Арвид (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] Carberp.AD

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 22.03.2012 02:29:34

папку ZOO упакуйте и пришлите
лог Mbam еще сделайате

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Carberp.AD

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 22.03.2012 01:46:47

Здравствуйте!

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена;

Код
;;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 delref HTTP://QIP.RU delref HTTP://SEARCH.QIP.RU zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\KPO2ZQVG8RWKVQXSQNX.DLL delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\KPO2ZQVG8RWKVQXSQNX.DLL bl 1DDC36857C2679126D3EFB5E30E8C39B 183 delall %SystemDrive%\DOCUMENTS AND SETTINGS\НИК К\LOCAL SETTINGS\TEMP\_UNINST_96333514.BAT zoo %SystemDrive%\DOCUMENTS AND SETTINGS\НИК К\START MENU\PROGRAMS\STARTUP\DJCRAQNRKAG.EXE bl 1256523A0328BAC87952CAB61633D84D 312856 delall %SystemDrive%\DOCUMENTS AND SETTINGS\НИК К\START MENU\PROGRAMS\STARTUP\DJCRAQNRKAG.EXE deltmp delnfr regt 14 regt 12 regt 13 exec cmd /k attrib -r -s -h "%appdata%\igfxtray.dat"&del "%appdata%\igfxtray.dat"&exit exec cmd /k del "%windir%\system32\ieunitdrf.inf"&exit czoo restart

Код

;;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\KPO2ZQVG8RWKVQXSQNX.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\KPO2ZQVG8RWKVQXSQNX.DLL
bl 1DDC36857C2679126D3EFB5E30E8C39B 183
delall %SystemDrive%\DOCUMENTS AND SETTINGS\НИК К\LOCAL SETTINGS\TEMP\_UNINST_96333514.BAT
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\НИК К\START MENU\PROGRAMS\STARTUP\DJCRAQNRKAG.EXE
bl 1256523A0328BAC87952CAB61633D84D 312856
delall %SystemDrive%\DOCUMENTS AND SETTINGS\НИК К\START MENU\PROGRAMS\STARTUP\DJCRAQNRKAG.EXE
deltmp
delnfr
regt 14
regt 12
regt 13
exec cmd /k attrib -r -s -h "%appdata%\igfxtray.dat"&del "%appdata%\igfxtray.dat"&exit 
exec cmd /k del "%windir%\system32\ieunitdrf.inf"&exit
czoo
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится;
- в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например 2012-03-09_09-29-00.7z - это архив с вирусами, его нужно прислать на электронный адрес [email protected]. если отослать архив не получается по различным причинам, то закачиваем этот архив на файлообменник - rghost.ru и оставляем ссылку на этот архив в этой теме.
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда.

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Trojan.MBRlock.6, заблокирована загрузка системы

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.03.2012 23:42:17

Удалить только это:

Цитата
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\|Start_ShowHelp

Что делать дальше - знаете.

Изменено: Арвид - 22.03.2012 06:32:08

Правильно заданный вопрос - это уже половина ответа

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.03.2012 23:24:06

santy,
http://forum.esetnod32.ru/forum6/topic4821/
по-моему в таких случаях лучше удалять эту библиотеку через delref. виртуализация не обязательно. уже много раз так делал и все удачно.
если использовать delall, то программа хочет сначала завершить процессы к которым прицепился вирус, а это svchost и так далее. при их убийстве или синяк появляется или комп в ребут уходит, а библиотека все также и сидит где была

Правильно заданный вопрос - это уже половина ответа

Перейти

tr.Carberp

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.03.2012 22:31:40

chik85,
Здравствуйте!

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена;

Код
;;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 delref HTTP://WWW.APEHA.RU delall \DEVICE\HARDDISK1\DP(1)0-0+4\SETUP_11.0.0.1245.X01_2012_01_15_10_39.EXE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\RLOV8KFLRGK.EXE bl 97833AD5DEDA26C91BFD3AA53C4A22A6 312856 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\RLOV8KFLRGK.EXE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\EXASNRGYA9HVAD5U8GW.DLL delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\EXASNRGYA9HVAD5U8GW.DLL regt 14 regt 12 regt 13 deltmp delnfr exec cmd /k attrib -r -s -h "%appdata%\igfxtray.dat"&del "%appdata%\igfxtray.dat"&exit exec cmd /k del "%windir%\system32\ieunitdrf.inf"&exit czoo restart

Код

;;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

delref HTTP://WWW.APEHA.RU
delall \DEVICE\HARDDISK1\DP(1)0-0+4\SETUP_11.0.0.1245.X01_2012_01_15_10_39.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\RLOV8KFLRGK.EXE
bl 97833AD5DEDA26C91BFD3AA53C4A22A6 312856
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\RLOV8KFLRGK.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\EXASNRGYA9HVAD5U8GW.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\EXASNRGYA9HVAD5U8GW.DLL
regt 14
regt 12
regt 13
deltmp
delnfr
exec cmd /k attrib -r -s -h "%appdata%\igfxtray.dat"&del "%appdata%\igfxtray.dat"&exit 
exec cmd /k del "%windir%\system32\ieunitdrf.inf"&exit
czoo
restart

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Модифицированный вирус оперативная память explorer.exe (212)

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.03.2012 22:29:28

Пользователям которые использует вместе с антивирусом программу TNOD USER & PASSWORD FINDER помощь на оф.форуме не оказывается.

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Блокировка сайт

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.03.2012 22:26:43

База 6987. Сайт не блокируется.

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Trojan.MBRlock.6, заблокирована загрузка системы

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.03.2012 22:25:32

Выполняем скрипт из файла

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Подозрительное оповещение после каждого включения ПК

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.03.2012 22:09:24

можно удалить

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Подозрительное оповещение после каждого включения ПК

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.03.2012 21:36:23

да, все удалять

Правильно заданный вопрос - это уже половина ответа

Перейти