Арвид (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] Оперативная память = svchost.exe(4092) - модифицированный Win32/Dorkbot.B червь - очистка невозможна, Антивирус не удаляет, с флешками бардак сам разобраться не могу, прошу помощи!

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 06.05.2013 22:19:59

на флешке он уже неопасен. осталось его вручную удалить.

Правильно заданный вопрос - это уже половина ответа

Перейти

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 06.05.2013 22:17:05

Скрипт для каждого ПК индивидуален и каждый раз разный, так как вирус меняет свое имя и месторасположение.

Цитата
Александр Ковлаьчук пишет: я не понял как удалить файлы с флешки из корня

заходите на флешку через проводник, выделяете все *.ехе, *.ink, *.inf файлы. смотрим на расширение и удаляем. а ваши папки скорее всего будут скрыты, атрибуты в свойствах надо будет изменить.

Правильно заданный вопрос - это уже половина ответа

Перейти

[ Закрыто] Помогите удалить трояна. Win32.Patched.IB.

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 06.05.2013 21:45:55

Здравствуйте!

скачайте дистрибутив с uVS отсюда - http://rghost.ru/44955544 и выполните следующий скрипт:

- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);

Код
;;uVS v3.77.12 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 bl 751C3F58A618CF7DE40042D44AD06590 2295328 addsgn 1A18D29A5583C58CF42B254E3143FE58CCACF7F68971E02942C2B9100CD6993D8517C30EFDDE621CA06CD214B7FEAA0582201E375DDBC42B7B9F68D038F97BF8 8 GuardMail zoo %Sys32%\RPCSS.DLL deltmp delnfr delall %SystemDrive%\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE delref HTTP://MAIL.RU/CNT/7993/ delref HTTP://WWW.MAIL.RU/CNT/5089 delref HTTP://WWW.MAIL.RU/CNT/7227 EXEC cmd /c ren %windir%\system32\dllcache\rpcss.dll rpcss.dll.old EXEC cmd /c ren %windir%\system32\rpcss.dll rpcss.dll.old EXEC cmd /c copy store\nt51\rpcss.dll %windir%\system32\rpcss.dll EXEC cmd /c copy store\nt51\rpcss.dll %windir%\system32\dllcache\rpcss.dll czoo restart

Код

;;uVS v3.77.12 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

bl 751C3F58A618CF7DE40042D44AD06590 2295328
addsgn 1A18D29A5583C58CF42B254E3143FE58CCACF7F68971E02942C2B9100CD6993D8517C30EFDDE621CA06CD214B7FEAA0582201E375DDBC42B7B9F68D038F97BF8 8 GuardMail
zoo %Sys32%\RPCSS.DLL
deltmp
delnfr
delall %SystemDrive%\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE
delref HTTP://MAIL.RU/CNT/7993/
delref HTTP://WWW.MAIL.RU/CNT/5089
delref HTTP://WWW.MAIL.RU/CNT/7227
EXEC cmd /c ren %windir%\system32\dllcache\rpcss.dll rpcss.dll.old 
EXEC cmd /c ren %windir%\system32\rpcss.dll rpcss.dll.old 
EXEC cmd /c copy store\nt51\rpcss.dll %windir%\system32\rpcss.dll 
EXEC cmd /c copy store\nt51\rpcss.dll %windir%\system32\dllcache\rpcss.dll
czoo
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
- в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например 2012-03-09_09-29-00.7z - это архив с вирусами, его нужно прислать на электронный адрес [email protected].

- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.

Правильно заданный вопрос - это уже половина ответа

Перейти

вирус Win 32

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 06.05.2013 20:31:03

Удалите все кроме этого:

Цитата
HKLM\SOFTWARE\Microsoft\Security Center\|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

Если проблема решена - Выполните рекомендации

Правильно заданный вопрос - это уже половина ответа

Перейти

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 06.05.2013 20:26:23

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);

Код
;;uVS v3.77.12 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 bl E22D2834527D6A34101C42D3C97365E9 190928 addsgn 9252778A106AC1CC0BD4554E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 Trojan [K7AntiVirus] bl A317D9883350FA8F2A181A53BE9C7F41 149968 addsgn 71905392541F499AA780AEB19BBC3601AEC6D8E602AE3B746D2E3B43AF8FB34023DB0F3FFEBC9D594F7FB19F4616497139FBF8FB39FEA0A14153B40427557424 64 QIPbar addsgn 925277EA386AC1CC0B747C4E3341F788B9AE7C3776052EB8D5FA19C9AB90371F4B41DB783E021E8A2FD3EC658A1749ACFE1CEC21051DB32F2D75A4BF5796B2E3 8 a variant of Win32/Kryptik.AYKH [ESET-N zoo %SystemDrive%\USERS\Я\APPDATA\ROAMING\SCREENSAVERPRO.SCR bl 3E54B783F4E7B58E132EF2EBB23F469C 124928 zoo %SystemDrive%\USERS\Я\APPDATA\ROAMING\MICROSOFT\LNMAML.EXE adddir %SystemDrive%\USERS\Я\APPDATA\ROAMING chklst delvir deltmp delnfr delref HTTP://QIP.RU delref HTTP://SEARCH.QIP.RU delall %SystemDrive%\USERS\Я\APPDATA\LOCAL\TEMP\1C3757922.SYS delall %SystemDrive%\USERS\Я\APPDATA\LOCAL\TEMP\1C51FA4B0.SYS regt 3 regt 10 czoo restart

Код

;;uVS v3.77.12 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

bl E22D2834527D6A34101C42D3C97365E9 190928
addsgn 9252778A106AC1CC0BD4554E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 Trojan [K7AntiVirus]
bl A317D9883350FA8F2A181A53BE9C7F41 149968
addsgn 71905392541F499AA780AEB19BBC3601AEC6D8E602AE3B746D2E3B43AF8FB34023DB0F3FFEBC9D594F7FB19F4616497139FBF8FB39FEA0A14153B40427557424 64 QIPbar
addsgn 925277EA386AC1CC0B747C4E3341F788B9AE7C3776052EB8D5FA19C9AB90371F4B41DB783E021E8A2FD3EC658A1749ACFE1CEC21051DB32F2D75A4BF5796B2E3 8 a variant of Win32/Kryptik.AYKH [ESET-N
zoo %SystemDrive%\USERS\Я\APPDATA\ROAMING\SCREENSAVERPRO.SCR
bl 3E54B783F4E7B58E132EF2EBB23F469C 124928
zoo %SystemDrive%\USERS\Я\APPDATA\ROAMING\MICROSOFT\LNMAML.EXE
adddir %SystemDrive%\USERS\Я\APPDATA\ROAMING
chklst
delvir
deltmp
delnfr
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
delall %SystemDrive%\USERS\Я\APPDATA\LOCAL\TEMP\1C3757922.SYS
delall %SystemDrive%\USERS\Я\APPDATA\LOCAL\TEMP\1C51FA4B0.SYS
regt 3
regt 10
czoo
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.

После перезагрузки зайдите на флешку и удалите все .exe файлы из корня, а также autorun.inf

Правильно заданный вопрос - это уже половина ответа

Перейти

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 06.05.2013 20:01:29

Сделайте лог uVS

Правильно заданный вопрос - это уже половина ответа

Перейти

вирус Win 32

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 06.05.2013 19:55:54

Код
;;uVS v3.77.12 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 bl 456AF036C6282252297DBA9B5F217064 2312224 addsgn 1A18D29A5583C58CF42B254E3143FE58CCACF7F68971E02942C2B9100CD6993D8517C30EFDDE621CA06CD214B7FEAA0582201E375DDBC42B7B9F68D038F97BF8 8 GuardMail zoo %Sys32%\RPCSS.DLL bl C7132340AA27B118FE47955F580D6D92 1603104 addsgn 1A06FB9A5583C58CF42B254E3143FE8E6082CF3FB2FED2004095C5C84397F2B50E6532DA76B81EB03AF78AF54B4E1439F6DB250E908CB071EE72E0D038F9487D 8 MailUpdater bl F082C76CF8A1C41DB23EC397B4B5B03B 1618304 addsgn 1AF67A9B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 Praetor bl A4AB86F07E4053A4FCC7AFC4CA3C14F2 27680 addsgn 0DF9BFCA156A43C5036E8CB164C8743EF4FFEEF93EB21DFB45C1FE76248617C9EA6233BC013318805FA80904461649FAC7FFE87255BC8BFD596F1E26C7062215 8 Html5 bl 7AAAA2B53F077D9097AD8DF82BE9A9C7 29696 addsgn A413624A052A4C7DBCDCC4933AA2105F43B10D83AFF9DD7732CB464572A2482AA6DEB6A6D54FF76975E6BF6E320423F323B9D38321D0B3EE22C0AC4942CF5795 8 HTml5Up bl BB2943BB6B317D72F30DCBA247745CA3 508736 addsgn 1A8FD09A5583358CF42B254E3143FE865886FC8282903222E34AD43F91D48694759C3264ECA2E841A87A8DE943958BAD96DC6BB065BC393D6C3621EFB0E311B3 8 YandexUPD chklst delvir delref %SystemDrive%\USERS\ЗУЛЬФИЯ\0.7889118101644446.EXE deltmp delnfr delref HTTP://WWW.MAIL.RU/CNT/9516 EXEC cmd /c ren %windir%\system32\dllcache\rpcss.dll rpcss.dll.old EXEC cmd /c ren %windir%\system32\rpcss.dll rpcss.dll.old EXEC cmd /c copy store\nt61\rpcss.dll %windir%\system32\rpcss.dll EXEC cmd /c copy store\nt61\rpcss.dll %windir%\system32\dllcache\rpcss.dll czoo restart

Код

;;uVS v3.77.12 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

bl 456AF036C6282252297DBA9B5F217064 2312224
addsgn 1A18D29A5583C58CF42B254E3143FE58CCACF7F68971E02942C2B9100CD6993D8517C30EFDDE621CA06CD214B7FEAA0582201E375DDBC42B7B9F68D038F97BF8 8 GuardMail

zoo %Sys32%\RPCSS.DLL
bl C7132340AA27B118FE47955F580D6D92 1603104
addsgn 1A06FB9A5583C58CF42B254E3143FE8E6082CF3FB2FED2004095C5C84397F2B50E6532DA76B81EB03AF78AF54B4E1439F6DB250E908CB071EE72E0D038F9487D 8 MailUpdater
bl F082C76CF8A1C41DB23EC397B4B5B03B 1618304
addsgn 1AF67A9B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 Praetor
bl A4AB86F07E4053A4FCC7AFC4CA3C14F2 27680
addsgn 0DF9BFCA156A43C5036E8CB164C8743EF4FFEEF93EB21DFB45C1FE76248617C9EA6233BC013318805FA80904461649FAC7FFE87255BC8BFD596F1E26C7062215 8 Html5
bl 7AAAA2B53F077D9097AD8DF82BE9A9C7 29696
addsgn A413624A052A4C7DBCDCC4933AA2105F43B10D83AFF9DD7732CB464572A2482AA6DEB6A6D54FF76975E6BF6E320423F323B9D38321D0B3EE22C0AC4942CF5795 8 HTml5Up
bl BB2943BB6B317D72F30DCBA247745CA3 508736
addsgn 1A8FD09A5583358CF42B254E3143FE865886FC8282903222E34AD43F91D48694759C3264ECA2E841A87A8DE943958BAD96DC6BB065BC393D6C3621EFB0E311B3 8 YandexUPD
chklst
delvir
delref %SystemDrive%\USERS\ЗУЛЬФИЯ\0.7889118101644446.EXE
deltmp
delnfr
delref HTTP://WWW.MAIL.RU/CNT/9516
EXEC cmd /c ren %windir%\system32\dllcache\rpcss.dll rpcss.dll.old 
EXEC cmd /c ren %windir%\system32\rpcss.dll rpcss.dll.old 
EXEC cmd /c copy store\nt61\rpcss.dll %windir%\system32\rpcss.dll 
EXEC cmd /c copy store\nt61\rpcss.dll %windir%\system32\dllcache\rpcss.dll
czoo
restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
- в папке, откуда запускали программу (uVS), появится новый архив с сегодняшней датой и временем - например 2012-03-09_09-29-00.7z - это архив с вирусами, его нужно прислать на электронный адрес [email protected].
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.

Правильно заданный вопрос - это уже половина ответа

Перейти

Вопросы по приобретению

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 06.05.2013 19:48:40

кстати, хочу оповестить вас, что если вы желаете приобрести Nod32 Antivirus (не Smart Security), то сейчас действует акция от ESET + Одноклассники - вы можете бесплатное приобрести лицензию на 3 ПК на 3 месяца, а затем всего за 530 рублей продлить лицензию на 1 год на эти же 3 компьютера.

Правильно заданный вопрос - это уже половина ответа

Перейти

Вопросы по приобретению

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 06.05.2013 19:46:47

если это ваша первая платная лицензия, то продление вам не подойдет.

Правильно заданный вопрос - это уже половина ответа

Перейти

win32/ciavax.A очистка невозможна

Сообщений: 6770

Баллов: 5416

Регистрация: 12.09.2011

Размещено 06.05.2013 17:05:00

Здравствуйте!

Выполните следующий скрипт в uVS:
- запускаете программу еще раз, ожидаете пока закончится построения списка (убедитесь что программа извлечена из архива в отдельную папку. не нужно запускать ее из самого архива);
- копируете следующий текст из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой и выбираете Копировать текст);

Код
;;uVS v3.77.12 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 delall %SystemDrive%\USERS\ARTEM\DOCUMENTS\APPLICATION DATA\EXPLORER.EXE deltmp delnfr delref HTTP://WEBALTA.RU/SEARCH restart

- затем слева наверху выбираете пункт Скрипт - Выполнить скрипт находящийся в буфере обмена;
- скрипт должен автоматически появиться в этом окне. если он не появился или там находится не то что вы скопировали, то удаляете содержимое и вставляете текст скрипта правой кнопкой мыши;
- обязательно закрываете все открытые браузеры (Opera, Mozilla, IE), отключаете в антивирусе защиту (обычно правой кнопкой мыши по иконке в трее - Временно отключить защиту или т.п.) и жмете в uVS кнопку Выполнить;
- ждете окончания выполнения скрипта в программе. если будут появляться различные запросы на удаление программ, то везде нажимаем кнопки Да или Далее;
- по окончанию выполнения скрипта компьютер перезагрузится.
- после перезагрузки делаем лог Mbam как написано здесь (можно выполнить быструю проверку, а не полную). программу можно скачать отсюда. ссылку на лог выложить сюда.

Правильно заданный вопрос - это уже половина ответа

Перейти