Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Вирус в оперативной памяти и проблема с uVS

1 2 След.
RSS
 
New_2712
New_2712
Пользователь
Сообщений: 9
Баллов: 4
Регистрация: 27.02.2012
Размещено 27.02.2012 07:49:43
Вчера начали появляться какие-то ошибки, например, неожиданно вылезало что-то вроде "Прекращена работа программы "название", закрыть/искать решение проблемы в интернете и закрыть программу". Потом мой Eset начал жаловаться на "explorer.exe(цыфры)"-причём цыфры с каждым новым запуском компьютера меняются. Вот что пишет Eset:

27.02.2012 10:24:03 Оперативная память » explorer.exe(1668)вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа очистка невозможна
27.02.2012 10:21:57 Оперативная память » explorer.exe(1668)вероятно модифицированный Win32/TrojanDownloader.Carberp.AF троянская программа очистка невозможна
26.02.2012 18:50:11 Оперативная память » explorer.exe(1680)вероятно модифицированный  Win32/TrojanDownloader.Carberp.AF троянская программа очистка невозможна
26.02.2012 18:11:54 Оперативная память » explorer.exe(1720)вероятно модифицированный  Win32/TrojanDownloader.Carberp.AF троянская программа очистка невозможна
26.02.2012 15:40:48 Оперативная память » explorer.exe(1644)вероятно модифицированный  Win32/TrojanDownloader.Carberp.AF троянская программа очистка невозможна
26.02.2012 15:34:22 Оперативная память » explorer.exe(1660)вероятно модифицированный  Win32/TrojanDownloader.Carberp.AF троянская программа очистка невозможна

Вчера не знал куда обратиться, сегодня нашёл этот форум. Только что принялся создавать образ автозапуска в uVS. Скачал, выполняю всё по инструкции, данной на форуме, дохожу до шага №3 (3. В стартовом окне программы - нажать "запустить под текущим пользователем"). Программа открывается. И выдаёт мне какой-то бред. "Прекращена работа программы "название", закрыть/искать решение проблемы в интернете и закрыть программу". Закрываю, запускаю заного. Та же ерунда, но уже программа другая. Если что, я прикрепил скриншот с последнего такого запуска. А так,"Прекращена работа" то с каким-то "epkmsb", "ajkaxo", "zmrxys", "imfmij" и так каждый раз что-то новенькое. Они идут вместе с uVS? Или я что-то не так делаю? Пожалуйста, помогите!

p.S.: Прикрепил вышеуказанные 2 скриншота и лог журнала обнаруженных угроз (хотя я вроде всё выше описал).
P.P.S.: Я с компьютерами не дружу, так что, пожалуйста, подробней  :)
P.P.P.S.: Есть хоть малейший шанс спасения?
Скриншот.jpg (194.27 КБ)
Скриншот2.jpg (196.41 КБ)
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 27.02.2012 07:51:46
Цитата
New_2712 пишет:
Они идут вместе с uVS? Или я что-то не так делаю?
да
попробуйте сделать лог в безопасном режиме или запускайте Startf.exe
Правильно заданный вопрос - это уже половина ответа
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.02.2012 08:03:50
пробуйте создать образ автозапуска без проверки цифровых подписей.
[ Как создать образ автозапуска? ]
 
New_2712
New_2712
Пользователь
Сообщений: 9
Баллов: 4
Регистрация: 27.02.2012
Размещено 27.02.2012 08:21:24
Как посоветовали, запустил через startf.exe. Всё вышло. Прикрепил файл. Всё правильно сделал?

Простите, всё не в том месте тему создаю.

P.S.: А где можно было заразиться таким вирусом? А то я дочь подозреваю, она у нас путешествует по интернету целыми днями.

P.P.S.: Кстати, частенько, когда я в интернете, вылазиют страницы. И с эротикой, и всякие купи-продай, и "популярное в интернете" (естественно, закрываю). Как-то связанно с вирусом? И можно ли избавиться от этих страниц?
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.02.2012 08:24:16
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

delall %SystemRoot%\APPPATCH\WOQFPWA.EXE
delall %SystemDrive%\SYSTEMHOST\24FC2AE3432.EXE
addsgn A7679B1BB9C24C720B6EE1B164C899CF4F5394F6821AD810855F929338D6FF042C7FC36D047A75DD0180841C82021A537FF78C7921D93969D121CC2F1A09159B 8 tr.Carberp

zoo %SystemDrive%\USERS\АРКАДИЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\5UB8ZIWA2PA.EXE
bl 80B835EE6EC086A71A2B5FD6440C8E33 152064
delall %SystemDrive%\USERS\АРКАДИЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\5UB8ZIWA2PA.EXE
chklst
delvir
deltmp
delnfr
regt 12
restart

перезагрузка, пишем о старых и новых проблемах.
архив (например: 2011-12-31_23-59-59.rar/7z) из папки uVS отправить в почту [email protected], [email protected]
(если архив не был создан автоматически, добавить папку ZOO (если она не пуста) в архив с паролем infected )
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
[ Как создать образ автозапуска? ]
 
New_2712
New_2712
Пользователь
Сообщений: 9
Баллов: 4
Регистрация: 27.02.2012
Размещено 27.02.2012 08:52:09
Всё сделал, сразу же Eset-ом проверил оперативку-ничего не обнаружил. Позже сделаю полную проверку компьютера. Малваребайт скачал, быструю проверку сделаю, отпишусь после.
Но вот вопрос с архивом: он автоматически не создался, в папке ZOO есть файл "5UB8ZIWA2PA.EXE._2A4685029CF8D1A2931CD6328A845F24D9CB89B4.txt" То или нет? Вне папки ZOO есть "2012-02-27_14-26-31_log.txt" Может его надо? Жду ответа.
Изменено: New_2712 - 27.02.2012 09:21:11
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.02.2012 08:56:28
антивир похоже прибил этот файлик, значит не нужен для вирлаба.
[ Как создать образ автозапуска? ]
 
New_2712
New_2712
Пользователь
Сообщений: 9
Баллов: 4
Регистрация: 27.02.2012
Размещено 27.02.2012 09:17:00
Сделал быструю проверку в Малваребайте, обнаружил 8 объектов. Лог прикрепляю. Что далее?
Изменено: New_2712 - 27.02.2012 09:22:13
 
New_2712
New_2712
Пользователь
Сообщений: 9
Баллов: 4
Регистрация: 27.02.2012
Размещено 27.02.2012 09:26:42
Жду ответа...
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 27.02.2012 09:42:11
удалите все найденное в МБАМ,
перезагрузка,
новое сканирование в МБАМ
[ Как создать образ автозапуска? ]
 
1 2 След.
Читают тему