Арвид (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] Вирус в оперативной памяти,очистка невозможна,что делать?

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 22.01.2012 20:33:41

gleb1328,
вообще нужно новую тему создавать со своей проблемой

Запускаем uVS еще раз, только теперь меню Скрипт - Выполнить скрипт находящийся в буфере обмена
Вставляем текст скрипта:
Перед выполнением скрипта, закрыть браузеры!

Код
;;uVS v3.73.1 script [http://dsrt.dyndns.org] delref HTTP://WEBALTA.RU delref HTTP://WEBALTA.RU/POISK delref HTTP://WWW.MAIL.RU/CNT/9514 zoo %SystemRoot%\APPPATCH\SKOBGPK.DAT zoo %SystemRoot%\APPPATCH\ATFXUIW.EXE bl 09F2961292181C5081E9C1422DA5CA46 251904 bl 204F8327D96878784AAF181CE76AA1C1 53248 delall %SystemRoot%\APPPATCH\ATFXUIW.EXE delall %SystemRoot%\APPPATCH\SKOBGPK.DAT deltmp delnfr regt 12 czoo restart

Код

;;uVS v3.73.1 script [http://dsrt.dyndns.org]

delref HTTP://WEBALTA.RU
delref HTTP://WEBALTA.RU/POISK
delref HTTP://WWW.MAIL.RU/CNT/9514
zoo %SystemRoot%\APPPATCH\SKOBGPK.DAT
zoo %SystemRoot%\APPPATCH\ATFXUIW.EXE
bl 09F2961292181C5081E9C1422DA5CA46 251904
bl 204F8327D96878784AAF181CE76AA1C1 53248
delall %SystemRoot%\APPPATCH\ATFXUIW.EXE
delall %SystemRoot%\APPPATCH\SKOBGPK.DAT
deltmp
delnfr
regt 12
czoo
restart

И жмем Выполнить. После выполнения скрипта - ПК перезагрузится.
В папке с программой UVS появится архив с сегодняшней датой\временем (без имени ПК) - его надо прислать на адрес [email protected]. Если архив не появился, то сами архивируем папку ZOO, ставим пароль virus и отправляем на адрес.
После перезагрузки сделать лог Malwarebytes и выложить сюда. Можно сделать быструю проверку, а не полную.

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Оперативная память - > svchost.exe(1032) - модифицированный Win32/Dorkbot.A червь - очистка невозможна

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 22.01.2012 20:17:14

Запускаем uVS еще раз, только теперь меню Скрипт - Выполнить скрипт находящийся в буфере обмена
Вставляем текст скрипта:
Перед выполнением скрипта, закрыть браузеры!

Код
;;uVS v3.73.1 script [http://dsrt.dyndns.org] delref HTTP://MAIL.RU/CNT/7993/ delref HTTP://WWW.MAIL.RU/CNT/5087 zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\ZABERG.EXE bl EE19D0D79E7C0BB8808D206AE928862E 23040 delall %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\ZABERG.EXE deltmp delnfr regt 12 czoo restart

Код

;;uVS v3.73.1 script [http://dsrt.dyndns.org]

delref HTTP://MAIL.RU/CNT/7993/
delref HTTP://WWW.MAIL.RU/CNT/5087
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\ZABERG.EXE
bl EE19D0D79E7C0BB8808D206AE928862E 23040
delall %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\ZABERG.EXE
deltmp
delnfr
regt 12
czoo
restart

Правильно заданный вопрос - это уже половина ответа

Перейти

Оперативная память - модифицированный Win32/Dorkbot.B червь - очистка невозможна

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 22.01.2012 20:03:48

Код
;;uVS v3.73.1 script [http://dsrt.dyndns.org] addsgn A7679B1BB9664E720BBC42F124C878044F8A03E395CA5F780C463141AF298E590B27835703E29D492BF5A4F7D20749FAF65A1C8FAA25E0D33833946FC73B2072 16 Dorkbot addsgn 9252777A156AC1CC0BE4514E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5FC202ADA4D985CC8F 8 a variant of Win32/Kryptik.WCH [NOD32] addsgn 1A0F8965AA598C225B84FE59DAE31205E6DCAB7DF5DE13F374480A356E3EA1EBDCE84A1136DCCB45A00798934616C0BC6D8063B40B18B42CA6B62F274C563248 31 Vir addsgn 71D1035A176A4D04305DA3EEA48A128C38A03CB48979E687FACD48892016334CAA114A0B1A8D7655A28D4B5F0416C811AADFE872D2EF88EC6F77632A7CC66073 16 Win32.Carberp.cno [Kaspersky] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\SPNUNM.EXE addsgn 1A0F8965AA598C225B84FE59DAE31205E6DCAB7DF5DE13F374480A356E3EA1EBDCE84A1136DCCB45A00798934616C0BC6D8063B40B18B42CA6B62F274C563248 16 variant of Win32/HiddenStart.A [NOD32 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\START MENU\PROGRAMS\STARTUP\XD.EXE addsgn A7679BF0AA02AC994DD4C67DF68C1261848AFCF689AA7BF1A0C3C5BC50559D6C704194DE5BBD1E2CD780EE9EB9030D993BDFB1F158AE82652D882722BF346B73 16 a variant of Win32/BitCoinMiner [NOD32] bl 4E9EEEA67DB4C22135935A670AA0396B 8704 bl 12E82E2D7B5812BC5F1C3C9013C1687E 197632 bl F5C9108548254059591C9B9C8C63B51F 373883 bl 08CFB6F412452011A157BDEEDF147F85 1046016 zoo %Sys32%\LINKDEL.CMD delall %Sys32%\LINKDEL.CMD delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\REGSRV32.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\SPNUNM.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\START MENU\PROGRAMS\STARTUP\XD.EXE delall %Sys32%\MYUNINST.EXE delall %SystemRoot%\TEMP\WINLOGO.EXE delall %SystemRoot%\TEMP\RTKBTMNT.EXE chklst delvir deltmp delnfr regt 14 regt 12 czoo restart

Код

;;uVS v3.73.1 script [http://dsrt.dyndns.org]

addsgn A7679B1BB9664E720BBC42F124C878044F8A03E395CA5F780C463141AF298E590B27835703E29D492BF5A4F7D20749FAF65A1C8FAA25E0D33833946FC73B2072 16 Dorkbot
addsgn 9252777A156AC1CC0BE4514E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5FC202ADA4D985CC8F 8 a variant of Win32/Kryptik.WCH [NOD32]
addsgn 1A0F8965AA598C225B84FE59DAE31205E6DCAB7DF5DE13F374480A356E3EA1EBDCE84A1136DCCB45A00798934616C0BC6D8063B40B18B42CA6B62F274C563248 31 Vir
addsgn 71D1035A176A4D04305DA3EEA48A128C38A03CB48979E687FACD48892016334CAA114A0B1A8D7655A28D4B5F0416C811AADFE872D2EF88EC6F77632A7CC66073 16 Win32.Carberp.cno [Kaspersky]
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\SPNUNM.EXE
addsgn 1A0F8965AA598C225B84FE59DAE31205E6DCAB7DF5DE13F374480A356E3EA1EBDCE84A1136DCCB45A00798934616C0BC6D8063B40B18B42CA6B62F274C563248 16 variant of Win32/HiddenStart.A [NOD32
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\START MENU\PROGRAMS\STARTUP\XD.EXE
addsgn A7679BF0AA02AC994DD4C67DF68C1261848AFCF689AA7BF1A0C3C5BC50559D6C704194DE5BBD1E2CD780EE9EB9030D993BDFB1F158AE82652D882722BF346B73 16 a variant of Win32/BitCoinMiner [NOD32]
bl 4E9EEEA67DB4C22135935A670AA0396B 8704
bl 12E82E2D7B5812BC5F1C3C9013C1687E 197632
bl F5C9108548254059591C9B9C8C63B51F 373883
bl 08CFB6F412452011A157BDEEDF147F85 1046016
zoo %Sys32%\LINKDEL.CMD
delall %Sys32%\LINKDEL.CMD
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\REGSRV32.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\SPNUNM.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\START MENU\PROGRAMS\STARTUP\XD.EXE
delall %Sys32%\MYUNINST.EXE
delall %SystemRoot%\TEMP\WINLOGO.EXE
delall %SystemRoot%\TEMP\RTKBTMNT.EXE
chklst
delvir
deltmp
delnfr
regt 14
regt 12
czoo
restart

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Оперативная память - > svchost.exe(1032) - модифицированный Win32/Dorkbot.A червь - очистка невозможна

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 22.01.2012 19:33:06

Сделайте лог uVS
http://forum.esetnod32.ru/forum9/topic2687/

Правильно заданный вопрос - это уже половина ответа

Перейти

Переход с одного антивируса на другой, Переход

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 22.01.2012 19:28:21

а чем этот Titan отличается от ESS знаете?

Правильно заданный вопрос - это уже половина ответа

Перейти

Оперативная память » svchost.exe(1672) - модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа - очистка невозможна.

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 22.01.2012 18:54:43

лог Malwarebytes сделайте. чет везде чисто

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Оперативная память » explorer.exe(304) - модифицированный Win32/Spy.Shiz.NCE троянская программа - очистка невозможна

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 22.01.2012 18:47:24

Чисто. Выполните рекомендации

Правильно заданный вопрос - это уже половина ответа

Перейти

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 22.01.2012 18:07:57

Как создать лог журнала обнаруженных угроз?
это также сделать

Правильно заданный вопрос - это уже половина ответа

Перейти

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 22.01.2012 18:07:17

Код
;;uVS v3.73.1 script [http://dsrt.dyndns.org] deltmp delnfr restart

И жмем Выполнить. После выполнения скрипта - ПК перезагрузится.
После перезагрузки сделайте лог программой TDSSkiller. Ничего оттуда не удалять. Лог будет лежать в корне системного раздела (обычно диск С).

Изменено: Арвид - 22.01.2012 18:07:40

Правильно заданный вопрос - это уже половина ответа

Перейти

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 22.01.2012 17:52:42

Код
;;uVS v3.73.1 script [http://dsrt.dyndns.org] zoo %SystemRoot%\APPPATCH\KTXEOYD.EXE bl 0D2085191A2FD5FC61CE633AEE1C0513 251904 delall %SystemRoot%\APPPATCH\KTXEOYD.EXE deltmp delnfr regt 12 czoo restart

Код

;;uVS v3.73.1 script [http://dsrt.dyndns.org]

zoo %SystemRoot%\APPPATCH\KTXEOYD.EXE
bl 0D2085191A2FD5FC61CE633AEE1C0513 251904
delall %SystemRoot%\APPPATCH\KTXEOYD.EXE
deltmp
delnfr
regt 12
czoo
restart

Правильно заданный вопрос - это уже половина ответа

Перейти