Арвид (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] Троян SpyVoltar.A.

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 15.05.2012 00:53:40

Здравствуйте!

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);

Код
;;uVS v3.75 BETA2 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 zoo %Sys32%\TGRNEXG.DLL bl 4E99D015E80CE34632C00CE53510B103 40448 ; C:\USERS\МАКИАВЕЛЛИ\APPDATA\ROAMING\NETPROTOCOL.EXE zoo %SystemDrive%\USERS\МАКИАВЕЛЛИ\APPDATA\ROAMING\NETPROTOCOL.EXE bl 98CE37FD8A22D634E0AD52C830E49628 123904 delall %SystemDrive%\USERS\МАКИАВЕЛЛИ\APPDATA\ROAMING\NETPROTOCOL.EXE delref %Sys32%\TGRNEXG.DLL deltmp delnfr delall G:\AUTORUN.INF czoo restart

Код

;;uVS v3.75 BETA2 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

zoo %Sys32%\TGRNEXG.DLL
bl 4E99D015E80CE34632C00CE53510B103 40448
; C:\USERS\МАКИАВЕЛЛИ\APPDATA\ROAMING\NETPROTOCOL.EXE
zoo %SystemDrive%\USERS\МАКИАВЕЛЛИ\APPDATA\ROAMING\NETPROTOCOL.EXE
bl 98CE37FD8A22D634E0AD52C830E49628 123904
delall %SystemDrive%\USERS\МАКИАВЕЛЛИ\APPDATA\ROAMING\NETPROTOCOL.EXE
delref %Sys32%\TGRNEXG.DLL
deltmp
delnfr
delall G:\AUTORUN.INF
czoo
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится;
- в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например 2012-03-09_09-29-00.7z - это архив с вирусами, его нужно прислать на электронный адрес [email protected].
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.

Правильно заданный вопрос - это уже половина ответа

Перейти

переправили с форума pchelp

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 15.05.2012 00:51:13

Ничего подозрительного не видно.
сделайте лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.
также сделайте лог программой TDSSkiller. Ничего оттуда не удалять. Лог будет лежать в корне системного раздела (обычно диск С).

Правильно заданный вопрос - это уже половина ответа

Перейти

переправили с форума pchelp

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 15.05.2012 00:46:08

Сорри, это я там ошибся

Думал это вторая учетка просто.
В логе ничего подозрительного нет. А в чем именно проблема?

Правильно заданный вопрос - это уже половина ответа

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 15.05.2012 00:09:21

угу, маячок опять

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Ребят, появилась проблемка. С каждым запуском винды выскакивает сообщение от НОДа

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 14.05.2012 23:47:35

Удалить все найденное. Если проблем больше нет - Выполните рекомендации

Правильно заданный вопрос - это уже половина ответа

Перейти

SpyVoltar, Оперативная память = C:\Users\Garry Oldman\AppData\Roaming\netprotocol.exe - модифицированный Win32/SpyVoltar.A троянская программа - очистка невозможна

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 14.05.2012 23:43:23

Здравствуйте!

Зачем кучу тем создавать?

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);

Код
;;uVS v3.75 BETA2 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 zoo %SystemDrive%\USERS\GARRY OLDMAN\APPDATA\ROAMING\NETPROTOCOL.EXE bl A9AA643FB30BE657FA784272B6FBD874 123904 zoo %Sys32%\HKIASKG.DLL bl DCBA0F169DA92087321C123D4CE8EA05 40448 delref %Sys32%\HKIASKG.DLL deltmp delnfr delall %SystemDrive%\USERS\GARRY OLDMAN\APPDATA\ROAMING\NETPROTOCOL.EXE czoo restart

Код

;;uVS v3.75 BETA2 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

zoo %SystemDrive%\USERS\GARRY OLDMAN\APPDATA\ROAMING\NETPROTOCOL.EXE
bl A9AA643FB30BE657FA784272B6FBD874 123904
zoo %Sys32%\HKIASKG.DLL
bl DCBA0F169DA92087321C123D4CE8EA05 40448
delref %Sys32%\HKIASKG.DLL
deltmp
delnfr
delall %SystemDrive%\USERS\GARRY OLDMAN\APPDATA\ROAMING\NETPROTOCOL.EXE
czoo
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится;
- в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например 2012-03-09_09-29-00.7z - это архив с вирусами, его нужно прислать на электронный адрес [email protected]. если отослать архив не получается по различным причинам, то закачиваем этот архив на файлообменник - rghost.ru и оставляем ссылку на этот архив в этой теме (если архив не появился, то упаковываем всю папку ZOO, ставим пароль virus и выполняем что выше написано).
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.

Изменено: Арвид - 15.05.2012 00:09:14

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Оперативная память = explorer.exe(476) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 14.05.2012 23:19:25

Чисто. Если проблем больше нет - Выполните рекомендации

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Ребят, появилась проблемка. С каждым запуском винды выскакивает сообщение от НОДа

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 14.05.2012 23:17:24

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);

Код
;;uVS v3.75 BETA2 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 zoo %SystemDrive%\USERS\ИВАН\APPDATA\LOCAL\TEMP\LPXDEFJ.EXE bl B93DF180F915346B01D03CCC2BC2701F 119808 bl 5840CB8702727C11FE496FB6637C6499 1515352 zoo %SystemDrive%\USERS\ИВАН\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\FEXEQXANAKG.EXE bl D6AE1A8952F8D6B270E3F053A1871DA7 200704 delref HTTP://QIP.RU delref HTTP://SEARCH.QIP.RU delref HTTP://WWW.MAIL.RU/CNT/5089 setdns Подключение по локальной сети\4\{93C027D1-8A19-47FF-8CDE-0A3BAD3A3015}\ setdns Сетевое подключение Bluetooth\4\{2A03EF11-CCD0-44FC-801A-AFA36501F1AF}\ delall %SystemDrive%\USERS\ИВАН\APPDATA\LOCAL\TEMP\LPXDEFJ.EXE delall %SystemDrive%\USERS\ИВАН\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE delall %SystemDrive%\USERS\ИВАН\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\FEXEQXANAKG.EXE deltmp delnfr exec cmd /k attrib -r -s -h "%appdata%\igfxtray.dat"&del "%appdata%\igfxtray.dat"&exit exec cmd /k del "%windir%\system32\ieunitdrf.inf"&exit czoo restart

Код

;;uVS v3.75 BETA2 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

zoo %SystemDrive%\USERS\ИВАН\APPDATA\LOCAL\TEMP\LPXDEFJ.EXE
bl B93DF180F915346B01D03CCC2BC2701F 119808
bl 5840CB8702727C11FE496FB6637C6499 1515352
zoo %SystemDrive%\USERS\ИВАН\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\FEXEQXANAKG.EXE
bl D6AE1A8952F8D6B270E3F053A1871DA7 200704
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
delref HTTP://WWW.MAIL.RU/CNT/5089
setdns Подключение по локальной сети\4\{93C027D1-8A19-47FF-8CDE-0A3BAD3A3015}\
setdns Сетевое подключение Bluetooth\4\{2A03EF11-CCD0-44FC-801A-AFA36501F1AF}\
delall %SystemDrive%\USERS\ИВАН\APPDATA\LOCAL\TEMP\LPXDEFJ.EXE
delall %SystemDrive%\USERS\ИВАН\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
delall %SystemDrive%\USERS\ИВАН\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\FEXEQXANAKG.EXE
deltmp
delnfr
exec cmd /k attrib -r -s -h "%appdata%\igfxtray.dat"&del "%appdata%\igfxtray.dat"&exit
exec cmd /k del "%windir%\system32\ieunitdrf.inf"&exit
czoo
restart

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Ребят, появилась проблемка. С каждым запуском винды выскакивает сообщение от НОДа

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 14.05.2012 22:45:25

Сделайте лог uVS

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Оперативная память = explorer.exe(476) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 14.05.2012 22:12:49

Код
;;uVS v3.75 BETA2 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 setdns Подключение по локальной сети\4\{DD91116D-A6B5-47F9-913B-B417E89712A4}\ zoo %SystemDrive%\DOCUMENTS AND SETTINGS\KANO\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\JKBOCEGTGBQ.EXE bl F47F2ADE01953777335530E6F5968D66 200704 delall %SystemDrive%\DOCUMENTS AND SETTINGS\KANO\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\JKBOCEGTGBQ.EXE czoo deltmp delnfr exec cmd /k attrib -r -s -h "%appdata%\igfxtray.dat"&del "%appdata%\igfxtray.dat"&exit exec cmd /k del "%windir%\system32\ieunitdrf.inf"&exit restart

Код

;;uVS v3.75 BETA2 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

setdns Подключение по локальной сети\4\{DD91116D-A6B5-47F9-913B-B417E89712A4}\
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\KANO\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\JKBOCEGTGBQ.EXE
bl F47F2ADE01953777335530E6F5968D66 200704
delall %SystemDrive%\DOCUMENTS AND SETTINGS\KANO\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\JKBOCEGTGBQ.EXE
czoo
deltmp
delnfr
exec cmd /k attrib -r -s -h "%appdata%\igfxtray.dat"&del "%appdata%\igfxtray.dat"&exit
exec cmd /k del "%windir%\system32\ieunitdrf.inf"&exit
restart

Правильно заданный вопрос - это уже половина ответа

Перейти