Арвид (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

зараза в оперативной памяти

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 26.06.2012 16:27:53

Здравствуйте!

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);

Код
;;uVS v3.75 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 addsgn 1A7F8B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 16 Praetorian addsgn 1AA5B49A5583358CF42B254E3143FE86C9AAABA06151127885F03AE56B210451CB44CE573E02CA1E7CD7439F501649FA9506288DAA597438AEBF5BC4F33F5F7F 8 GuardMail addsgn 1AF77A9A5582487F0BD49D7134201008258A140988FA1FBBD048293F9472F2312F15B6590D95CDB63EE397BF4DFFB1FA7DDF6B0F59D5C554AE4ABA3CE70D2207 16 a variant of Win32/Kryptik.AEBC [NOD32] addsgn 4AED779A55A84072C718627DA804DEC9700110A1DF716A740E8ED5372DDEFA8DA8C6C09105ABEB4110788B1DE61749FAFC26687255DAC230AE4AB86FC7162207 32 Virus9 addsgn 9A6865DA5582A28DF42BAEB164C81205158AFCF6B1FA1F7885C3C5BCFBD0E14B4ED92918BBE275A32D6471B9461649FA7DDFE97255DAB02C2D77A42FAE47761F 8 virus698 addsgn A7679B1BB9464D720BE767DB37A22B6D250B4477D8921FF2E0062DF048D671CFE703903D2C05CD232A6858894616CA3E6D898201BDBEA52C2DF4602B908FA76B 8 Carberp addsgn A7679B1BB9564D720BB4279CAC7A520584827EB689739ABC7B3C3A37DD128FB3DC187546BDAFC83D330B015BB8E9B6F5CBD7698BDEDAB02C597097EF2EF72373 8 Virus5678i addsgn A7679BC9DE37442480A1A234929F997835FFF575B4BAEF7895C32E9AD328703826943D554B773C19DB80941A866240AD2B8C17A2D01AC4207A21F7C7D2F9DD8C 32 Virus7 addsgn A7679BF0AA020CE34BD4C6E125881261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625CAB10C49F75C4C32EF4CA6CC715DA3BE4AC965B2FC706AB7E 8 Win32/Delf.OFC [NOD32] bl 0144D7B1BCF16550FADFC81887C8C47B 101928 bl 2A78995F141BE859C69D7B895E61EEE4 19408 bl 4A27242B307C6A836993353035FAFC16 9728 bl 4E808BD83CC5ECF45163FC7942657A1A 1726552 bl 5840CB8702727C11FE496FB6637C6499 1515352 bl 6557F74F5FA6CEC80DEDA9D8EE1044E7 58408 bl 72BE4B525110736F9BE5CCC0359A7D6B 126976 bl 7E8E966927E04A35AEC644602B8A9E05 55808 bl 93EA6244415B9B0680FE730FA23574BE 110592 bl B9815FCDDEF87A6A5B3E0EA04D87F92E 48680 bl BA908B71218229074BD53EA299F6121E 19136 zoo %SystemDrive%\USERS\ЛЕОНИД\APPDATA\LOCAL\QEIJDSFHST.EXE zoo %SystemDrive%\USERS\ЛЕОНИД\APPDATA\ROAMING\DESKTOP.INI zoo %SystemDrive%\USERS\ЛЕОНИД\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\YOUTUBE.PLAYER.EXE zoo %SystemDrive%\USERS\ЛЕОНИД\APPDATA\ROAMING\NTUSER.DAT zoo %SystemDrive%\USERS\ЛЕОНИД\APPDATA\ROAMING\UPDATES\UPDATES.EXE zoo %SystemDrive%\USERS\ЛЕОНИД\APPDATA\ROAMING\XZUAHSSPWQKZTRAE3PANNH1FQENBCBAZ2\SVCNOST.EXE zoo %SystemDrive%\USERS\ЛЕОНИД\FI6SDK5YFS.EXE zoo %SystemDrive%\USERS\ЛЕОНИД\LOCAL SETTINGS\TEMP\MSSWUO.CMD zoo %SystemDrive%\USERS\ЛЕОНИД\U1I1GWGUFY.EXE zoo %SystemDrive%\USERS\ЛЕОНИД\XIOOPIR.EXE exec "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL adddir %SystemDrive%\USERS\ЛЕОНИД\APPDATA\ROAMING adddir %SystemDrive%\USERS\ЛЕОНИД\LOCAL SETTINGS\TEMP adddir %SystemDrive%\USERS\ЛЕОНИД\APPDATA\LOCAL chklst delvir deltmp delnfr czoo restart

Код

;;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

addsgn 1A7F8B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 16 Praetorian
addsgn 1AA5B49A5583358CF42B254E3143FE86C9AAABA06151127885F03AE56B210451CB44CE573E02CA1E7CD7439F501649FA9506288DAA597438AEBF5BC4F33F5F7F 8 GuardMail
addsgn 1AF77A9A5582487F0BD49D7134201008258A140988FA1FBBD048293F9472F2312F15B6590D95CDB63EE397BF4DFFB1FA7DDF6B0F59D5C554AE4ABA3CE70D2207 16 a variant of Win32/Kryptik.AEBC [NOD32]
addsgn 4AED779A55A84072C718627DA804DEC9700110A1DF716A740E8ED5372DDEFA8DA8C6C09105ABEB4110788B1DE61749FAFC26687255DAC230AE4AB86FC7162207 32 Virus9
addsgn 9A6865DA5582A28DF42BAEB164C81205158AFCF6B1FA1F7885C3C5BCFBD0E14B4ED92918BBE275A32D6471B9461649FA7DDFE97255DAB02C2D77A42FAE47761F 8 virus698
addsgn A7679B1BB9464D720BE767DB37A22B6D250B4477D8921FF2E0062DF048D671CFE703903D2C05CD232A6858894616CA3E6D898201BDBEA52C2DF4602B908FA76B 8 Carberp
addsgn A7679B1BB9564D720BB4279CAC7A520584827EB689739ABC7B3C3A37DD128FB3DC187546BDAFC83D330B015BB8E9B6F5CBD7698BDEDAB02C597097EF2EF72373 8 Virus5678i
addsgn A7679BC9DE37442480A1A234929F997835FFF575B4BAEF7895C32E9AD328703826943D554B773C19DB80941A866240AD2B8C17A2D01AC4207A21F7C7D2F9DD8C 32 Virus7
addsgn A7679BF0AA020CE34BD4C6E125881261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625CAB10C49F75C4C32EF4CA6CC715DA3BE4AC965B2FC706AB7E 8 Win32/Delf.OFC [NOD32]
bl 0144D7B1BCF16550FADFC81887C8C47B 101928
bl 2A78995F141BE859C69D7B895E61EEE4 19408
bl 4A27242B307C6A836993353035FAFC16 9728
bl 4E808BD83CC5ECF45163FC7942657A1A 1726552
bl 5840CB8702727C11FE496FB6637C6499 1515352
bl 6557F74F5FA6CEC80DEDA9D8EE1044E7 58408
bl 72BE4B525110736F9BE5CCC0359A7D6B 126976
bl 7E8E966927E04A35AEC644602B8A9E05 55808
bl 93EA6244415B9B0680FE730FA23574BE 110592
bl B9815FCDDEF87A6A5B3E0EA04D87F92E 48680
bl BA908B71218229074BD53EA299F6121E 19136
zoo %SystemDrive%\USERS\ЛЕОНИД\APPDATA\LOCAL\QEIJDSFHST.EXE
zoo %SystemDrive%\USERS\ЛЕОНИД\APPDATA\ROAMING\DESKTOP.INI
zoo %SystemDrive%\USERS\ЛЕОНИД\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\YOUTUBE.PLAYER.EXE
zoo %SystemDrive%\USERS\ЛЕОНИД\APPDATA\ROAMING\NTUSER.DAT
zoo %SystemDrive%\USERS\ЛЕОНИД\APPDATA\ROAMING\UPDATES\UPDATES.EXE
zoo %SystemDrive%\USERS\ЛЕОНИД\APPDATA\ROAMING\XZUAHSSPWQKZTRAE3PANNH1FQENBCBAZ2\SVCNOST.EXE
zoo %SystemDrive%\USERS\ЛЕОНИД\FI6SDK5YFS.EXE
zoo %SystemDrive%\USERS\ЛЕОНИД\LOCAL SETTINGS\TEMP\MSSWUO.CMD
zoo %SystemDrive%\USERS\ЛЕОНИД\U1I1GWGUFY.EXE
zoo %SystemDrive%\USERS\ЛЕОНИД\XIOOPIR.EXE
exec "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL
adddir %SystemDrive%\USERS\ЛЕОНИД\APPDATA\ROAMING
adddir %SystemDrive%\USERS\ЛЕОНИД\LOCAL SETTINGS\TEMP
adddir %SystemDrive%\USERS\ЛЕОНИД\APPDATA\LOCAL
chklst
delvir
deltmp
delnfr
czoo
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится;
- в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например 2012-03-09_09-29-00.7z - это архив с вирусами, его нужно прислать на электронный адрес [email protected].
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.

Изменено: Арвид - 26.06.2012 16:28:29

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Модифицированный Win32/Spy.Shiz.NCE троянская программа - очистка невозможна

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 26.06.2012 16:19:35

Извиняйте, но компьютеры с установленном Tnod'ом на борту на официальном форуме не пролечиваются. Обратитесь на другой форум. Тема закрыта.

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Модифицированный Win32/Spy.Shiz.NCE троянская программа - очистка невозможна

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 26.06.2012 16:04:26

Сделайте лог uVS

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Оперативная память = explorer.exe(1016) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 26.06.2012 16:04:10

Код
;;uVS v3.75 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 bl 059FFB75D74173521F4E3BEC425D8E7F 1534976 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\GN6SODSMONQ.EXE bl 3CFD33EE977ABFE3292D290438F914CE 144384 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\GN6SODSMONQ.EXE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\VQSYOYQ.EXE bl E28536DCFE6B4BCDF5206DAFA616727A 826368 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\VQSYOYQ.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE setdns Подключение по локальной сети 2\4\{C9BAA4D7-FCDD-4811-B328-9628E00B5650}\ setdns Подключение по локальной сети\4\{BF2AE1E0-6724-4BD3-893B-51C46A1DA9C3}\ deltmp delnfr exec cmd /k attrib -r -s -h "%appdata%\igfxtray.dat"&del "%appdata%\igfxtray.dat"&exit exec cmd /k del "%windir%\system32\ieunitdrf.inf"&exit czoo restart

Код

;;uVS v3.75 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

bl 059FFB75D74173521F4E3BEC425D8E7F 1534976
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\GN6SODSMONQ.EXE
bl 3CFD33EE977ABFE3292D290438F914CE 144384
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\GN6SODSMONQ.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\VQSYOYQ.EXE
bl E28536DCFE6B4BCDF5206DAFA616727A 826368
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\VQSYOYQ.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
setdns Подключение по локальной сети 2\4\{C9BAA4D7-FCDD-4811-B328-9628E00B5650}\
setdns Подключение по локальной сети\4\{BF2AE1E0-6724-4BD3-893B-51C46A1DA9C3}\
deltmp
delnfr
exec cmd /k attrib -r -s -h "%appdata%\igfxtray.dat"&del "%appdata%\igfxtray.dat"&exit
exec cmd /k del "%windir%\system32\ieunitdrf.inf"&exit
czoo
restart

Правильно заданный вопрос - это уже половина ответа

Перейти

Обновление флешки Titan, Обновление флешки Titan

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 26.06.2012 01:18:25

Здравствуйте.
А какие данные на этих разделах были изначально? Если там отдельно лежит образ антивируса для загрузки, то достаточно заменить его на более свежую версию.

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] помогите с трояном win32 spy.shiz.nce trojan

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 26.06.2012 00:29:11

Удалите все кроме этого:

Цитата
HKLM\SOFTWARE\Microsoft\Security Center\|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

Далее Выполните рекомендации
Тему закрываю

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Win32/TrojanDowloader.Carbert.AF

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 25.06.2012 18:22:20

Сделайте лог программой TDSSkiller. Ничего оттуда не удалять. Лог будет лежать в корне системного раздела (обычно диск С).

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Carberp.A

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 25.06.2012 17:23:06

См. папку Входящие
Тема закрыта.

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Carberp.A

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 25.06.2012 17:13:36

С установленной программой TNOD USER & PASSWORD FINDER помощи на официальном форуме вы не получите.
Обратитесь на другой форум.

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Explorer.exe - Проблемы заражения компьютера вирусами, Вирус в оперативной памяти - очистка невозможна.

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 24.06.2012 22:01:05

Значит вылечили. Если проблем больше нет - Выполните рекомендации

Правильно заданный вопрос - это уже половина ответа

Перейти