Арвид (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] Оперативная память = taskhost.exe(340) - модифицированный Win32/Spy.Shiz.NCE троянская программа - очистка невозможна

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 23.04.2012 02:50:10

Если проблем больше нет - Выполните рекомендации

Правильно заданный вопрос - это уже половина ответа

Перейти

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 23.04.2012 02:25:29

Здравствуйте!

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);

Код
;;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 delref HTTP://SEARCH.QIP.RU delref HTTP://WWW.MAIL.RU/CNT/5089 delref HTTP://WWW.MAIL.RU/CNT/9514 bl A4742311BFC531C8D8AF89F8C52F47A0 138240 delall %SystemDrive%\USERS\TEEEA\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL zoo %SystemRoot%\APPPATCH\EJYQNX.EXE bl BFE948165C044669C15BC46422590962 257536 delall %SystemRoot%\APPPATCH\EJYQNX.EXE deltmp delnfr exec "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL exec C:\PROGRAM FILES\BING BAR INSTALLER\INSTALLMANAGER.EXE /UNINSTALL exec MSIEXEC.EXE /I{623B8278-8CAD-45C1-B844-58B687C07805} exec C:\PROGRAM FILES\ASTROBURN TOOLBAR\UNINST.EXE exec C:\PROGRAM FILES\MAIL.RU\SPUTNIK\MAILRUSPUTNIK_RFRLETITBIT2_S_MPCLN9514.EXE UNINSTALL regt 14 regt 12 czoo restart

Код

;;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

delref HTTP://SEARCH.QIP.RU
delref HTTP://WWW.MAIL.RU/CNT/5089
delref HTTP://WWW.MAIL.RU/CNT/9514
bl A4742311BFC531C8D8AF89F8C52F47A0 138240
delall %SystemDrive%\USERS\TEEEA\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL
zoo %SystemRoot%\APPPATCH\EJYQNX.EXE
bl BFE948165C044669C15BC46422590962 257536
delall %SystemRoot%\APPPATCH\EJYQNX.EXE
deltmp
delnfr
exec "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL
exec C:\PROGRAM FILES\BING BAR INSTALLER\INSTALLMANAGER.EXE /UNINSTALL
exec MSIEXEC.EXE /I{623B8278-8CAD-45C1-B844-58B687C07805}
exec C:\PROGRAM FILES\ASTROBURN TOOLBAR\UNINST.EXE
exec C:\PROGRAM FILES\MAIL.RU\SPUTNIK\MAILRUSPUTNIK_RFRLETITBIT2_S_MPCLN9514.EXE UNINSTALL
regt 14
regt 12
czoo
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится;
- в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например 2012-03-09_09-29-00.7z - это архив с вирусами, его нужно прислать на электронный адрес [email protected].
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда.

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Карантин

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 23.04.2012 01:28:04

Здравствуйте.
Все ваши файлы на месте, просто папки с ними скрыты - это сделал вирус, на вашем ПК или другом. Чтобы вновь увидеть файлы - положите файл из архива в корень того диска и запустите - 8f0_1.zip - 143 b
Также сделайте лог uVS, возможно у вас есть вирусы в системе.

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Оперативная память = explorer.exe(4548) - модифицированный Win32/TrojanDownloader.Carberp.AH троянская программа - очистка невозможна, Оперативная память = explorer.exe(4548) - модифицированный Win32/TrojanDownloader.Carberp.AH троянская программа - очистка невозможна

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 23.04.2012 01:05:18

Выполните рекомендации

Правильно заданный вопрос - это уже половина ответа

Перейти

Возникла ошибка при запуске сервисов. Анали протоколов приложений (РОР3, НТТР) не функционирует

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 22.04.2012 23:10:18

запустите эту утилиту в безопасном режиме и после перезагрузки ставьте антивирус

Правильно заданный вопрос - это уже половина ответа

Перейти

Webalta, как убрать из хрома

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 22.04.2012 23:08:40

значит надо искать скрипт который делает это в папке с профилем

Правильно заданный вопрос - это уже половина ответа

Перейти

Webalta, как убрать из хрома

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 22.04.2012 22:29:29

Код
;;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 bl 5840CB8702727C11FE496FB6637C6499 1515352 delall %SystemDrive%\USERS\ЗАРИНА\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE delref HTTP://SEARCH.BABYLON.COM/?AF=111434&TT=290312_BEXDLL&BABSRC=NT_SS&MNTRID=FC76200F0000000000000016E63E2C48 deltmp delnfr exec "C:\PROGRAM FILES\BABYLONTOOLBAR\BABYLONTOOLBAR\1.5.3.17\UNINSTALL.EXE" delref HTTP://WEBALTA.RU restart

Код

;;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

bl 5840CB8702727C11FE496FB6637C6499 1515352
delall %SystemDrive%\USERS\ЗАРИНА\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
delref HTTP://SEARCH.BABYLON.COM/?AF=111434&TT=290312_BEXDLL&BABSRC=NT_SS&MNTRID=FC76200F0000000000000016E63E2C48
deltmp
delnfr
exec "C:\PROGRAM FILES\BABYLONTOOLBAR\BABYLONTOOLBAR\1.5.3.17\UNINSTALL.EXE"
delref HTTP://WEBALTA.RU
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится;
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда.

Правильно заданный вопрос - это уже половина ответа

Перейти

Ошибка распаковки файла при обовлении баз

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 22.04.2012 22:26:02

Здравствуйте!

У вас куча вирусов.
Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);

Код
;;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 addsgn 4B88789A553FC79E8838A276213CC8EAD78744F2E4FA1FBFC0371E53A2DBD034A653C36A5D35D0072405909F46168EFF015BA872E9B8B02CEA72DCAA83062273 8 Carberp zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\WRAB44BPWI4.EXE bl 2E2D7628EDD04218869D15F3B7F07D49 175616 addsgn 9A2C4EDA5582A28DF42BAEB164C81205158AFCF6C9FA1F7885C3C5BC0A0DBF768A790B169ACDA05FC26E3920461649FA7DDFE97255DAD34D6116F74797744D14 8 Virus75490370 zoo %SystemDrive%\RECYCLE.BIN\B6232F3ABB9.EXE bl 7C2E00B4CF7D25A3AE4BC51CE36AB442 151552 delref HTTP://SEARCH.MYHERITAGE.COM chklst delvir deltmp delnfr setdns Беспроводное сетевое соединение 2\4\{E22479AA-B591-4B74-B925-E9F1E157E26A}\ setdns Беспроводное сетевое соединение 3\4\{7F50C701-291C-45D2-B351-7E6F0ED063CF}\ setdns Беспроводное сетевое соединение 4\4\{0EC5D919-D69D-4CEA-9665-9C9C817C483F}\ setdns Беспроводное сетевое соединение\4\{EF9A6130-7111-4CD6-882A-2B400B5D545E}\ setdns Подключение по локальной сети 2\4\{02415EA3-F87A-4B17-84D5-20F9303BCD87}\ setdns Подключение по локальной сети\4\{E37CC52B-4CC0-4360-838B-AA438DA9D9ED}\ exec cmd /k attrib -r -s -h "%appdata%\igfxtray.dat"&del "%appdata%\igfxtray.dat"&exit exec cmd /k del "%windir%\system32\ieunitdrf.inf"&exit czoo restart

Код

;;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

addsgn 4B88789A553FC79E8838A276213CC8EAD78744F2E4FA1FBFC0371E53A2DBD034A653C36A5D35D0072405909F46168EFF015BA872E9B8B02CEA72DCAA83062273 8 Carberp
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\WRAB44BPWI4.EXE
bl 2E2D7628EDD04218869D15F3B7F07D49 175616
addsgn 9A2C4EDA5582A28DF42BAEB164C81205158AFCF6C9FA1F7885C3C5BC0A0DBF768A790B169ACDA05FC26E3920461649FA7DDFE97255DAD34D6116F74797744D14 8 Virus75490370
zoo %SystemDrive%\RECYCLE.BIN\B6232F3ABB9.EXE
bl 7C2E00B4CF7D25A3AE4BC51CE36AB442 151552
delref HTTP://SEARCH.MYHERITAGE.COM
chklst
delvir
deltmp
delnfr
setdns Беспроводное сетевое соединение 2\4\{E22479AA-B591-4B74-B925-E9F1E157E26A}\
setdns Беспроводное сетевое соединение 3\4\{7F50C701-291C-45D2-B351-7E6F0ED063CF}\
setdns Беспроводное сетевое соединение 4\4\{0EC5D919-D69D-4CEA-9665-9C9C817C483F}\
setdns Беспроводное сетевое соединение\4\{EF9A6130-7111-4CD6-882A-2B400B5D545E}\
setdns Подключение по локальной сети 2\4\{02415EA3-F87A-4B17-84D5-20F9303BCD87}\
setdns Подключение по локальной сети\4\{E37CC52B-4CC0-4360-838B-AA438DA9D9ED}\
exec cmd /k attrib -r -s -h "%appdata%\igfxtray.dat"&del "%appdata%\igfxtray.dat"&exit
exec cmd /k del "%windir%\system32\ieunitdrf.inf"&exit
czoo
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится;
- в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например 2012-03-09_09-29-00.7z - это архив с вирусами, его нужно прислать на электронный адрес [email protected]. если отослать архив не получается по различным причинам, то закачиваем этот архив на файлообменник - rghost.ru и оставляем ссылку на этот архив в этой теме.
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда.

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] http:\\goodcazino.com HELP!

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 22.04.2012 20:26:16

Выполните рекомендации

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] http:\\goodcazino.com HELP!

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 22.04.2012 20:02:53

Ну так обновитесь если система не левая или отключите уведомления про обновы

Правильно заданный вопрос - это уже половина ответа

Перейти