Арвид (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] Nod32 блокирует адреса goog1edns, dnscentr.com, yahoons1.com

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.02.2012 16:05:15

Запускаем uVS еще раз, только теперь меню Скрипт - Выполнить скрипт находящийся в буфере обмена
Вставляем текст скрипта:
Перед выполнением скрипта, закрыть браузеры!

Код
;;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 delref HTTP://WWW.MAIL.RU/CNT/9514 zoo %Sys32%\PXCAKBN.DLL delref %Sys32%\PXCAKBN.DLL deltmp delnfr delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS.WINDOWS.1\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\AUTORUNSDISABLED\MCAFEE SECURITY SCAN PLUS.LNK regt 14 czoo restart

Код

;;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

delref HTTP://WWW.MAIL.RU/CNT/9514
zoo %Sys32%\PXCAKBN.DLL
delref %Sys32%\PXCAKBN.DLL
deltmp
delnfr
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS.WINDOWS.1\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\AUTORUNSDISABLED\MCAFEE SECURITY SCAN PLUS.LNK
regt 14
czoo
restart

И жмем Выполнить. После выполнения скрипта - ПК перезагрузится.
В папке с программой UVS появится архив с сегодняшней датой\временем (без имени ПК) - его надо прислать на адрес [email protected]. Если архив не появился, то сами архивируем папку ZOO, ставим пароль virus и отправляем на адрес.
После перезагрузки сделать лог Malwarebytes и выложить сюда. Можно сделать быструю проверку, а не полную.

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Оперативная память » explorer.exe(1564) модифицированный Win32/Spy.Shiz.NCE троянская программа очистка невозможна

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.02.2012 16:01:31

Код
;;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ROMAN\LOCAL SETTINGS\TEMP\MS0CFG32.EXE bl 0EDAF0CC2229D0823F244FA84FDE1FC0 274432 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ROMAN\LOCAL SETTINGS\TEMP\MS0CFG32.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ROMAN\LOCAL SETTINGS\TEMP\X1.BAT regt 12 deltmp delnfr regt 14 czoo restart

Код

;;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ROMAN\LOCAL SETTINGS\TEMP\MS0CFG32.EXE
bl 0EDAF0CC2229D0823F244FA84FDE1FC0 274432
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ROMAN\LOCAL SETTINGS\TEMP\MS0CFG32.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ROMAN\LOCAL SETTINGS\TEMP\X1.BAT
regt 12
deltmp
delnfr
regt 14
czoo
restart

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Помогите !!! Оперативная память » explorer.exe(1820) - модифицированный Win32/TrojanDownloader.Carberp.AH троянская программа - очистка невозможна, Оперативная память » explorer.exe(1820) - модифицированный Win32/TrojanDownloader.Carberp.AH троянская программа - очистка невозможна

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.02.2012 15:59:32

Код
;;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 addsgn 9252773A156AC1CC0BA4514E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 16 a variant of Win32/Kryptik.AAMY [NOD32] delref HTTP://WWW.MAIL.RU/CNT/8179 adddir %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN bl 9E729EDD662CC20FB3F15749EF6C688E 28160 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\WINLOGON.EXE bl CE6010497DF3C82F3F92DA0FAA90E1E6 185856 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\TQFZREZ2WJK.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML delall %Sys32%\CRRSS.EXE deltmp delnfr chklst delvir czoo restart

Код

;;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

addsgn 9252773A156AC1CC0BA4514E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 16 a variant of Win32/Kryptik.AAMY [NOD32]
delref HTTP://WWW.MAIL.RU/CNT/8179
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN
bl 9E729EDD662CC20FB3F15749EF6C688E 28160
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\WINLOGON.EXE
bl CE6010497DF3C82F3F92DA0FAA90E1E6 185856
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\TQFZREZ2WJK.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
delall %Sys32%\CRRSS.EXE
deltmp
delnfr
chklst
delvir
czoo
restart

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Оперативная память » explorer.exe(1932) модифицированный Win32/Spy.Shiz.NCE троянская программа. очистка невозможна, Оперативная память » explorer.exe(1932) модифицированный Win32/Spy.Shiz.NCE троянская программа. очистка невозможна

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.02.2012 15:26:58

Чисто. Выполните рекомендации

Правильно заданный вопрос - это уже половина ответа

Перейти

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.02.2012 14:56:41

Код
;;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 delref HTTP://MAIL.RU/CNT/7993/ delref HTTP://WWW.MAIL.RU/CNT/5087 delref HTTP://WWW.MAIL.RU/CNT/7227 zoo %SystemRoot%\APPPATCH\GPNUUVS.EXE delall %SystemRoot%\APPPATCH\GPNUUVS.EXE regt 12 czoo restart

Код

;;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

delref HTTP://MAIL.RU/CNT/7993/
delref HTTP://WWW.MAIL.RU/CNT/5087
delref HTTP://WWW.MAIL.RU/CNT/7227
zoo %SystemRoot%\APPPATCH\GPNUUVS.EXE
delall %SystemRoot%\APPPATCH\GPNUUVS.EXE
regt 12
czoo
restart

Правильно заданный вопрос - это уже половина ответа

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.02.2012 12:54:26

просто пару раз натыкался на случаи что файл не удалялся по нужной команде, потом попробовать лишить статуса - во всяком случае вирус не запустился
но думаю что это лишнее конечно, как и bl - все равно применится эта функция только после перезагрузки, так что одного delall достаточно, нам ведь надо файл сразу удалить, а не после ребута

Правильно заданный вопрос - это уже половина ответа

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.02.2012 12:04:30

Саш, хотел спросить у тебя - зачем во все скрипты для лечения добавляешь сигнатуры (именно в текст скрипта)? Даже если там обычный Carberp или Spy.Shiz. Иногда еще проверяешь добавляешь chklst - delvir. Смысла вроде как нету. И еще в любых случаях архивируешь вирусы которые еще с того года детектятся - думаю это лишняя работа как для пользователя, так и для ZloyDi с вирлабом

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Вирус, Не удаляется троян

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.02.2012 11:28:05

во время установки отключитесь от интернета

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Вирус, Не удаляется троян

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.02.2012 01:45:01

второй лог чист? если да, то Выполните рекомендации

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Вирус, Не удаляется троян

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.02.2012 01:24:58

удалите найденное и Выполните рекомендации

Правильно заданный вопрос - это уже половина ответа

Перейти