Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Win32/TrojanDownloader.Carberp.AD , Win32/TrojanDownloader.Carberp.AD

1 2 След.
RSS
 
kas
kas
Пользователь
Сообщений: 35
Баллов: 17
Регистрация: 09.03.2012
Размещено 09.03.2012 14:33:28
Цитата
Имя колонки Значение
Идентификатор угрозы Угроза 7402
Имя клиента Pc-1-3
Имя компьютера Pc-1-3
MAC-адрес 001d6014450b
Главный сервер Veka-1c
Дата получения 2012-03-07 18:25:29
Дата обнаружения 2012-03-07 18:15:18
Уровень Критическое предупреждение
Сканер Модуль сканирования файлов, исполняемых при запуск
Объект файл
Имя Оперативная память » explorer.exe(1928)
Угроза вероятно модифицированный  Win32/TrojanDownloader.Carberp.AD  троянская программа
Действие очистка невозможна
Пользователь
Информация
Детали Готово

Юзер словил вирус. безопасно ли заходить под учеткой дом.админа и как заразу вычистить.
EAV-0136450696
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 09.03.2012 14:36:38
Не под учетной записью Гостя случайно работаете? Лог uVS не удачный получился. Сделайте его в Безопасном режиме
Правильно заданный вопрос - это уже половина ответа
 
kas
kas
Пользователь
Сообщений: 35
Баллов: 17
Регистрация: 09.03.2012
Размещено 09.03.2012 14:47:46
под учеткой юзера делал (active directory). шас сделаю в без. режиме под LA
Изменено: kas - 09.03.2012 14:59:41
EAV-0136450696
 
kas
kas
Пользователь
Сообщений: 35
Баллов: 17
Регистрация: 09.03.2012
Размещено 09.03.2012 14:59:15
сделал в safe mode
EAV-0136450696
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 09.03.2012 15:09:48
Теперь нормальный лог, но не видно зловреда.
Сделайте лог программой TDSSkiller. Ничего оттуда не удалять. Лог будет лежать в корне системного раздела (обычно диск С).
Правильно заданный вопрос - это уже половина ответа
 
kas
kas
Пользователь
Сообщений: 35
Баллов: 17
Регистрация: 09.03.2012
Размещено 09.03.2012 15:17:08
1) зловред создал папку 0aBGtkg5p1uv0kh в корне диска C с 2 файлами (klpclst.dat и wndsksi.inf)
2) сидел в autorun пользователя еще 7 числа. сейчас его нет. после ребута
EAV-0136450696
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 09.03.2012 15:18:30
Значит надо смотреть журнал антивируса - скорее всего он его и снес. Для зачистки хвостов не помешает сделать лог Malwarebytes
Правильно заданный вопрос - это уже половина ответа
 
kas
kas
Пользователь
Сообщений: 35
Баллов: 17
Регистрация: 09.03.2012
Размещено 09.03.2012 15:21:30
еще эта же машина жаловалась так:

09.03.2012 10:18:04 -  PC-1-3:  C:\System Volume Information\_restore{062FB417-4F68-4D44-9F1C-4BA0BF7A1B51}\RP401\A0016289.exe Win32/Kryptik.ACAC. Esset его изолировал.

тогда я сейчас делаю Malwarebytes лог и сюда его прикрепляю
EAV-0136450696
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 09.03.2012 15:23:59
Цитата
kas пишет:
еще эта же машина жаловалась так:

09.03.2012 10:18:04 -PC-1-3:C:\System Volume Information\_restore{062FB417-4F68-4D44-9F1C-4BA0BF7A1B51}\RP401\A0016289.exe Win32/Kryptik.ACAC. Esset его изолировал.
правильно сделал. видно дропер сидел с системе и попал в точку восстановления системы
Правильно заданный вопрос - это уже половина ответа
 
kas
kas
Пользователь
Сообщений: 35
Баллов: 17
Регистрация: 09.03.2012
Размещено 09.03.2012 15:40:39
1) сделал лог в mbam он мне нашел в корзине вирь, которого я удалил. ребутнулся.
2) удалил папку 0aBGtkg5p1uv0kh в корне диска C
3) натравил eset на С и оп. память. кажет что все чисто

вроде отделался малой кровью
EAV-0136450696
 
1 2 След.
Читают тему