Арвид (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

17.12.2011 20:58:24 МодулОперативная память » explorer.exe(1392) модифицированный Win32/Spy.Shiz.NCE троянская программа - очистка невозможна

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 17.12.2011 21:32:38

Для очистки ключа запуска выполните еще скрипт:

Цитата
;uVS v3.73 script [http://dsrt.dyndns.org] regt 12

Правильно заданный вопрос - это уже половина ответа

Перейти

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 17.12.2011 21:22:54

Запускаем uVS еще раз, только теперь меню Скрипт - Выполнить скрипт находящийся в буфере обмена
Вставляем текст скрипта:
Перед выполнением скрипта, закрыть браузеры!

Код
;uVS v3.73 script [http://dsrt.dyndns.org] delall %SystemDrive%\DOCUMENTS AND SETTINGS\ПОЛИНА\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\_UNINST_18307183.LNK bl E16A0F90495E8EBC76C85F8E6AB6A4F9 258560 delall %SystemRoot%\APPPATCH\HKTBIDP.EXE deltmp delnfr restart

Код

;uVS v3.73 script [http://dsrt.dyndns.org]

delall %SystemDrive%\DOCUMENTS AND SETTINGS\ПОЛИНА\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\_UNINST_18307183.LNK
bl E16A0F90495E8EBC76C85F8E6AB6A4F9 258560
delall %SystemRoot%\APPPATCH\HKTBIDP.EXE
deltmp
delnfr
restart

И жмем Выполнить. ПК перезагрузится.

Правильно заданный вопрос - это уже половина ответа

Перейти

Какой режим файервола поставить?автоматический или интерактивный?, р

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 17.12.2011 20:49:52

Интерактивный. Чтобы можно было контролировать выход в сеть всех приложений

Правильно заданный вопрос - это уже половина ответа

Перейти

прекращена работа программы проводник, помогите!!!

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 17.12.2011 17:45:34

Вот в этом spyware process detector наверное и была проблема основная.

Цитата
edgar пишет: удалил заражённые объекты

Точно удалили? Если нет, то удаляйте, перезагружайтесь и сделайте повторный лог

Правильно заданный вопрос - это уже половина ответа

Перейти

прекращена работа программы проводник, помогите!!!

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 17.12.2011 17:03:38

Код
;uVS v3.73 script [http://dsrt.dyndns.org] ; C:\WINDOWS\SDEAA.SYS addsgn A76D8B9A556ACC01098C6DE98C2EEDFADA8EF9F288FA1E909443C5BC29BF08651A3EC132C0123288D2B9BDE62F6F60C354DDDDC9DCF71149D13EC2518E605ECC 8 Rootkit.SYS delref HTTP://START.FACEMOODS.COM/?A=FALCO&F=2 delref HTTP://START.TICNO.COM deltmp delnfr regt 1 regt 2 regt 3 regt 13 regt 12 regt 18 regt 17 sreg delref %SystemRoot%\SDEAA.SYS areg

Код

;uVS v3.73 script [http://dsrt.dyndns.org]

; C:\WINDOWS\SDEAA.SYS
addsgn A76D8B9A556ACC01098C6DE98C2EEDFADA8EF9F288FA1E909443C5BC29BF08651A3EC132C0123288D2B9BDE62F6F60C354DDDDC9DCF71149D13EC2518E605ECC 8 Rootkit.SYS

delref HTTP://START.FACEMOODS.COM/?A=FALCO&F=2
delref HTTP://START.TICNO.COM
deltmp
delnfr
regt 1
regt 2
regt 3
regt 13
regt 12
regt 18
regt 17
sreg
delref %SystemRoot%\SDEAA.SYS
areg

И жмем Выполнить. ПК перезагрузится.
После перезагрузки пробуем обычную загрузку. Если удачно, то сделать лог Malwarebytes и выложить сюда

Правильно заданный вопрос - это уже половина ответа

Перейти

прекращена работа программы проводник, помогите!!!

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 17.12.2011 16:32:07

попробуйте в безопасном режиме сделать лог uVS
http://forum.esetnod32.ru/forum9/topic2687/

Правильно заданный вопрос - это уже половина ответа

Перейти

Оперативная память » explorer.exe(268) - модифицированный Win32/Spy.Shiz.NCE троянская программа - очистка невозможна

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 17.12.2011 12:18:23

Цитата
En2y пишет: отправил фаил без расширения

если он весит 260 кб, то правильно сделали

Выполните рекомендации с этой страницы - http://forum.esetnod32.ru/forum9/topic751/

Правильно заданный вопрос - это уже половина ответа

Перейти

Оперативная память » explorer.exe(268) - модифицированный Win32/Spy.Shiz.NCE троянская программа - очистка невозможна

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 17.12.2011 11:44:07

Код
;uVS v3.73 script [http://dsrt.dyndns.org] ; C:\WINDOWS\APPPATCH\DWTBGBV.EXE addsgn A7679B19B9321B24B57162B164A06E66608AA2774F74F37B85953AA940E6344C80AE921E3EEDCE492B800F6F10AE5AFA7DDF63BA04B26D2C2D77FF7C78F52273 16 Spy.Shiz zoo %SystemRoot%\APPPATCH\DWTBGBV.EXE bl 670AF259BF7BA1C0F1D9F6D726C46AD9 261632 delall %SystemRoot%\APPPATCH\DWTBGBV.EXE delref HTTP://WWW.ZVERCD.COM delall %SystemDrive%\DART.BAT regt 2 regt 1 regt 3 regt 13 regt 14 regt 12 regt 18 regt 17 czoo deltmp delnfr restart

Код

;uVS v3.73 script [http://dsrt.dyndns.org]

; C:\WINDOWS\APPPATCH\DWTBGBV.EXE
addsgn A7679B19B9321B24B57162B164A06E66608AA2774F74F37B85953AA940E6344C80AE921E3EEDCE492B800F6F10AE5AFA7DDF63BA04B26D2C2D77FF7C78F52273 16 Spy.Shiz

zoo %SystemRoot%\APPPATCH\DWTBGBV.EXE
bl 670AF259BF7BA1C0F1D9F6D726C46AD9 261632
delall %SystemRoot%\APPPATCH\DWTBGBV.EXE
delref HTTP://WWW.ZVERCD.COM
delall %SystemDrive%\DART.BAT
regt 2
regt 1
regt 3
regt 13
regt 14
regt 12
regt 18
regt 17
czoo
deltmp
delnfr
restart

И жмем Выполнить. ПК перезагрузится.
В папке с программой UVS появится архив с сегодняшней датой\временем (без имени ПК) - его надо прислать на адрес [email protected]

Правильно заданный вопрос - это уже половина ответа

Перейти

win32/Dorkbot.B

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 17.12.2011 00:25:42

попробуйте в Безопасном режиме сделать новый лог программы

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] ПОМОГИТЕ ПОЖАЛУЙСТА!

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 17.12.2011 00:24:50

удалить эти записи:

Цитата
Зараженные файлы: c:\Windows\System32\reotspnwy.dll (Riskware.HideWindow) -> No action taken. c:\Windows\SysWOW64\reotspnwy.dll (Riskware.HideWindow) -> No action taken.

перезагрузиться. попробовать установить антивирус

Правильно заданный вопрос - это уже половина ответа

Перейти