Арвид (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] Оперативная память - модифицированный Win32/Dorkbot.A червь - очистка невозможна, Оперативная память - модифицированный Win32/Dorkbot.A червь - очистка невозможна

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 13.03.2012 13:43:00

Все верно, оно. Выполните следующий скрипт в uVS:

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 addsgn 925277DA146AC1CC0B04504E3323193DAF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 16 Spammer:Win32/Tedroo.A [Microsoft] addsgn 3AE0779AEC594D720B5542A566C812BD378AFCF6D9AC9C94814AD998078022CFCF134A7B1A7C5546AD74849F46A92E643DDFAF25642C31E21DC254D046D02238 16 Darkbot zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\6F.TMP zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\70.TMP adddir %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA chklst delvir czoo restart

Код

;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

addsgn 925277DA146AC1CC0B04504E3323193DAF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 16 Spammer:Win32/Tedroo.A [Microsoft]
addsgn 3AE0779AEC594D720B5542A566C812BD378AFCF6D9AC9C94814AD998078022CFCF134A7B1A7C5546AD74849F46A92E643DDFAF25642C31E21DC254D046D02238 16 Darkbot
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\6F.TMP
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\70.TMP
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA
chklst
delvir
czoo
restart

Новый архив с вирусами который появится также отправляем как выше написано
После перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда.

Изменено: Арвид - 13.03.2012 13:44:38

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Разблокируйте nienaprint.ru

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 13.03.2012 13:23:16

возможен 5 пункт - можно самим ведь для начала написать

Правильно заданный вопрос - это уже половина ответа

Перейти

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 13.03.2012 13:17:15

в первый раз вы присылали архив - MICROSOF-E14F8E_2012-03-13_12-00-33.7z
вот должен появиться еще один такой, только новый - там дата посвежее будет

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Разблокируйте nienaprint.ru

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 13.03.2012 13:05:48

Прочтите для начала - Почему мой сайт заблокирован?

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Ошибка обновления баз сигнатур, проблема с обновлением

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 13.03.2012 12:48:16

-SeregA-,
а как он будет обновляться если имя и пароль не вписаны? с какого диска установлен антивирус? лицензия есть? активирована?

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] обнаружен эксплойт скрытого канала в icmp-пакете 178.33.60.196, Что это?!

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 13.03.2012 12:20:19

Может и зловреды, но скорее всего ничего страшного

Сделайте лог uVS

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] www.vk.com соединение закрыто

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 13.03.2012 12:18:58

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена;

Код
;;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 delref HTTP://CNS.PP.RU delref HTTP://WWW.MAIL.RU/CNT/5089 delref HTTP://WWW.MAIL.RU/CNT/8746 deltmp delnfr delref %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER3.DLL regt 12 regt 14 restart

Код

;;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

delref HTTP://CNS.PP.RU
delref HTTP://WWW.MAIL.RU/CNT/5089
delref HTTP://WWW.MAIL.RU/CNT/8746
deltmp
delnfr
delref %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER3.DLL
regt 12
regt 14
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится;
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда.

Правильно заданный вопрос - это уже половина ответа

Перейти

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 13.03.2012 12:17:14

Все бывает в первый раз

Код
;;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 delref HTTP://QIP.RU delref HTTP://SEARCH.QIP.RU delref HTTP://WWW.MAIL.RU/CNT/5089 delref HTTP://XTREME.WS/ addsgn 531525DA554149C65894AE9AA94BFE012A35355553A95F780E0F4E7BD9FA554F264890173E1D16A562A9812614564912AADFE872F47DE36C2DF45302ECDECA31 16 Dorkbor addsgn 53D56BDA552267B104626F3288CC3B084691BCF602F75562C5C34E705317F86007140E54330386092B0B689E4B5F52BA7D37277255DA3BEEAE873B0E1645CA30 16 Malware addsgn 429A1C5F63698A710607B9F1646B5E1D658A7F1A8D71D2F349E80497925F5D6808D1C25AAC4DDD49A06C25995F56491299DFE8725610B3ED06AA2D125A1E6273 16 Zaberg delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\QDOMOC.EXE bl 09C7F50AD4271CD5F4371D6891358BB2 66560 bl 7FE180C2A4A7F057DC7E1D6BFCDAF3F5 19456 bl 7F69C4201619F449CFF8C2D7E467B1CE 17920 adddir %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\QDOMOC.EXE zoo %SystemDrive%\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ECLEANER.EXE zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\ZABERG.EXE delall %SystemDrive%\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ECLEANER.EXE delall %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\ZABERG.EXE chklst delvir deltmp delnfr czoo crimg restart

Код

;;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
delref HTTP://WWW.MAIL.RU/CNT/5089
delref HTTP://XTREME.WS/
addsgn 531525DA554149C65894AE9AA94BFE012A35355553A95F780E0F4E7BD9FA554F264890173E1D16A562A9812614564912AADFE872F47DE36C2DF45302ECDECA31 16 Dorkbor 
addsgn 53D56BDA552267B104626F3288CC3B084691BCF602F75562C5C34E705317F86007140E54330386092B0B689E4B5F52BA7D37277255DA3BEEAE873B0E1645CA30 16 Malware
addsgn 429A1C5F63698A710607B9F1646B5E1D658A7F1A8D71D2F349E80497925F5D6808D1C25AAC4DDD49A06C25995F56491299DFE8725610B3ED06AA2D125A1E6273 16 Zaberg
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\QDOMOC.EXE
bl 09C7F50AD4271CD5F4371D6891358BB2 66560
bl 7FE180C2A4A7F057DC7E1D6BFCDAF3F5 19456
bl 7F69C4201619F449CFF8C2D7E467B1CE 17920
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\APPLICATION DATA\QDOMOC.EXE
zoo %SystemDrive%\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ECLEANER.EXE
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\ZABERG.EXE
delall %SystemDrive%\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ECLEANER.EXE
delall %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\ZABERG.EXE
chklst
delvir
deltmp
delnfr
czoo
crimg
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится;
- в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например 2012-03-09_09-29-00.7z - это архив с вирусами, его нужно прислать на электронный адрес [email protected]. если отослать архив не получается по различным причинам, то закачиваем этот архив на файлообменник - rghost.ru и оставляем ссылку на этот архив в этой теме.

После перезагрузки - в папке с программой появится новый образ автозапуска - прикрепить его сюда

Изменено: Арвид - 13.03.2012 12:17:54

Правильно заданный вопрос - это уже половина ответа

Перейти

Как восстановить и исключить из сканирования файл?, Пункт не активен

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 13.03.2012 12:13:24

А подробнее можно? Не видел такого чтоб не получалось. Отключаете защиту в антивирусе, вытаскиваете файл из карантина, заходите в настройки антивируса - Исключения, жмете добавить и ищите файл на компьютере для выбора

Правильно заданный вопрос - это уже половина ответа

Перейти

Ошибка распаковки файла, Ошибка распаковки файла

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 13.03.2012 12:07:58

kupj75ez,
Здравствуйте!

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена;

Код
;;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %Sys32%\WINSYS2.EXE bl DAEE383586DB76671C43A83C04E51283 208896 delall %Sys32%\WINSYS2.EXE deltmp delnfr czoo restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится;
- в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например 2012-03-09_09-29-00.7z - это архив с вирусами, его нужно прислать на электронный адрес [email protected]. если отослать архив не получается по различным причинам, то закачиваем этот архив на файлообменник - rghost.ru и оставляем ссылку на этот архив в этой теме.
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда.

Правильно заданный вопрос - это уже половина ответа

Перейти