужно

Правильно заданный вопрос - это уже половина ответа

Перейти

Оперативная память = C:\Users\KONTUR~1\AppData\Local\Temp\nmz399ix.exe - модифицированный Win32/SpyVoltar.A троянская программа - очистка невозможна, причем обнаруживает их по несколько экземпляров. Как от этого избавиться?

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 09.02.2013 17:00:29

что с проблемой?

Правильно заданный вопрос - это уже половина ответа

Перейти

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 09.02.2013 16:14:35

Код
;;uVS v3.77.5 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 bl C9C3DCA5C7AFDC14217F8635BB80BAAD 29256 addsgn A413624A052A4C7DBCDCC4933AA2105F43B10D83AFF9DD7732CB464572A2482AA6DEB6A6D54FF76975E6BF6E320423F323B9D38321D0B3EE22C0AC4942CF5795 8 HTml5Up bl 7AAAA2B53F077D9097AD8DF82BE9A9C7 29696 bl EA5A827702550F2A6E24169B746EA88E 9666792 addsgn 1A65719A55839B8EF42B5194401C9005DAAF40230BFAE05DDD1647BCAFF32599A11748A86BDE71B65E886C0EB3E9B6A3201C638D00515C71C46AA42FC7CADD56 8 Mediaget bl 6378DB4EA5C177AF9F490CDD489B8BD5 830528 addsgn 1AA0EE9A5583358CF42BC4BD0C60074E2562A8D489FA2C870CBE218F905D044018E0CCC2FE6E5A3C0B68EDA046168EFA6BDFE872028DE77B7A9F0AFD38F9A1B7 8 MailUpd ate bl F082C76CF8A1C41DB23EC397B4B5B03B 1618304 addsgn 1AF67A9B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 Praetor chklst delvir delref HTTP://LOCAL.BEELINE.RU delref HTTP://SEARCH.BABYLON.COM/?AFFID=110825&BABSRC=HP_SS&MNTRID=1417CF5A000000000000000000000000 delref HTTP://SEARCH.BABYLON.COM/?AFFID=110825&BABSRC=NT_SS&MNTRID=1417CF5A000000000000000000000000 delref HTTP://WWW.RAMBLER.RU/?UTM_SOURCE=R32&UTM_MEDIUM=DISTRIBUTION&UTM_CONTENT=E08&UTM_CAMPAIGN=C01 setdns Беспроводное сетевое соединение\4\{C67C186F-31F6-49A5-9085-0B9A75FCA4FD}\ setdns Подключение по локальной сети\4\{E26664DD-8988-4F60-B136-058AEC6A099B}\ setdns Подключение через адаптер широкополосной мобильной связи 2\4\{AF88F54B-ADB3-4BF4-884B-8C2C8126A30A}\ delall %SystemDrive%\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE deltmp delnfr restart

Код

;;uVS v3.77.5 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

bl C9C3DCA5C7AFDC14217F8635BB80BAAD 29256
addsgn A413624A052A4C7DBCDCC4933AA2105F43B10D83AFF9DD7732CB464572A2482AA6DEB6A6D54FF76975E6BF6E320423F323B9D38321D0B3EE22C0AC4942CF5795 8 HTml5Up
bl 7AAAA2B53F077D9097AD8DF82BE9A9C7 29696
bl EA5A827702550F2A6E24169B746EA88E 9666792
addsgn 1A65719A55839B8EF42B5194401C9005DAAF40230BFAE05DDD1647BCAFF32599A11748A86BDE71B65E886C0EB3E9B6A3201C638D00515C71C46AA42FC7CADD56 8 Mediaget
bl 6378DB4EA5C177AF9F490CDD489B8BD5 830528
addsgn 1AA0EE9A5583358CF42BC4BD0C60074E2562A8D489FA2C870CBE218F905D044018E0CCC2FE6E5A3C0B68EDA046168EFA6BDFE872028DE77B7A9F0AFD38F9A1B7 8 MailUpd ate
bl F082C76CF8A1C41DB23EC397B4B5B03B 1618304
addsgn 1AF67A9B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 Praetor
chklst
delvir
delref HTTP://LOCAL.BEELINE.RU
delref HTTP://SEARCH.BABYLON.COM/?AFFID=110825&BABSRC=HP_SS&MNTRID=1417CF5A000000000000000000000000
delref HTTP://SEARCH.BABYLON.COM/?AFFID=110825&BABSRC=NT_SS&MNTRID=1417CF5A000000000000000000000000
delref HTTP://WWW.RAMBLER.RU/?UTM_SOURCE=R32&UTM_MEDIUM=DISTRIBUTION&UTM_CONTENT=E08&UTM_CAMPAIGN=C01
setdns Беспроводное сетевое соединение\4\{C67C186F-31F6-49A5-9085-0B9A75FCA4FD}\
setdns Подключение по локальной сети\4\{E26664DD-8988-4F60-B136-058AEC6A099B}\
setdns Подключение через адаптер широкополосной мобильной связи 2\4\{AF88F54B-ADB3-4BF4-884B-8C2C8126A30A}\
delall %SystemDrive%\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE
deltmp
delnfr
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.

Правильно заданный вопрос - это уже половина ответа

Перейти

Anti-SMS

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 09.02.2013 03:41:29

разве что автоматизм:) программа для блондинок или лентяев

Правильно заданный вопрос - это уже половина ответа

Перейти