Арвид (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

угроза в памяти svchost.exe (3672) модифицированный win32/Injector.AFFI

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 17.06.2013 10:10:55

Здравствуйте!

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);

Код
;;uVS v3.80.5 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 delall %SystemDrive%\USERS\РАБОТА\APPDATA\ROAMING\SCREENSAVERPRO.SCR delall %SystemDrive%\USERS\РАБОТА\APPDATA\ROAMING\MICROSOFT\UBUMUG.EXE ; Java(TM) 6 Update 3 exec MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030} /quiet deltmp delnfr delref HTTP://ASUS.MSN.COM delref HTTP://ASUS.MSN.COM/ restart

Код

;;uVS v3.80.5 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

delall %SystemDrive%\USERS\РАБОТА\APPDATA\ROAMING\SCREENSAVERPRO.SCR
delall %SystemDrive%\USERS\РАБОТА\APPDATA\ROAMING\MICROSOFT\UBUMUG.EXE
; Java(TM) 6 Update 3
exec MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030} /quiet
deltmp
delnfr
delref HTTP://ASUS.MSN.COM
delref HTTP://ASUS.MSN.COM/
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] модифицированный Win32/SpyVoltar.A троянская программа

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 16.06.2013 20:54:12

все чисто. Выполните рекомендации

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] модифицированный Win32/SpyVoltar.A троянская программа

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 16.06.2013 20:06:05

Код
;;uVS v3.80.5 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 bl C9C3DCA5C7AFDC14217F8635BB80BAAD 29256 addsgn A413624A052A4C7DBCDCC4933AA2105F43B10D83AFF9DD7732CB464572A2482AA6DEB6A6D54FF76975E6BF6E320423F323B9D38321D0B3EE22C0AC4942CF5795 8 HTml5Up bl 7AAAA2B53F077D9097AD8DF82BE9A9C7 29696 addsgn 1AB6749A55837A8FF42B25F540CC9905A4B29F85E41A6A5206BBD5BF25F2FA0C372AE352AD4CE95C16A1810C5F6247C75FDA7B6B21DD8D2C6DEEA55AC2EE9370 8 VOltar zoo %SystemDrive%\USERS\РЕГИНА\APPDATA\LOCAL\TEMP\3FBC3.EXE bl D33A833C5D367C866794F24F2FEC1815 163840 delall %SystemDrive%\USERS\РЕГИНА\APPDATA\LOCAL\TEMP\3FBC3.EXE chklst delvir bl 5B3345909519932D6670D92F16496463 11 delall %SystemDrive%\PROGRAM FILES (X86)\MAIL.RU\GUARD\GUARDMAILRU.EXE ; Java(TM) 6 Update 20 (64-bit) exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F86416020FF} /quiet ; Java(TM) 6 Update 26 exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216020FF} /quiet deltmp delnfr czoo restart

Код

;;uVS v3.80.5 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

bl C9C3DCA5C7AFDC14217F8635BB80BAAD 29256
addsgn A413624A052A4C7DBCDCC4933AA2105F43B10D83AFF9DD7732CB464572A2482AA6DEB6A6D54FF76975E6BF6E320423F323B9D38321D0B3EE22C0AC4942CF5795 8 HTml5Up
bl 7AAAA2B53F077D9097AD8DF82BE9A9C7 29696
addsgn 1AB6749A55837A8FF42B25F540CC9905A4B29F85E41A6A5206BBD5BF25F2FA0C372AE352AD4CE95C16A1810C5F6247C75FDA7B6B21DD8D2C6DEEA55AC2EE9370 8 VOltar
zoo %SystemDrive%\USERS\РЕГИНА\APPDATA\LOCAL\TEMP\3FBC3.EXE
bl D33A833C5D367C866794F24F2FEC1815 163840
delall %SystemDrive%\USERS\РЕГИНА\APPDATA\LOCAL\TEMP\3FBC3.EXE
chklst
delvir
bl 5B3345909519932D6670D92F16496463 11
delall %SystemDrive%\PROGRAM FILES (X86)\MAIL.RU\GUARD\GUARDMAILRU.EXE
; Java(TM) 6 Update 20 (64-bit)
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F86416020FF} /quiet
; Java(TM) 6 Update 26
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216020FF} /quiet
deltmp
delnfr
czoo
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
- в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например ZOO_2013-03-09_09-29-00.7z - это архив с вирусами, его нужно прислать на электронный адрес [email protected].
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] модифицированный Win32/SpyVoltar.A троянская программа

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 16.06.2013 19:28:38

Сделайте лог uVS

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Бета версии 7-го поколения продуктов ESET

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 16.06.2013 19:10:44

осенью-зимой скорее всего

Правильно заданный вопрос - это уже половина ответа

Перейти

Проблема с компьютером., Произошла одна проблема после использования программы uvs_v380.

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 16.06.2013 18:52:50

делайте новый образ автозапуска и пробуйте на другую флешку его кинуть

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Обнаружен эксплойт

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 16.06.2013 14:47:51

Код
;;uVS v3.80.3 script [http://dsrt.dyndns.org] ;Target OS: NTv6.2 delref HTTP://ACER13.MSN.COM delref HTTP://GO.MAIL.RU/SEARCH?FR=FFTB&Q= delref HTTP://WWW.MAIL.RU/CNT/5089 delref HTTP://WWW.MAIL.RU/CNT/9516 delref HTTP://YANDEX.RU/YANDSEARCH?STYPE=FIRST&CLID=1874797&TEXT= delref HTTP://YANDEX.RU/YANDSEARCH?WIN=53&CLID=1989710&TEXT= ; Java(TM) 6 Update 18 exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216018FF} /q ; NVIDIA GeForce Experience 1.5 exec C:\Windows\SysWOW64\RunDll32.EXE" "C:\Program Files\NVIDIA Corporation\Installer2\installer.{C9217617-B76A-4C0C-9E4C-D82A45682326}\NVI2.DLL",UninstallPackage Display.GFExperience deltmp delnfr restart

Код

;;uVS v3.80.3 script [http://dsrt.dyndns.org]
;Target OS: NTv6.2

delref HTTP://ACER13.MSN.COM
delref HTTP://GO.MAIL.RU/SEARCH?FR=FFTB&Q=
delref HTTP://WWW.MAIL.RU/CNT/5089
delref HTTP://WWW.MAIL.RU/CNT/9516
delref HTTP://YANDEX.RU/YANDSEARCH?STYPE=FIRST&CLID=1874797&TEXT=
delref HTTP://YANDEX.RU/YANDSEARCH?WIN=53&CLID=1989710&TEXT=
; Java(TM) 6 Update 18
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216018FF} /q

; NVIDIA GeForce Experience 1.5
exec C:\Windows\SysWOW64\RunDll32.EXE" "C:\Program Files\NVIDIA Corporation\Installer2\installer.{C9217617-B76A-4C0C-9E4C-D82A45682326}\NVI2.DLL",UninstallPackage Display.GFExperience
deltmp
delnfr
restart

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Win32/Ciavax.A

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 15.06.2013 12:24:23

Удалите все найденное и перезагрузитесь. Если проблем больше нет - Выполните рекомендации

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Оперативная память = c:\PROGRA~3\mozilla\igbbhsl.dll, модифицированный Win32/Artemis!B6B93CB1A43B троянская программа, Вирус одалел

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 14.06.2013 19:29:03

Выполните рекомендации

Правильно заданный вопрос - это уже половина ответа

Перейти

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 14.06.2013 18:21:36

Код
;;uVS v3.80.3 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 zoo %SystemDrive%\PROGRAMDATA\MOZILLA\IGBBHSL.DLL bl B6B93CB1A43BA8EEAA2B400D715B69F4 22016 bl B440E5C067DAE3C1FB08ADD6599239F8 29696 addsgn A413624A052A4C7DBCDCC4933AA2105F43B10D83AFF9DD7732CB464572A2482AA6DEB6A6D54FF76975E6BF6E320423F323B9D38321D0B3EE22C0AC4942CF5795 8 HTml5Up zoo %SystemDrive%\PROGRAMDATA\MOZILLA\PTWAETI.EXE bl A3BD5639DC49611471E697CFDCE74645 143384 addsgn A1BD2552D56A4CB54E54AFB164C8FA5EDE75037F487FDF0DA22B6242AF29FC19A39E0BBFBEA362B693803A9E469B18FB727038FF085A08781D37A4C7FF012273 8 MayachokEXE bl 7AAAA2B53F077D9097AD8DF82BE9A9C7 29696 delref %SystemDrive%\PROGRAMDATA\MOZILLA\IGBBHSL.DLL chklst delvir deltmp delnfr delref HTTP://WWW.MAIL.RU/CNT/10390 czoo restart

Код

;;uVS v3.80.3 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

zoo %SystemDrive%\PROGRAMDATA\MOZILLA\IGBBHSL.DLL
bl B6B93CB1A43BA8EEAA2B400D715B69F4 22016
bl B440E5C067DAE3C1FB08ADD6599239F8 29696
addsgn A413624A052A4C7DBCDCC4933AA2105F43B10D83AFF9DD7732CB464572A2482AA6DEB6A6D54FF76975E6BF6E320423F323B9D38321D0B3EE22C0AC4942CF5795 8 HTml5Up
zoo %SystemDrive%\PROGRAMDATA\MOZILLA\PTWAETI.EXE
bl A3BD5639DC49611471E697CFDCE74645 143384
addsgn A1BD2552D56A4CB54E54AFB164C8FA5EDE75037F487FDF0DA22B6242AF29FC19A39E0BBFBEA362B693803A9E469B18FB727038FF085A08781D37A4C7FF012273 8 MayachokEXE
bl 7AAAA2B53F077D9097AD8DF82BE9A9C7 29696
delref %SystemDrive%\PROGRAMDATA\MOZILLA\IGBBHSL.DLL
chklst
delvir
deltmp
delnfr
delref HTTP://WWW.MAIL.RU/CNT/10390
czoo
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
- в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например ZOO_2013-03-09_09-29-00.7z - это архив с вирусами, его нужно прислать на электронный адрес [email protected].

- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.

Правильно заданный вопрос - это уже половина ответа

Перейти