Арвид (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

help

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 26.12.2011 18:14:12

да, его сейчас нету. а может сам файл есть, но опасности не представляет

Цитата
saaddy321 пишет: почему нод его не увидел?

вирь свежий

Правильно заданный вопрос - это уже половина ответа

Перейти

help

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 26.12.2011 17:46:29

это был вирус - Troyan.Maychok

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Оперативная память » explorer.exe - модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 26.12.2011 17:45:49

Цитата
chumadan пишет: Удалил все найденные объекты

а в логе этого не написано
если не удалили, то удалите все, кроме:

Цитата
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Цитата

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

После этого выполните рекомендации

Правильно заданный вопрос - это уже половина ответа

Перейти

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 26.12.2011 16:57:57

Запускаем uVS еще раз, только теперь меню Скрипт - Выполнить скрипт находящийся в буфере обмена
Вставляем текст скрипта:
Перед выполнением скрипта, закрыть браузеры!

Код
;uVS v3.73 script [http://dsrt.dyndns.org] delref HTTP://MAIL.RU/CNT/7993/ delref HTTP://WWW.MAIL.RU/CNT/5087 delref HTTP://WWW.MAIL.RU/CNT/5089 delref HTTP://WWW.MAIL.RU/CNT/7227 fixvbr C: 5 deltmp delnfr restart

Код

;uVS v3.73 script [http://dsrt.dyndns.org]

delref HTTP://MAIL.RU/CNT/7993/
delref HTTP://WWW.MAIL.RU/CNT/5087
delref HTTP://WWW.MAIL.RU/CNT/5089
delref HTTP://WWW.MAIL.RU/CNT/7227
fixvbr C: 5
deltmp
delnfr
restart

И жмем Выполнить. После выполнения скрипт - ПК перезагрузится.
После перезагрузки сделать лог Malwarebytes и выложить сюда. Можно сделать быструю проверку, а не полную.

Правильно заданный вопрос - это уже половина ответа

Перейти

winlogon.exe(696)--------Win32/Dorkbot

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 26.12.2011 00:43:28

Все чисто. Что с проблемой?

Правильно заданный вопрос - это уже половина ответа

Перейти

winlogon.exe(696)--------Win32/Dorkbot

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 25.12.2011 22:11:28

Удалить это:

Цитата
Зараженные файлы: c:\documents and settings\администратор\application data\9C.exe (Spyware.Password) -> No action taken. c:\documents and settings\администратор\application data\B087.exe (Spyware.Password) -> No action taken. c:\documents and settings\администратор\application data\10.exe (Spyware.Password) -> No action taken. c:\documents and settings\администратор\application data\25AA.exe (Spyware.Password) -> No action taken. c:\documents and settings\администратор\application data\13.exe (Spyware.Password) -> No action taken. c:\documents and settings\администратор\application data\356.exe (Spyware.Password) -> No action taken. c:\documents and settings\администратор\application data\C.exe (Spyware.Password) -> No action taken. c:\documents and settings\администратор\application data\372.exe (Spyware.Password) -> No action taken. c:\documents and settings\администратор\application data\60.exe (Spyware.Password) -> No action taken. c:\documents and settings\администратор\application data\63.exe (Spyware.Password) -> No action taken. c:\documents and settings\администратор\application data\64D.exe (Spyware.Password) -> No action taken. c:\documents and settings\администратор\application data\6B.exe (Spyware.Password) -> No action taken. c:\documents and settings\администратор\application data\6CD.exe (Spyware.Password) -> No action taken. c:\documents and settings\администратор\application data\8262.exe (Spyware.Password) -> No action taken. c:\documents and settings\администратор\application data\E4A.exe (Spyware.Password) -> No action taken. c:\documents and settings\администратор\application data\8.exe (Trojan.Downloader) -> No action taken. c:\WINDOWS\system32\10.scr (Trojan.Agent) -> No action taken. c:\WINDOWS\system32\41.exe (Trojan.FakeAlert) -> No action taken. c:\WINDOWS\logfile32.txt (Malware.Trace) -> No action taken.

Цитата

Зараженные файлы:
c:\documents and settings\администратор\application data\9C.exe (Spyware.Password) -> No action taken.
c:\documents and settings\администратор\application data\B087.exe (Spyware.Password) -> No action taken.
c:\documents and settings\администратор\application data\10.exe (Spyware.Password) -> No action taken.
c:\documents and settings\администратор\application data\25AA.exe (Spyware.Password) -> No action taken.
c:\documents and settings\администратор\application data\13.exe (Spyware.Password) -> No action taken.
c:\documents and settings\администратор\application data\356.exe (Spyware.Password) -> No action taken.
c:\documents and settings\администратор\application data\C.exe (Spyware.Password) -> No action taken.
c:\documents and settings\администратор\application data\372.exe (Spyware.Password) -> No action taken.
c:\documents and settings\администратор\application data\60.exe (Spyware.Password) -> No action taken.
c:\documents and settings\администратор\application data\63.exe (Spyware.Password) -> No action taken.
c:\documents and settings\администратор\application data\64D.exe (Spyware.Password) -> No action taken.
c:\documents and settings\администратор\application data\6B.exe (Spyware.Password) -> No action taken.
c:\documents and settings\администратор\application data\6CD.exe (Spyware.Password) -> No action taken.
c:\documents and settings\администратор\application data\8262.exe (Spyware.Password) -> No action taken.
c:\documents and settings\администратор\application data\E4A.exe (Spyware.Password) -> No action taken.
c:\documents and settings\администратор\application data\8.exe (Trojan.Downloader) -> No action taken.
c:\WINDOWS\system32\10.scr (Trojan.Agent) -> No action taken.
c:\WINDOWS\system32\41.exe (Trojan.FakeAlert) -> No action taken.
c:\WINDOWS\logfile32.txt (Malware.Trace) -> No action taken.

Перезагрузиться и сделать повторный лог

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Оперативная память » explorer.exe(1684) - модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа - очистка невозможна

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 25.12.2011 22:07:14

Код
;uVS v3.73 script [http://dsrt.dyndns.org] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\BEE6DDPRNT4.EXE bl 60F8F2CF95042E54CFF1B4A7125C15DD 171008 delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\BEE6DDPRNT4.EXE deltmp delnfr czoo restart

Код

;uVS v3.73 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\BEE6DDPRNT4.EXE
bl 60F8F2CF95042E54CFF1B4A7125C15DD 171008
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\BEE6DDPRNT4.EXE
deltmp
delnfr
czoo
restart

И жмем Выполнить. После выполнения скрипт - ПК перезагрузится.
В папке с программой UVS появится архив с сегодняшней датой\временем (без имени ПК) - его надо прислать на адрес [email protected]. Если архив не появился, то сами архивируем папку ZOO, ставим пароль virus и отправляем на адрес.
После перезагрузки сделать лог Malwarebytes и выложить сюда

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Лог сделал

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 25.12.2011 21:57:50

REFEREE,
вообще новую тему надо создавать

Запускаем uVS еще раз, только теперь меню Скрипт - Выполнить скрипт находящийся в буфере обмена
Вставляем текст скрипта:
Перед выполнением скрипта, закрыть браузеры!

Код
;uVS v3.73 script [http://dsrt.dyndns.org] delref HTTP://MAIL.RU/CNT/8179 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML bl A06D7B60BE9DC666C2BC9FD8A2B5FB77 150528 delall %SystemDrive%\DOCUMENTS AND SETTINGS\DEN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\JEEB5MYOUMM.EXE bl E2A08D903D25B50DFF62DA37B2DE68E0 166912 delall %SystemDrive%\DOCUMENTS AND SETTINGS\DEN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ZNUTYHTJZDY.EXE deltmp delnfr restart

Код

;uVS v3.73 script [http://dsrt.dyndns.org]

delref HTTP://MAIL.RU/CNT/8179
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
bl A06D7B60BE9DC666C2BC9FD8A2B5FB77 150528
delall %SystemDrive%\DOCUMENTS AND SETTINGS\DEN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\JEEB5MYOUMM.EXE
bl E2A08D903D25B50DFF62DA37B2DE68E0 166912
delall %SystemDrive%\DOCUMENTS AND SETTINGS\DEN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ZNUTYHTJZDY.EXE
deltmp
delnfr
restart

И жмем Выполнить. После выполнения скрипт - ПК перезагрузится.
После перезагрузки сделать лог Malwarebytes и выложить сюда

Изменено: Арвид - 25.12.2011 21:58:50

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Оперативная память » explorer.exe(1816) - модифицированный Win32/TrojanDownloader.Carberp.AF

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 25.12.2011 21:38:26

Цитата
Jenia111 пишет: Выполнил полное сканирование системы с помощью Live.CD и обнаружил кучу зараженных файлов вирусом – Win32/Expiro.NAB

а с помощью этого же диска лечить эти файлы не пробовали?

Правильно заданный вопрос - это уже половина ответа

Перейти

Оперативная память » explorer.exe(496) - модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа, помогите,что делать....

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 25.12.2011 21:29:47

Код
;uVS v3.73 script [http://dsrt.dyndns.org] delref HTTP://QIP.RU delref HTTP://QIP.RU/ delref HTTP://SEARCH.QIP.RU delref HTTP://WWW.MAIL.RU/CNT/5089 ; C:\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\HKGDRWUXMY0.EXE addsgn A7679B1BB9164F720B5FA305FA8A128EF4A12D7FDC264C5B544848F8AE298EC766CB4AD256A862B60851BF5D321E622AF44AA88FAA25E617E702A2A642AADC8C 8 Carberp zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\HKGDRWUXMY0.EXE bl C1195B5D58FF4F7229B744877C2855E3 169472 delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\HKGDRWUXMY0.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML deltmp delnfr czoo restart

Код

;uVS v3.73 script [http://dsrt.dyndns.org]

delref HTTP://QIP.RU
delref HTTP://QIP.RU/
delref HTTP://SEARCH.QIP.RU
delref HTTP://WWW.MAIL.RU/CNT/5089
; C:\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\HKGDRWUXMY0.EXE
addsgn A7679B1BB9164F720B5FA305FA8A128EF4A12D7FDC264C5B544848F8AE298EC766CB4AD256A862B60851BF5D321E622AF44AA88FAA25E617E702A2A642AADC8C 8 Carberp

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\HKGDRWUXMY0.EXE
bl C1195B5D58FF4F7229B744877C2855E3 169472
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\HKGDRWUXMY0.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
deltmp
delnfr
czoo
restart

Правильно заданный вопрос - это уже половина ответа

Перейти