Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] tr.Carberp

1
RSS
 
iiyama
iiyama
Пользователь
Сообщений: 122
Баллов: 97
Регистрация: 23.11.2011
Размещено 23.11.2011 20:12:58
23.11.2011 19:53:59 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » explorer.exe(672) модифицированный Win32/Carberp.A троянская программа очистка невозможна MICROSOF-F003F2\Admin

23.11.2011 19:52:48 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » explorer.exe(856) модифицированный Win32/Carberp.A троянская программа очистка невозможна MICROSOF-F003F2\Admin

23.11.2011 18:01:18 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » explorer.exe(848) модифицированный Win32/Carberp.A троянская программа очистка невозможна

23.11.2011 17:57:36 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » explorer.exe(848) модифицированный Win32/Carberp.A троянская программа очистка невозможна MICROSOF-F003F2\Admin

23.11.2011 15:55:25 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » explorer.exe(848) модифицированный Win32/Carberp.A троянская программа очистка невозможна MICROSOF-F003F2\Admin

23.11.2011 15:04:04 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » explorer.exe(864) модифицированный Win32/Carberp.A троянская программа очистка невозможна

23.11.2011 15:03:16 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » explorer.exe(864) модифицированный Win32/Carberp.A троянская программа очистка невозможна MICROSOF-F003F2\Admin

23.11.2011 12:50:05 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » explorer.exe(840) модифицированный Win32/Carberp.A троянская программа очистка невозможна MICROSOF-F003F2\Admin

23.11.2011 6:43:11 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » explorer.exe(860) модифицированный Win32/Carberp.A троянская программа очистка невозможна MICROSOF-F003F2\Admin

22.11.2011 21:33:13 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память » explorer.exe(828) модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа очистка невозможна
Изменено: iiyama - 23.11.2011 21:53:41
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 23.11.2011 20:14:19
Да это о многом говорит!
http://forum.esetnod32.ru/forum9/topic2687/
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 23.11.2011 20:57:32
Вы бы хоть писали что логи выполнили!

В программе которую скачали выше(UVS), запускаем еще раз, только теперь Меню Скрипт выполнить скрипт находящийся в буфере обмена

И вставляем текст скрипта

ПЕРЕД ВЫПОЛНЕНИКМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!

Код
;uVS v3.72 script [http://dsrt.dyndns.org]

fixvbr C: 5
deltmp
delnfr
restart

И жмем выполнить.

ПК перезагрузится.
Спасибо.
 
santy
santy
Администратор
Сообщений: 17972
Баллов: 28754
Регистрация: 16.03.2010
Размещено 23.11.2011 22:05:55
кстати, в этом образе уже и зараженный IPL
Цитата
Полное имя                  IPL NTFS [C:]
Имя файла                   IPL NTFS [C:]
Тек. статус                 ?ВИРУС? ВИРУС загрузчик
                           
www.virustotal.com          2011-11-18 [2011-11-18]
AntiVir                     RKIT/Book.Cidox.A
                           
Сохраненная информация      на момент создания образа
Статус                      загрузчик
Размер                      7680 байт
                           
Доп. информация             на момент обновления списка
SHA1                        BC08C44FF2E799BEDEA045D0B9251AB375929474
и
исполняемый трой в папке автозапуска.
Цитата
ПОЛНОЕ ИМЯ: C:\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
Изменено: santy - 23.11.2011 22:06:15
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17972
Баллов: 28754
Регистрация: 16.03.2010
Размещено 23.11.2011 22:09:24
т.е. лучше все таки такой скрипт в uVS выполнить
-------------
закрыть браузеры перед выполнением скрипта
выполнить скрипт в uVS
меню - скрипты - выполнить скрипт из буфера обмена

Код

;uVS v3.72 script [http://dsrt.dyndns.org]

addsgn 79132211B9EBA07E01D4AE3A61E0024425893CC540739A707D3C3ABF995FFC08DEE83C04B59414CCE77B7B6010158173F07F1E8DAA8D93E406BF97F4ECCEABEE 8 a variant of Win32/Kryptik.VWF [NOD32]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl DBE13E194916B88646B0446C3E9CF1BF 175104
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
fixvbr C: 5
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
[ Как создать образ автозапуска? ]
 
iiyama
iiyama
Пользователь
Сообщений: 122
Баллов: 97
Регистрация: 23.11.2011
Размещено 23.11.2011 22:34:14
Огромное спасибо! Всё заработало!
А то у меня экран смерти уже выпадать начал ). . .

Теперь вот
23.11.2011 22:29:20 Защита в режиме реального времени файл C:\DOCUMENTS AND SETTINGS\ADMIN\МОИ ДОКУМЕНТЫ\ЗАГРУЗКИ\UVS_V371\ZOO\IGFXTRAY.EXE._1382CAF69C40D102378157FAC8502BFF3B16C9AD модифицированный Win32/Kryptik.VWF троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\Documents and Settings\Admin\Мои документы\Загрузки\uvs_v371\deufkj.

Сканирование:
Журнал проверки
Версия базы данных сигнатур вирусов: 6654 (20111123)
Дaтa: 23.11.2011  Время: 22:37:32
Просканированные диски, папки и файлы: C:\Загрузочный сектор;C:\
C:\pagefile.sys - Ошибка открытия  [4]
C:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\6.0\52\719ceaf4-7f144180 - модифицированный Win32/Kryptik.VWF троянская программа - очищен удалением - изолирован [1]
C:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\6.0\54\74799436-7001930b - модифицированный Win32/Kryptik.VWF троянская программа - очищен удалением - изолирован [1]
C:\Documents and Settings\Admin\Local Settings\Application Data\Identities\{F735698A-EAAF-494D-9748-21C0F78EFF6B}\Microsoft\Outlook Express\Входящие.dbx » DBX - — OК (внутреннее сканирование не выполнено)Количество просканированных объектов: 223963
Количество обнаруженных угроз: 2
Количество очищенных объектов: 2
Время выполнения: 22:52:23  Общее время проверки: 891 сек. (00:14:51)

Примечания:
[1] Объект был удален, так как содержал только тело вируса.
[4] Объект невозможно открыть. Он используется другим приложением или операционной системой.
Изменено: iiyama - 23.11.2011 23:10:45
 
santy
santy
Администратор
Сообщений: 17972
Баллов: 28754
Регистрация: 16.03.2010
Размещено 23.11.2011 23:10:52
+ лог сканирования в МБАМ
http://forum.esetnod32.ru/forum9/topic682/
[ Как создать образ автозапуска? ]
 
zloyDi
zloyDi
Модератор
Сообщений: 12962
Баллов: 10371
Регистрация: 16.03.2010
Размещено 23.11.2011 23:27:10
Удалить все и перезагрузить Пк.

Выполните полный скан системы еще раз!
 
1
Читают тему