RP55 RP55 (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

поговорить о uVS, Carberp, планете Земля

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 15.11.2012 13:34:49

Может для пробы скорректировать инструкцию.( Для таких случаев )
"Откройте меню: Дополнительно и выполните команду: Выгрузить всё неизвестные/непроверенные процессы..."
После чего откройте меню Файл: Сохранить полный образ автозапуска...

Проверить
Найдёт или нет.
Как это повлияет на эффективность ?

Изменено: RP55 RP55 - 15.11.2012 13:35:39

Перейти

[ Закрыто] Оперативная память = EXPLORER.EXE(804) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа - очистка невозможна

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 14.11.2012 23:12:18

Komrad

Выполните рекомендации:
http://forum.esetnod32.ru/forum9/topic3998/
&
Проверку на программные уязвимости браузеров.
http://www.surfpatrol.ru/

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 14.11.2012 16:20:59

Цитата
TAVI пишет: Прошу прощения -визуальные закладки от яндекса?

От них.

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 14.11.2012 15:59:19

Сегодня бац...
Mozilla в полудохлом состоянии.
Запускается с задержкой секунд в 30.
В Sandboxie - вообще не работает - всё виснет.

И что оказалось ?
Установилось дополнение: "Визуальные закладки"
Вполне легитимное\официальное.
Удалил... и

Ужас

Перейти

Eset Live CD

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 14.11.2012 00:37:14

MSI файл - это установщик антивируса.

Скачать nod32
http://www.esetnod32.ru/.download/home/commerce/
Выберите соответствующею версию.

Перейти

троянчик, - модифицированный Win32/Spy.Shiz.NCE троянская программа - очистка невозможна

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 13.11.2012 01:26:20

Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !
На вопросы программы отвечаем: Да !

Код
;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 delref HTTP://WEBALTA.RU delref HTTP://START.TICNO.COM zoo %SystemRoot%\APPPATCH\TSWAWT.EXE czoo addsgn 0DE9160E156AB37F4F6AEEB18C96E7FADA356354B0FA768755F5E0BCAFDB69C46317CA6AA9DEDD49A62D299F4616F0CD7DDFE841BC5B5DB44D6BA45DDED727CF 8 Spy.exe.Vir bl EECF1A5DA0901EC964A3EAB952753C15 304640 bl 9CC5C24E0BCB282202C633F16402E3E1 795960 addsgn 1A06819A5583358CF42B627DA804DEC9E946303A4536D3F3D1E7C1371CF279BBE114C3573E20A1C229BA85EA681C898E5BE5897320FFBAC8596A65C7D73C6371 8 YandexUP chklst delvir regt 12 regt 18 deltmp delnfr restart

Код

     

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

delref HTTP://WEBALTA.RU
delref HTTP://START.TICNO.COM
zoo %SystemRoot%\APPPATCH\TSWAWT.EXE
czoo
addsgn 0DE9160E156AB37F4F6AEEB18C96E7FADA356354B0FA768755F5E0BCAFDB69C46317CA6AA9DEDD49A62D299F4616F0CD7DDFE841BC5B5DB44D6BA45DDED727CF 8 Spy.exe.Vir

bl EECF1A5DA0901EC964A3EAB952753C15 304640
bl 9CC5C24E0BCB282202C633F16402E3E1 795960
addsgn 1A06819A5583358CF42B627DA804DEC9E946303A4536D3F3D1E7C1371CF279BBE114C3573E20A1C229BA85EA681C898E5BE5897320FFBAC8596A65C7D73C6371 8 YandexUP

chklst
delvir
regt 12
regt 18
deltmp
delnfr
restart

-------------
Архив из папки uVS; (с копиями вирусов для вирлаба, имя автоматически формируется от текущей даты,
например: ZOO_2012-00-20_18-49-40.rar/7z)
... отправить в почту [email protected] ;
*** если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected
+
Далее (даже если проблема решена) выполнить лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic682/
Выбрать быстрое сканирование. Отчет предоставить для анализа.

Перейти

[ Закрыто] Win32/Qhost троянская программа

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 13.11.2012 01:10:09

В Malwarebytes
Оставить запись:
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter)

Всё прочее удаляем.

Если проблема решена:

Выполните рекомендации:
http://forum.esetnod32.ru/forum9/topic3998/
&
Проверку на программные уязвимости браузеров.
http://www.surfpatrol.ru/

Перейти

Win32/Qhost троянская программа

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 13.11.2012 01:01:35

Код
;uVS v3.76 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 bl 68AF1C01341DA23A1D01FC487FEA8B6B 1582976 addsgn 1AA78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 PRAETORIAN.EXE chklst delvir delref HTTP://QIP.RU delref HTTP://SEARCH.QIP.RU exec "C:\PROGRAM FILES (X86)\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL regt 14 deltmp delnfr restart

Код

     

;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

bl 68AF1C01341DA23A1D01FC487FEA8B6B 1582976
addsgn 1AA78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 8 PRAETORIAN.EXE

chklst
delvir
delref HTTP://QIP.RU
delref HTTP://SEARCH.QIP.RU
exec "C:\PROGRAM FILES (X86)\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL
regt 14
deltmp
delnfr
restart

-------------

Далее (даже если проблема решена) выполнить лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic682/
Выбрать быстрое сканирование. Отчет предоставить для анализа.

Изменено: RP55 RP55 - 13.11.2012 01:02:45

Перейти

троянчик, - модифицированный Win32/Spy.Shiz.NCE троянская программа - очистка невозможна

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 13.11.2012 00:56:17

Создайте лог в uVS
http://forum.esetnod32.ru/forum9/topic2687/

Перейти

Win32/Qhost троянская программа

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 13.11.2012 00:20:08

Создайте лог в uVS
http://forum.esetnod32.ru/forum9/topic2687/

Перейти