Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Форум технической поддержки Полезная информация

Как избавить от вируса Carberp , Инструкция для удаления вируса (не для загрузочного варианта)

1
RSS
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 03.12.2011 21:31:49
Итак, если у вас завелся Carberp и антивирус информирует об этом, есть способ избавиться от него с помощью антивируса от ESET.

Для начала надо убедиться что вирус запускается уже в ОС, а не до нее, в загрузочном секторе.
Для этого открываем окно антивируса - Сканирование ПК и выбираем Выборочное сканирование:

Затем жмем Настройка - Очистка и выбираем Уровень очистки на максимум - Тщательная очистка


Далее выбираем у каждого вашего раздела Загрузочный сектор и жмем Сканировать

Если антивирус ничего не нашел, то радуемся и переходим к следующему шагу:
Также заходим в Выборочное сканирование и выбираем каталог для проверки и нажимаем на Сканирование (галочку на Сканировать без очистки не ставить :))
Цитата
для ХР - C:\Documents and Settings\Имя вашего профиля\Главное меню\Программы\Автозагрузка
для Vista, 7 - c:\Users\Имя вашего профиля\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

Теперь жмем на Показать сканирование и журнал в отдельном окне:

Где должны увидеть вот такое сообщение:

Если антивирус предложит перезагрузку для удаления вируса - сразу жмите Да. Если не предложит - все равно перезагрузитесь :)

На этом все. Теперь можете почистить хвосты после вируса - это могут быть папки в корне системного раздела с рандомным именем, например - 2gPzm53eSx3wen4, zLx64TLcqaKlCIo, 4VlJRUKP0ZewDln и т.п.
А также файлы:
Цитата
c:\WINDОWS\system32\iеunitdrf.inf
c:\Users\Имя пользовaтеля\AppData\Roaming\igfxtray.dat
с:\Documents and Settings\Имя пользовaтеля\Application Data\igfxtray.dat
Если в сканировании ничего не нашлось, значит у антивируса базы обновлений не актуальны и этот экземпляр вируса он просто не видит. Пробуем обновить базы у антивируса и повторяем процедуру. Если ничего не выходит - делаем лог программой uVS (инструкция) и создаем новую тему в этой категории форума, где Вам обязательно помогут  ;)
Изменено: Арвид - 03.12.2011 21:44:31
Правильно заданный вопрос - это уже половина ответа
 
NIKE_PRO
NIKE_PRO
Пользователь
Сообщений: 42
Баллов: 21
Регистрация: 29.02.2012
Размещено 24.03.2012 19:06:44
Не всегда, есть разные модификации этого грабанного Carberpa. многие из них не дают себя удалять Нодом, есть которые глушат Dr.Web и других антивирусных систем. тогда, лучше всего глушить через мультизагрузку, так, как многие гады обладают хорошей самозащитой и стелс технологиями. лучше всего записать его ХЭШ и его размер и через мультизагрузку найти такой фаил по ХЭШУ или по размеру (проще всего). Это ещё один эффективный способ, если же появилась модифакация, которая делает жесткий невидимый, то обращатся на форум или к спецу.
 
1
Читают тему