Арвид (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] Оперативная память = EXPLORER.EXE(836) - модифицированный Win32/Spy.Shiz.NCE троянская программа - очистка невозможна

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 16.11.2012 17:15:48

Здравствуйте!

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);

Код
;;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\MOI\LOCAL SETTINGS\TEMP\WINLOGON.EXE bl 2F630C0E50AF1930BE1F78ABCA0F8765 381195 delall %SystemDrive%\DOCUMENTS AND SETTINGS\MOI\LOCAL SETTINGS\TEMP\WINLOGON.EXE deltmp delnfr regt 12 czoo restart

Код

;;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\MOI\LOCAL SETTINGS\TEMP\WINLOGON.EXE
bl 2F630C0E50AF1930BE1F78ABCA0F8765 381195
delall %SystemDrive%\DOCUMENTS AND SETTINGS\MOI\LOCAL SETTINGS\TEMP\WINLOGON.EXE
deltmp
delnfr
regt 12
czoo
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
- в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например 2012-03-09_09-29-00.7z - это архив с вирусами, егнужно прислать на электронный адрес [email protected].
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Оперативная память = explorer.exe(3276) модифицированный Win32/Dorkbot.B червь очистка невозможна, помогите удалить

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 16.11.2012 16:58:20

Код
;;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 bl 6DDF334C6406CC869C68C14B9DF6CAB0 2180712 delref HTTP://MAIL.RU/CNT/7993/ adddir %SystemDrive%\DOCUMENTS AND SETTINGS\ABARINOV\APPLICATION DATA deltmp delnfr delall %SystemDrive%\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE crimg

Код

;;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

bl 6DDF334C6406CC869C68C14B9DF6CAB0 2180712
delref HTTP://MAIL.RU/CNT/7993/
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\ABARINOV\APPLICATION DATA
deltmp
delnfr
delall %SystemDrive%\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE
crimg

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Вирус в памяти Win32/TrojanDownloader.Carberp.AD

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 16.11.2012 16:34:14

Выполните рекомендации

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Вирус в памяти Win32/TrojanDownloader.Carberp.AD

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 16.11.2012 15:48:10

Код
;;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv6.0 zoo %SystemDrive%\USERS\МАША\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\52VSOGZVS6E.EXE bl 88C6605DFA2A355A50A8BAA9A78244A3 185344 delall %SystemDrive%\USERS\МАША\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\52VSOGZVS6E.EXE deltmp delnfr czoo restart

Код

;;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.0

zoo %SystemDrive%\USERS\МАША\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\52VSOGZVS6E.EXE
bl 88C6605DFA2A355A50A8BAA9A78244A3 185344
delall %SystemDrive%\USERS\МАША\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\52VSOGZVS6E.EXE
deltmp
delnfr
czoo
restart

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Не получается обновить компоненты программы, также не удается удалить Антивирус, не найден eav_nt32_rus.msi

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 16.11.2012 14:35:31

Да, все следы антивируса удалятся. Если вы активировали антивирус на свою электронную почту, то можете найти письмо с логином\паролем в папке Входящие. Если письма нет, но есть код активации, то можно написать в тех.поддержку и восстановить логин\пароль.

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Помогите, Оперативная память = svchost.exe(1196) - модифицированный Win32/Spy.Ranbyus.I троянская программа - очистка невозможна

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 16.11.2012 14:18:16

Удалите это:

Цитата
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\|SysDebug32 (Trojan.Agent) -> Параметры: 狟뇂ꁑ磵莔욅ﺎ幐淞庤얧㢛ᡣﰒ�ᾲ찘ꅋ﮻ꌣ̝葷ᡮ鋅覅壣精鋅覅

Если проблема решена - Выполните рекомендации

Правильно заданный вопрос - это уже половина ответа

Перейти

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 16.11.2012 14:14:07

Запустите удалялку в Безопасном режиме и дождитесь окончания ее работы. После перезагрузки установите последнюю версию скаченную с оф.сайта.

Правильно заданный вопрос - это уже половина ответа

Перейти

Ошибка обновления, ошибка создания временного файла

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 16.11.2012 13:53:01

Код
;;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 bl B5E9118564DE4DFF41D4A9E3ABA1E4E1 141184 addsgn 79132211B9E9317E0AA1AB59B4921205DAFFF47DC4EA942D892B2942AF292811E11BC33FCEA59D594F7FB19F4616497139FBF8FB39FEA0A14153B40427557424 64 QIPBar zoo %SystemRoot%\XORED.SYS bl 8EA3D12D98D274B9C6A89AAD5B3CB17B 18944 bl 68AF1C01341DA23A1D01FC487FEA8B6B 1582976 addsgn 1AA78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 Praetor chklst delvir deltmp delnfr delref %SystemRoot%\XORED.SYS delref HTTP://QIP.RU delref HTTP://SEARCH.QIP.RU czoo restart

Код

;;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

bl B5E9118564DE4DFF41D4A9E3ABA1E4E1 141184
addsgn 79132211B9E9317E0AA1AB59B4921205DAFFF47DC4EA942D892B2942AF292811E11BC33FCEA59D594F7FB19F4616497139FBF8FB39FEA0A14153B40427557424 64 QIPBar
zoo %SystemRoot%\XORED.SYS
bl 8EA3D12D98D274B9C6A89AAD5B3CB17B 18944
bl 68AF1C01341DA23A1D01FC487FEA8B6B 1582976
addsgn 1AA78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 Praetor
chklst
delvir
deltmp
delnfr
delref %SystemRoot%\XORED.SYS
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
czoo
restart

Правильно заданный вопрос - это уже половина ответа

Перейти

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 16.11.2012 13:48:50

В моем тексте что выше

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Win32/SpyVoltar.A, модифицированный Win32/SpyVoltar.A троянская программа очистка невозможна

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 16.11.2012 13:04:26

Нет, в Мбам поставить галочку и нажать Удалить

Правильно заданный вопрос - это уже половина ответа

Перейти