RP55 RP55 (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

троянская программа

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 15.05.2012 17:31:24

hitory

После выполнения первого скрипта - выполните скрипт №2*
Предназначенный для очистки браузеров !

*
Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 delref HTTP://WEBALTA.RU/SEARCH delref HTTP://HOME.WEBALTA.RU delref HTTP://WWW.MAIL.RU/CNT/8746 bl 2B4E3BDFEA9CA721114F5EB41A575158 374344 zoo %SystemRoot%\ASSEMBLY\GAC_MSIL\WEBALTASEARCH\1.1.0.0__CAE29F257FECBA88\WEBALTASEARCH.DLL delall %SystemRoot%\ASSEMBLY\GAC_MSIL\WEBALTASEARCH\1.1.0.0__CAE29F257FECBA88\WEBALTASEARCH.DLL deltmp delnfr restart

Код

 
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

delref HTTP://WEBALTA.RU/SEARCH
delref HTTP://HOME.WEBALTA.RU
delref HTTP://WWW.MAIL.RU/CNT/8746
bl 2B4E3BDFEA9CA721114F5EB41A575158 374344
zoo %SystemRoot%\ASSEMBLY\GAC_MSIL\WEBALTASEARCH\1.1.0.0__CAE29F257FECBA88\WEBALTASEARCH.DLL
delall %SystemRoot%\ASSEMBLY\GAC_MSIL\WEBALTASEARCH\1.1.0.0__CAE29F257FECBA88\WEBALTASEARCH.DLL
deltmp
delnfr
restart

-------------
Архив из папки uVS (с копиями вирусов для вирлаба, имя автоматически формируется от текущей даты,
например: 2010-10-04_13-30-55.rar/7z)
... отправить в почту [email protected] ;
*** если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected
+
Далее (даже если проблема решена) выполнить лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic682/
Выбрать быстрое сканирование. Отчет предоставить для анализа.

Перейти

[ Закрыто] Тоже Carberp.AF :-(

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 15.05.2012 16:42:24

Добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

Перейти

[ Закрыто] Тоже Carberp.AF :-(

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 15.05.2012 16:41:34

Вирус не найден...

Сделайте образ uVS - В безопасном режиме.

Запуск PC - безопасный режим.
Подробно

Перейти

переправили с форума pchelp

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 15.05.2012 00:54:47

1. Удаляем AD-AWARE !
2. Судя по логу Avast 7 установлен !
Если есть ошибки в его работе то удалите так:
http://www.esetnod32.ru/.support/knowledge_base/uninstall_avast_kaspersky/

Перейти

SpyVoltar, Оперативная память = C:\Users\Garry Oldman\AppData\Roaming\netprotocol.exe - модифицированный Win32/SpyVoltar.A троянская программа - очистка невозможна

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 15.05.2012 00:28:37

GaryOldman
Выполните повторно скрипт в uVS !
Действия для Malwarebytes: Удалить найденное !

Изменено: RP55 RP55 - 15.05.2012 00:42:10

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 15.05.2012 00:07:21

Арвид:
http://forum.esetnod32.ru/forum6/topic5624/

Перейти

[ Закрыто] Ещё одна жертва Win32/TrojanDownloader.Carberp.AF, Оперативная память = explorer.exe(616) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 13.05.2012 01:28:12

Если проблема решена:

Выполните рекомендации:
http://forum.esetnod32.ru/forum9/topic3998/
&
Проверка на программные уязвимости браузеров.
http://www.surfpatrol.ru/

Изменено: RP55 RP55 - 13.05.2012 01:28:57

Перейти

[ Закрыто] оперативная память = explorer.exe (1832) и (728)

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 13.05.2012 00:18:04

В Malwarebytes - удалить все найденные объекты.

Если проблема решена:

Выполните рекомендации:
http://forum.esetnod32.ru/forum9/topic3998/
&
Проверка на программные уязвимости браузеров.
http://www.surfpatrol.ru/

Перейти

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 13.05.2012 00:12:46

Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 addsgn A7679B1BB9CA4C720BBCAED1360578454D8A72981012686F85C346785C85211CCBD3D6573ED659417DD0EC9FDDBDD0AA2D37B36555DA33E83D20CEBEAD1E4A73 8 Carb.449 bl 1B7D25DD4B2AD3F343262F1297CFEBD8 137728 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\Ю&C\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\6VQJRVEV1OQ.EXE delall %SystemDrive%\DOCUMENTS AND SETTINGS\Ю&C\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\6VQJRVEV1OQ.EXE chklst delvir deltmp delnfr czoo restart

Код

 
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

addsgn A7679B1BB9CA4C720BBCAED1360578454D8A72981012686F85C346785C85211CCBD3D6573ED659417DD0EC9FDDBDD0AA2D37B36555DA33E83D20CEBEAD1E4A73 8 Carb.449

bl 1B7D25DD4B2AD3F343262F1297CFEBD8 137728
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\Ю&C\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\6VQJRVEV1OQ.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\Ю&C\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\6VQJRVEV1OQ.EXE
chklst
delvir
deltmp
delnfr
czoo
restart

Перейти

Вирус, Вирус в оперативной памяти

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 12.05.2012 23:57:05

hostelman

Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 addsgn A7679BF0AA023C014BD4C6B20E881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CB60E9FE82BD6D7B0EC6E775BACCA02E230 8 Carb.448 zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\OGXFE8PO2AE.EXE bl FD9CB57955A30CE45A3D8C7C7745D9DF 210432 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\OGXFE8PO2AE.EXE delref HTTP://MAIL.RU/CNT/7993/ delref HTTP://WWW.MAIL.RU/CNT/9514 setdns Беспроводное сетевое соединение\4\{3EE9EE5E-E61F-4040-B551-097A0DCAA92D}\ setdns Подключение по локальной сети\4\{789FBFBB-C12E-41B0-B5EC-4C867BDDE5BD}\ EXEC cmd /c"netsh winsock reset catalog" exec cmd /c "ipconfig /flushdns" chklst delvir deltmp delnfr czoo restart

Код

 
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

addsgn A7679BF0AA023C014BD4C6B20E881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CB60E9FE82BD6D7B0EC6E775BACCA02E230 8 Carb.448

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\OGXFE8PO2AE.EXE
bl FD9CB57955A30CE45A3D8C7C7745D9DF 210432
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\OGXFE8PO2AE.EXE
delref HTTP://MAIL.RU/CNT/7993/
delref HTTP://WWW.MAIL.RU/CNT/9514
setdns Беспроводное сетевое соединение\4\{3EE9EE5E-E61F-4040-B551-097A0DCAA92D}\
setdns Подключение по локальной сети\4\{789FBFBB-C12E-41B0-B5EC-4C867BDDE5BD}\
EXEC cmd /c"netsh winsock reset catalog"
exec cmd /c "ipconfig /flushdns"
chklst
delvir
deltmp
delnfr
czoo
restart

Перейти