Арвид (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] Qhost, Просканировал Cureit i Antimalware, сдалал образ uVS (вложение)

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 10.12.2012 19:04:59

Здравствуйте!

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);

Код
;;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 bl 9D784A0C003D34AF9CE2F0001D28725F 2259560 addsgn 1A0DD79A5583C58CF42B254E3143FE58CCC1E8F68971E02942C205BC0CD699128217C30EFDDE621CA06CD214B7FEAA0582201E375DDBC42B7B9F68D038F97BF8 8 MailGuard addsgn 1A8B9A9A5583E98CF42B254E3143FE8E60827936FDE89C908D42FD618DD6713924472B70E0AA621076430F60139DA5AB2E89638366018BDF58694C63FF062219 8 FixHosts bl 68AF1C01341DA23A1D01FC487FEA8B6B 1582976 addsgn 1AA78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 Praetor bl 9CC5C24E0BCB282202C633F16402E3E1 795960 addsgn 1A06819A5583358CF42B627DA804DEC9E946303A4536D3F3D1E7C1371CF279BBE114C3573E20A1C229BA85EA681C898E5BE5897320FFBAC8596A65C7D73C6371 8 YandexUP chklst delvir deltmp delnfr delref HTTP://BROWSERHELP3.RU regt 12 regt 14 restart

Код

;;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

bl 9D784A0C003D34AF9CE2F0001D28725F 2259560
addsgn 1A0DD79A5583C58CF42B254E3143FE58CCC1E8F68971E02942C205BC0CD699128217C30EFDDE621CA06CD214B7FEAA0582201E375DDBC42B7B9F68D038F97BF8 8 MailGuard
addsgn 1A8B9A9A5583E98CF42B254E3143FE8E60827936FDE89C908D42FD618DD6713924472B70E0AA621076430F60139DA5AB2E89638366018BDF58694C63FF062219 8 FixHosts
bl 68AF1C01341DA23A1D01FC487FEA8B6B 1582976
addsgn 1AA78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 Praetor
bl 9CC5C24E0BCB282202C633F16402E3E1 795960
addsgn 1A06819A5583358CF42B627DA804DEC9E946303A4536D3F3D1E7C1371CF279BBE114C3573E20A1C229BA85EA681C898E5BE5897320FFBAC8596A65C7D73C6371 8 YandexUP
chklst
delvir
deltmp
delnfr
delref HTTP://BROWSERHELP3.RU
regt 12
regt 14
restart

Изменено: Арвид - 10.12.2012 19:08:20

Правильно заданный вопрос - это уже половина ответа

Перейти

Вирус

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 10.12.2012 18:06:17

Выполняем что дальше написано

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Что за жудкая Напасть, вирус спамит и ломает пароли

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 10.12.2012 17:34:14

Лечимся в одной теме
http://forum.esetnod32.ru/messages/forum6/topic8008/message58839/#message58839

Правильно заданный вопрос - это уже половина ответа

Перейти

Вирус

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 10.12.2012 17:17:26

Код
;;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 bl 68AF1C01341DA23A1D01FC487FEA8B6B 1582976 addsgn 1AA78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 Praetor bl 4E808BD83CC5ECF45163FC7942657A1A 1726552 addsgn 1AA5B49A5583358CF42B254E3143FE86C9AAABA06151127885F03AE56B210451CB44CE573E02CA1E7CD7439F501649FA9506288DAA597438AEBF5BC4F33F5F7F 8 GuardMail bl D5AEE350B993766E03F6BC38D2AC81D2 506752 addsgn 1A5FD09A5583358CF42B254E3143FE865886FC8282903222E34AD43F91D48694759C3264ECA2E841A87A8DE943958BAD96DC6BB065BC393D6C3621EFB0E311B3 8 YandexUPD delall %SystemRoot%\TEST.BAT chklst delvir deltmp delnfr delref HTTP://LENOVO.MSN.COM delref HTTP://QIP.RU delref HTTP://SEARCH.QIP.RU delref HTTP://WWW.LENOVO.COM delref HTTP://WWW.MAIL.RU/CNT/8569 restart

Код

;;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

bl 68AF1C01341DA23A1D01FC487FEA8B6B 1582976
addsgn 1AA78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 Praetor
bl 4E808BD83CC5ECF45163FC7942657A1A 1726552
addsgn 1AA5B49A5583358CF42B254E3143FE86C9AAABA06151127885F03AE56B210451CB44CE573E02CA1E7CD7439F501649FA9506288DAA597438AEBF5BC4F33F5F7F 8 GuardMail
bl D5AEE350B993766E03F6BC38D2AC81D2 506752
addsgn 1A5FD09A5583358CF42B254E3143FE865886FC8282903222E34AD43F91D48694759C3264ECA2E841A87A8DE943958BAD96DC6BB065BC393D6C3621EFB0E311B3 8 YandexUPD
delall %SystemRoot%\TEST.BAT
chklst
delvir
deltmp
delnfr
delref HTTP://LENOVO.MSN.COM
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
delref HTTP://WWW.LENOVO.COM
delref HTTP://WWW.MAIL.RU/CNT/8569
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Оперативная память = svchost.exe(1152) - модифицированный Win32/Spy.Ranbyus.I троянская программа - очистка невозможна

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 10.12.2012 02:31:41

Удалить найденное и перезагрузиться.
Затем Выполните рекомендации

Правильно заданный вопрос - это уже половина ответа

Перейти

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 10.12.2012 02:08:52

Код
;;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %Sys32%\BTHMHFEDBHIEIA.EXE bl F546D996F3A3DDF9340ECB17126DC36C 281128 addsgn A7679B23506A4C7261D4C4B12DBDEB567332D41CC9FAF7B9E93C3A0260DE304C10D7963F1EBBDD494F7FB4FBCF36A10F102017F98D325E41D2888FECFA861C73 8 Virus907 bl BD927E3856A62E3478FEB864ED09DCEC 9106664 addsgn 1A65719A55839B8EF42B5194401C9005DAAF40230BFAE05DDD1647BCAFF32599A11748A86BDE71B65E886C0EB3E9B6A3201C638D00515C71C46AA42FC7CADD56 8 Mediaget zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\TEMP\710187.EXE delref %SystemRoot%\GIGALAN.SYS delref HTTP://WWW.MAIL.RU/CNT/7823 delref HTTP://WWW.DAEMON-SEARCH.COM/STARTPAGE chklst delvir deltmp delnfr czoo restart

Код

;;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %Sys32%\BTHMHFEDBHIEIA.EXE
bl F546D996F3A3DDF9340ECB17126DC36C 281128
addsgn A7679B23506A4C7261D4C4B12DBDEB567332D41CC9FAF7B9E93C3A0260DE304C10D7963F1EBBDD494F7FB4FBCF36A10F102017F98D325E41D2888FECFA861C73 8 Virus907
bl BD927E3856A62E3478FEB864ED09DCEC 9106664
addsgn 1A65719A55839B8EF42B5194401C9005DAAF40230BFAE05DDD1647BCAFF32599A11748A86BDE71B65E886C0EB3E9B6A3201C638D00515C71C46AA42FC7CADD56 8 Mediaget
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\TEMP\710187.EXE
delref %SystemRoot%\GIGALAN.SYS
delref HTTP://WWW.MAIL.RU/CNT/7823
delref HTTP://WWW.DAEMON-SEARCH.COM/STARTPAGE
chklst
delvir
deltmp
delnfr
czoo
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
- в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например 2012-03-09_09-29-00.7z - это архив с вирусами, егнужно прислать на электронный адрес [email protected].
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.

Правильно заданный вопрос - это уже половина ответа

Перейти

svchost.exe(3968) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 10.12.2012 01:42:09

Это не ссылка.

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Оперативная память = iexplore.exe(3056), Модифицированный Win32/Dorkbot.B червь, очистка невозможна

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 10.12.2012 01:41:38

Вот и вирусы появились. Также в Безопасном выполните:

Код
;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 zoo %SystemDrive%\USERS\MELOMANI\APPDATA\ROAMING\DVGYGB.EXE bl 9741B024BC3BE25DD708951A682680C7 137728 addsgn A7659219B9728B762FD6AEB1643707A544CAFC1EED07E087D04A203FBCDED0F44257C39EC1B5FBD97E09611CAA1EE8561C9FE8BBAA3A20BC78FE41AC2B1EA97E 16 Win32.HLLW.Phorpiex.20 [DrWeb] zoo %SystemDrive%\USERS\MELOMANI\APPDATA\LOCAL\TEMP\SAMPLE.EXE bl 92A079A89A7662FC7DC82E8A4E97374C 255776 addsgn A7659219B9728B762FD6AEB1643707A944CAFC1EED07E087D04A203FBCDED0884257C39EC1B5FBD97E09611CAA1EE8421C9FE8BBAA3A20BC78FE41AC2B1EA97E 16 Win32:Spyeye-AGL [Trj] [Avast] adddir %SystemDrive%\USERS\MELOMANI\APPDATA\LOCAL\TEMP adddir %SystemDrive%\USERS\MELOMANI\APPDATA\ROAMING chklst delvir deltmp delnfr regt 12 restart

Код

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

zoo %SystemDrive%\USERS\MELOMANI\APPDATA\ROAMING\DVGYGB.EXE
bl 9741B024BC3BE25DD708951A682680C7 137728
addsgn A7659219B9728B762FD6AEB1643707A544CAFC1EED07E087D04A203FBCDED0F44257C39EC1B5FBD97E09611CAA1EE8561C9FE8BBAA3A20BC78FE41AC2B1EA97E 16 Win32.HLLW.Phorpiex.20 [DrWeb]
zoo %SystemDrive%\USERS\MELOMANI\APPDATA\LOCAL\TEMP\SAMPLE.EXE
bl 92A079A89A7662FC7DC82E8A4E97374C 255776
addsgn A7659219B9728B762FD6AEB1643707A944CAFC1EED07E087D04A203FBCDED0884257C39EC1B5FBD97E09611CAA1EE8421C9FE8BBAA3A20BC78FE41AC2B1EA97E 16 Win32:Spyeye-AGL [Trj] [Avast]
adddir %SystemDrive%\USERS\MELOMANI\APPDATA\LOCAL\TEMP
adddir %SystemDrive%\USERS\MELOMANI\APPDATA\ROAMING
chklst
delvir
deltmp
delnfr
regt 12
restart

Изменено: Арвид - 10.12.2012 01:41:49

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Оперативная память = iexplore.exe(3056), Модифицированный Win32/Dorkbot.B червь, очистка невозможна

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 10.12.2012 00:49:55

Сделайте новый образ автозапуска в Безопасном режиме.

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Оперативная память = iexplore.exe(3056), Модифицированный Win32/Dorkbot.B червь, очистка невозможна

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 10.12.2012 00:26:01

Выполните такой скрипт:

Цитата
;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 delall %SystemDrive%\USERS\MELOMANI\APPDATA\ROAMING\DVGYGB.EXE deltmp delnfr restart

После перезагрузки проверьте что с проблемой.

Правильно заданный вопрос - это уже половина ответа

Перейти