Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Win32/TrojanDownloader.Carberp.AD , Обнаружен вирус в памяти компьютера

1 2 След.
RSS
 
amd2011
amd2011
Пользователь
Сообщений: 33
Баллов: 16
Регистрация: 03.03.2011
Размещено 11.10.2011 20:26:30
EAV-30714840

Сначала возникла проблема при обновлении - 0% индикатор и не двигался при этом высокая загрузка процессора 100%

После перезагрузки обновление успешно прошло и антивирус нашел в памяти вирус Win32/TrojanDownloader.Carberp.AD - очистка невозможна.

Затем я нашел подозрительный скрытый файл "%userprofile%\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE" и послал его к вам через форму средствами самого антивируса. Что интересно антивирус на него никак не среагировал, хотя virustotal.com показал 10 совпадений со статусом malware.

Запустил создание лога на удаленной машине средствами SysInspector установленного антивируса. Процесс шел очень долго (началось в 16:24)поэтому через удаленный запуск uVS удалил подозрительный файл и все ссылки на него. Еще убрал тулбары из IE. Средствами антивируса на компе не удалось завершить создание лога sysinspector, запустил отдельно скаченный, он тоже тормозил, но потом все-таки завершил, вот прилагаю журнал.
Изменено: amd2011 - 11.10.2011 20:27:35
 
sanek922
sanek922
Пользователь
Сообщений: 30
Баллов: 15
Регистрация: 16.03.2010
Размещено 11.10.2011 20:38:22
c:\windows\svchost.exe вот подозрительный проверь на вирустотал
Изменено: sanek922 - 11.10.2011 20:40:03
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 11.10.2011 21:58:58
Цитата
sanek922 пишет:
c:\windows\svchost.exe вот подозрительный проверь на вирустотал

Это: not-a-virus:RemoteAdmin.Win32.RAdmin.20

http://www.virustotal.com/file-scan/report.html?id=0425a758ee783e178f0e3259cd07f7ba41f6fcca1146631636613d247­809345b-1317638879

Для эффективной проверки нужен
лог программы uVS
http://forum.esetnod32.ru/forum9/topic683/
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 12.10.2011 08:35:29
если необходимо проверить систему, то сделайте образ автозапуска в uVS, +лог малваребайт,
-------
я так понимаю, что вы самостоятельно все пролечили.
Изменено: santy - 12.10.2011 08:39:24
[ Как создать образ автозапуска? ]
 
amd2011
amd2011
Пользователь
Сообщений: 33
Баллов: 16
Регистрация: 03.03.2011
Размещено 12.10.2011 08:40:34
Цитата
RP55 RP55 пишет:
Цитата
sanek922 пишет:

c:\windows\svchost.exe вот подозрительный проверь на вирустотал



Это: not-a-virus:RemoteAdmin.Win32.RAdmin.20



http://www.virustotal.com/file-scan/r...1317638879



Для эффективной проверки нужен

лог программы uVS

http://forum.esetnod32.ru/forum9/topic683/
лог uVS
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 12.10.2011 08:45:56
закрыть браузер перед выполнением скипта.
выполнить скрипт в uVS из буфера обмена.
Цитата
;uVS v3.71 script [http://dsrt.dyndns.org]

delall %SystemDrive%\DOCUMENTS AND SETTINGS\KURYNDINA\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL
delref HTTP://SEARCH.QIP.RU
delref HTTP://SMS/
delref HTTP://WWW.MRSK-1.RU
deltmp
delnfr
regt 5
regt 18
restart
после перезагрузки сделайте лог малваребайт
http://forum.esetnod32.ru/forum9/topic682/

Carberp я так понимаю вы самостоятельно удалили.
Изменено: santy - 12.10.2011 08:46:45
[ Как создать образ автозапуска? ]
 
amd2011
amd2011
Пользователь
Сообщений: 33
Баллов: 16
Регистрация: 03.03.2011
Размещено 12.10.2011 09:13:17
Цитата
santy пишет:
закрыть браузер перед выполнением скипта.

выполнить скрипт в uVS  из буфера обмена .

Цитата
;uVS v3.71 script [http://dsrt.dyndns.org]



delall %SystemDrive%\DOCUMENTS AND SETTINGS\KURYNDINA\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL

delref HTTP://SEARCH.QIP.RU

delref HTTP://SMS/

delref HTTP://WWW.MRSK-1.RU

deltmp

delnfr

regt 5

regt 18

restart

после перезагрузки сделайте лог малваребайт

http://forum.esetnod32.ru/forum9/topic682/



Carberp я так понимаю вы самостоятельно удалили.

Если имеется ввиду  файл %userprofile%\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE, то да, так ночная проверка нодом,нашла еще вот это:
C:\Program Files\pchd\PCHDPlayer.dll - модифицированный Win32/PornTool.PCHDPlay.A потенциально опасная программа - удален - изолирован
А так больше ничего.
Лог малваребайт готов.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 12.10.2011 09:46:34
по логу малваребайт:
удалите все, кроме тех файлов и объектов что принадлежат радмину.
-----
но вообще говоря, я бы переустановил нормальный радмин 2.2
[ Как создать образ автозапуска? ]
 
amd2011
amd2011
Пользователь
Сообщений: 33
Баллов: 16
Регистрация: 03.03.2011
Размещено 12.10.2011 09:48:55
Цитата
santy пишет:
по логу малваребайт:

удалите все, кроме тех файлов и объектов что принадлежат радмину.

-----

но вообще говоря, я бы переустановил нормальный радмин 2.2

Удалил все кроме радмина.
Зачем? Есть подозрение, что он заражен?
Еще что-то нужно?
 
amd2011
amd2011
Пользователь
Сообщений: 33
Баллов: 16
Регистрация: 03.03.2011
Размещено 12.10.2011 10:04:28
Выкладываю лог uVS
 
1 2 След.
Читают тему