Арвид (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

подскажите пожалуйста, как удалить троян

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 15.07.2013 19:45:38

Ну так по ссылке инструкция для Мбам, а не TDSSkiller

Правильно заданный вопрос - это уже половина ответа

Перейти

подскажите пожалуйста, как удалить троян

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 15.07.2013 19:07:54

а кто просил этот лог?

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Проблема с вирусом

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 15.07.2013 17:01:47

Похоже у вас тут еще файловое заражение имеется.

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);

Код
;;uVS v3.80.12 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MOZILLA\FVLWGRF.DLL bl 323A007201B6FB14CA1FC7A134A21146 55808 bl 16FFD0FCC778E83AF5969FEC060B5823 91136 addsgn A7679B235D6A4C7261D4C4B12DBDEB549DC2F2B78912E1437A3CF67C05BE075C6217A7A80E31146943C088DE467E3DF63CDF6527B9623C3C6C774CA240F9DDF8 17 Win32/InstallCore.BD bl 96A768DD52FF0115FFF85142056B3AF0 2261024 addsgn 1A38D79A5583C58CF42B254E3143FE58CCC4E8F68971E02942C2ED0F0BD6991D8217C30EFDDE621CA06CD214B7FEAA0582201E375DDBC42B7B9F68D038F97BF8 8 Guards3 delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MOZILLA\FVLWGRF.DLL chklst delvir bl 85F5673DA6607DDD5FC20C86BE01CD1B 303656 delall %SystemDrive%\DOCUMENTS AND SETTINGS\~DR0P\APPLICATION DATA\SWVUPDATER\UPDATER.EXE bl 54C06015D78B30D3A337B8D405FCD0CF 10843368 delall %SystemDrive%\DOCUMENTS AND SETTINGS\~DR0P\LOCAL SETTINGS\APPLICATION DATA\MEDIAGET2\MEDIAGET.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\~DR0P\LOCAL SETTINGS\TEMP\NSY88.TMP\NS93.TMP bl 6281D7B1F0DB5E0A49B420C9E1E35C85 185344 delall %SystemRoot%\REGEDIT.EXE bl 9E3C13B6556D5636B745D3E466D47467 36352 delall %SystemRoot%\SVCHOST.EXE bl 7310275F3ED1D47D6BDE753983FA9CA6 292864 delall %SystemRoot%\MSAGENT\AGENTSVR.EXE bl 5420B7DF6846176FAD44F68F622DA0EE 331616 delall %Sys32%\PRESENTATIONHOST.EXE bl 697EC4C6B3E6095336C5112F21094749 329728 delall %Sys32%\WISPTIS.EXE bl A780D40FB9ED01E503B8899F3F7ECA8A 337920 delall %Sys32%\XPSVIEWER\XPSVIEWER.EXE delref HTTP://GO.MAIL.RU/SEARCH?FR=FFTB&Q= delref HTTP://WEBALTA.RU/SEARCH delref HTTP://WWW.MAIL.RU/CNT/7829 delref HTTP://WWW.MAIL.RU/CNT/9516 deltmp delnfr ; Internet Explorer Toolbar 4.6 by SweetPacks exec MsiExec.exe /X{C3E85EE9-5892-4142-B537-BCEB3DAC4C3D} /quiet czoo restart

Код

;;uVS v3.80.12 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MOZILLA\FVLWGRF.DLL
bl 323A007201B6FB14CA1FC7A134A21146 55808
bl 16FFD0FCC778E83AF5969FEC060B5823 91136
addsgn A7679B235D6A4C7261D4C4B12DBDEB549DC2F2B78912E1437A3CF67C05BE075C6217A7A80E31146943C088DE467E3DF63CDF6527B9623C3C6C774CA240F9DDF8 17 Win32/InstallCore.BD
bl 96A768DD52FF0115FFF85142056B3AF0 2261024
addsgn 1A38D79A5583C58CF42B254E3143FE58CCC4E8F68971E02942C2ED0F0BD6991D8217C30EFDDE621CA06CD214B7FEAA0582201E375DDBC42B7B9F68D038F97BF8 8 Guards3
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MOZILLA\FVLWGRF.DLL
chklst
delvir
bl 85F5673DA6607DDD5FC20C86BE01CD1B 303656
delall %SystemDrive%\DOCUMENTS AND SETTINGS\~DR0P\APPLICATION DATA\SWVUPDATER\UPDATER.EXE
bl 54C06015D78B30D3A337B8D405FCD0CF 10843368
delall %SystemDrive%\DOCUMENTS AND SETTINGS\~DR0P\LOCAL SETTINGS\APPLICATION DATA\MEDIAGET2\MEDIAGET.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\~DR0P\LOCAL SETTINGS\TEMP\NSY88.TMP\NS93.TMP
bl 6281D7B1F0DB5E0A49B420C9E1E35C85 185344
delall %SystemRoot%\REGEDIT.EXE
bl 9E3C13B6556D5636B745D3E466D47467 36352
delall %SystemRoot%\SVCHOST.EXE
bl 7310275F3ED1D47D6BDE753983FA9CA6 292864
delall %SystemRoot%\MSAGENT\AGENTSVR.EXE
bl 5420B7DF6846176FAD44F68F622DA0EE 331616
delall %Sys32%\PRESENTATIONHOST.EXE
bl 697EC4C6B3E6095336C5112F21094749 329728
delall %Sys32%\WISPTIS.EXE
bl A780D40FB9ED01E503B8899F3F7ECA8A 337920
delall %Sys32%\XPSVIEWER\XPSVIEWER.EXE
delref HTTP://GO.MAIL.RU/SEARCH?FR=FFTB&Q=
delref HTTP://WEBALTA.RU/SEARCH
delref HTTP://WWW.MAIL.RU/CNT/7829
delref HTTP://WWW.MAIL.RU/CNT/9516
deltmp
delnfr
; Internet Explorer Toolbar 4.6 by SweetPacks
exec MsiExec.exe /X{C3E85EE9-5892-4142-B537-BCEB3DAC4C3D} /quiet
czoo
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.

Правильно заданный вопрос - это уже половина ответа

Перейти

подскажите пожалуйста, как удалить троян

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 14.07.2013 21:19:29

Здравствуйте!

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);

Код
;;uVS v3.80.12 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 bl 9D784A0C003D34AF9CE2F0001D28725F 2259560 addsgn 1A0DD79A5583C58CF42B254E3143FE58CCC1E8F68971E02942C205BC0CD699128217C30EFDDE621CA06CD214B7FEAA0582201E375DDBC42B7B9F68D038F97BF8 8 MailGuard bl EA05B53A70C5C34EDEFD9C9AA5042408 152064 addsgn A7659219B97E2673F4C16E3326C8FAD8DB75037B3FFA1F78854E799B50D6714C769E2604BDB999C26E880F9FCD16746B7DDF28056EE73D2C2DB7D6647C072273 8 a variant of Win32/BitCoinMiner.W [ESET bl 72C1FF7F3C7474850B11FC962EE1620C 119888 addsgn A76592CD0339CF9E275FDBB9EF951E8E589A7F0D888E22F1F9E7CD350CF275C517332B267A559DCAC78C0144330FC2EF7DEFA110D008BFA8A977A42F4E43C69B 64 BitcoinMiner bl BCAF983AB27437913E76776F79B850C5 100864 addsgn A76592CC06E1117E882FAFC55798994035DAAF7DFCF24990511DC5BCD50DF88A7A62CDF63EF5742BAE40F0FBAE49B60582528D8ADC2AEB7270B5A82F4A720473 64 BitcoinMiner bl 6F15C32334D2310ABF30187D6294EAF5 245795 addsgn A76592CC06E1117E882FAFC55798994035DAAF7DFCF2499039EBC7BCD50DF88A7A62CDF63E951F39AE40F0FBAE49B60582528D8ADC2AEB7270B5A82F4A720473 64 BitcoinMiner bl A4AB86F07E4053A4FCC7AFC4CA3C14F2 27680 addsgn 0DF9BFCA156A43C5036E8CB164C8743EF4FFEEF93EB21DFB45C1FE76248617C9EA6233BC013318805FA80904461649FAC7FFE87255BC8BFD596F1E26C7062215 8 Html5 bl 15A729EC1AE1518A068B4A58B2CCCF8B 29256 addsgn A413624A052A4C7DBCDCC4933AA2105F43B10D83AFF9DD7732CB464572A2482AA6DEB6A6D54FF76975E6BF6E320423F323B9D38321D0B3EE22C0AC4942CF5795 8 HTml5Up zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\UPDATE\EXPLORER.EXE bl 2EBDA2D029C7D44E064F21845B520581 66048 addsgn 1A9B369A5583348CF42B627DA804DEC9E946307DC5DE1B8F44C0C5BC50A255C622940256BA95E907DC41879F46163C1578DFE872555714082D77A42F4AA20673 8 Trojan.BtcMine.125 [DrWeb] bl 9CC5C24E0BCB282202C633F16402E3E1 795960 addsgn 1A06819A5583358CF42B627DA804DEC9E946303A4536D3F3D1E7C1371CF279BBE114C3573E20A1C229BA85EA681C898E5BE5897320FFBAC8596A65C7D73C6371 8 YandexUP bl D100208BE33A77ADAE0C529302E3ED34 493952 addsgn 1AE7909A5583358CF42B254E3143FE86C99EAFC552AC940D8D4A9844D98B85C57EEBF8A44B4B7573D97F7BF550481AA92E8CBBFB65328BF1D28827EBD38DE49A 8 YandexUpdater adddir %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\CP32 adddir %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\UPDATE chklst delvir delref HTTP://G.UK.MSN.COM/HPALL/36 delref HTTP://WEBALTA.RU/SEARCH delref HTTP://WEBALTER.NET deltmp delnfr exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83217017FF} /quiet czoo restart

Код

;;uVS v3.80.12 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

bl 9D784A0C003D34AF9CE2F0001D28725F 2259560
addsgn 1A0DD79A5583C58CF42B254E3143FE58CCC1E8F68971E02942C205BC0CD699128217C30EFDDE621CA06CD214B7FEAA0582201E375DDBC42B7B9F68D038F97BF8 8 MailGuard
bl EA05B53A70C5C34EDEFD9C9AA5042408 152064
addsgn A7659219B97E2673F4C16E3326C8FAD8DB75037B3FFA1F78854E799B50D6714C769E2604BDB999C26E880F9FCD16746B7DDF28056EE73D2C2DB7D6647C072273 8 a variant of Win32/BitCoinMiner.W [ESET
bl 72C1FF7F3C7474850B11FC962EE1620C 119888
addsgn A76592CD0339CF9E275FDBB9EF951E8E589A7F0D888E22F1F9E7CD350CF275C517332B267A559DCAC78C0144330FC2EF7DEFA110D008BFA8A977A42F4E43C69B 64 BitcoinMiner
bl BCAF983AB27437913E76776F79B850C5 100864
addsgn A76592CC06E1117E882FAFC55798994035DAAF7DFCF24990511DC5BCD50DF88A7A62CDF63EF5742BAE40F0FBAE49B60582528D8ADC2AEB7270B5A82F4A720473 64 BitcoinMiner
bl 6F15C32334D2310ABF30187D6294EAF5 245795
addsgn A76592CC06E1117E882FAFC55798994035DAAF7DFCF2499039EBC7BCD50DF88A7A62CDF63E951F39AE40F0FBAE49B60582528D8ADC2AEB7270B5A82F4A720473 64 BitcoinMiner
bl A4AB86F07E4053A4FCC7AFC4CA3C14F2 27680
addsgn 0DF9BFCA156A43C5036E8CB164C8743EF4FFEEF93EB21DFB45C1FE76248617C9EA6233BC013318805FA80904461649FAC7FFE87255BC8BFD596F1E26C7062215 8 Html5
bl 15A729EC1AE1518A068B4A58B2CCCF8B 29256
addsgn A413624A052A4C7DBCDCC4933AA2105F43B10D83AFF9DD7732CB464572A2482AA6DEB6A6D54FF76975E6BF6E320423F323B9D38321D0B3EE22C0AC4942CF5795 8 HTml5Up
zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\UPDATE\EXPLORER.EXE
bl 2EBDA2D029C7D44E064F21845B520581 66048
addsgn 1A9B369A5583348CF42B627DA804DEC9E946307DC5DE1B8F44C0C5BC50A255C622940256BA95E907DC41879F46163C1578DFE872555714082D77A42F4AA20673 8 Trojan.BtcMine.125 [DrWeb]
bl 9CC5C24E0BCB282202C633F16402E3E1 795960
addsgn 1A06819A5583358CF42B627DA804DEC9E946303A4536D3F3D1E7C1371CF279BBE114C3573E20A1C229BA85EA681C898E5BE5897320FFBAC8596A65C7D73C6371 8 YandexUP
bl D100208BE33A77ADAE0C529302E3ED34 493952
addsgn 1AE7909A5583358CF42B254E3143FE86C99EAFC552AC940D8D4A9844D98B85C57EEBF8A44B4B7573D97F7BF550481AA92E8CBBFB65328BF1D28827EBD38DE49A 8 YandexUpdater
adddir %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\CP32
adddir %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\UPDATE
chklst
delvir
delref HTTP://G.UK.MSN.COM/HPALL/36
delref HTTP://WEBALTA.RU/SEARCH
delref HTTP://WEBALTER.NET
deltmp
delnfr
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83217017FF} /quiet
czoo
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
- в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например ZOO_2013-03-09_09-29-00.7z - это архив с вирусами, его нужно прислать на электронный адрес [email protected].
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.

Правильно заданный вопрос - это уже половина ответа

Перейти

Ошибка создания временного файла, Ошибка создания временного файла при обновлении

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 14.07.2013 18:50:55

Да, с ними беда:

Цитата
(!) Отсутствует временный каталог: С:\TEMP (!) Не удалось создать каталог: С:\TEMP (!) Отсутствует временный каталог: С:\TEMP (!) Не удалось создать каталог: С:\TEMP

Правильно заданный вопрос - это уже половина ответа

Перейти

UEFI и антивирус, Размышления чайника

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 13.07.2013 13:31:28

Да, знаю что у некоторые есть такие условия. Считаю их несправедливыми - вам ведь гарантию дают на железо, а не на софт.

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] В продолжение к предыдущей теме

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 13.07.2013 01:04:44

первая от обновлений системы
вторая от мусора мейл.ру который ставится с каким либо софтом (если галочки не убрать)

Правильно заданный вопрос - это уже половина ответа

Перейти

UEFI и антивирус, Размышления чайника

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 12.07.2013 13:30:35

Цитата
Anatoliy пишет: И что, дальше все будут переустанавливать весь этот до предела защищенный мусор?

к
кому мешают - те будут.
вам мешает, но вы не хотите с этим возиться. чьи это проблемы?
интересно на каком основании вы возвращаете ноутбук в магазин.

Правильно заданный вопрос - это уже половина ответа

Перейти

UEFI и антивирус, Размышления чайника

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 12.07.2013 12:50:17

я работаю в СЦ по ремонту ноутбуков. опыт переустановки Win8 имеется не маленький.
вам надо не восстанавливать систему с винта, а полностью ее переустановить. конечно если восстановить заводское состояние, то весь этот хлам снова всплывет. с этим мусором система в разы хуже работает. можно конечно все вручную поудалять, но это уже извращениею
сносите все разделы с LiveCD (включая рекавери) и переустанавливайте систему с диска, который можно скачать с интернета - официальную Win8x64 SL.

Правильно заданный вопрос - это уже половина ответа

Перейти

UEFI и антивирус, Размышления чайника

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 12.07.2013 12:01:25

UEFI как бы и не защищает от вирусов которые могут систему заразить. она, по идее, должна защищать от руткитов\буткитов, но новые образцы вирусов спокойно обходят этот UEFI и удачно все заражают
по поводу переустановки - должно все получиться. если хотите оставить свою лицензию и переустановить антивирус, то загрузитесь в Legacy режиме, посносите все разделы, перезагрузитсь, включите UEFI, Security Boot, загрузитесь с установочного диска Windows 8 x64 Single Language (наверняка у вас такая редакция стояла изначально), начните установку разметив разделы как вам нужно. 300 мб UEFI раздел сам создастся. ключ системы должен подхватиться автоматически из биоса.

Правильно заданный вопрос - это уже половина ответа

Перейти