Арвид (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] Вирус, помогите, пожалуйста.

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 17.12.2012 16:17:38

Выполните рекомендации

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Заблокирован доступ в интернет

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 17.12.2012 16:09:49

Здравствуйте!

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);

Код
;;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 bl 9CC5C24E0BCB282202C633F16402E3E1 795960 addsgn 1A06819A5583358CF42B627DA804DEC9E946303A4536D3F3D1E7C1371CF279BBE114C3573E20A1C229BA85EA681C898E5BE5897320FFBAC8596A65C7D73C6371 8 YandexUP zoo %SystemDrive%\PROGRAM FILES\ILIVID\ILIVID.EXE bl A485B5376A7BD86E17DA042A64EE3E86 2033152 addsgn A7659219B9628B762FD6AEB1643707F537CBFC1E2104E087154E719A50D6714C769CCE1F2D149DC0CEDD7B7ECB626FFA2854E556469BB0A5C82A5BCE5796B2E3 8 Trojan-Ransom.Win32.Foreign.scv zoo %Sys32%\UGBLNFB.DLL bl 8880D8411D3B2FA848AF92E3D6C3FB04 43008 addsgn A7679BF0AA0294514BD4C67773881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95C865C9FE82BD6D7D01D6D775BACCA621333 8 Vir890 zoo %SystemRoot%\SYSTEM\COMHOOKMONITOR.EXE bl F8B5E87966FCA34B5D8698E2920772BA 20480 delref %Sys32%\UGBLNFB.DLL chklst delvir deltmp delnfr delref HTTP://SEARCH.BABYLON.COM/?AFFID=112670&TT=4312_5&BABSRC=HP_SST&MNTRID=FC57C103000000000000001D7DC82385 delref HTTP://SEARCH.BABYLON.COM/?AFFID=112670&TT=4312_5&BABSRC=NT_SST&MNTRID=FC57C103000000000000001D7DC82385 delref HTTP://WWW.MAIL.RU/CNT/9514 czoo restart

Код

;;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

bl 9CC5C24E0BCB282202C633F16402E3E1 795960
addsgn 1A06819A5583358CF42B627DA804DEC9E946303A4536D3F3D1E7C1371CF279BBE114C3573E20A1C229BA85EA681C898E5BE5897320FFBAC8596A65C7D73C6371 8 YandexUP
zoo %SystemDrive%\PROGRAM FILES\ILIVID\ILIVID.EXE
bl A485B5376A7BD86E17DA042A64EE3E86 2033152
addsgn A7659219B9628B762FD6AEB1643707F537CBFC1E2104E087154E719A50D6714C769CCE1F2D149DC0CEDD7B7ECB626FFA2854E556469BB0A5C82A5BCE5796B2E3 8 Trojan-Ransom.Win32.Foreign.scv
zoo %Sys32%\UGBLNFB.DLL
bl 8880D8411D3B2FA848AF92E3D6C3FB04 43008
addsgn A7679BF0AA0294514BD4C67773881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95C865C9FE82BD6D7D01D6D775BACCA621333 8 Vir890
zoo %SystemRoot%\SYSTEM\COMHOOKMONITOR.EXE
bl F8B5E87966FCA34B5D8698E2920772BA 20480
delref %Sys32%\UGBLNFB.DLL
chklst
delvir
deltmp
delnfr
delref HTTP://SEARCH.BABYLON.COM/?AFFID=112670&TT=4312_5&BABSRC=HP_SST&MNTRID=FC57C103000000000000001D7DC82385
delref HTTP://SEARCH.BABYLON.COM/?AFFID=112670&TT=4312_5&BABSRC=NT_SST&MNTRID=FC57C103000000000000001D7DC82385
delref HTTP://WWW.MAIL.RU/CNT/9514
czoo
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
- в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например 2012-03-09_09-29-00.7z - это архив с вирусами, егнужно прислать на электронный адрес [email protected].
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Вирус, помогите, пожалуйста.

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 17.12.2012 15:57:27

Код
;;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 bl C9C3DCA5C7AFDC14217F8635BB80BAAD 29256 addsgn A413624A052A4C7DBCDCC4933AA2105F43B10D83AFF9DD7732CB464572A2482AA6DEB6A6D54FF76975E6BF6E320423F323B9D38321D0B3EE22C0AC4942CF5795 8 HTml5Up bl 102350E7DCD3B541E4D61410AA4BD5F7 29256 setdns Подключение по локальной сети\4\{D5D5DE39-E56F-4B0C-8F86-DCB8AD43B7A8}\ chklst delvir delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\2D090C67.SYS delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\31E31B8B.SYS delref COPY regt 14 delref HTTP://SMM.INGATE.RU/SMM-ISSLEDOVANIYA/?UTM_SOURCE=COSSA&UTM_MEDIUM=PORTAL&UTM_CAMPAIGN=EBOOKPR delref HTTP://FORUM.LITTLEONE.RU/SUBSCRIPTION.PHP deltmp delnfr restart

Код

;;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

bl C9C3DCA5C7AFDC14217F8635BB80BAAD 29256
addsgn A413624A052A4C7DBCDCC4933AA2105F43B10D83AFF9DD7732CB464572A2482AA6DEB6A6D54FF76975E6BF6E320423F323B9D38321D0B3EE22C0AC4942CF5795 8 HTml5Up
bl 102350E7DCD3B541E4D61410AA4BD5F7 29256
setdns Подключение по локальной сети\4\{D5D5DE39-E56F-4B0C-8F86-DCB8AD43B7A8}\
chklst
delvir
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\2D090C67.SYS
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\31E31B8B.SYS
delref COPY
regt 14
delref HTTP://SMM.INGATE.RU/SMM-ISSLEDOVANIYA/?UTM_SOURCE=COSSA&UTM_MEDIUM=PORTAL&UTM_CAMPAIGN=EBOOKPR
delref HTTP://FORUM.LITTLEONE.RU/SUBSCRIPTION.PHP
deltmp
delnfr
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Заблокирован доступ в интернет

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 17.12.2012 15:32:56

Сделайте лог uVS для начала

Правильно заданный вопрос - это уже половина ответа

Перейти

модифицированный Win32/SpyVoltar.A троянская программа

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 17.12.2012 14:53:49

Код
;;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 bl 9CC5C24E0BCB282202C633F16402E3E1 795960 addsgn 1A06819A5583358CF42B627DA804DEC9E946303A4536D3F3D1E7C1371CF279BBE114C3573E20A1C229BA85EA681C898E5BE5897320FFBAC8596A65C7D73C6371 8 YandexUP addsgn 1A5D609A55835B8CF42BFB3A8849FE2D268AFC5569575F780CCE191110D6F859FBBA8357B74849E46B800DAA96BB09FAF4E224DF15DAD6A0388F096FC760AE7E 8 Voltar zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\T10UF.EXE bl D8C4FFA65DDC456CB725EA9600496191 131072 addsgn 1A8B7A9B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 Praetorian zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE bl 5FC13BE16EC3DECE1AAC539F1B1EF7C5 1615232 chklst delvir deltmp delnfr delref HTTP://MAILRUSEARCH.RU setdns Hamachi\4\{C9261A8C-D50C-4737-BA29-AD3B35277BA7}\ setdns Подключение по локальной сети 3\4\{E386BB97-3C72-45DD-84FA-AB330950639F}\ czoo restart

Код

;;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

bl 9CC5C24E0BCB282202C633F16402E3E1 795960
addsgn 1A06819A5583358CF42B627DA804DEC9E946303A4536D3F3D1E7C1371CF279BBE114C3573E20A1C229BA85EA681C898E5BE5897320FFBAC8596A65C7D73C6371 8 YandexUP
addsgn 1A5D609A55835B8CF42BFB3A8849FE2D268AFC5569575F780CCE191110D6F859FBBA8357B74849E46B800DAA96BB09FAF4E224DF15DAD6A0388F096FC760AE7E 8 Voltar
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\T10UF.EXE
bl D8C4FFA65DDC456CB725EA9600496191 131072
addsgn 1A8B7A9B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 Praetorian
zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
bl 5FC13BE16EC3DECE1AAC539F1B1EF7C5 1615232
chklst
delvir
deltmp
delnfr
delref HTTP://MAILRUSEARCH.RU
setdns Hamachi\4\{C9261A8C-D50C-4737-BA29-AD3B35277BA7}\
setdns Подключение по локальной сети 3\4\{E386BB97-3C72-45DD-84FA-AB330950639F}\
czoo
restart

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Оперативная память = explorer.exe(1960) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна, Оперативная память = explorer.exe(1960) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 16.12.2012 19:52:07

Выполните рекомендации

Правильно заданный вопрос - это уже половина ответа

Перейти

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 16.12.2012 19:48:06

Что с проблемой?

Правильно заданный вопрос - это уже половина ответа

Перейти

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 16.12.2012 19:30:58

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);

Код
;;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 bl 68AF1C01341DA23A1D01FC487FEA8B6B 1582976 addsgn 1AA78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 Praetor bl 4060317E55F2D948B08C8D70C9561F19 1462376 addsgn 1A16FB9A5583C58CF42B254E3143FE86C99A5DCA49AE1F4B404A8040DB83691F10CC95000586E356A0C590148C5F71E209D7A8499EAF46AFE4882FEDECC76A48 8 MailUpD bl C9C3DCA5C7AFDC14217F8635BB80BAAD 29256 addsgn A413624A052A4C7DBCDCC4933AA2105F43B10D83AFF9DD7732CB464572A2482AA6DEB6A6D54FF76975E6BF6E320423F323B9D38321D0B3EE22C0AC4942CF5795 8 HTml5Up bl 102350E7DCD3B541E4D61410AA4BD5F7 29256 bl 9CC5C24E0BCB282202C633F16402E3E1 795960 addsgn 1A06819A5583358CF42B627DA804DEC9E946303A4536D3F3D1E7C1371CF279BBE114C3573E20A1C229BA85EA681C898E5BE5897320FFBAC8596A65C7D73C6371 8 YandexUP bl D5AEE350B993766E03F6BC38D2AC81D2 506752 addsgn 1A5FD09A5583358CF42B254E3143FE865886FC8282903222E34AD43F91D48694759C3264ECA2E841A87A8DE943958BAD96DC6BB065BC393D6C3621EFB0E311B3 8 YandexUPD bl C40CE7E45804104EFED53199184D57C6 426368 addsgn 1A8B9A9A5583E98CF42B254E3143FE8E60827936FDE89C908D42FD618DD6713924472B70E0AA621076430F60139DA5AB2E89638366018BDF58694C63FF062219 8 FixHosts delref COPY chklst delvir deltmp delnfr regt 14 delall %SystemDrive%\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE restart

Код

;;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

bl 68AF1C01341DA23A1D01FC487FEA8B6B 1582976
addsgn 1AA78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 Praetor
bl 4060317E55F2D948B08C8D70C9561F19 1462376
addsgn 1A16FB9A5583C58CF42B254E3143FE86C99A5DCA49AE1F4B404A8040DB83691F10CC95000586E356A0C590148C5F71E209D7A8499EAF46AFE4882FEDECC76A48 8 MailUpD
bl C9C3DCA5C7AFDC14217F8635BB80BAAD 29256
addsgn A413624A052A4C7DBCDCC4933AA2105F43B10D83AFF9DD7732CB464572A2482AA6DEB6A6D54FF76975E6BF6E320423F323B9D38321D0B3EE22C0AC4942CF5795 8 HTml5Up
bl 102350E7DCD3B541E4D61410AA4BD5F7 29256
bl 9CC5C24E0BCB282202C633F16402E3E1 795960
addsgn 1A06819A5583358CF42B627DA804DEC9E946303A4536D3F3D1E7C1371CF279BBE114C3573E20A1C229BA85EA681C898E5BE5897320FFBAC8596A65C7D73C6371 8 YandexUP
bl D5AEE350B993766E03F6BC38D2AC81D2 506752
addsgn 1A5FD09A5583358CF42B254E3143FE865886FC8282903222E34AD43F91D48694759C3264ECA2E841A87A8DE943958BAD96DC6BB065BC393D6C3621EFB0E311B3 8 YandexUPD
bl C40CE7E45804104EFED53199184D57C6 426368
addsgn 1A8B9A9A5583E98CF42B254E3143FE8E60827936FDE89C908D42FD618DD6713924472B70E0AA621076430F60139DA5AB2E89638366018BDF58694C63FF062219 8 FixHosts
delref COPY
chklst
delvir
deltmp
delnfr
regt 14
delall %SystemDrive%\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.

Сделайте лог программой TDSSkiller. Ничего оттуда не удалять. Лог будет лежать в корне системного раздела (обычно диск С).

Правильно заданный вопрос - это уже половина ответа

Перейти

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 16.12.2012 19:16:04

Удалите найденное, перезагрузитесь. Сделайте лог uVS

Правильно заданный вопрос - это уже половина ответа

Перейти

Win32/SpyVoltar.A

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 16.12.2012 18:56:38

Выполните еще такой скрипт:

Код
;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 setdns Подключение по локальной сети\4\{B95CCA85-7621-40A5-A11B-0056D3DB5FD1}\ restart

Правильно заданный вопрос - это уже половина ответа

Перейти