Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] TrojanDownloader.Carberp.AW помогите обезвредить , NOD32 обнаружил TrojanDownloader.Carberp.AW и не может его обезвредить

RSS
 
Сергей Ананьев
Сергей Ананьев
Пользователь
Сообщений: 16
Баллов: 8
Регистрация: 25.07.2013
Размещено 25.07.2013 21:21:09
NOD32 обнаружил TrojanDownloader.Carberp.AW и AM, не может его обезвредить, помогите пожалуйста


Оперативная память = explorer.exe(1836) - модифицированный Win32/TrojanDownloader.Carberp.AW троянская программа - очистка невозможна
Оперативная память = explorer.exe(1836) - модифицированный Win32/TrojanDownloader.Carberp.AM троянская программа - очистка невозможна
Оперативная память = explorer.exe(1836) - модифицированный Win32/TrojanDownloader.Carberp.AM троянская программа - очистка невозможна
Оперативная память = explorer.exe(1836) - модифицированный Win32/TrojanDownloader.Carberp.AM троянская программа - очистка невозможна
Оперативная память = explorer.exe(1836) - модифицированный Win32/TrojanDownloader.Carberp.AM троянская программа - очистка невозможна
Оперативная память = explorer.exe(1836) - модифицированный Win32/TrojanDownloader.Carberp.AM троянская программа - очистка невозможна
Оперативная память = explorer.exe(1836) - модифицированный Win32/TrojanDownloader.Carberp.AM троянская программа - очистка невозможна
Оперативная память = explorer.exe(1836) - модифицированный Win32/TrojanDownloader.Carberp.AM троянская программа - очистка невозможна
Оперативная память = explorer.exe(1836) - модифицированный Win32/TrojanDownloader.Carberp.AM троянская программа - очистка невозможна
Оперативная память = svchost.exe(192 8 ) - модифицированный Win32/TrojanDownloader.Carberp.AM троянская программа - очистка невозможна
Оперативная память = svchost.exe(192  8 )  - модифицированный Win32/TrojanDownloader.Carberp.AM троянская программа - очистка невозможна
Оперативная память = svchost.exe(192  8 )  - модифицированный Win32/TrojanDownloader.Carberp.AM троянская программа - очистка невозможна
Оперативная память = svchost.exe(192  8 )  - модифицированный Win32/TrojanDownloader.Carberp.AM троянская программа - очистка невозможна
Оперативная память = svchost.exe(192  8 )  - модифицированный Win32/TrojanDownloader.Carberp.AM троянская программа - очистка невозможна
Оперативная память = svchost.exe(192  8 )  - модифицированный Win32/TrojanDownloader.Carberp.AM троянская программа - очистка невозможна
Оперативная память = svchost.exe(192  8 )  - модифицированный Win32/TrojanDownloader.Carberp.AM троянская программа - очистка невозможна
Оперативная память = svchost.exe(232) - модифицированный Win32/TrojanDownloader.Carberp.AM троянская программа - очистка невозможна
Изменено: Сергей Ананьев - 25.07.2013 21:54:05

Ответы

Пред. 1 2 3 4 След.
 
Сергей Ананьев
Сергей Ананьев
Пользователь
Сообщений: 16
Баллов: 8
Регистрация: 25.07.2013
Размещено 28.07.2013 16:34:23
добавляю образ автозапуска из безопасного режима, образ автозапуска из под загрузочного диска Winpe&uVS выложу чуть позже, нету пока что чистого компа под рукой(
Изменено: Сергей Ананьев - 28.07.2013 16:34:36
 
Арвид
Арвид
Пользователь
Сообщений: 6770
Баллов: 5416
Регистрация: 12.09.2011
Размещено 28.07.2013 16:38:55
чистый комп не обязателен для этого
Правильно заданный вопрос - это уже половина ответа
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.07.2013 16:42:45
так... образ в безопаске нам не поможет, здесь нет нужной инфо.... возможно загрузчик заражен, и подменяет инфо в логи... т.е. водит за нос tdsskiller и другие утилиты....

нужен образ с загрузочного диска. попробуйте его записать на вашей (проблемной) системе.

если не получится записать.... то это будет дополнительным признаком заражения загрузчика. (перехват прямого доступа к диску).
[ Как создать образ автозапуска? ]
 
Сергей Ананьев
Сергей Ананьев
Пользователь
Сообщений: 16
Баллов: 8
Регистрация: 25.07.2013
Размещено 28.07.2013 17:33:41
Сделал образ автозапуска из под загрузочного диска Winpe&uVS. выкладываю. делал со своей (проблемной) системы
Изменено: Сергей Ананьев - 28.07.2013 17:34:24
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.07.2013 17:50:16
да загрузчик заражен
https://www.virustotal.com/ru/file/da8eba3432c0b31dcb393baa2634ebbc8de6aa6c6c4015e0­71d118b4beea34de/analysis/1375019240/

сейчас запишу вам скрипт лечения из под LiveCD
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.07.2013 17:53:52
образ лучше переделать, поскольку вы не сделали выбор системы с жесткого диска.
Цитата
uVS v3.80.1: Windows ™ 8 Preinstallation Environment x86 (NT v6.2) build 9200  [X:\WINDOWS]

вначале надо выбрать каталог системы с жесткого диска, затем нажать - текущий пользователь

(но и из этого образа видно, что загрузчик ipl C заражен).
Изменено: santy - 28.07.2013 17:54:33
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.07.2013 18:00:51
выполните в uVS (из под Winpe&uVS) скрипт из файла.

файл скрипта скачайте отсюда
http://rghost.ru/private/47728899/7abdd9d8f17b5378270ab20e2e70b0f8

после выполнения скрипта перегрузите систему в нормальный режим.

пишем результат.
[ Как создать образ автозапуска? ]
 
Сергей Ананьев
Сергей Ананьев
Пользователь
Сообщений: 16
Баллов: 8
Регистрация: 25.07.2013
Размещено 28.07.2013 18:49:34
Выкладываю лог после выбора каталога системы с жесткого диска. сейчас попробую вставить скрипт.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.07.2013 18:58:45
сейчас правильный образ.
http://virusscan.jotti.org/en/scanresult/5b063513a62125a51ee3ba35ad7678db3bced7a4/b­2a53faa45e0feb513be6125e45038a544425c87

скрипт тот что в сообщении 17 остается в силе. пробуйте его выполнить.
Изменено: santy - 28.07.2013 18:59:27
[ Как создать образ автозапуска? ]
 
Сергей Ананьев
Сергей Ананьев
Пользователь
Сообщений: 16
Баллов: 8
Регистрация: 25.07.2013
Размещено 28.07.2013 19:02:56
к сожалению не помогло, сообщение при загрузке виндоус выскакивает, нод опять же теже трояны находит. выкладываю лог нода
Изменено: Сергей Ананьев - 28.07.2013 19:03:15
 
Пред. 1 2 3 4 След.
Читают тему