RP55 RP55 (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] Оперативная память » explorer.exe(1880) - модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа - очистка невозможна

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 12.05.2012 23:50:02

evgen44

Если проблема решена:

Выполните рекомендации:
http://forum.esetnod32.ru/forum9/topic3998/
&
Проверка на программные уязвимости браузеров.
http://www.surfpatrol.ru/

Перейти

[ Закрыто] оперативная память = explorer.exe (1832) и (728)

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 12.05.2012 23:41:54

Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv6.1 delref WWW.APEHA.RU setdns Подключение по локальной сети 2\4\{290F2DC3-6C1D-4AAB-A1BC-55780B9784D0}\ setdns Подключение по локальной сети 4\4\{5875937F-ACDA-41FA-96C8-66A5871FA34E}\ setdns Подключение по локальной сети 5\4\{053BF084-849E-42A8-9651-5042AF1ADA47}\ setdns Подключение по локальной сети 7\4\{EC87AED5-67B7-4457-9891-DC8599D50164}\ setdns Подключение по локальной сети\4\{6978FD9E-DD8B-4A1D-9CD1-C5CA32F8E435}\ zoo %SystemDrive%\USERS\LYNCH\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DJJRJF1SR30.EXE bl 9D0E3CD19912B91745D48CD777997FBE 210432 addsgn A7679BF0AA023C014BD4C6B20E881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CB60E9FE82BD6D7B0EC6E775BACCA02E230 8 Carb.448 zoo %SystemDrive%\USERS\LYNCH\APPDATA\LOCAL\TEMP\OZQXHCV.EXE bl B93DF180F915346B01D03CCC2BC2701F 119808 addsgn 7BC9DF8B156AF3127597AE80A471727B668AD50F7509B5E35E20952789EA55D7A31BE768E779B911950096DF46A9C1E83DDFD18523DC4C81D2A74FD9AD07CAB2 8 Server-Web.SmallHTTP.AA [NOD]. noprox.e delall %SystemDrive%\USERS\LYNCH\APPDATA\LOCAL\TEMP\OZQXHCV.EXE delall %SystemDrive%\USERS\LYNCH\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DJJRJF1SR30.EXE zoo %SystemDrive%\USERS\LYNCH\APPDATA\ROAMING\ZYD\VYPEIBY.EXE delall %SystemDrive%\USERS\LYNCH\APPDATA\ROAMING\ZYD\VYPEIBY.EXE EXEC cmd /c"netsh winsock reset catalog" exec cmd /c "ipconfig /flushdns" deltmp delnfr regt 12 czoo restart

Код

 
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

delref WWW.APEHA.RU
setdns Подключение по локальной сети 2\4\{290F2DC3-6C1D-4AAB-A1BC-55780B9784D0}\
setdns Подключение по локальной сети 4\4\{5875937F-ACDA-41FA-96C8-66A5871FA34E}\
setdns Подключение по локальной сети 5\4\{053BF084-849E-42A8-9651-5042AF1ADA47}\
setdns Подключение по локальной сети 7\4\{EC87AED5-67B7-4457-9891-DC8599D50164}\
setdns Подключение по локальной сети\4\{6978FD9E-DD8B-4A1D-9CD1-C5CA32F8E435}\
zoo %SystemDrive%\USERS\LYNCH\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DJJRJF1SR30.EXE
bl 9D0E3CD19912B91745D48CD777997FBE 210432
addsgn A7679BF0AA023C014BD4C6B20E881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95CB60E9FE82BD6D7B0EC6E775BACCA02E230 8 Carb.448

zoo %SystemDrive%\USERS\LYNCH\APPDATA\LOCAL\TEMP\OZQXHCV.EXE
bl B93DF180F915346B01D03CCC2BC2701F 119808
addsgn 7BC9DF8B156AF3127597AE80A471727B668AD50F7509B5E35E20952789EA55D7A31BE768E779B911950096DF46A9C1E83DDFD18523DC4C81D2A74FD9AD07CAB2 8 Server-Web.SmallHTTP.AA [NOD]. noprox.e

delall %SystemDrive%\USERS\LYNCH\APPDATA\LOCAL\TEMP\OZQXHCV.EXE
delall %SystemDrive%\USERS\LYNCH\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DJJRJF1SR30.EXE
zoo %SystemDrive%\USERS\LYNCH\APPDATA\ROAMING\ZYD\VYPEIBY.EXE
delall %SystemDrive%\USERS\LYNCH\APPDATA\ROAMING\ZYD\VYPEIBY.EXE
EXEC cmd /c"netsh winsock reset catalog"
exec cmd /c "ipconfig /flushdns"
deltmp
delnfr
regt 12
czoo
restart

-------------
Архив из папки uVS (с копиями вирусов для вирлаба, имя автоматически формируется от текущей даты,
например: 2010-10-04_13-30-55.rar/7z)
... отправить в почту [email protected] ;
*** если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected
+
Далее (даже если проблема решена) выполнить лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic682/
Выбрать быстрое сканирование. Отчет предоставить для анализа.

Перейти

[ Закрыто] модифицированный Win32/Spy.Shiz.NCE троянская программа очистка невозможна

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 12.05.2012 23:21:25

Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
НА вопросы программы - отвечаем : Да !
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 uidel MSIEXEC.EXE /I{86D4B82A-ABED-442A-BE86-96357B70F4FE} uidel "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL delref HTTP://NIGHTWAREZ.RU/ delref HTTP://WWW.YANDEX.RU/?CLID=41128 addsgn A7679B19B90EB3776496EFB19BDDB665668AD5F313BA5E78B61804775A5574C76256C34F4D4D6244A1C0C59F9713CFB83CDF6347439BF12C2C42B26E8606A390 8 Win32/Spy.Shiz.NCE.exe zoo %SystemRoot%\APPPATCH\ENYQJF.EXE bl A05B73A1D8844188617E71E369380E7A 280064 delall %SystemRoot%\APPPATCH\ENYQJF.EXE chklst delvir deltmp delnfr regt 12 czoo restart

Код

 
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

uidel MSIEXEC.EXE /I{86D4B82A-ABED-442A-BE86-96357B70F4FE}
uidel "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL
delref HTTP://NIGHTWAREZ.RU/
delref HTTP://WWW.YANDEX.RU/?CLID=41128
addsgn A7679B19B90EB3776496EFB19BDDB665668AD5F313BA5E78B61804775A5574C76256C34F4D4D6244A1C0C59F9713CFB83CDF6347439BF12C2C42B26E8606A390 8 Win32/Spy.Shiz.NCE.exe
zoo %SystemRoot%\APPPATCH\ENYQJF.EXE
bl A05B73A1D8844188617E71E369380E7A 280064
delall %SystemRoot%\APPPATCH\ENYQJF.EXE
chklst
delvir
deltmp
delnfr
regt 12
czoo
restart

Изменено: RP55 RP55 - 12.05.2012 23:24:24

Перейти

[ Закрыто] вымогатель блокирует загрузку системы

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 11.05.2012 22:33:03

Олег

Создайте лог в uVS - Live CD
http://forum.esetnod32.ru/forum9/topic683/
http://forum.esetnod32.ru/forum6/topic2102/

Перейти

[ Закрыто] Оперативная память = explorer.exe(696) - модифицированный Win32/Spy.Shiz.NCE троянская программа - очистка невозможна, Доброго времени суток всем форумчанам! Народ помогите, незнаю что делать!!!

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 11.05.2012 22:22:31

Цитата
Melihov пишет: Что делать с этими объектами?

Оставить !

Если проблема решена:

Выполните рекомендации:
http://forum.esetnod32.ru/forum9/topic3998/
&
Проверка на программные уязвимости браузеров.
http://www.surfpatrol.ru/

Перейти

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 11.05.2012 21:58:13

Код
;uVS v3.74 script [http://dsrt.dyndns.org] ;Target OS: NTv5.1 bl 059FFB75D74173521F4E3BEC425D8E7F 1534976 addsgn 1AD78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 16 Praetorian zoo %SystemRoot%\APPPATCH\YXCAPW.EXE bl ED8DE654A2102E2470A5DB2F6BADC173 283648 addsgn A7679B19B902CF575510EFB17C4B1F19E4CBFCF7E1A4DE39853CD03C14927145263507163E666288E4825570C7E914FB6EDF9E7594D778EC6C77A22EBAD64A66 8 Win32/Spy.Shiz.NCE.exe delall %SystemRoot%\APPPATCH\YXCAPW.EXE delref HTTP://XTEAM.IN/ chklst delvir deltmp delnfr regt 1 regt 2 regt 12 czoo restart

Код

 
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

bl 059FFB75D74173521F4E3BEC425D8E7F 1534976
addsgn 1AD78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F9F5FA577 16 Praetorian

zoo %SystemRoot%\APPPATCH\YXCAPW.EXE
bl ED8DE654A2102E2470A5DB2F6BADC173 283648
addsgn A7679B19B902CF575510EFB17C4B1F19E4CBFCF7E1A4DE39853CD03C14927145263507163E666288E4825570C7E914FB6EDF9E7594D778EC6C77A22EBAD64A66 8 Win32/Spy.Shiz.NCE.exe

delall %SystemRoot%\APPPATCH\YXCAPW.EXE
delref HTTP://XTEAM.IN/
chklst
delvir
deltmp
delnfr
regt 1
regt 2
regt 12
czoo
restart

Изменено: RP55 RP55 - 11.05.2012 22:02:42

Перейти

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 11.05.2012 21:39:36

Создайте лог в uVS
http://forum.esetnod32.ru/forum9/topic2687/

Перейти

Ошибка 2878 при установке на новый компьютер

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 11.05.2012 01:14:29

Скачайте программу SysInspector по ссылке:

Для 32-битных ОС:
http://download.eset.com/download/sysinspector/32/RUS/SysInspector.exe
Для 64-битных ОС:
http://download.eset.com/download/sysinspector/64/RUS/SysInspector.exe

Чтобы сохранить лог файл необходимо нажать в верхнем правом углу программы кнопку "файл" , затем выбрать "сохранить журнал".
Название файла будет иметь вид "SysInspector-имя вашего компьютера-дата.zip"

Лог файл прикрепите к вашему сообщению на форуме или разместите на файлообменнике ( http://rghost.ru или http://upwap.ru/ ), указав на форуме в своей теме ссылку на этот архив.
+
Создайте лог в uVS
http://forum.esetnod32.ru/forum9/topic2687/

Какой антивирус был установлен на момент его продажи известно ?

Перейти

[ Закрыто] Нужна помощь!

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 09.05.2012 01:34:18

Создайте лог в uVS в безопасном режиме.
http://forum.esetnod32.ru/forum9/topic2687/

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 08.05.2012 00:46:41

Цитата
Арвид пишет: Проглядеть вряд ли можно - слишком имя кривое и видно где прописано

Можно.
Что будет если это окажется: Corkow.A
Или схожий с ним вирус.
Там, всё от и до прописано.
Как быть в случае с принципиально новым вирусом которого нет в критериях поиска и базе сигнатур.
И ещё добрые люди его подпишут: " Действительна, подписано пользователем "
Найти всё можно.
Однако сколько времени и нервов на это будет потрачено.
Дебилизм !

Перейти