Арвид (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] JS/Kryptik.AME, выскакивает переодически при посещении сайта

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 12.07.2013 11:16:59

сайт действительно заражен

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] JS/Kryptik.AME, выскакивает переодически при посещении сайта

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 12.07.2013 00:05:03

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);

Код
;;uVS v3.80.12 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 ; Java(TM) 6 Update 26 exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216026FF} /quiet ; Java(TM) SE Development Kit 6 Update 26 exec MsiExec.exe /I{32A3A4F4-B792-11D6-A78A-00B0D0160260} /quiet ; Java DB 10.6.2.1 exec MsiExec.exe /X{73EC658D-A1C6-40CA-8E86-E05821BAACE7} /quiet deltmp delnfr delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\LOCAL SETTINGS\TEMP\131A2CBC12.SYS delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\LOCAL SETTINGS\TEMP\131F61ABB3.SYS restart

Код

;;uVS v3.80.12 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

; Java(TM) 6 Update 26
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216026FF} /quiet
; Java(TM) SE Development Kit 6 Update 26
exec MsiExec.exe /I{32A3A4F4-B792-11D6-A78A-00B0D0160260} /quiet
; Java DB 10.6.2.1
exec MsiExec.exe /X{73EC658D-A1C6-40CA-8E86-E05821BAACE7} /quiet
deltmp
delnfr
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\LOCAL SETTINGS\TEMP\131A2CBC12.SYS
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\LOCAL SETTINGS\TEMP\131F61ABB3.SYS
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] JS/Kryptik.AME, выскакивает переодически при посещении сайта

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 11.07.2013 22:11:09

Сделайте лог uVS

Правильно заданный вопрос - это уже половина ответа

Перейти

Оперативная память = C:\PROGRA~3\Mozilla\efiioam.dll очистка невозможна, Вирус в оперативной памяти

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 11.07.2013 13:55:48

Лог Мбам сюда прикрепите

Правильно заданный вопрос - это уже половина ответа

Перейти

Оперативная память = C:\PROGRA~3\Mozilla\efiioam.dll очистка невозможна, Вирус в оперативной памяти

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 11.07.2013 13:46:06

Выполняйте что дальше написано

Правильно заданный вопрос - это уже половина ответа

Перейти

Оперативная память = C:\PROGRA~3\Mozilla\efiioam.dll очистка невозможна, Вирус в оперативной памяти

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 11.07.2013 13:25:06

Код
;;uVS v3.80.12 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 zoo %SystemDrive%\PROGRAMDATA\MOZILLA\EFIIOAM.DLL bl 3FE6297B2B86B7F8E22D01EE39308AD1 52224 bl 68AF1C01341DA23A1D01FC487FEA8B6B 1582976 addsgn 1AA78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 Praetor bl 9538EB8399520C837DF7725C62D22B6A 1608736 addsgn 1A16FB9A5583C58CF42B254E3143FE86C99A5DCA49AE1F4B404A8040DB83691F10CC95000586E356A0C590148C5F71E209D7A8499EAF46AFE4882FEDECC76A48 8 MailUpD zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\SEARCHINDEXER\DESKTOPSEARCHSERVICE.EXE bl 84B154B168AA77F1135084DEC73F6F17 1642496 addsgn 9204779A556A11225ADB6446B654E5D72A4017F9301110C06EC47C575F469A44DEFCC8A5D5A076BFD96B8C62ADFFBA11992301EF5A133BE6DAA6FD7797572DB9 8 BitcoinMiner bl D5AEE350B993766E03F6BC38D2AC81D2 506752 addsgn 1A5FD09A5583358CF42B254E3143FE865886FC8282903222E34AD43F91D48694759C3264ECA2E841A87A8DE943958BAD96DC6BB065BC393D6C3621EFB0E311B3 8 YandexUPD bl 0FA0BBB0CB84246F82E8953EDFEBE458 493440 addsgn 1AE7909A5583358CF42B254E3143FE86C99EAFC552AC940D8D4A9844D98B85C57EEBF8A44B4B7573D97F7BF550481AA92E8CBBFB65328BF1D28827EBD38DE49A 8 YandexUpdater addsgn A7679B19B9421A9A7F2B514EC7D87E45252BEC9AC9FA4F9041C1C5BCD31275C566F3481ADA04759C2980841C8212EAE6119FE8B550FADC6C2D77A42FC78D3753 8 MoizlaEXE zoo %SystemDrive%\PROGRAMDATA\MOZILLA\FMFVUYD.EXE bl AFCFA1C5A7E2AA0D5975E186DDF11D38 249864 adddir %SystemDrive%\USERS\USER\APPDATA\ROAMING\SEARCHINDEXER adddir %SystemDrive%\PROGRAMDATA\MOZILLA delref %SystemDrive%\PROGRAMDATA\MOZILLA\EFIIOAM.DLL chklst delvir deltmp delnfr delref %SystemDrive%\PROGRAMDATA\MOZILLA\EFIIOAM.DLL.LOG delref HTTP://WEBALTA.RU/SEARCH delref HTTP://WWW.MAIL.RU/CNT/9516 delref HTTP://XTREME.WS/ bl 5B3345909519932D6670D92F16496463 11 delall %SystemDrive%\PROGRAM FILES (X86)\MAIL.RU\GUARD\GUARDMAILRU.EXE ; Java 7 Update 17 (64-bit) exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F86417017FF} /quiet ; Java(TM) 6 Update 31 exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216031FF} /quiet ; Java 7 Update 21 exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83217017FF} /quiet czoo restart

Код

;;uVS v3.80.12 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

zoo %SystemDrive%\PROGRAMDATA\MOZILLA\EFIIOAM.DLL
bl 3FE6297B2B86B7F8E22D01EE39308AD1 52224
bl 68AF1C01341DA23A1D01FC487FEA8B6B 1582976
addsgn 1AA78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 Praetor
bl 9538EB8399520C837DF7725C62D22B6A 1608736
addsgn 1A16FB9A5583C58CF42B254E3143FE86C99A5DCA49AE1F4B404A8040DB83691F10CC95000586E356A0C590148C5F71E209D7A8499EAF46AFE4882FEDECC76A48 8 MailUpD
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\SEARCHINDEXER\DESKTOPSEARCHSERVICE.EXE
bl 84B154B168AA77F1135084DEC73F6F17 1642496
addsgn 9204779A556A11225ADB6446B654E5D72A4017F9301110C06EC47C575F469A44DEFCC8A5D5A076BFD96B8C62ADFFBA11992301EF5A133BE6DAA6FD7797572DB9 8 BitcoinMiner
bl D5AEE350B993766E03F6BC38D2AC81D2 506752
addsgn 1A5FD09A5583358CF42B254E3143FE865886FC8282903222E34AD43F91D48694759C3264ECA2E841A87A8DE943958BAD96DC6BB065BC393D6C3621EFB0E311B3 8 YandexUPD
bl 0FA0BBB0CB84246F82E8953EDFEBE458 493440
addsgn 1AE7909A5583358CF42B254E3143FE86C99EAFC552AC940D8D4A9844D98B85C57EEBF8A44B4B7573D97F7BF550481AA92E8CBBFB65328BF1D28827EBD38DE49A 8 YandexUpdater
addsgn A7679B19B9421A9A7F2B514EC7D87E45252BEC9AC9FA4F9041C1C5BCD31275C566F3481ADA04759C2980841C8212EAE6119FE8B550FADC6C2D77A42FC78D3753 8 MoizlaEXE
zoo %SystemDrive%\PROGRAMDATA\MOZILLA\FMFVUYD.EXE
bl AFCFA1C5A7E2AA0D5975E186DDF11D38 249864
adddir %SystemDrive%\USERS\USER\APPDATA\ROAMING\SEARCHINDEXER
adddir %SystemDrive%\PROGRAMDATA\MOZILLA
delref %SystemDrive%\PROGRAMDATA\MOZILLA\EFIIOAM.DLL
chklst
delvir
deltmp
delnfr
delref %SystemDrive%\PROGRAMDATA\MOZILLA\EFIIOAM.DLL.LOG
delref HTTP://WEBALTA.RU/SEARCH
delref HTTP://WWW.MAIL.RU/CNT/9516
delref HTTP://XTREME.WS/
bl 5B3345909519932D6670D92F16496463 11
delall %SystemDrive%\PROGRAM FILES (X86)\MAIL.RU\GUARD\GUARDMAILRU.EXE
; Java 7 Update 17 (64-bit)
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F86417017FF} /quiet
; Java(TM) 6 Update 31
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216031FF} /quiet
; Java 7 Update 21
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83217017FF} /quiet
czoo
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
- в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например ZOO_2013-03-09_09-29-00.7z - это архив с вирусами, его нужно прислать на электронный адрес [email protected].

- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.

Правильно заданный вопрос - это уже половина ответа

Перейти

Оперативная память = C:\PROGRA~3\Mozilla\efiioam.dll очистка невозможна, Вирус в оперативной памяти

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 11.07.2013 13:12:38

можно и так

Правильно заданный вопрос - это уже половина ответа

Перейти

Оперативная память = C:\PROGRA~3\Mozilla\efiioam.dll очистка невозможна, Вирус в оперативной памяти

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 11.07.2013 13:00:32

Сделайте лог uVS

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Помогите пожалуйста., Ошибка при удалении.

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 10.07.2013 21:46:40

Здравствуйте!

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);

Код
;;uVS v3.80.12 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 bl 456AF036C6282252297DBA9B5F217064 2312224 delall %SystemDrive%\PROGRAM FILES (X86)\SWEETIM\COMMUNICATOR\SWEETPACKSUPDATEMANAGER.EXE exec MsiExec.exe /X{A0C9DF2B-89B5-4483-8983-18A68200F1B4} exec MsiExec.exe /X{0C43FE6B-E881-4AFC-B384-4AEBC90047E8} bl 0A61A3ACE26CA4FC637BC8AF8C05CC00 115032 delall %SystemDrive%\PROGRAM FILES (X86)\SWEETIM\MESSENGER\SWEETIM.EXE delall %SystemDrive%\PROGRAM FILES (X86)\MAIL.RU\GUARD\GUARDMAILRU.EXE ; Java(TM) 6 Update 23 (64-bit) exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F86416023FF} /quiet ; Java 7 Update 13 exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83217013FF} /quiet ; Internet Explorer Toolbar 4.6 by SweetPacks exec MsiExec.exe /X{C3E85EE9-5892-4142-B537-BCEB3DAC4C3D} /quiet delref HTTP://MAIL.RU/CNT/7993/ delref HTTP://WEBALTA.RU/SEARCH delref HTTP://HOME.SWEETIM.COM/?ST=17&BARID={DEB2F244-6943-11E2-9ADE-C8600028506E} delref HTTP://YAMBLER.NET/?IM deltmp delnfr czoo restart

Код

;;uVS v3.80.12 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

bl 456AF036C6282252297DBA9B5F217064 2312224
delall %SystemDrive%\PROGRAM FILES (X86)\SWEETIM\COMMUNICATOR\SWEETPACKSUPDATEMANAGER.EXE
exec MsiExec.exe /X{A0C9DF2B-89B5-4483-8983-18A68200F1B4}
exec MsiExec.exe /X{0C43FE6B-E881-4AFC-B384-4AEBC90047E8}
bl 0A61A3ACE26CA4FC637BC8AF8C05CC00 115032
delall %SystemDrive%\PROGRAM FILES (X86)\SWEETIM\MESSENGER\SWEETIM.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\MAIL.RU\GUARD\GUARDMAILRU.EXE
; Java(TM) 6 Update 23 (64-bit)
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F86416023FF} /quiet
; Java 7 Update 13
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83217013FF} /quiet
; Internet Explorer Toolbar 4.6 by SweetPacks
exec MsiExec.exe /X{C3E85EE9-5892-4142-B537-BCEB3DAC4C3D} /quiet
delref HTTP://MAIL.RU/CNT/7993/
delref HTTP://WEBALTA.RU/SEARCH
delref HTTP://HOME.SWEETIM.COM/?ST=17&BARID={DEB2F244-6943-11E2-9ADE-C8600028506E}
delref HTTP://YAMBLER.NET/?IM
deltmp
delnfr
czoo
restart

Правильно заданный вопрос - это уже половина ответа

Перейти

win32/dorkbot.b червь, не удаляется

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 10.07.2013 11:01:19

документация к программе лежит в папке Doc

по второму больному:

Код
;uVS v3.80.12 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USERXP\APPLICATION DATA\MICROSOFT\KPKMKW.EXE bl 78ADE234A5F468EB52E400808660B791 140800 addsgn 1AA3689A5583C58CF42B254E3143FE865882FC82A4056A70EFC33A89203C314CDC02F7C77E5518895E98D277BA1249FAF62F1767594AF02C7D9F082BC7067BFA 8 DorkBot zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USERXP\APPLICATION DATA\MICROSOFT\VDOBC\VDOBC.EXE adddir %SystemDrive%\DOCUMENTS AND SETTINGS\USERXP\APPLICATION DATA adddir %SystemDrive%\DOCUMENTS AND SETTINGS\USERXP\APPLICATION DATA\MICROSOFT chklst delvir deltmp delnfr delref HTTP://GO.MAIL.RU/SEARCH?FR=FFTB&Q= czoo restart

Код

;uVS v3.80.12 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USERXP\APPLICATION DATA\MICROSOFT\KPKMKW.EXE
bl 78ADE234A5F468EB52E400808660B791 140800
addsgn 1AA3689A5583C58CF42B254E3143FE865882FC82A4056A70EFC33A89203C314CDC02F7C77E5518895E98D277BA1249FAF62F1767594AF02C7D9F082BC7067BFA 8 DorkBot
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USERXP\APPLICATION DATA\MICROSOFT\VDOBC\VDOBC.EXE
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\USERXP\APPLICATION DATA
adddir %SystemDrive%\DOCUMENTS AND SETTINGS\USERXP\APPLICATION DATA\MICROSOFT
chklst
delvir
deltmp
delnfr
delref HTTP://GO.MAIL.RU/SEARCH?FR=FFTB&Q=
czoo
restart

После этого на каждом ПК выполнить проверку в Мбам

Правильно заданный вопрос - это уже половина ответа

Перейти