Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Опять нарвался на Carberp.AD

1 2 След.
RSS
 
f0b0s
f0b0s
Пользователь
Сообщений: 11
Баллов: 5
Регистрация: 16.02.2012
Размещено 15.03.2012 23:22:35
Лог в аттаче. Спасибо.
Там еще было 2 других вируса (и именами вида 0.много_цифр.exe), но nod32 вроде их изолировал, а процессы я снял в таск менеджере.

И сразу вопрос, если можно: как эта зараза вообще ко мне попала?  В твиттере пролетела ссылка на www.death.ru.com, я туда зашел. Сайт довольно подозрительный -- выводит баннер, который если нажать закрыть перебрасывает на проституток. После этого нод тут же закричал о вирусне в папке TEMP и быстрым сканированием я обраружил вирус. Но с чего вдруг эти файлы вообще начали скачиваться? Какие-то скрипты? Вроде как джава запускалась, да (в трее иконка появилась). Нет ли стандартного способа/настройки/программы, которая бы недопускала загрузку exe-шников, пока я этого не попрошу? Почему нод это допустил -- он же частенько прерывает соединение?
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 15.03.2012 23:29:16
Cделайте лог программой TDSSkiller. Ничего оттуда не удалять. Лог будет лежать в корне системного раздела (обычно диск С).
Правильно заданный вопрос - это уже половина ответа
 
f0b0s
f0b0s
Пользователь
Сообщений: 11
Баллов: 5
Регистрация: 16.02.2012
Размещено 15.03.2012 23:32:13
что-то нашлсь
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 15.03.2012 23:33:28
Чисто тут.
Делайте лог uVS в безопасном режиме.
Правильно заданный вопрос - это уже половина ответа
 
f0b0s
f0b0s
Пользователь
Сообщений: 11
Баллов: 5
Регистрация: 16.02.2012
Размещено 15.03.2012 23:33:57
Хм, sptd -- знакомое имя. uVS пока делал лог несколько раз сообщил, что к этому файлу "нет доступа, возможно он защищен", потом "доступ получен".
 
f0b0s
f0b0s
Пользователь
Сообщений: 11
Баллов: 5
Регистрация: 16.02.2012
Размещено 16.03.2012 00:06:33
Запустил нод -- теперь после перезагрузки он ничего не находит, хотя до этого говорил, что никак не может удалить Carperb.AD.

1. Проверил в безопасном режиме. Прикладываю лог.
2. Также прикладываю лог, который писал uVS внизу окна, не странно ли то, что он говорит про "Неизвестный загрузчик SHA1" и про "сертификат анулирован"? (про физическое устройство не готово это кардридер).
3. И мне очень не нравятся несколько .bat-файлов, которые я обнаружил в папке TEMP. Там упоминаются те странные 0.много_цифр.exe, которые нод прибил, и подмена hosts.
 
f0b0s
f0b0s
Пользователь
Сообщений: 11
Баллов: 5
Регистрация: 16.02.2012
Размещено 16.03.2012 00:48:24
Вот я еще MBAM прошелся, он нашел те самые exe-шники (нод в Smart-поиске почему-то нет).
Нажал "Remove selected"
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 16.03.2012 00:48:52
Выполните скрипт в uVS:
Цитата
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

deltmp
delnfr
bl 2BF4BEF954542E8E402F7A2CA6436B04 798024
delall %SystemDrive%\USERS\ANYA\APPDATA\LOCAL\YANDEX\UPDATER\PRAETO­RIAN.EXE
restart
После перезагрузки вытащите из карантина антивируса последние файлы за сегодня, упакуйте их в архив и выложите на rghost.ru
Скорее всего с батниками был дроппер, который был удален антивирусом.
Из карантина Mbam тоже файлы нужны.
Изменено: Арвид - 16.03.2012 00:50:01
Правильно заданный вопрос - это уже половина ответа
 
f0b0s
f0b0s
Пользователь
Сообщений: 11
Баллов: 5
Регистрация: 16.02.2012
Размещено 16.03.2012 01:12:31
В папке с карантином нода (C:\Documents and Settings\vanya\Local Settings\Application Data\ESET\ESET NOD32 Antivirus\Quarantine\) сегодняшних файлов нет.
Карантин mbam-а выложил тут: http://rghost.ru/37045474

Что это за Carperb.AD, как от него защищаться-то? Никогда особо вирусами не страдал, а тут 2 раза за месяц и нод только постфактум уже сообщает.
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 16.03.2012 01:15:09
Цитата
f0b0s пишет:
Что это за Carperb.AD, как от него защищаться-то?
активный троянец в наше время. в интернете много информации о нем. лезет через дырявую Java
Выполните рекомендации, переустановите обязательно Java, не посещайте подозрительные сайты
Правильно заданный вопрос - это уже половина ответа
 
1 2 След.
Читают тему