вирус Generic_r/Pykspa.A

natan247 · 30.11.2014, 14:35

Добрый день!

Вирус Generic_r/Pykspa.A определяется AVG и microsoft security essentials.
AVG его удаляет - файлы в папке с:\users\public. Но через некоторое время он опять реинкарнируется, AVG его удаляет и все по новой.
Файл образа автозапуска в uVS прилагаю по ссылке.
http://rghost.ru/59343991
Спасибо за помощь

safety · 30.11.2014, 14:49

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:

;uVS v3.85.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

delall %SystemDrive%\USERS\NATAN\APPDATA\ROAMING\DSITE\UPDATE~1\UPDATE~1.EXE
;------------------------autoscript---------------------------

hide %Sys32%\DRIVERS\AVGDISKX.SYS
chklst
delvir

delref HTTP://WEBALTA.RU/SEARCH

; OpenAL
exec C:\Program Files\OpenAL\oalinst.exe" /U
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните быстрое сканирование (угроз) в Malwarebytes

natan247 · 30.11.2014, 17:18

все сделал.
лог mbam по ссылке (не сумел к сообщению прикрепить)
http://rghost.ru/59347163

safety · 30.11.2014, 17:29

удалите все найденное в малваребайт(в карантин),

далее,

сделайте проверку в АдвКлинере
http://pchelpforum.ru/f26/t24207/2/#post1110672

*****
в АдвКлинере, в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)

остальное удалите по кнопке Очистить

далее,

закрываем уязвимости

Скопируйте всё содержимое страницы http://dataforce.ru/~kad/ScanVuln.txt в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится айл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

------------

natan247 · 30.11.2014, 19:46

Куча вопросов:
у Crome есть расширение "Empty New Tab Page" и у него в реестре ключ "dpjamkmjmigaoobjbekmfgabipmfilij". Он в ходе чистки удалился - может это быть вирусом? Такое страшное название - это из названия страницы загрузки этого расширения.

avz выдал ссылку на устранение уязвимости
http://download.microsoft.com/downlo...718704-x86.msu
- такое обновление неприменимо к этому компьютеру

У меня 2 пк. В локальной сети. Со второго пк выхожу в интернет очень редко. Вирус по этой теме там не определяется. Сейчас после чистки первого компьютера открыл файерволл ко второму компьютеру, чтобы там тоже начать проверку и в этот момент вирус снова активизировался (причем появились файлы, которые раньше не проявлялись). И на втором пк файлов от этого вируса как на первом я не наблюдаю.
Как теперь поступить? С отключенной сетью каждый пк проверять заново?

safety · 30.11.2014, 19:48

если проблема не решится, добавьте логи расширения браузеров
http://pchelpforum.ru/f26/t24207/p1171371/

natan247 · 30.11.2014, 20:24

Наверное, все придется по-новой.
2 компьютера. Отключил от локальной сети.

2 отчета образа автозапуска в uVS по двум ссылкам

пк №1
http://rghost.ru/59351124

пк №2
http://rghost.ru/59351140

спасибо

safety · 30.11.2014, 21:20

по компьютерам сразу пишу.
по каждому компьютеру заведите отдельную тему, чтобы не было путаницы с логами.

natan247 · 30.11.2014, 21:24

Хорошо, здесь этот:

образ автозапуска
пк №1
http://rghost.ru/59351124

safety · 30.11.2014, 21:29

какие остались проблемы по этому компу?

natan247 · 30.11.2014, 21:34

Все, что было указано в теме, сделано.
Решил проверить второй компьютер, выключил файерволл ко второму компьютеру, после этого вирус снова активизировался. Не могу сказать откуда он - или на первом не удалился, или со второго пк по сети идет. На втором пк вирус не определяется. ПК 1 - win 32, ПК 2 - win 64/

safety · 01.12.2014, 13:25

отключите здесь общий доступ к папкам, если он включен

safety · 01.12.2014, 13:29

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:

;uVS v3.85.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES\UTORRENT\UTORRENT.EXE
addsgn 9252774A0D6AC1CC0B94494E3341F788B9AE7C3776052EB8D5FA19C9AB90371F4B23D5733E021E8A2FD3ECC5251D49ACFE1CEC21051DB32F2D75A4BF5796B2E3 8 a variant of Win32/Bunndle
delall %SystemDrive%\PROGRAM FILES\UTORRENT\UTORRENT.EXE
delref HTTP://WEBALTA.RU/SEARCH
delall %SystemDrive%\USERS\NATAN\APPDATA\ROAMING\DSITE\UPDATE~1\UPDATE~1.EXE
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
----------

natan247 · 01.12.2014, 13:47

сделано.
ничего не могу сказать, так как спровоцировать активацию вируса я не могу. Сам вирус активизируется не часто, и его наличие или отсутствие я не могу определить, пока он не активизируется.

safety · 01.12.2014, 13:51

при каких условиях он активизируется? может быть при запуске торрент-клиента?

30.11.2014, 14:35	#1 (ссылка)
natan247 Новичок Регистрация: 30.11.2014 Сообщений: 22 Репутация: 0	вирус Generic_r/Pykspa.A Добрый день! Вирус Generic_r/Pykspa.A определяется AVG и microsoft security essentials. AVG его удаляет - файлы в папке с:\users\public. Но через некоторое время он опять реинкарнируется, AVG его удаляет и все по новой. Файл образа автозапуска в uVS прилагаю по ссылке. http://rghost.ru/59343991 Спасибо за помощь

30.11.2014, 14:49	#2 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код: ;uVS v3.85.3 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE delall %SystemDrive%\USERS\NATAN\APPDATA\ROAMING\DSITE\UPDATE~1\UPDATE~1.EXE ;------------------------autoscript--------------------------- hide %Sys32%\DRIVERS\AVGDISKX.SYS chklst delvir delref HTTP://WEBALTA.RU/SEARCH ; OpenAL exec C:\Program Files\OpenAL\oalinst.exe" /U deltmp delnfr ;------------------------------------------------------------- restart перезагрузка, пишем о старых и новых проблемах. ---------- далее, выполните быстрое сканирование (угроз) в Malwarebytes

01.12.2014, 13:29	#13 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	выполняем скрипт в uVS - скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код: ;uVS v3.85.3 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\PROGRAM FILES\UTORRENT\UTORRENT.EXE addsgn 9252774A0D6AC1CC0B94494E3341F788B9AE7C3776052EB8D5FA19C9AB90371F4B23D5733E021E8A2FD3ECC5251D49ACFE1CEC21051DB32F2D75A4BF5796B2E3 8 a variant of Win32/Bunndle delall %SystemDrive%\PROGRAM FILES\UTORRENT\UTORRENT.EXE delref HTTP://WEBALTA.RU/SEARCH delall %SystemDrive%\USERS\NATAN\APPDATA\ROAMING\DSITE\UPDATE~1\UPDATE~1.EXE deltmp delnfr restart перезагрузка, пишем о старых и новых проблемах. ----------

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Вирус не вирус без понятия	noob2	Безопасность	1	27.12.2012 18:31
url mal вирус,аваст блокирует и систему и все браузеры,постоянно выдавая этот вирус!!	ann130281	Безопасность	14	09.06.2012 15:36
Не могу определить вирус... да и вирус ли это?	Vodnik	Безопасность	7	21.12.2011 15:04
Вирус вирус перенаправляющий на "rostelecom.ru"	CrazyMixa	Безопасность	4	06.08.2011 00:29
Вирус (реклама) который утверждает что он не вирус и подавляет все действия	Vado	Безопасность	3	13.06.2010 16:40

30.11.2014, 17:18	#3 (ссылка)
natan247 Новичок Регистрация: 30.11.2014 Сообщений: 22 Репутация: 0	все сделал. лог mbam по ссылке (не сумел к сообщению прикрепить) http://rghost.ru/59347163

30.11.2014, 17:29	#4 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	удалите все найденное в малваребайт(в карантин), далее, сделайте проверку в АдвКлинере http://pchelpforum.ru/f26/t24207/2/#post1110672 *** в АдвКлинере, в секции Папки снимите галки с записей mail.ru, yandex (если есть такие) остальное удалите по кнопке Очистить** далее, закрываем уязвимости Скопируйте всё содержимое страницы http://dataforce.ru/~kad/ScanVuln.txt в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится айл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player. ------------

30.11.2014, 19:46	#5 (ссылка)
natan247 Новичок Регистрация: 30.11.2014 Сообщений: 22 Репутация: 0	Куча вопросов: у Crome есть расширение "Empty New Tab Page" и у него в реестре ключ "dpjamkmjmigaoobjbekmfgabipmfilij". Он в ходе чистки удалился - может это быть вирусом? Такое страшное название - это из названия страницы загрузки этого расширения. avz выдал ссылку на устранение уязвимости http://download.microsoft.com/downlo...718704-x86.msu - такое обновление неприменимо к этому компьютеру У меня 2 пк. В локальной сети. Со второго пк выхожу в интернет очень редко. Вирус по этой теме там не определяется. Сейчас после чистки первого компьютера открыл файерволл ко второму компьютеру, чтобы там тоже начать проверку и в этот момент вирус снова активизировался (причем появились файлы, которые раньше не проявлялись). И на втором пк файлов от этого вируса как на первом я не наблюдаю. Как теперь поступить? С отключенной сетью каждый пк проверять заново?

30.11.2014, 19:48	#6 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	если проблема не решится, добавьте логи расширения браузеров http://pchelpforum.ru/f26/t24207/p1171371/

30.11.2014, 20:24	#7 (ссылка)
natan247 Новичок Регистрация: 30.11.2014 Сообщений: 22 Репутация: 0	Наверное, все придется по-новой. 2 компьютера. Отключил от локальной сети. 2 отчета образа автозапуска в uVS по двум ссылкам пк №1 http://rghost.ru/59351124 пк №2 http://rghost.ru/59351140 спасибо

30.11.2014, 21:20	#8 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	по компьютерам сразу пишу. по каждому компьютеру заведите отдельную тему, чтобы не было путаницы с логами.

30.11.2014, 21:24	#9 (ссылка)
natan247 Новичок Регистрация: 30.11.2014 Сообщений: 22 Репутация: 0	Хорошо, здесь этот: образ автозапуска пк №1 http://rghost.ru/59351124

30.11.2014, 21:29	#10 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	какие остались проблемы по этому компу?

30.11.2014, 21:34	#11 (ссылка)
natan247 Новичок Регистрация: 30.11.2014 Сообщений: 22 Репутация: 0	Все, что было указано в теме, сделано. Решил проверить второй компьютер, выключил файерволл ко второму компьютеру, после этого вирус снова активизировался. Не могу сказать откуда он - или на первом не удалился, или со второго пк по сети идет. На втором пк вирус не определяется. ПК 1 - win 32, ПК 2 - win 64/

01.12.2014, 13:25	#12 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	отключите здесь общий доступ к папкам, если он включен

Ads

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

01.12.2014, 13:47	#14 (ссылка)
natan247 Новичок Регистрация: 30.11.2014 Сообщений: 22 Репутация: 0	сделано. ничего не могу сказать, так как спровоцировать активацию вируса я не могу. Сам вирус активизируется не часто, и его наличие или отсутствие я не могу определить, пока он не активизируется.

01.12.2014, 13:51	#15 (ссылка)
safety Эксперт Регистрация: 12.07.2011 Сообщений: 28,970 Репутация: 1660	при каких условиях он активизируется? может быть при запуске торрент-клиента?