Арвид (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] Заблокирован доступ в Вконтакте и Mail.ru

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 26.05.2013 23:24:47

Выполните рекомендации

Правильно заданный вопрос - это уже половина ответа

Перейти

c:\windows\system32\rpcss.dll угроза.

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 25.05.2013 22:14:52

удаляем найденное и перезагружаемся
если проблем больше нет - Выполните рекомендации

Правильно заданный вопрос - это уже половина ответа

Перейти

c:\windows\system32\rpcss.dll угроза.

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 25.05.2013 02:26:05

Здравствуйте!

скачайте дистрибутив с uVS отсюда - http://rghost.ru/44955544 и выполните следующий скрипт:

- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);

Код
;;uVS v3.77.16 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 zoo %Sys32%\RPCSS.DLL bl 9CC5C24E0BCB282202C633F16402E3E1 795960 addsgn 1A06819A5583358CF42B627DA804DEC9E946303A4536D3F3D1E7C1371CF279BBE114C3573E20A1C229BA85EA681C898E5BE5897320FFBAC8596A65C7D73C6371 8 YandexUP zoo %Sys32%\NOTEPAD.EXE addsgn 925277AA136AC1CC0B34574E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 Trojan.Gen.2 [Symantec] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\KOT\РАБОЧИЙ СТОЛ\SC.EXE bl 62E10660CAAEBCE10DF515647737406D 1056260 addsgn A7679B1BB96246720B82C4B19BDD9E15648A75730104E08742465942AF29714C23170412C6549D492B47012BB8E9B6FA7DDFE88D402AA06D2DD4D44786064A77 8 MaybeVIrus zoo %SystemDrive%\DOCUMENTS AND SETTINGS\KOT\РАБОЧИЙ СТОЛ\SVCHOST.EXE bl 60F10A6646042F96B68F44833D28C6B5 946176 addsgn A7679BF0AA0254DA4CD4C6CD888C1261848AFCF689AA7BF1A0C3C5BC50559D6C704194DE5BBD1E2CD780EE9EB90301E93ADFB1F1584EF4662D8827225F426873 8 a variant of Win32/BitCoinMiner.A zoo %SystemDrive%\DOCUMENTS AND SETTINGS\KOT\РАБОЧИЙ СТОЛ\LAST3\SVHOST.EXE bl DC9AEFFBDD2B74A6CCFAE99BB9A9EB87 946176 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\KOT\LOCAL SETTINGS\TEMP\SVCHOST.EXE exec MSIEXEC.EXE /X{26A24AE4-039D-4CA4-87B4-2F83217007FF} exec MSIEXEC.EXE /X{26A24AE4-039D-4CA4-87B4-2F83216029FF} chklst delvir delref %SystemDrive%/DOCUMENTS AND SETTINGS/KOT/LOCAL SETTINGS/APPLICATION DATA/AKAMAI/NETSESSION_WIN.EXE delref HTTP://BROWSERHELP2.RU delref HTTP://RU.ASK.COM/?L=DIS&O=102876&GCT=HP delref HTTP://WEBALTA.RU/SEARCH delref HTTP://WWW.PORTAL-WAREZ.INFO delref HTTP://WWW.RUSSUR.COM/?T=100 regt 14 czoo deltmp delnfr EXEC cmd /c ren %windir%\system32\dllcache\rpcss.dll rpcss.dll.old EXEC cmd /c ren %windir%\system32\rpcss.dll rpcss.dll.old EXEC cmd /c copy store\nt51\rpcss.dll %windir%\system32\rpcss.dll EXEC cmd /c copy store\nt51\rpcss.dll %windir%\system32\dllcache\rpcss.dll restart

Код

;;uVS v3.77.16 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

zoo %Sys32%\RPCSS.DLL
bl 9CC5C24E0BCB282202C633F16402E3E1 795960
addsgn 1A06819A5583358CF42B627DA804DEC9E946303A4536D3F3D1E7C1371CF279BBE114C3573E20A1C229BA85EA681C898E5BE5897320FFBAC8596A65C7D73C6371 8 YandexUP
zoo %Sys32%\NOTEPAD.EXE
addsgn 925277AA136AC1CC0B34574E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 Trojan.Gen.2 [Symantec]
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\KOT\РАБОЧИЙ СТОЛ\SC.EXE
bl 62E10660CAAEBCE10DF515647737406D 1056260
addsgn A7679B1BB96246720B82C4B19BDD9E15648A75730104E08742465942AF29714C23170412C6549D492B47012BB8E9B6FA7DDFE88D402AA06D2DD4D44786064A77 8 MaybeVIrus
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\KOT\РАБОЧИЙ СТОЛ\SVCHOST.EXE
bl 60F10A6646042F96B68F44833D28C6B5 946176
addsgn A7679BF0AA0254DA4CD4C6CD888C1261848AFCF689AA7BF1A0C3C5BC50559D6C704194DE5BBD1E2CD780EE9EB90301E93ADFB1F1584EF4662D8827225F426873 8 a variant of Win32/BitCoinMiner.A
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\KOT\РАБОЧИЙ СТОЛ\LAST3\SVHOST.EXE
bl DC9AEFFBDD2B74A6CCFAE99BB9A9EB87 946176
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\KOT\LOCAL SETTINGS\TEMP\SVCHOST.EXE
exec MSIEXEC.EXE /X{26A24AE4-039D-4CA4-87B4-2F83217007FF}
exec MSIEXEC.EXE /X{26A24AE4-039D-4CA4-87B4-2F83216029FF}
chklst
delvir
delref %SystemDrive%/DOCUMENTS AND SETTINGS/KOT/LOCAL SETTINGS/APPLICATION DATA/AKAMAI/NETSESSION_WIN.EXE
delref HTTP://BROWSERHELP2.RU
delref HTTP://RU.ASK.COM/?L=DIS&O=102876&GCT=HP
delref HTTP://WEBALTA.RU/SEARCH
delref HTTP://WWW.PORTAL-WAREZ.INFO
delref HTTP://WWW.RUSSUR.COM/?T=100
regt 14
czoo
deltmp
delnfr
EXEC cmd /c ren %windir%\system32\dllcache\rpcss.dll rpcss.dll.old 
EXEC cmd /c ren %windir%\system32\rpcss.dll rpcss.dll.old 
EXEC cmd /c copy store\nt51\rpcss.dll %windir%\system32\rpcss.dll 
EXEC cmd /c copy store\nt51\rpcss.dll %windir%\system32\dllcache\rpcss.dll
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
- в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например ZOO_2013-03-09_09-29-00.7z - это архив с вирусами, его нужно прислать на электронный адрес [email protected].
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.

Правильно заданный вопрос - это уже половина ответа

Перейти

модифицированный Win32/Dorkbot.B червь - очистка невозможна

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 25.05.2013 02:18:04

удалите найденное, перезагрузитесь, сделайте лог uVS

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Троян в оперативке Corkow.F, Подскажите что делать - очистка невозможна

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 25.05.2013 02:15:55

Здравствуйте!

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);

Код
;;uVS v3.77.16 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 bl 751C3F58A618CF7DE40042D44AD06590 2295328 addsgn 1A18D29A5583C58CF42B254E3143FE58CCACF7F68971E02942C2B9100CD6993D8517C30EFDDE621CA06CD214B7FEAA0582201E375DDBC42B7B9F68D038F97BF8 8 GuardMail bl 68AF1C01341DA23A1D01FC487FEA8B6B 1582976 addsgn 1AA78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 Praetor zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT CORPORATION\TERDENT.FXP bl 8A9E241DCBE595220E667A509D35ED43 538112 addsgn A7679BCBDE2F40FB4E282DCC98D86607CE8796F7768F0F87F0CB2D62AC298E26224F0A953255C8C2C7D1EE9C2C1623FA9517148DAA53F5D0AE0A582FB308DD06 8 C0rikow bl A4AB86F07E4053A4FCC7AFC4CA3C14F2 27680 addsgn 0DF9BFCA156A43C5036E8CB164C8743EF4FFEEF93EB21DFB45C1FE76248617C9EA6233BC013318805FA80904461649FAC7FFE87255BC8BFD596F1E26C7062215 8 Html5 bl 7AAAA2B53F077D9097AD8DF82BE9A9C7 29696 addsgn A413624A052A4C7DBCDCC4933AA2105F43B10D83AFF9DD7732CB464572A2482AA6DEB6A6D54FF76975E6BF6E320423F323B9D38321D0B3EE22C0AC4942CF5795 8 HTml5Up bl 87BC119573BC6FA50C422988FDF74A6D 1354056 addsgn BA6F9BB2BD495B730B9C2D754C2104FBDA75303A4536D3B4490F09709C1A172A2C0847573E559D49670B5DD76DC74678E3DEE8721C5948245F1652EEC0721485 16 YaUpdat bl D5AEE350B993766E03F6BC38D2AC81D2 506752 addsgn 1A5FD09A5583358CF42B254E3143FE865886FC8282903222E34AD43F91D48694759C3264ECA2E841A87A8DE943958BAD96DC6BB065BC393D6C3621EFB0E311B3 8 YandexUPD chklst delvir delref HTTP://G.UK.MSN.COM/HPALL/36 delref HTTP://START.ALAWAR.RU/?PID=14111 delref HTTP://WWW.MAIL.RU/CNT/5089 delref HTTP://WWW.MAIL.RU/CNT/7227 deltmp delnfr exec "C:\PROGRAM FILES (X86)\TROJAN REMOVER\UNINS000.EXE" czoo restart

Код

;;uVS v3.77.16 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

bl 751C3F58A618CF7DE40042D44AD06590 2295328
addsgn 1A18D29A5583C58CF42B254E3143FE58CCACF7F68971E02942C2B9100CD6993D8517C30EFDDE621CA06CD214B7FEAA0582201E375DDBC42B7B9F68D038F97BF8 8 GuardMail
bl 68AF1C01341DA23A1D01FC487FEA8B6B 1582976
addsgn 1AA78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 Praetor
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT CORPORATION\TERDENT.FXP
bl 8A9E241DCBE595220E667A509D35ED43 538112
addsgn A7679BCBDE2F40FB4E282DCC98D86607CE8796F7768F0F87F0CB2D62AC298E26224F0A953255C8C2C7D1EE9C2C1623FA9517148DAA53F5D0AE0A582FB308DD06 8 C0rikow
bl A4AB86F07E4053A4FCC7AFC4CA3C14F2 27680
addsgn 0DF9BFCA156A43C5036E8CB164C8743EF4FFEEF93EB21DFB45C1FE76248617C9EA6233BC013318805FA80904461649FAC7FFE87255BC8BFD596F1E26C7062215 8 Html5
bl 7AAAA2B53F077D9097AD8DF82BE9A9C7 29696
addsgn A413624A052A4C7DBCDCC4933AA2105F43B10D83AFF9DD7732CB464572A2482AA6DEB6A6D54FF76975E6BF6E320423F323B9D38321D0B3EE22C0AC4942CF5795 8 HTml5Up
bl 87BC119573BC6FA50C422988FDF74A6D 1354056
addsgn BA6F9BB2BD495B730B9C2D754C2104FBDA75303A4536D3B4490F09709C1A172A2C0847573E559D49670B5DD76DC74678E3DEE8721C5948245F1652EEC0721485 16 YaUpdat
bl D5AEE350B993766E03F6BC38D2AC81D2 506752
addsgn 1A5FD09A5583358CF42B254E3143FE865886FC8282903222E34AD43F91D48694759C3264ECA2E841A87A8DE943958BAD96DC6BB065BC393D6C3621EFB0E311B3 8 YandexUPD
chklst
delvir
delref HTTP://G.UK.MSN.COM/HPALL/36
delref HTTP://START.ALAWAR.RU/?PID=14111
delref HTTP://WWW.MAIL.RU/CNT/5089
delref HTTP://WWW.MAIL.RU/CNT/7227
deltmp
delnfr
exec "C:\PROGRAM FILES (X86)\TROJAN REMOVER\UNINS000.EXE"
czoo
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
- в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например ZOO_2013-03-09_09-29-00.7z - это архив с вирусами, его нужно прислать на электронный адрес [email protected].

- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Не запускается UVS, Ошибка 5

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 24.05.2013 12:59:03

значит какую-то программу ставите с Пандорой на борту
Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);

Код
;;uVS v3.77.16 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 delref HTTP://WWW.MAIL.RU/CNT/9134 exec MSIEXEC.EXE /X{26A24AE4-039D-4CA4-87B4-2F83217009FF} exec MSIEXEC.EXE /X{26A24AE4-039D-4CA4-87B4-2F86417009FF} exec "C:\PROGRAM FILES (X86)\PANDORA.TV\PANSERVICE\UNINS000.EXE" deltmp delnfr restart

Код

;;uVS v3.77.16 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

delref HTTP://WWW.MAIL.RU/CNT/9134
exec MSIEXEC.EXE /X{26A24AE4-039D-4CA4-87B4-2F83217009FF}
exec MSIEXEC.EXE /X{26A24AE4-039D-4CA4-87B4-2F86417009FF}
exec "C:\PROGRAM FILES (X86)\PANDORA.TV\PANSERVICE\UNINS000.EXE"
deltmp
delnfr
restart

Правильно заданный вопрос - это уже половина ответа

Перейти

Win32/Qhost.OSU trojan, Этот вирус появляется ежедневно на двух ПК в локальной сети. Помогите их убрать если можно.

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 22.05.2013 12:14:12

Здравствуйте!

Выполните следующий скрипт в uVS на проблемном ПК:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);

Код
;;uVS v3.77.16 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 delref /C deltmp delnfr regt 14 restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Удаление вирусов под WINDOWS 8, Удаление вирусов под WINDOWS 8

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.05.2013 02:32:54

ну хорошо что разобрались
для зачистки можете еще сделать лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.
если будет чисто - Выполните рекомендации

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Win32/Kryptik.BBKB, Вирус через контакты SKYPE

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.05.2013 02:06:16

Антивирус самостоятельно с ним справился.
Выполните рекомендации

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Удаление вирусов под WINDOWS 8, Удаление вирусов под WINDOWS 8

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 21.05.2013 02:02:02

Ну тогда сделайте лог uVS с вашего WinPE
Можете запустить блокнот (notepad.exe), а оттуда уже будет легко запустить любую программу.

Правильно заданный вопрос - это уже половина ответа

Перейти