Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа - очистка невозможна

1
RSS
 
Хитрый
Хитрый
Пользователь
Сообщений: 29
Баллов: 14
Регистрация: 01.09.2012
Размещено 04.12.2012 10:46:53
Здравствуйте! Помоготи пожалуйста Оперативная память = svchost.exe(3792) - вероятно модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа - очистка невозможна
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 04.12.2012 11:36:22
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\1LZML6K8YKO.EXE
addsgn A7679B19B192CF9E3787F87620EC0AEAC27F037BCDDE3F2F4287E19CBC3184B3AA53E74FB30099A1987D7B60E5862ABB7D7E781114DA3B6C29D4204C860683E3 9 Carberp.1119
bl 28ABFD42077557D84FED78E39702E9F5 182784
delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\1LZML6K8YKO.EXE
chklst
delvir
delref COPY
deltmp
delnfr
delref HTTP://START.TICNO.COM
czoo
regt 14
exec C:\PROGRAM FILES\TICNO\INDEXATOR\UNINSTALL.EXE
exec C:\PROGRAM FILES\TICNO\TABS\UNINSTALL.EXE
exec C:\PROGRAM FILES\TICNO\MULTIBAR\UNINSTALL.EXE
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS, созданный после скрипта (например: ZOO_2011-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
[ Как создать образ автозапуска? ]
 
Хитрый
Хитрый
Пользователь
Сообщений: 29
Баллов: 14
Регистрация: 01.09.2012
Размещено 04.12.2012 11:43:35
Не получается, ошибка :  Текст скрипта содержит ошибки, либо не содержит команд uvs, выполнение таких скриптов запрещено!
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 04.12.2012 11:45:53
обновите uVS до версии 3.76 отсюда
http://rghost.ru/users/santy/releases/utilitiesLiveCd/files/40478212
[ Как создать образ автозапуска? ]
 
Хитрый
Хитрый
Пользователь
Сообщений: 29
Баллов: 14
Регистрация: 01.09.2012
Размещено 04.12.2012 12:15:14
Все в порядке, спасибо огромное!
 
Хитрый
Хитрый
Пользователь
Сообщений: 29
Баллов: 14
Регистрация: 01.09.2012
Размещено 04.12.2012 12:32:14
Malwarebytes Anti-Malware (Пробная версия) 1.65.1.1000
www.malwarebytes.org

Версия базы данных:  v2012.12.04.04

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
User :: ХИТРЫЙ [администратор]

Защитный модуль : Включен

04.12.2012 17:17:27
mbam-log-2012-12-04 (17-17-27).txt

Тип сканирования:  Быстрое сканирование
Опции сканирования включены: Память | Запуск | Реестр | Файловая система | Эвристика/Дополнительно | Эвристика/Шурикен | PUP | PUM
Опции сканирования отключены: P2P
Просканированные объекты:  231685
Времени прошло:  10 минут , 50 секунд

Обнаруженные процессы в памяти:  0
(Вредоносных программ не обнаружено)

Обнаруженные модули в памяти:  0
(Вредоносных программ не обнаружено)

Обнаруженные ключи в реестре:  6
HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\­{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} (Trojan.BHO) -> Помещено в карантин и успешно удалено.

Обнаруженные параметры в реестре:  1
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} (PUP.ToolBar.WA) -> Параметры:  -> Действие не было предпринято.

Объекты реестра обнаружены:  0
(Вредоносных программ не обнаружено)

Обнаруженные папки:  0
(Вредоносных программ не обнаружено)

Обнаруженные файлы:  0
(Вредоносных программ не обнаружено)

(конец)
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 04.12.2012 12:39:38
удалите найденное в мбам,
далее,
рекомендации
http://forum.esetnod32.ru/forum9/topic3998/
[ Как создать образ автозапуска? ]
 
1
Читают тему