RP55 RP55 (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

07.02.2012 20:28:36 Модуль сканирования файлов, исполняемых пОперативная память explorer.exe(1916) вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа очистка невозможна

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 07.02.2012 21:56:55

NIGI

Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИКМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!

Код
;uVS v3.74 script [http://dsrt.dyndns.org] zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\KKVZLEXQNDA.EXE bl 374FCC0E88243A2815211AE55AD5F26D 169984 delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\KKVZLEXQNDA.EXE addsgn A7679B19B912262861F3462D43C81286E182AF9CD1909212962B739E50D6F2882F7D723D5D3F3723CC6806834616CA3E6D896137B18DDAA047894CEEEE0622F0 8 Carb.277 chklst delvir deltmp delnfr czoo restart

Код

 
;uVS v3.74 script [http://dsrt.dyndns.org]          
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\KKVZLEXQNDA.EXE
bl 374FCC0E88243A2815211AE55AD5F26D 169984
delall %SystemDrive%\DOCUMENTS AND SETTINGS\USER\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\KKVZLEXQNDA.EXE
addsgn A7679B19B912262861F3462D43C81286E182AF9CD1909212962B739E50D6F2882F7D723D5D3F3723CC6806834616CA3E6D896137B18DDAA047894CEEEE0622F0 8 Carb.277

chklst
delvir
deltmp
delnfr
czoo
restart

Архив из папки uVS (с копиями вирусов для вирлаба, имя автоматически формируется от текущей даты,
например: 2010-10-04_13-30-55.rar/7z)
... отправить в почту [email protected] ;
*** если архив не был создан автоматически, самостоятельно добавьте папку ZOO в архив с паролем infected
+
Сделайте быструю проверку системы в Malwarebytes
http://forum.esetnod32.ru/forum9/topic682/

Изменено: RP55 RP55 - 07.02.2012 21:57:42

Перейти

[ Закрыто] Модифицированный Win32/Dorkbot.A червь очистка невозможна

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 07.02.2012 01:14:17

ZAIKA

Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИКМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
НА ВОПРОСЫ ПРОГРАММЫ ГОВОРИМ ДА !

Код
;uVS v3.74 script [http://dsrt.dyndns.org] uidel "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL uidel MSIEXEC.EXE /X{16D0F2D2-242C-4885-BEF1-4B1655C141AE} zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\ALFCFC.EXE bl 2669FAB4BAF808312A0FB87CEE2A2DDD 79360 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\ALFCFC.EXE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE bl 059FFB75D74173521F4E3BEC425D8E7F 1534976 delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\ZABERG.EXE delall %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\ZABERG.EXE deltmp delnfr regt 1 regt 2 regt 5 regt 12 regt 13 regt 14 regt 18 czoo restart

Код

 
;uVS v3.74 script [http://dsrt.dyndns.org]          
uidel "C:\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE" /UNINSTALL
uidel MSIEXEC.EXE /X{16D0F2D2-242C-4885-BEF1-4B1655C141AE}
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\ALFCFC.EXE
bl 2669FAB4BAF808312A0FB87CEE2A2DDD 79360
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\ALFCFC.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
bl 059FFB75D74173521F4E3BEC425D8E7F 1534976
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
zoo %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\ZABERG.EXE
delall %SystemDrive%\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\ZABERG.EXE
deltmp
delnfr
regt 1
regt 2
regt 5
regt 12
regt 13
regt 14
regt 18
czoo
restart

Перейти

[ Закрыто] блокируется доступ к сайту нод32

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 06.02.2012 19:58:27

newcomere

Это вирус!
Создайте лог в uVS
http://forum.esetnod32.ru/forum9/topic2687/

Изменено: RP55 RP55 - 06.02.2012 19:58:59

Перейти

Вопросы по приобретению

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 06.02.2012 19:14:10

openid.mail.ru/mail
Возможно, это хорошая идея.

Перейти

[ Закрыто] Поиогите и мне пожалуйста с этим вирусом

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 06.02.2012 18:49:39

Val
Пробуйте через безопасный режим.

Запуск PC -
безопасный режим.

Изменено: RP55 RP55 - 06.02.2012 18:50:56

Перейти

Вопросы по приобретению

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 06.02.2012 18:25:19

Цитата
openid.mail.ru/mail/pebor6175369 пишет: А здесь выслущивают идеи?

Это смотря какие они - эти идеи.
Есть, что предложить ?

Перейти

[ Закрыто] Оперативная память winlogon.exe(764) - модифицированный Win32/Spyeye.Ca троянская программа - очистка невозможна, Вирус (нужна помощь)

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 06.02.2012 18:22:26

antonello

Удачи !

Перейти

[ Закрыто] модифицированный Win32/Corkow, explorer.exe(1360) заражен модифицированный Win32/Corkow

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 06.02.2012 18:04:57

Цитата
alexey77 пишет: Так лог же в uVS я только сделал

Я имею ввиду новый образ uVS - Сделанный как и первый в безопасном режиме !
А не лог выполнения скрипта !
В данном случае скрипты нужно выполнять из безопасного режима !

Изменено: RP55 RP55 - 06.02.2012 18:19:31

Перейти

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 06.02.2012 17:59:27

antonello
Удалите только:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoSMHelp (PUM.Hijack.Help)

Выполните рекомендации:
http://forum.esetnod32.ru/forum9/topic751/

Перейти

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 06.02.2012 17:38:05

+
Копия Скрипта в виде файла.

Изменено: RP55 RP55 - 06.02.2012 17:39:38

Перейти