Арвид (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] зашифровано с расширением *[email protected]_NNN, шифровщик

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 31.05.2013 14:56:55

удалите вирус из сообщения
если имеется лицензия на продукт, то обратитесь в тех.поддержку

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Оперативная память = svchost.exe(2656) - модифицированный Win32/Dorkbot.B червь - очистка невозможна

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 31.05.2013 11:41:27

Выполните рекомендации

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Оперативная память = svchost.exe(2656) - модифицированный Win32/Dorkbot.B червь - очистка невозможна

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 31.05.2013 11:33:08

Найденное удалите.
Обновите базы антивируса, затем вставляйте флешку и сделайте ее полную проверку. Если вирус там еще есть - антивирус его удалит.

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] на форуме случайно подписалась, случайно подписалась на сообщения в чужих темах

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 31.05.2013 10:14:19

вот здесь можете отписаться - http://forum.esetnod32.ru/subscribe/

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Оперативная память = svchost.exe(2656) - модифицированный Win32/Dorkbot.B червь - очистка невозможна

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 31.05.2013 09:46:17

по второму ПК делайте образ автозапуска и создавайте новую тему

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Оперативная память = svchost.exe(2656) - модифицированный Win32/Dorkbot.B червь - очистка невозможна

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 31.05.2013 09:44:39

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);

Код
;;uVS v3.77.17 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 bl C9C3DCA5C7AFDC14217F8635BB80BAAD 29256 addsgn A413624A052A4C7DBCDCC4933AA2105F43B10D83AFF9DD7732CB464572A2482AA6DEB6A6D54FF76975E6BF6E320423F323B9D38321D0B3EE22C0AC4942CF5795 8 HTml5Up bl 7AAAA2B53F077D9097AD8DF82BE9A9C7 29696 zoo %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\ROAMING\SCREENSAVERPRO.SCR bl 0ABBC862ED977DB20771C146196CC213 129024 addsgn A7679B1991D2F7480AD4AE38519F83442503A92E00F7E2EEC4C39537458A830D233CD600AF149D683E691EDE469F5C7E6C9DE8FB4024A06E2DFEB1B3574722F8 8 Win32/Dorkbot.B [ESET-NOD32] bl F33B645F630265E8B080890BD5E54049 135168 addsgn A7679B1991DEF7C60AD4AE386937E9442501E19B7CBB1F7B988751FD50FF6C63C856C3DE231109082B09D153CD0BB6013CDFCB6F265CF12C0C6AC9DA8606AB6E 8 Win32/Dorkbot.B [ESET-NOD32] bl E5A91CB776BDEE4933573DDF27CFE5AA 165376 addsgn 1A074F9A5583C58CF42B254E3143FE6D9968BCF676EF5398C5C3407C24C319E0C157C307C140D5A96B80015F3213B68F7520382F96514F79A69B5B5ACFEEEA8C 8 a variant of Win32/Kryptik.BCHW [ESET-N adddir %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\ROAMING adddir %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\ROAMING\MICROSOFT chklst delvir deltmp delnfr delref HTTP://WEBALTA.RU/SEARCH restart

Код

;;uVS v3.77.17 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

bl C9C3DCA5C7AFDC14217F8635BB80BAAD 29256
addsgn A413624A052A4C7DBCDCC4933AA2105F43B10D83AFF9DD7732CB464572A2482AA6DEB6A6D54FF76975E6BF6E320423F323B9D38321D0B3EE22C0AC4942CF5795 8 HTml5Up
bl 7AAAA2B53F077D9097AD8DF82BE9A9C7 29696
zoo %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\ROAMING\SCREENSAVERPRO.SCR
bl 0ABBC862ED977DB20771C146196CC213 129024
addsgn A7679B1991D2F7480AD4AE38519F83442503A92E00F7E2EEC4C39537458A830D233CD600AF149D683E691EDE469F5C7E6C9DE8FB4024A06E2DFEB1B3574722F8 8 Win32/Dorkbot.B [ESET-NOD32]
bl F33B645F630265E8B080890BD5E54049 135168
addsgn A7679B1991DEF7C60AD4AE386937E9442501E19B7CBB1F7B988751FD50FF6C63C856C3DE231109082B09D153CD0BB6013CDFCB6F265CF12C0C6AC9DA8606AB6E 8 Win32/Dorkbot.B [ESET-NOD32]
bl E5A91CB776BDEE4933573DDF27CFE5AA 165376
addsgn 1A074F9A5583C58CF42B254E3143FE6D9968BCF676EF5398C5C3407C24C319E0C157C307C140D5A96B80015F3213B68F7520382F96514F79A69B5B5ACFEEEA8C 8 a variant of Win32/Kryptik.BCHW [ESET-N
adddir %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\ROAMING
adddir %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\ROAMING\MICROSOFT
chklst
delvir
deltmp
delnfr
delref HTTP://WEBALTA.RU/SEARCH
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Win32.Patched.IB., Помогите удалить трояна.

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 30.05.2013 23:46:00

Здравствуйте!

скачайте дистрибутив с uVS отсюда - http://rghost.ru/44955544 и выполните следующий скрипт:

- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);

Код
;;uVS v3.77.17 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %Sys32%\RPCSS.DLL bl FC4E1F19025F2D936EBAC74484D44948 1646216 addsgn 1A48AD9A5583358CF42B627DA804DE50AE66ABA0028F13F3C8D34EC1585DB0C7F214056CC0239572D38F063B4716497B84DFE97255A8AFAF10B71360C7065665 8 ASK bl 68AF1C01341DA23A1D01FC487FEA8B6B 1582976 addsgn 1AA78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 Praetor bl D5AEE350B993766E03F6BC38D2AC81D2 506752 addsgn 1A5FD09A5583358CF42B254E3143FE865886FC8282903222E34AD43F91D48694759C3264ECA2E841A87A8DE943958BAD96DC6BB065BC393D6C3621EFB0E311B3 8 YandexUPD exec MSIEXEC.EXE /X{26A24AE4-039D-4CA4-87B4-2F83216026FF} exec MSIEXEC.EXE /I{32A3A4F4-B792-11D6-A78A-00B0D0160260} exec MSIEXEC.EXE /X{73EC658D-A1C6-40CA-8E86-E05821BAACE7} exec MSIEXEC.EXE /X{86D4B82A-ABED-442A-BE86-96357B70F4FE} exec C:\PROGRAM FILES\UTORRENTCONTROL_V2\UNINSTALL.EXE TOOLBAR delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\TABS.LNK delall %SystemRoot%\TEMP\SD.BAT delref HTTP://SEARCH.CONDUIT.COM/?CTID=CT3220468&SEARCHSOURCE=13 delref HTTP://SEARCH.CONDUIT.COM?SEARCHSOURCE=10&CTID=CT3220468 delref HTTP://WWW.CHIPXP.RU/ delref HTTP://WWW.MAIL.RU/CNT/9516 chklst delvir deltmp delnfr EXEC cmd /c ren %windir%\system32\dllcache\rpcss.dll rpcss.dll.old EXEC cmd /c ren %windir%\system32\rpcss.dll rpcss.dll.old EXEC cmd /c copy store\nt51\rpcss.dll %windir%\system32\rpcss.dll EXEC cmd /c copy store\nt51\rpcss.dll %windir%\system32\dllcache\rpcss.dll czoo restart

Код

;;uVS v3.77.17 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %Sys32%\RPCSS.DLL
bl FC4E1F19025F2D936EBAC74484D44948 1646216
addsgn 1A48AD9A5583358CF42B627DA804DE50AE66ABA0028F13F3C8D34EC1585DB0C7F214056CC0239572D38F063B4716497B84DFE97255A8AFAF10B71360C7065665 8 ASK
bl 68AF1C01341DA23A1D01FC487FEA8B6B 1582976
addsgn 1AA78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 Praetor
bl D5AEE350B993766E03F6BC38D2AC81D2 506752
addsgn 1A5FD09A5583358CF42B254E3143FE865886FC8282903222E34AD43F91D48694759C3264ECA2E841A87A8DE943958BAD96DC6BB065BC393D6C3621EFB0E311B3 8 YandexUPD
exec MSIEXEC.EXE /X{26A24AE4-039D-4CA4-87B4-2F83216026FF}
exec MSIEXEC.EXE /I{32A3A4F4-B792-11D6-A78A-00B0D0160260}
exec MSIEXEC.EXE /X{73EC658D-A1C6-40CA-8E86-E05821BAACE7}
exec MSIEXEC.EXE /X{86D4B82A-ABED-442A-BE86-96357B70F4FE}
exec C:\PROGRAM FILES\UTORRENTCONTROL_V2\UNINSTALL.EXE TOOLBAR
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\TABS.LNK
delall %SystemRoot%\TEMP\SD.BAT
delref HTTP://SEARCH.CONDUIT.COM/?CTID=CT3220468&SEARCHSOURCE=13
delref HTTP://SEARCH.CONDUIT.COM?SEARCHSOURCE=10&CTID=CT3220468
delref HTTP://WWW.CHIPXP.RU/
delref HTTP://WWW.MAIL.RU/CNT/9516
chklst
delvir
deltmp
delnfr
EXEC cmd /c ren %windir%\system32\dllcache\rpcss.dll rpcss.dll.old 
EXEC cmd /c ren %windir%\system32\rpcss.dll rpcss.dll.old 
EXEC cmd /c copy store\nt51\rpcss.dll %windir%\system32\rpcss.dll 
EXEC cmd /c copy store\nt51\rpcss.dll %windir%\system32\dllcache\rpcss.dll
czoo
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
- в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например ZOO_2013-03-09_09-29-00.7z - это архив с вирусами, его нужно прислать на электронный адрес [email protected].
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Заблокирован доступ к рабочему столу Windows

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 30.05.2013 16:28:54

кнопки Ассистент нету рядом с кнопкой включения? через нее можно выбрать устройство для загрузки

Правильно заданный вопрос - это уже половина ответа

Перейти

Как вылечить компьютер от вируса js/spy.banker.h

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 30.05.2013 13:12:53

Сделайте лог uVS

Правильно заданный вопрос - это уже половина ответа

Перейти

нужна помощь, DWRCST.EXE(3320) - модифицированный Win32/Spy.Zbot.ZR троянская программа - очистка невозможна

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 30.05.2013 12:46:19

Здравствуйте!

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);

Код
;;uVS v3.77.16 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 zoo %SystemDrive%\USERS\CHERNOV\APPDATA\ROAMING\LYYM\IXYS.EXE bl 5C9658395B486C26D780FA43441057EF 54784 addsgn A7679B1BB9F644720B87F882BF9BFA37DC75039C96776A98DD4B9843D98B89C57EE32BD2FCAA62217876C49FCDD019773827B89ADB414FD3AEB3A8169AFE5654 8 HEUR:Trojan.Win32.Generic [Kaspersky] bl 96A768DD52FF0115FFF85142056B3AF0 2261024 addsgn 1A38D79A5583C58CF42B254E3143FE58CCC4E8F68971E02942C2ED0F0BD6991D8217C30EFDDE621CA06CD214B7FEAA0582201E375DDBC42B7B9F68D038F97BF8 8 Guards3 bl 059FFB75D74173521F4E3BEC425D8E7F 1534976 addsgn 1AD78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 16 Praetorian zoo %SystemDrive%\USERS\CHERNOV\APPDATA\ROAMING\EPTEX\WOLA.EXE bl D5EFDA7644EA78CFBC78E3ED821F3455 156672 addsgn A7679B19B9421A25583C314C9B3721FA26B7ACBCC9FA9645C18985BCAFE3350663172BB83E559DA02B80849FCF1375B33DDF17476993F02CA67AFC658706AB7E 8 zbot bl 9CC5C24E0BCB282202C633F16402E3E1 795960 addsgn 1A06819A5583358CF42B627DA804DEC9E946303A4536D3F3D1E7C1371CF279BBE114C3573E20A1C229BA85EA681C898E5BE5897320FFBAC8596A65C7D73C6371 8 YandexUP exec C:\PROGRAM FILES\STARTNOW TOOLBAR\STARTNOWTOOLBARUNINSTALL.EXE exec MSIEXEC.EXE /I{86D4B82A-ABED-442A-BE86-96357B70F4FE} addsgn 1A90309A5583348CF42B627DA804DEC9AEC6D8F27E3B1C7885C3B198DAD7F28D2293032370A25C4A2B8084EAA91349FA7DDF65D671DAB02C2DFA000BC7062273 8 AskUPD bl 2219661CBC56D5485A20BA72FB5F9914 83336 chklst delvir delref HTTP://MAIL.RU/CNT/7993/ delref HTTP://PORTAL delref HTTP://SEARCH.QIP.RU delref HTTP://WWW.MAIL.RU/CNT/7227 deltmp delnfr czoo restart

Код

;;uVS v3.77.16 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

zoo %SystemDrive%\USERS\CHERNOV\APPDATA\ROAMING\LYYM\IXYS.EXE
bl 5C9658395B486C26D780FA43441057EF 54784
addsgn A7679B1BB9F644720B87F882BF9BFA37DC75039C96776A98DD4B9843D98B89C57EE32BD2FCAA62217876C49FCDD019773827B89ADB414FD3AEB3A8169AFE5654 8 HEUR:Trojan.Win32.Generic [Kaspersky]
bl 96A768DD52FF0115FFF85142056B3AF0 2261024
addsgn 1A38D79A5583C58CF42B254E3143FE58CCC4E8F68971E02942C2ED0F0BD6991D8217C30EFDDE621CA06CD214B7FEAA0582201E375DDBC42B7B9F68D038F97BF8 8 Guards3
bl 059FFB75D74173521F4E3BEC425D8E7F 1534976
addsgn 1AD78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 16 Praetorian
zoo %SystemDrive%\USERS\CHERNOV\APPDATA\ROAMING\EPTEX\WOLA.EXE
bl D5EFDA7644EA78CFBC78E3ED821F3455 156672
addsgn A7679B19B9421A25583C314C9B3721FA26B7ACBCC9FA9645C18985BCAFE3350663172BB83E559DA02B80849FCF1375B33DDF17476993F02CA67AFC658706AB7E 8 zbot
bl 9CC5C24E0BCB282202C633F16402E3E1 795960
addsgn 1A06819A5583358CF42B627DA804DEC9E946303A4536D3F3D1E7C1371CF279BBE114C3573E20A1C229BA85EA681C898E5BE5897320FFBAC8596A65C7D73C6371 8 YandexUP
exec C:\PROGRAM FILES\STARTNOW TOOLBAR\STARTNOWTOOLBARUNINSTALL.EXE
exec MSIEXEC.EXE /I{86D4B82A-ABED-442A-BE86-96357B70F4FE}
addsgn 1A90309A5583348CF42B627DA804DEC9AEC6D8F27E3B1C7885C3B198DAD7F28D2293032370A25C4A2B8084EAA91349FA7DDF65D671DAB02C2DFA000BC7062273 8 AskUPD
bl 2219661CBC56D5485A20BA72FB5F9914 83336
chklst
delvir
delref HTTP://MAIL.RU/CNT/7993/
delref HTTP://PORTAL
delref HTTP://SEARCH.QIP.RU
delref HTTP://WWW.MAIL.RU/CNT/7227
deltmp
delnfr
czoo
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
- в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например ZOO_2013-03-09_09-29-00.7z - это архив с вирусами, его нужно прислать на электронный адрес [email protected].
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.

Правильно заданный вопрос - это уже половина ответа

Перейти