Арвид (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

Оперативная память = explorer.exe(908) модифицированный Win32/Spy.Zbot.ZR троянская программа очистка невозможна

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 13.06.2013 17:13:14

Здравствуйте!

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);

Код
;;uVS v3.80.2 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\GOIHE\NAEM.EXE bl 683831FC698A219F4C288244E691A2BE 167448 addsgn 1ABD639A5583C58CF42B627DA804DEC9E946303A4536D32BD348819848DDB1393B9C8F732ADED96D3BB35668B79D917139FBE485A45163C76CFC6CA49B2236F8 8 Zbot chklst delvir exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216017FF} /q deltmp delnfr delref HTTP://DREAMLAIR.NET czoo regt 14 restart

Код

;;uVS v3.80.2 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\GOIHE\NAEM.EXE
bl 683831FC698A219F4C288244E691A2BE 167448
addsgn 1ABD639A5583C58CF42B627DA804DEC9E946303A4536D32BD348819848DDB1393B9C8F732ADED96D3BB35668B79D917139FBE485A45163C76CFC6CA49B2236F8 8 Zbot
chklst
delvir
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216017FF} /q
deltmp
delnfr
delref HTTP://DREAMLAIR.NET
czoo
regt 14
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
- в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например ZOO_2013-03-09_09-29-00.7z - это архив с вирусами, его нужно прислать на электронный адрес [email protected].
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.

Правильно заданный вопрос - это уже половина ответа

Перейти

Не запускается ни один браузер

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 13.06.2013 16:32:53

скачайте отсюда чистый файл rpcss.dll и скопируйте его в папку, откуда запускаете uVS - http://rghost.ru/44940107

только после этого выполните скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);

Код
;;uVS v3.80.2 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 bl 456AF036C6282252297DBA9B5F217064 2312224 addsgn 1A18D29A5583C58CF42B254E3143FE58CCACF7F68971E02942C2B9100CD6993D8517C30EFDDE621CA06CD214B7FEAA0582201E375DDBC42B7B9F68D038F97BF8 8 GuardMail zoo %Sys32%\RPCSS.DLL bl 98B31CBC09D671DADEB7C92AEF1CBE29 110592 addsgn 988C1F7A092B4C9A4EC2AEB1DB5C120525013B1E9C9C1F780CA62D37A45F4F1ADC02BB077F5516073B0989CBE75749713BDB4B12F49BB0A77B7F2D3AA3A76373 32 OUC bl 6C973F7DD4F2D0D7C6DACF314E72B8A4 84992 addsgn A7659219B952C52FFF5FF3BDEDBDEA8E5082758B757162680638C4C8135F0D682B9E9F733ADCA96DC3535C9F4695A5F6F8049D6BDECFB04CC41521FDC882AC73 64 BitcoinMayner bl 5088915EF158EEF34E0488DAFA457E33 1664000 addsgn A76592CD0339CF9E275FDBB9EF951E8E589A7F0D888E22F1F9E7CD350CF275C517332BC63B559DCAC78C0144330FC2EF7D9FFF11D008BFA8A977A42F4E43C69B 64 BitcoinMayner bl 63448B03F769293DB6AF381ED814EC0D 192512 addsgn A76592CC06E9A06280A1A2329AC96642ACFED8F202BF0FF1C1E7CD3715DEF84807FF896E3E55148AA86C881CB817466EBFEE28F78ED524ECA8B5D16842F0577F 64 BitcoinMayner bl 8342ABDB2C64B569B3A7F7C1B871DE64 602624 addsgn A76592CD0339CF9E275FDBB9EF951E8E589A7F0D888E22F1F9E7CD350CF275C517332BC60D539DCAC78C0144330FC2EF7D0FC419D008BFA8A977A42F4E43C69B 64 BitcoinMayner bl 73D4A9BDC7FA42BCF29F3CDD44DB2622 110094 addsgn A76592CD0339CF9E275FDBB9EF951E8E589A7F0D888E22F1F9E7CD350CF275C517332B8A85559DCAC78C0144330FC2EF7D4F8919D008BFA8A977A42F4E43C69B 64 BitcoinMayner bl F8D780E7AC6236CC568E9FB6FE20F29C 352768 addsgn A76592CD0339CF9E275FDBB9EF951E8E589A7F0D888E22F1F9E7CD350CF275C517332B82EA569DCAC78C0144330FC2EF7DCFAD1CD008BFA8A977A42F4E43C69B 64 BitcoinMayner bl EC63F649F7090F885EBD4770FFB92FCB 94208 addsgn A7679B19919AF4663F95AE5978DFEDFA4F8A945ABBBB1F10DDF084BC385A420D23AE73637F5527AD1FC18427BA2208FA9558688DAA32F229D288A42F38F9DD8C 8 updatetask bl 68AF1C01341DA23A1D01FC487FEA8B6B 1582976 addsgn 1AA78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 Praetor bl 9CC5C24E0BCB282202C633F16402E3E1 795960 addsgn 1A06819A5583358CF42B627DA804DEC9E946303A4536D3F3D1E7C1371CF279BBE114C3573E20A1C229BA85EA681C898E5BE5897320FFBAC8596A65C7D73C6371 8 YandexUP addsgn 1A8F449A5583E88CF42B627DA804DEC9E946303A4536D3F3C9E7C14B91D5714C2363E7DD3FD65C48AF40F0D1B1D74AFA7DDF9D9D50DAB02C2DFA000BC7062273 8 probably a variant of Win32/BitCoinMine zoo %SystemDrive%\USERS\НАТАЛЬЯ\APPDATA\LOCAL\TEMP\CG\SVCHOST.EXE bl 7A91C470D720045E87752F21F95A1835 598016 addsgn 0DC977BA156A4C720BD4AEB164C81205258AFCF689FA1F7885C3C5BC50D6714C2317C3573E559D492B80849F461649FA7DDFE87255DAB02C2D77A44FC7062E73 8 probably a variant of Win32/BitCoinMine zoo %SystemDrive%\USERS\НАТАЛЬЯ\APPDATA\LOCAL\TEMP\CG\RUN.EXE bl 4672B774636D6349B4672D5AC3B796D4 19968 chklst delvir EXEC cmd /c "rename %sys32%\rpcss.dll rpcss.dll.old" EXEC cmd /c "rename %sys32%\dllcache\rpcss.dll rpcss.dll.old" EXEC cmd /c "copy rpcss.dll %sys32%\rpcss.dll" EXEC cmd /c "copy rpcss.dll %sys32%\dllcache\rpcss.dll" deltmp delnfr delref HTTP://MAIL.RU/CNT/7993/ delref HTTP://SEARCHFUNMOODS.COM/?F=2&A=IRONPUB12&IR=IRONPUB12&CD=2XZUYETN2Y1L1QZUTDTDTC0ETCTDTC0FTB0BYDTBTA0ETB0FTN0D0TZU0CTAYBZZTN1L2XZUTBTFTBTFTCTFYETDYB&CR=1782958288 delref HTTP://WEBALTA.RU/SEARCH delref HTTP://WWW.MAIL.RU/CNT/5087 delref HTTP://WWW.MAIL.RU/CNT/7227 delref HTTP://WWW.MAIL.RU/CNT/9516 czoo restart

Код

;;uVS v3.80.2 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

bl 456AF036C6282252297DBA9B5F217064 2312224
addsgn 1A18D29A5583C58CF42B254E3143FE58CCACF7F68971E02942C2B9100CD6993D8517C30EFDDE621CA06CD214B7FEAA0582201E375DDBC42B7B9F68D038F97BF8 8 GuardMail
zoo %Sys32%\RPCSS.DLL
bl 98B31CBC09D671DADEB7C92AEF1CBE29 110592
addsgn 988C1F7A092B4C9A4EC2AEB1DB5C120525013B1E9C9C1F780CA62D37A45F4F1ADC02BB077F5516073B0989CBE75749713BDB4B12F49BB0A77B7F2D3AA3A76373 32 OUC
bl 6C973F7DD4F2D0D7C6DACF314E72B8A4 84992
addsgn A7659219B952C52FFF5FF3BDEDBDEA8E5082758B757162680638C4C8135F0D682B9E9F733ADCA96DC3535C9F4695A5F6F8049D6BDECFB04CC41521FDC882AC73 64 BitcoinMayner
bl 5088915EF158EEF34E0488DAFA457E33 1664000
addsgn A76592CD0339CF9E275FDBB9EF951E8E589A7F0D888E22F1F9E7CD350CF275C517332BC63B559DCAC78C0144330FC2EF7D9FFF11D008BFA8A977A42F4E43C69B 64 BitcoinMayner
bl 63448B03F769293DB6AF381ED814EC0D 192512
addsgn A76592CC06E9A06280A1A2329AC96642ACFED8F202BF0FF1C1E7CD3715DEF84807FF896E3E55148AA86C881CB817466EBFEE28F78ED524ECA8B5D16842F0577F 64 BitcoinMayner
bl 8342ABDB2C64B569B3A7F7C1B871DE64 602624
addsgn A76592CD0339CF9E275FDBB9EF951E8E589A7F0D888E22F1F9E7CD350CF275C517332BC60D539DCAC78C0144330FC2EF7D0FC419D008BFA8A977A42F4E43C69B 64 BitcoinMayner
bl 73D4A9BDC7FA42BCF29F3CDD44DB2622 110094
addsgn A76592CD0339CF9E275FDBB9EF951E8E589A7F0D888E22F1F9E7CD350CF275C517332B8A85559DCAC78C0144330FC2EF7D4F8919D008BFA8A977A42F4E43C69B 64 BitcoinMayner
bl F8D780E7AC6236CC568E9FB6FE20F29C 352768
addsgn A76592CD0339CF9E275FDBB9EF951E8E589A7F0D888E22F1F9E7CD350CF275C517332B82EA569DCAC78C0144330FC2EF7DCFAD1CD008BFA8A977A42F4E43C69B 64 BitcoinMayner
bl EC63F649F7090F885EBD4770FFB92FCB 94208
addsgn A7679B19919AF4663F95AE5978DFEDFA4F8A945ABBBB1F10DDF084BC385A420D23AE73637F5527AD1FC18427BA2208FA9558688DAA32F229D288A42F38F9DD8C 8 updatetask
bl 68AF1C01341DA23A1D01FC487FEA8B6B 1582976
addsgn 1AA78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 Praetor
bl 9CC5C24E0BCB282202C633F16402E3E1 795960
addsgn 1A06819A5583358CF42B627DA804DEC9E946303A4536D3F3D1E7C1371CF279BBE114C3573E20A1C229BA85EA681C898E5BE5897320FFBAC8596A65C7D73C6371 8 YandexUP
addsgn 1A8F449A5583E88CF42B627DA804DEC9E946303A4536D3F3C9E7C14B91D5714C2363E7DD3FD65C48AF40F0D1B1D74AFA7DDF9D9D50DAB02C2DFA000BC7062273 8 probably a variant of Win32/BitCoinMine
zoo %SystemDrive%\USERS\НАТАЛЬЯ\APPDATA\LOCAL\TEMP\CG\SVCHOST.EXE
bl 7A91C470D720045E87752F21F95A1835 598016
addsgn 0DC977BA156A4C720BD4AEB164C81205258AFCF689FA1F7885C3C5BC50D6714C2317C3573E559D492B80849F461649FA7DDFE87255DAB02C2D77A44FC7062E73 8 probably a variant of Win32/BitCoinMine
zoo %SystemDrive%\USERS\НАТАЛЬЯ\APPDATA\LOCAL\TEMP\CG\RUN.EXE
bl 4672B774636D6349B4672D5AC3B796D4 19968
chklst
delvir
EXEC cmd /c "rename %sys32%\rpcss.dll rpcss.dll.old" 
EXEC cmd /c "rename %sys32%\dllcache\rpcss.dll rpcss.dll.old" 
EXEC cmd /c "copy rpcss.dll %sys32%\rpcss.dll" 
EXEC cmd /c "copy rpcss.dll %sys32%\dllcache\rpcss.dll"
deltmp
delnfr
delref HTTP://MAIL.RU/CNT/7993/
delref HTTP://SEARCHFUNMOODS.COM/?F=2&A=IRONPUB12&IR=IRONPUB12&CD=2XZUYETN2Y1L1QZUTDTDTC0ETCTDTC0FTB0BYDTBTA0ETB0FTN0D0TZU0CTAYBZZTN1L2XZUTBTFTBTFTCTFYETDYB&CR=1782958288
delref HTTP://WEBALTA.RU/SEARCH
delref HTTP://WWW.MAIL.RU/CNT/5087
delref HTTP://WWW.MAIL.RU/CNT/7227
delref HTTP://WWW.MAIL.RU/CNT/9516
czoo
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
- в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например ZOO_2013-03-09_09-29-00.7z - это архив с вирусами, его нужно прислать на электронный адрес [email protected].

- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.

Правильно заданный вопрос - это уже половина ответа

Перейти

Не запускается ни один браузер

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 13.06.2013 15:52:08

Сделайте лог uVS

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] вирус в оперативной памяти

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 13.06.2013 14:59:50

Выполните рекомендации

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] вирус в оперативной памяти

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 13.06.2013 14:41:13

Удалить найденное в свежем логе, перезагрузиться, сказать что с проблемой

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] вирус в оперативной памяти

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 13.06.2013 14:23:25

Лог Мбам делайте

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Win32/Ciavax.B, Сабж

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 13.06.2013 14:01:16

папку ZOO упакуйте в архив с паролем virus и отправьте на адрес что выше написан
затем Выполните рекомендации

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] вирус в оперативной памяти

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 13.06.2013 13:53:01

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);

Код
;;uVS v3.80.2 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 bl F082C76CF8A1C41DB23EC397B4B5B03B 1618304 addsgn 1AF67A9B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 Praetor zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\МОИ ДОКУМЕНТЫ\APPLICATION DATA\EXPLORER.EXE bl E840B2BBE140F68A7C2D757F31F8737F 81920 addsgn A7679BF0AA02E4824BD4C635A2881261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C7F70C49F75C4C32EF4CA04E314DA3BE4AC965B2FC706AB7E 8 viruse bl 594CB699E78B4ADF1052CFA89489315E 790528 addsgn 1A06819A5583358CF42B627DA804DEC9E946303A4536D3F3D1E7C1371CF279BBE114C3573E20A1C229BA85EA681C898E5BE5897320FFBAC8596A65C7D73C6371 8 YandexUP bl 7FB282509685C53EDF1BE190353913FB 507776 addsgn 1A8FD09A5583358CF42B254E3143FE865886FC8282903222E34AD43F91D48694759C3264ECA2E841A87A8DE943958BAD96DC6BB065BC393D6C3621EFB0E311B3 8 YandexUPD chklst delvir deltmp delnfr delref HTTP://WEBALTA.RU/SEARCH delref HTTP://WEBALTA.RU/SEARCH?FROM=FF&Q= czoo restart

Код

;;uVS v3.80.2 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

bl F082C76CF8A1C41DB23EC397B4B5B03B 1618304
addsgn 1AF67A9B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 Praetor
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\МОИ ДОКУМЕНТЫ\APPLICATION DATA\EXPLORER.EXE
bl E840B2BBE140F68A7C2D757F31F8737F 81920
addsgn A7679BF0AA02E4824BD4C635A2881261848AFCF689AA7BF1A0C3C5BC50559D14704194DE5BBD625C7F70C49F75C4C32EF4CA04E314DA3BE4AC965B2FC706AB7E 8 viruse
bl 594CB699E78B4ADF1052CFA89489315E 790528
addsgn 1A06819A5583358CF42B627DA804DEC9E946303A4536D3F3D1E7C1371CF279BBE114C3573E20A1C229BA85EA681C898E5BE5897320FFBAC8596A65C7D73C6371 8 YandexUP
bl 7FB282509685C53EDF1BE190353913FB 507776
addsgn 1A8FD09A5583358CF42B254E3143FE865886FC8282903222E34AD43F91D48694759C3264ECA2E841A87A8DE943958BAD96DC6BB065BC393D6C3621EFB0E311B3 8 YandexUPD
chklst
delvir
deltmp
delnfr
delref HTTP://WEBALTA.RU/SEARCH
delref HTTP://WEBALTA.RU/SEARCH?FROM=FF&Q=
czoo
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
- в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например ZOO_2013-03-09_09-29-00.7z - это архив с вирусами, его нужно прислать на электронный адрес [email protected].

- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Win32/Ciavax.B, Сабж

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 13.06.2013 13:44:28

Выполните скрипт:

Код
;uVS v3.80.2 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\DOCUMENTS\APPLICATION DATA\EXPLORER.EXE bl CC1D302DD393B6B84DCFDF01E0C9AAD4 81920 delall %SystemDrive%\USERS\АДМИНИСТРАТОР\DOCUMENTS\APPLICATION DATA\EXPLORER.EXE delref %Sys32%\EXPLORER.DLL restart

Код

;uVS v3.80.2 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\DOCUMENTS\APPLICATION DATA\EXPLORER.EXE
bl CC1D302DD393B6B84DCFDF01E0C9AAD4 81920
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\DOCUMENTS\APPLICATION DATA\EXPLORER.EXE
delref %Sys32%\EXPLORER.DLL
restart

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] вирус в оперативной памяти

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 13.06.2013 13:27:57

Сделайте лог uVS

Правильно заданный вопрос - это уже половина ответа

Перейти