Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Оперативная память - модифицированный Win32/TrojanDownloader.Carberp.AD троянская программа - очистка невозможна

1 2 След.
RSS
 
openid.yandex.ru/kwest23
openid.yandex.ru/kwest23
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 24.10.2011
Размещено 24.10.2011 20:21:49
при загрузке нод ругаеться ( см. название темы)

сохранил полный образ автозапуска как написано здесь http://forum.esetnod32.ru/forum9/topic2478/
ссылка тут http://narod.ru/disk/29367422001/MICROSOF-C7A362_2011-10-24_20-00-24.7z.html


ну и так простой списак сохранил тут сразу....
;uVS v3.71 [Windows 5.1.2600 SP3 Service Pack 3]
; Подозрительные и вирусы          <=

ПОДОЗРИТ(А)| C:\WINDOWS\SYSTEM32\CTFMON.EXE
ПОДОЗРИТ(А)| C:\WINDOWS\EXPLORER.EXE
ПОДОЗРИТ(А)| C:\PROGRAM FILES\COMMON FILES\AUTODESK SHARED\DWF COMMON\MSVCP71.DLL
ПОДОЗРИТ(А)| C:\PROGRAM FILES\COMMON FILES\AUTODESK SHARED\DWF COMMON\MSVCR71.DLL
ПОДОЗРИТ(А)| C:\WINDOWS\SYSTEM32\DRIVERS\NVATA.SYS
ПОДОЗРИТ.  | C:\WINDOWS\SYSTEM32\BASECSP.DLL
ПОДОЗРИТ.  | C:\WINDOWS\SYSTEM32\CLIPSRV.EXE
ПОДОЗРИТ.  | C:\WINDOWS\SYSTEM32\CMD.EXE
ПОДОЗРИТ.  | C:\WINDOWS\SYSTEM32\CSCRIPT.EXE
ПОДОЗРИТ.  | C:\WINDOWS\HH.EXE
ПОДОЗРИТ.  | C:\DOCUMENTS AND SETTINGS\ЯРОСЛАВ\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
ПОДОЗРИТ.  | C:\WINDOWS\SYSTEM32\LOGONUI.EXE
ПОДОЗРИТ.  | C:\WINDOWS\SYSTEM32\MMC.EXE
ПОДОЗРИТ.  | C:\WINDOWS\SYSTEM32\MSDTC.EXE
ПОДОЗРИТ.  | C:\WINDOWS\SYSTEM32\NOTEPAD.EXE
ПОДОЗРИТ.  | C:\WINDOWS\SYSTEM32\NTSD.EXE
ПОДОЗРИТ.  | C:\WINDOWS\REGEDIT.EXE
ПОДОЗРИТ.  | C:\WINDOWS\SYSTEM32\RESTORE\RSTRUI.EXE
ПОДОЗРИТ.  | C:\WINDOWS\SYSTEM32\DRIVERS\SPTD.SYS
ПОДОЗРИТ.  | C:\WINDOWS\SYSTEM32\TASKMGR.EXE
ПОДОЗРИТ.  | C:\WINDOWS\SYSTEM32\WSCRIPT.EXE
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.10.2011 20:39:16
выполните скрипт в uVS из файла
+ все процедуры по ссылке
http://forum.esetnod32.ru/forum9/topic2478/

перезагрузка,

сделайте лог малваребайт
http://forum.esetnod32.ru/forum9/topic682/
Изменено: santy - 24.10.2011 20:39:45
[ Как создать образ автозапуска? ]
 
openid.yandex.ru/kwest23
openid.yandex.ru/kwest23
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 24.10.2011
Размещено 25.10.2011 03:38:11
лог малваребайт после выполнения скрипта в uVS и  после перезагрузки,но до полного сканирования нодом

антивирус не обновляеться пишет : данные обновления не согласованы , или ошибка распаковки файла.

лог:
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Версия базы данных: 8014

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

25.10.2011 3:30:47
mbam-log-2011-10-25 (03-30-46).txt

Тип сканирования: Быстрое сканирование
Просканированные объекты: 199758
Времени прошло: 3 минут, 23 секунд

Зараженные процессы в памяти: 0
Зараженные модули в памяти: 0
Зараженные ключи в реестре: 2
Зараженные параметры в реестре: 0
Объекты реестра заражены: 8
Зараженные папки: 0
Зараженные файлы: 2

Зараженные процессы в памяти:
(Вредоносных программ не обнаружено)

Зараженные модули в памяти:
(Вредоносных программ не обнаружено)

Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY­_NETPROTOCOL (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netprot­ocol (Trojan.Agent) -> No action taken.

Зараженные параметры в реестре:
(Вредоносных программ не обнаружено)

Объекты реестра заражены:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Search\SearchAssistant (Hijack.SearchPage) -> Bad: (http://webalta.ru/poisk) Good: (http://www.Google.com/) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\­Explorer\Advanced\Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\­Explorer\Advanced\Start_ShowHelp (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Search Bar (Hijack.Search) -> Bad: (http://webalta.ru/poisk) Good: (http://www.google.com/) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\SearchAssistant (Hijack.SearchPage) -> Bad: (http://webalta.ru/poisk) Good: (http://www.Google.com/) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Зараженные папки:
(Вредоносных программ не обнаружено)

Зараженные файлы:
c:\WINDOWS\notepad.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\Ярослав\application data\wndsksi.inf (Malware.Trace) -> No action taken.
Изменено: openid.yandex.ru/kwest23 - 25.10.2011 03:40:04
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.10.2011 07:15:46
openid.yandex.ru/kwest23,
1. не надо копировать в сообщение простыни из логов, делайте вложением файлов, или ссылкой на файловые обменники.

2. по обновлению антивируса.
Это действие выполнили?
Цитата
- пробуем обновить антивирус, выполнить полное сканирование;
(если обновление не выполнено, возможно поможет очистка кэша в настройках антивируса+
запуска вручную обновления баз)
3. эти записи в МБАМ удалите.
Цитата
Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R­oot\LEGAC­Y_NETPROTOCOL (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic­es\Netpro­tocol (Trojan.Agent) -> No action taken.
[ Как создать образ автозапуска? ]
 
openid.yandex.ru/kwest23
openid.yandex.ru/kwest23
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 24.10.2011
Размещено 25.10.2011 14:57:25
ключи реестра удалил, антивирус обновить получилось, и он 6 файлов отправил к вам.


больше антивирь ничего  плохо во не пишет , даже после полного сканирования.


лог полго образа автозапуска после всего вышеописанного
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.10.2011 15:11:27
удалите все, кроме
Цитата
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
notepad.exe так же можно оставить, скорее всего ложное срабатывание.
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.10.2011 15:12:13
выполните наши рекомендации по безопасной работе
http://forum.esetnod32.ru/forum9/topic751/
[ Как создать образ автозапуска? ]
 
openid.yandex.ru/kwest23
openid.yandex.ru/kwest23
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 24.10.2011
Размещено 25.10.2011 16:12:15
после того как я удалил первые 2 ветки согласно 4го поста и проскал комп, перезагрузил , перестала грузиться винда, появляеться рабочий стол со значками и начинает грузиться автозапуск, но зависает намертво , успевает загрузиться усб гуард, прога для клавы, появляеться окно запуска нода ( прямоугольник на раб столе) и собственно все, больше ничего, прямоугольник не уходит, мышкой можно водить но если хоть раз клацнуть хоть куда ,то зависает насмерть( даж курсор не сдвинуть) , загрузить безопасный тоже не получаеться, все останавливаеться на черном экране и мигании нижнего слеша в верхнем левом углу.....

скидываю все мои данные с системно диска(есть на что надо обратить внимание?), уже думаю сделать бейкап 2х недельной давности ( хапанул я эту гадость гдет 23-24 го, причем даж непредставляю где) , че эта за мерзость , мне надо сменить пароли на ящиках и различных ресурсах( гемор жуткий )?


з\ы
notepad.exe -это альтернативный блокнот

я держу систему( стараюсь ) в актульном состоянии, единственное атискрипт установлен небыл (AddBlock Plus ), теперь посталю
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.10.2011 16:23:37
если не грузится система ни так (в нормальном), ни сяк (в безопасном),
пробуйте откатить систему по точкам восстановления.
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.10.2011 16:25:39
о паролях. имеет смысл сменит пароли  к вебмани, яндекс_деньги, если есть такое.
Carberp - да, охотник за банковскими паролями.
[ Как создать образ автозапуска? ]
 
1 2 След.
Читают тему