30.11.2014, 14:35 | #1 (ссылка) |
Новичок
Регистрация: 30.11.2014
Сообщений: 22
Репутация: 0
|
вирус Generic_r/Pykspa.A
Добрый день!
Вирус Generic_r/Pykspa.A определяется AVG и microsoft security essentials. AVG его удаляет - файлы в папке с:\users\public. Но через некоторое время он опять реинкарнируется, AVG его удаляет и все по новой. Файл образа автозапуска в uVS прилагаю по ссылке. http://rghost.ru/59343991 Спасибо за помощь |
30.11.2014, 14:49 | #2 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код:
;uVS v3.85.3 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE delall %SystemDrive%\USERS\NATAN\APPDATA\ROAMING\DSITE\UPDATE~1\UPDATE~1.EXE ;------------------------autoscript--------------------------- hide %Sys32%\DRIVERS\AVGDISKX.SYS chklst delvir delref HTTP://WEBALTA.RU/SEARCH ; OpenAL exec C:\Program Files\OpenAL\oalinst.exe" /U deltmp delnfr ;------------------------------------------------------------- restart ---------- далее, выполните быстрое сканирование (угроз) в Malwarebytes |
30.11.2014, 17:29 | #4 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
удалите все найденное в малваребайт(в карантин),
далее, сделайте проверку в АдвКлинере http://pchelpforum.ru/f26/t24207/2/#post1110672 ***** в АдвКлинере, в секции Папки снимите галки с записей mail.ru, yandex (если есть такие) остальное удалите по кнопке Очистить далее, закрываем уязвимости Скопируйте всё содержимое страницы http://dataforce.ru/~kad/ScanVuln.txt в буфер обмена ( Ctrl-A, Ctrl-C) и выполните как скрипт в AVZ - меню "Файл" -> "Выполнить скрипт", вставить буфер обмена - Ctrl-V - и нажать "Запустить". После его работы, если будут найдены уязвимости, в папке LOG появится айл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player. ------------ |
30.11.2014, 19:46 | #5 (ссылка) |
Новичок
Регистрация: 30.11.2014
Сообщений: 22
Репутация: 0
|
Куча вопросов:
у Crome есть расширение "Empty New Tab Page" и у него в реестре ключ "dpjamkmjmigaoobjbekmfgabipmfilij". Он в ходе чистки удалился - может это быть вирусом? Такое страшное название - это из названия страницы загрузки этого расширения. avz выдал ссылку на устранение уязвимости http://download.microsoft.com/downlo...718704-x86.msu - такое обновление неприменимо к этому компьютеру У меня 2 пк. В локальной сети. Со второго пк выхожу в интернет очень редко. Вирус по этой теме там не определяется. Сейчас после чистки первого компьютера открыл файерволл ко второму компьютеру, чтобы там тоже начать проверку и в этот момент вирус снова активизировался (причем появились файлы, которые раньше не проявлялись). И на втором пк файлов от этого вируса как на первом я не наблюдаю. Как теперь поступить? С отключенной сетью каждый пк проверять заново? |
30.11.2014, 19:48 | #6 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
если проблема не решится, добавьте логи расширения браузеров
http://pchelpforum.ru/f26/t24207/p1171371/ |
30.11.2014, 20:24 | #7 (ссылка) |
Новичок
Регистрация: 30.11.2014
Сообщений: 22
Репутация: 0
|
Наверное, все придется по-новой.
2 компьютера. Отключил от локальной сети. 2 отчета образа автозапуска в uVS по двум ссылкам пк №1 http://rghost.ru/59351124 пк №2 http://rghost.ru/59351140 спасибо |
30.11.2014, 21:34 | #11 (ссылка) |
Новичок
Регистрация: 30.11.2014
Сообщений: 22
Репутация: 0
|
Все, что было указано в теме, сделано.
Решил проверить второй компьютер, выключил файерволл ко второму компьютеру, после этого вирус снова активизировался. Не могу сказать откуда он - или на первом не удалился, или со второго пк по сети идет. На втором пк вирус не определяется. ПК 1 - win 32, ПК 2 - win 64/ |
01.12.2014, 13:29 | #13 (ссылка) |
Эксперт
Регистрация: 12.07.2011
Сообщений: 28,970
Репутация: 1660
|
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена; - стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена; - закрываем все браузеры перед выполнением скрипта; при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" Код:
;uVS v3.85.3 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\PROGRAM FILES\UTORRENT\UTORRENT.EXE addsgn 9252774A0D6AC1CC0B94494E3341F788B9AE7C3776052EB8D5FA19C9AB90371F4B23D5733E021E8A2FD3ECC5251D49ACFE1CEC21051DB32F2D75A4BF5796B2E3 8 a variant of Win32/Bunndle delall %SystemDrive%\PROGRAM FILES\UTORRENT\UTORRENT.EXE delref HTTP://WEBALTA.RU/SEARCH delall %SystemDrive%\USERS\NATAN\APPDATA\ROAMING\DSITE\UPDATE~1\UPDATE~1.EXE deltmp delnfr restart ---------- |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Вирус не вирус без понятия | noob2 | Безопасность | 1 | 27.12.2012 18:31 |
url mal вирус,аваст блокирует и систему и все браузеры,постоянно выдавая этот вирус!! | ann130281 | Безопасность | 14 | 09.06.2012 15:36 |
Не могу определить вирус... да и вирус ли это? | Vodnik | Безопасность | 7 | 21.12.2011 15:04 |
Вирус вирус перенаправляющий на "rostelecom.ru" | CrazyMixa | Безопасность | 4 | 06.08.2011 00:29 |
Вирус (реклама) который утверждает что он не вирус и подавляет все действия | Vado | Безопасность | 3 | 13.06.2010 16:40 |